Osigurajte svoj bežični usmjerivač

Isprobajte Naš Instrument Za Uklanjanje Problema

Ne postoji savršeno stanje sigurnosti. S obzirom na dovoljno znanja, resursa i vremena, bilo koji sustav može biti ugrožen. Najbolje što možete učiniti je otežati napadaču što je više moguće. To kaže da postoje koraci koje trebate poduzeti kako biste ojačali svoju mrežu protiv velike većine napada.

Zadane konfiguracije za ono što nazivam usmjerivačima za potrošače nude prilično osnovnu sigurnost. Da budem iskren, nije potrebno mnogo kompromisa. Kad instaliram novi usmjerivač (ili resetiram postojeći), rijetko koristim 'čarobnjake za postavljanje'. Prolazim i sve konfiguriram točno onako kako ja želim. Ako nema nekog dobrog razloga, obično ga ne ostavljam kao zadanog.

Ne mogu vam reći točne postavke koje trebate promijeniti. Svaka administratorska stranica usmjerivača je različita; čak i usmjerivač istog proizvođača. Ovisno o određenom usmjerivaču, možda postoje postavke koje ne možete promijeniti. Za mnoge od ovih postavki trebat će vam pristupiti odjeljak za naprednu konfiguraciju administratorske stranice.

Savjet : možete koristiti Android aplikacija RouterCheck za provjeru sigurnosti vašeg usmjerivača ,

Uključio sam snimke zaslona Asus RT-AC66U. U zadanom je stanju.

Ažurirajte svoj softver. Većina ljudi ažurira firmver prilikom prvog instaliranja usmjerivača, a zatim ga ostavlja na miru. Nedavno istraživanje pokazalo je da 80% od 25 najprodavanijih bežičnih modela usmjerivača ima sigurnosne ranjivosti. Povezani proizvođači uključuju: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet i druge. Većina proizvođača izdaje ažurirani firmver kada se otkriju ranjivosti. Postavite podsjetnik u programu Outlook ili bilo kojem sustavu e-pošte koji koristite. Preporučujem provjeru ažuriranja svaka 3 mjeseca. Znam da ovo zvuči kao 'nepromišljeni', ali instalirajte samo firmver s web-mjesta proizvođača.

Također onemogućite sposobnost rutera da automatski provjerava postoje li ažuriranja. Nisam ljubitelj puštanja uređaja 'telefonskog doma'. Nemate kontrolu nad kojim datumom se šalje. Na primjer, jeste li znali da nekoliko takozvanih 'pametnih televizora' šalje podatke natrag svom proizvođaču? Šalju sve vaše navike gledanja svaki put kad promijenite kanal. Ako u njih priključite USB pogon, oni šalju popis svakog naziva datoteke na pogonu. Ti se podaci šifriraju i šalju se čak i ako je postavka izbornika postavljena na NO.

Onemogući daljinsko upravljanje. Razumijem da bi neki ljudi trebali biti u mogućnosti daljinsko konfigurirati mrežu. Ako morate, barem omogućite https pristup i promijenite zadani ulaz. Imajte na umu da to uključuje bilo koju vrstu upravljanja temeljenog na oblaku, poput Linkysovog pametnog WiFi računa i Asusovog AiClouda.

Koristite jaku lozinku za usmjerivač admin. Dovoljno je rekao. Zadane lozinke za usmjerivače opće su poznate i ne želite da itko samo isproba zadani prolaz i uđe na usmjerivač.

Omogući HTTPS za sve administratorske veze. Na mnogim je usmjerivačima to onemogućeno.

wireless-security-1

Ograničite ulazni promet. Znam da je to zdrav razum, ali ponekad ljudi ne razumiju posljedice određenih postavki. Ako morate koristiti prosljeđivanje porta, budite vrlo selektivni. Ako je moguće, upotrijebite nestandardni port za uslugu koju konfigurirate. Tu su i postavke filtriranja anonimnog internetskog prometa (da) i za odgovor pinga (ne).

wireless-security-2

Koristite WPA2 enkripciju za WiFi. Nikada ne koristite WEP. Može se razbiti u nekoliko minuta softverom koji je slobodno dostupan na internetu. WPA nije puno bolji.

wireless-security-3

Isključite WPS (zaštićeno postavljanje putem WiFi) , Razumijem praktičnost korištenja WPS-a, ali bila je loša ideja započeti.

wireless-security-4

Ograničite odlazni promet. Kao što je gore spomenuto, obično ne volim uređaje koji telefoniraju kod kuće. Ako imate ove vrste uređaja, razmislite o tome da blokirate sav internetski promet s njih.

Onemogućite neiskorištene mrežne usluge, posebno uPnP. Općenito je poznata ranjivost korištenja uPnP usluge. Ostale usluge koje su vjerojatno nepotrebne: Telnet, FTP, SMB (Samba / dijeljenje datoteka), TFTP, IPv6

Odjavite se sa stranice administratora kada završite , Samo zatvaranje web stranice bez odjave može ostaviti provjerenu sjednicu otvorenom u usmjerivaču.

Provjerite ranjivost porta 32764 , Koliko znam, pogođeni su neki usmjerivači proizvedeni od strane Linksys (Cisco), Netgear i Diamond, ali mogu biti i drugi. Objavljen je noviji firmware, ali možda neće u potpunosti zakrpati sustav.

Provjerite svoj usmjerivač na: https://www.grc.com/x/portprobe=32764

Uključite evidentiranje , Redovito tražite sumnjive aktivnosti u svojim zapisnicima. Većina usmjerivača ima mogućnost da vam u postavljenim intervalima šalje zapisnike. Pazite da su sat i vremenska zona ispravno postavljeni tako da su vaši zapisnici točni.

Za doista svjesne sigurnosti (ili možda samo paranoične), dodatni su koraci koje treba razmotriti

Promijenite korisničko ime administratora , Svi znaju da je zadana postavka obično admin.

Postavljanje mreže 'gostiju' , Mnogi noviji usmjerivači mogu stvoriti zasebne bežične mreže za goste. Osigurajte da on ima pristup samo internetu, a ne vašoj LAN (intranetu). Naravno, koristite istu metodu šifriranja (WPA2-Personal) s različitom zaporkom.

Nemojte spajati USB memoriju na usmjerivač , To automatski omogućava mnoge usluge na vašem usmjerivaču i može izložiti sadržaj tog pogona internetu.

Koristite zamjenskog davatelja usluga DNS-a , Vjerojatno koristite bilo koje DNS postavke koje vam je dao davatelj internetskih usluga. DNS sve više postaje meta napada. Postoje davatelji DNS-a koji su poduzeli dodatne korake da osiguraju svoje poslužitelje. Kao dodatni bonus, drugi DNS dobavljač može povećati vaše internetske performanse.

Promijenite zadani raspon IP adresa na vašoj LAN (unutar) mreži , Svaki usmjerivač prema ocjeni potrošača koji koristi 192.168.1.x ili 192.168.0.x olakšava skriptu automatiziranog napada.
Dostupni rasponi su:
Bilo koji 10.x.x.x
Bilo koji 192.168.x.x
172.16.x.x do 172.31.x.x

Promijenite zadanu LAN adresu usmjerivača , Ako netko dobije pristup vašoj LAN mreži, zna da je IP adresa usmjerivača x.x.x.1 ili x.x.x.254; nemoj im olakšati

wireless-security-5

Onemogućite ili ograničite DHCP , Isključivanje DHCP-a obično nije praktično osim ako ste u vrlo statičnom mrežnom okruženju. Radije bih ograničio DHCP na 10-20 IP adresa počevši od x.x.x.101; ovo olakšava praćenje onoga što se događa na vašoj mreži. Radije stavljam svoje 'stalne' uređaje (radne površine, pisače, NAS, itd.) Na statičke IP adrese. Tako DHCP koriste samo prijenosna računala, tableti, telefoni i gosti.

wireless-security-6

Onemogući administratorski pristup s bežične mreže , Ova funkcija nije dostupna na svim kućnim usmjerivačima.

Onemogući SSID emitiranje , Ovo profesionalcu nije teško svladati i može mu olakšati posjetitelje na vašoj WiFi mreži.

Koristite MAC filtriranje , Isto kao što je gore; nezgodan za posjetitelje.

Neke od ovih stavki spadaju u kategoriju „Sigurnost zbog nesvjestice“, a mnogi IT i sigurnosni profesionalci se rugaju njima, rekavši da nisu sigurnosne mjere. Na neki način su apsolutno ispravni. Međutim, ako postoje koraci koje možete poduzeti kako biste otežali kompromitiranje svoje mreže, mislim da je vrijedno razmisliti.

Dobra sigurnost nije 'postavite je i zaboravite'. Svi smo čuli za brojna kršenja sigurnosti u nekim od najvećih tvrtki. Za mene stvarno iritantan dio je kada ste ovdje bili ugroženi 3, 6, 12 mjeseci ili više prije nego što su otkriveni.

Odvojite vrijeme za pregled vaših zapisa. Skenirajte mrežu tražeći neočekivane uređaje i veze.

Ispod je mjerodavna referenca: