Не існує такого поняття, як ідеальна безпека. Враховуючи достатньо знань, ресурсів та часу, будь-яка система може бути поставлена під загрозу. Найкраще, що ви можете зробити, це зробити так, щоб нападнику було важче. Це означає, що є кілька кроків, які ви можете вжити, щоб посилити свою мережу проти переважної більшості атак.
Конфігурації за замовчуванням для маршрутизаторів, які я називаю споживачами, пропонують досить базову безпеку. Якщо чесно, то для їх компрометації не потрібно багато. Коли я встановлюю новий маршрутизатор (або скидаю існуючий), я рідко використовую "майстри налаштування". Я проходжу і конфігурую все саме так, як я цього хочу. Якщо немає вагомих причин, я зазвичай не залишаю це за замовчуванням.
Я не можу сказати точні настройки, які потрібно змінити. Кожна сторінка адміністратора маршрутизатора різна; рівномірний роутер від того ж виробника. Залежно від конкретного маршрутизатора, можуть бути налаштування, які ви не можете змінити. Для багатьох із цих параметрів вам потрібно буде отримати доступ до розширеного розділу конфігурації сторінки адміністратора.
Порада : ви можете використовувати додаток Android RouterCheck для перевірки безпеки маршрутизатора.
Я включив скріншоти Asus RT-AC66U. Він знаходиться в стані за замовчуванням.
Оновіть прошивку. Більшість людей оновлюють прошивку, коли спочатку встановлюють роутер, а потім залишають його в спокої. Недавні дослідження показали, що 80% з 25 найпопулярніших моделей бездротових маршрутизаторів мають вразливі місця безпеки. Постраждалі виробники включають: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet та інші. Більшість виробників випускають оновлені вбудовані програми, коли виявляються вразливості. Встановіть нагадування в Outlook або будь-якій системі електронної пошти, яку ви використовуєте. Я рекомендую перевіряти оновлення кожні 3 місяці. Я знаю, що це звучить як непродуманий, але встановлюйте лише прошивку з веб-сайту виробника.
Також відключіть можливість маршрутизатора автоматично перевіряти наявність оновлень. Я не прихильник дозволяти пристроям "телефонувати додому". Ви не маєте контролю над тим, яка дата надсилається. Наприклад, чи знали ви, що кілька так званих "розумних телевізорів" надсилають інформацію своєму виробнику? Вони надсилають усі ваші звички перегляду щоразу, коли ви змінюєте канал. Якщо ви підключите до них USB-накопичувач, вони надсилають список усіх назв файлів на диску. Ці дані незашифровані і надсилаються, навіть якщо для меню встановлено значення НІ.
Вимкнути віддалене адміністрування. Я розумію, що деяким людям потрібно мати можливість дистанційно налаштувати свою мережу. Якщо вам потрібно, принаймні увімкніть доступ https та змініть порт за замовчуванням. Зауважте, що це включає будь-який тип керованого на основі хмари управління, наприклад обліковий запис Smartys Wi-Fi у Linkys та AusCloud Asus.
Використовуйте надійний пароль для адміністратора маршрутизатора. Достатньо сказано. Паролі за маршрутизаторами за замовчуванням є загальновідомим, і ви не хочете, щоб хтось просто спробував пройти за замовчуванням і ввійти в маршрутизатор.
Увімкніть HTTPS для всіх підключень адміністратора. Це вимкнено за замовчуванням на багатьох маршрутизаторах.
Обмежити вхідний трафік. Я знаю, що це здоровий глузд, але іноді люди не розуміють наслідків певних умов. Якщо вам потрібно використовувати переадресацію портів, будьте дуже вибіркові. Якщо можливо, використовуйте нестандартний порт для послуги, яку ви налаштовуєте. Також є налаштування для фільтрації анонімного інтернет-трафіку (так) та для відповіді ping (ні).
Використовуйте шифрування WPA2 для WiFi. Ніколи не використовуйте WEP. Його можна зламати за лічені хвилини за допомогою програмного забезпечення, вільно доступного в Інтернеті. WPA не набагато краща.
Вимкніть WPS (захищена настройка Wi-Fi) . Я розумію зручність використання WPS, але починати було погано.
Обмежити вихідний трафік. Як згадувалося вище, я зазвичай не люблю пристрої, в яких є телефон додому. Якщо у вас є такі типи пристроїв, спробуйте заблокувати з них весь інтернет-трафік.
Вимкнути невикористані мережеві послуги, особливо uPnP. Широко відома вразливість при використанні послуги uPnP. Інші послуги, ймовірно, непотрібні: Telnet, FTP, SMB (Samba / обмін файлами), TFTP, IPv6
Вийдіть із сторінки адміністратора, коли закінчите . Тільки закриття веб-сторінки без виходу з системи може залишити аутентифікований сеанс відкритим у маршрутизаторі.
Перевірте наявність вразливості порту 32764 . Наскільки мені відомо, деякі маршрутизатори, які виробляються Linksys (Cisco), Netgear і Diamond, постраждали, але можуть бути й інші. Була випущена новіша прошивка, але вона не може повністю виправити систему.
Перевірте свій маршрутизатор за адресою: //www.grc.com/x/portprobe=32764
Увімкніть ведення журналу . Регулярно шукайте підозрілу активність у своїх журналах. Більшість маршрутизаторів мають можливість надсилати журнали вам через встановлені інтервали. Також переконайтесь, що годинник та часовий пояс встановлені правильно, щоб ваші журнали були точними.
Нижче описані додаткові кроки для дійсно усвідомленої безпеки (або, можливо, просто параноїдальної)
Змініть ім'я користувача адміністратора . Всім відомо, що за замовчуванням зазвичай є адміністратор.
Налаштування мережі "Гість" . Багато нових маршрутизаторів здатні створювати окремі бездротові гостьові мережі. Переконайтесь, що у нього є лише доступ до Інтернету, а не до вашої локальної мережі (інтранет). Звичайно, використовуйте той самий метод шифрування (WPA2-Personal) з іншою парольною фразою.
Не підключайте USB-накопичувач до маршрутизатора . Це автоматично вмикає багато сервісів на вашому маршрутизаторі і може відкрити вміст цього диска в Інтернеті.
Використовуйте альтернативного постачальника DNS . Цілком ймовірно, що ви використовуєте будь-які настройки DNS, які вам надав ваш провайдер. DNS все більше стає мішенню для атак. Є постачальники DNS, які зробили додаткові кроки для захисту своїх серверів. В якості додаткового бонусу інший постачальник DNS може підвищити вашу продуктивність в Інтернеті.
Змініть діапазон IP-адрес за замовчуванням у вашій локальній мережі (всередині) . Кожен маршрутизатор класу споживача використовує або 192.168.1.x, або 192.168.0.x, що полегшує сценарій автоматизованої атаки.
Доступні діапазони:
Будь-який 10.xxx
Будь-яка 192.168.xx
172.16.xx до 172.31.xx
Змініть локальну адресу маршрутизатора за замовчуванням . Якщо хтось отримує доступ до вашої локальної мережі, він знає, що IP-адреса маршрутизатора - xxx1 або xxx254; не полегшити їх.
Вимкнути або обмежити DHCP . Відключення DHCP зазвичай не практичне, якщо ви не перебуваєте у дуже статичному мережевому середовищі. Я вважаю за краще обмежити DHCP до 10-20 IP-адрес, починаючи з xxx101; це полегшує відстеження того, що відбувається у вашій мережі. Я вважаю за краще розміщувати свої "постійні" пристрої (настільні комп’ютери, принтери, NAS тощо) на статичних IP-адресах. Таким чином DHCP використовують лише ноутбуки, планшети, телефони та гості.
Вимкнути доступ адміністратора від бездротового зв’язку . Ця функціональність доступна не на всіх домашніх маршрутизаторах.
Вимкнути трансляцію SSID . Професіоналу це не складно подолати, і це може заподіяти біль, щоб відвідувачі могли перешкоджати вашій мережі WiFi.
Використовуйте фільтрацію MAC . Так само, як вище; незручний для відвідувачів.
Деякі з цих предметів відносяться до категорії "Безпека від неприйняття безпеки", і багато фахівців з ІТ та безпеки, які знущаються над ними, говорять, що це не заходи безпеки. Певним чином вони абсолютно коректні. Однак якщо є кроки, які можна зробити, щоб ускладнити компроміс із вашою мережею, я думаю, що варто задуматися.
Хороша безпека - це не «встановити її і забути». Ми всі чули про безліч порушень безпеки в деяких найбільших компаніях. Для мене дійсно дратує частина, коли ви тут були піддані компромету протягом 3, 6, 12 місяців і більше, перш ніж її виявили.
Знайдіть час для перегляду своїх журналів. Скануйте свою мережу, шукаючи несподівані пристрої та з'єднання.
Нижче наведена авторитетна довідка:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
