koristni članki

Najpomembnejše varnostne nastavitve, ki jih želite spremeniti na svojem usmerjevalniku

Vaš usmerjevalnik je prva obramba pred hekerji, ki poskušajo dostopati do vseh internetnih naprav v vašem domu. Na žalost je veliko vrhunskih usmerjevalnikov Wi-Fi enostavno s krampami. Morali bi biti zaskrbljeni - in poskrbite tudi za pravilno nastavitev usmerjevalnika.

Govorili smo o osnovnih nastavitvah, ki jih morate spremeniti na usmerjevalniku že prej - in te stvari še vedno veljajo.

Če želite povzet:

  • Spremenite privzeto skrbniško geslo - in uporabniško ime, če je mogoče
  • Spremenite SSID (ali ime vašega brezžičnega omrežja), tako da vaše naprave ne bodo vedno sprejemale povezav do podobno imenovanih omrežij (npr. "Linkys") in tudi, da hekerjem ne boste dali več pojma na vaš model usmerjevalnika (npr. " linkys ")
  • Varnostni način brezžičnega omrežja nastavite na WPA2 in zanj izberite dobro, dolgo geslo

Upajmo, da ste že izvedli te varnostne spremembe. Vendar pa poleg teh osnov lahko v teh vse bolj hakiranih časih storite še več stvari, da zaklenite varnost omrežja.

Namestite DD-WRT ali Tomato, če vaš usmerjevalnik to podpira

Poleg polnjenja vašega usmerjevalnika z dodatnimi funkcijami sta odprtokodna programska oprema usmerjevalnika DD-WRT in Tomato verjetno bolj varna kot programska oprema, ki je priložena vašemu usmerjevalniku. DD-WRT in Tomato ponavadi nista tako dovzetna za ranljivosti, ki jih najdemo v številnih usmerjevalnikih, kot je na primer vedno priljubljena težava z WPS (Wi-Fi Protected Setup). Prav tako se redno posodabljajo, ponujajo več varnostnih možnosti (na primer napredno beleženje ali šifriranje DNS z DNSCryptom) in vam omogočajo večji nadzor nad strojno opremo. Strokovnjak za varnost Brian Krebs pravi:

Večina programske opreme usmerjevalnika zalog je precej okorna in brez težav, ali pa vključuje nedokumentirane "funkcije" ali omejitve.

Običajno, ko gre za nadgradnjo vdelane programske opreme usmerjevalnika, ponavadi ljudi usmerjam stran od proizvajalčeve vdelane programske opreme v nadomestne, odprtokodne alternative, kot sta DD-WRT ali Tomato. Dolgo sem se zanašal na DD-WRT, saj ima priložene vse zvončke, piščalke in možnosti, ki bi jih lahko kdaj želeli pri vdelani programski opremi usmerjevalnika, vendar na splošno te funkcije ostanejo privzeto izklopljene, razen če jih vklopite.

Oglejte si strani podprtih naprav za DD-WRT in Tomato in preverite, ali bodo delovale za vas. Paradižnik je bolj uporabniku prijazen, toda DD-WRT je opremljen z več nastavitvami.

Redno posodabljajte vdelano programsko opremo

Ne glede na to, ali uporabljate osnovno programsko opremo ali programsko opremo tretje osebe, je pomembno, da svojo programsko opremo stalno spremljate, saj se ves čas odkrivajo nove ranljivosti (kot hrošče Linksys, ki je oddaljenim uporabnikom omogočil dostop do upravne konzole, ne da bi morali prijavite se ali pa je zaledje vgrajeno v nekaj priljubljenih usmerjevalnikov).

Dejanski koraki za posodobitev strojne programske opreme se lahko razlikujejo glede na usmerjevalnik, vendar bo večina omogočila, da na nadzorni plošči usmerjevalnika preverite, kakšna je nova programska oprema. V brskalnik vnesite IP naslov usmerjevalnika, se prijavite in poglejte v razdelek za napredne nastavitve ali skrbništvo. Lahko pa preverite tudi spletno mesto proizvajalca za podporo usmerjevalnika in preverite, ali je na voljo nova programska oprema.

Nekateri usmerjevalniki ponujajo tudi možnost samodejnega posodabljanja najnovejše programske opreme, vendar boste morda raje preverili, kaj ponujajo posodobitve in jih namestite ročno.

Izklopite oddaljeno administracijo

Na večini usmerjevalnikov je to že privzeto izklopljeno, vendar za vsak primer preverite, ali je upravljanje na daljavo (znano tudi kot oddaljeno upravljanje ali omogoča dostop do spleta iz WAN) onemogočeno. Oddaljena administracija omogoča dostop do nadzorne plošče usmerjevalnika zunaj vašega domačega omrežja - tako lahko vidite, zakaj bi to lahko predstavljalo težavo. Ponovno je ta nastavitev verjetno pod vašim naprednim ali administrativnim razdelkom.

Onemogoči UPnP

UPnP ali Universal Plug and Play je zasnovan tako, da usmerjevalnik lažje odkrije omrežne naprave. Na žalost je ta protokol prepreden z resnimi varnostnimi luknjami, hrošči in slabe izvedbe UPnP pa vplivajo na milijone naprav, povezanih v spletu. Največja težava je, da UPnP nima nobene pristnosti (vsaka naprava in uporabnik menita, da sta zaupanja vredni). Kako naj Geek razloži nekatere težave z UPnP, če je ta omogočen na vašem usmerjevalniku, med drugim tudi možnost, da škodljive aplikacije preusmerijo promet na različne naslove IP zunaj lokalnega omrežja.

GRC-jev UPnP test lahko pove, ali so vaše naprave nevarne in izpostavljene javnemu internetu, zato jih morate izključiti. (Opomba: za izvedbo dejanskega preskusa kliknite rdeči trak v zgornjem desnem kotu strani; stran, na katero pristanete prek te povezave, je samo primer.)

Če želite izklopiti UPnP na usmerjevalniku, pojdite v ukazno konzolo in poiščite nastavitev UPnP (na mnogih usmerjevalnikih je to v razdelku za upravljanje). Prav tako onemogočite možnost »Dovoli uporabniku, da konfigurira UPnP«, če je na voljo. Upoštevajte, da to ne vpliva na vašo sposobnost, da recimo prenašate videoposnetke po vašem omrežju z UPnP - vpliva le na stvari zunaj vašega omrežja. To pomeni, da boste morda morali ročno nastaviti posredovanje vrat, da bodo stvari, kot je BitTorrent, optimalno delovale.

Druge nastavitve, ki verjetno niso vredne težav

Morda ste slišali tudi za druge nastavitve, na primer vklop MAC filtriranja ali skrivanje omrežnega SSID-a, vendar za vse njihove težave ne dodajo veliko varnosti.

Skrivanje SSID

Skrivanje SSID usmerjevalnika na prvi pogled zveni kot dobra ideja, vendar bi to dejansko lahko bila vaša varnost. Strokovnjak za varnost Wi-Fi Joshua Wright razlaga o Tech Republic:

Vprašanje: Joshua, sporočite mi vaše misli o onemogočanju oddajanja SSID usmerjevalnika.

Joshua Wright: To je slaba ideja. Vem, da PCI zahteva, da to storite, in povedal sem jim, da morajo to zahtevo odstraniti iz specifikacije. Predstavljajte si, da ste vladna baza in svojim agentom ne povejte, kje se nahajate. Sprehoditi se morajo in se nenehno spraševati "Ali si vladna baza?" vsem, ki se srečajo. Sčasoma bo kakšen hudobni heker ali slabi fant rekel: "Heck YEAH, jaz sem vaša baza, pridite in delite svoje skrivnosti z mano." To se v bistvu zgodi s skrivanjem SSID-a, kjer morate vprašati vsakega AP-ja, ki ga srečate, če je na voljo njihov želeni SSID, ki napadalcu omogoča, da se predstavi za vaš SSID na letališču, v kavarni, v letalu itd. Skratka, ne ne skrivajte svojega SSID-a, vendar tudi ne naredite svojega SSID-a na primer "sexyhackertargetgethere".

Skrivanje usmerjevalnika SSID lahko prepreči, da bi sosedje poskušali brezplačno naložiti v vaše omrežje, vendar to ne bo ustavilo sposobnih hekerjev in bi lahko celo delovalo kot glasen svetilnik, ki jim reče: "hej, tukaj se poskušam skriti." Če poleg tega poskušate obvarovati svoje sosede pred brezplačnim nalaganjem, se prepričajte, da imate varno geslo.

MAC filtriranje

Podobno je filtriranje MAC, ki omejuje dostop do omrežja samo do dovoljenih naprav, zveni odlično in lahko nudi dodatno zaščito pred vašim povprečnim brezplačnim nakladalcem, vendar je MAC naslove enostavno odkleniti. Uporabnik sistema Stack Exchange sysadmin1138 povzame takole:

Za nekoga, ki posebej želi vaše omrežje, bo šifriranje (še posebej šifriranje brez okvare) zagotovilo bistveno boljšo varnost. Ponarejanje MAC je v današnjem času v večini adapterjev nepomembno, in ko ste mrežo razbili do točke, ko lahko spremljate pakete med letom, lahko dobite seznam veljavnih MAC naslovov. Tudi SSID je nepomemben. Zaradi avtomatiziranega nabora orodij, ki so na voljo, filtriranje MAC in skrivanje SSID v resnici ni več vredno truda. Po mojem mnenju.

Če pa vas ne motijo ​​težave, vklop MAC filtriranja ne bo škodoval. Vedeti morate, da to ni močna zaščitna funkcija - in to je precej težav, če boste kdaj dobili novo napravo ali imeli prijatelja pridite na obisk.

Statični naslovi IP

Končno je na voljo še ena nastavitev, ki jo lahko spremenite: izklop DHCP, ki samodejno preda omrežne naslove napravam, ki se povežejo z usmerjevalnikom. Namesto tega lahko vsem svojim napravam dodelite statične naslove IP. Teorija je, da če je DHCP onemogočen, neznani stroji ne bodo dobili naslova.

Vendar pa tako DHCP kot statični IP-ji predstavljajo tveganja in slabosti, kot opozarja ta razprava o izmenjavi stack; statični IP-ji so lahko ranljivi za napadi ponarejanja, medtem ko so naprave, ki svoje IP-ja dobijo prek DHCP, lahko podvržene napadom človeka v sredini iz ločenih DHCP strežnikov. Ni trdnega soglasja o tem, kaj je boljše za varnost (čeprav nekateri v Microsoftovi skupnosti pravijo, da to ne vpliva).

Če imate varnostne nastavitve, omenjene v zgornjih razdelkih, na miru, počivajte nekoliko mirneje, vedoč, da boste najverjetneje naredili najboljše, da zaščitite domače omrežje.