Нет такой вещи как совершенная безопасность. При наличии достаточных знаний, ресурсов и времени любая система может быть взломана. Лучшее, что вы можете сделать, это сделать это как можно сложнее для атакующего. Тем не менее, есть шаги, которые вы можете предпринять, чтобы защитить свою сеть от подавляющего большинства атак.
Конфигурации по умолчанию для того, что я называю маршрутизаторами потребительского уровня, обеспечивают довольно базовую безопасность. Честно говоря, это не займет много, чтобы скомпрометировать их. Когда я устанавливаю новый маршрутизатор (или сбрасываю существующий), я редко использую «мастера настройки». Я прохожу и настраиваю все именно так, как я хочу. Если нет веской причины, я обычно не оставляю ее по умолчанию.
Я не могу сказать вам точные настройки, которые вам нужно изменить. Страница администратора каждого роутера отличается; даже роутер от того же производителя. В зависимости от конкретного маршрутизатора могут быть настройки, которые вы не можете изменить. Для многих из этих настроек вам потребуется доступ к расширенному разделу конфигурации на странице администратора.
Совет : вы можете использовать приложение Android RouterCheck для проверки безопасности вашего маршрутизатора.
Я включил скриншоты Asus RT-AC66U. Это в состоянии по умолчанию.
Обновите свою прошивку. Большинство людей обновляют прошивку при первой установке маршрутизатора, а затем оставляют его в покое. Недавние исследования показали, что 80% из 25 самых продаваемых моделей беспроводных маршрутизаторов имеют уязвимости в безопасности. Затронутые производители включают: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet и другие. Большинство производителей выпускают обновленную прошивку, когда обнаруживаются уязвимости. Установите напоминание в Outlook или в любой системе электронной почты, которую вы используете. Я рекомендую проверять наличие обновлений каждые 3 месяца. Я знаю, это звучит как ежу понятно, но только установить прошивку с сайта производителя.
Также отключите возможность маршрутизатора автоматически проверять наличие обновлений. Я не фанат того, чтобы позволить устройствам звонить домой. Вы не можете контролировать дату отправки. Например, знаете ли вы, что несколько так называемых «умных телевизоров» отправляют информацию обратно своему производителю? Они посылают все ваши привычки просмотра каждый раз, когда вы меняете канал. Если вы подключите к ним USB-накопитель, они отправят список всех имен файлов на диске. Эти данные не зашифрованы и отправляются, даже если для параметра меню установлено значение NO.
Отключить удаленное администрирование. Я понимаю, что некоторые люди должны иметь возможность перенастроить свою сеть удаленно. Если необходимо, по крайней мере, включите доступ https и измените порт по умолчанию. Обратите внимание, что это включает любой тип «облачного» управления, например, учетную запись Smart WiFi от Linksys и AiCloud от Asus.
Используйте надежный пароль для администратора маршрутизатора. Достаточно сказано. Стандартные пароли для маршрутизаторов общеизвестны, и вы не хотите, чтобы кто-то просто попробовал пройти по умолчанию и войти в маршрутизатор.
Включите HTTPS для всех подключений администратора. Это отключено по умолчанию на многих маршрутизаторах.
Ограничить входящий трафик. Я знаю, что это здравый смысл, но иногда люди не понимают последствий определенных настроек. Если вы должны использовать переадресацию портов, будьте очень избирательны. Если возможно, используйте нестандартный порт для настраиваемой службы. Существуют также настройки для фильтрации анонимного интернет-трафика (да) и для пинг-ответа (нет).
Используйте шифрование WPA2 для WiFi. Никогда не используйте WEP. Это может быть сломано в течение нескольких минут с программным обеспечением, свободно доступным в Интернете. WPA не намного лучше.
Отключите WPS (WiFi Protected Setup) . Я понимаю удобство использования WPS, но начинать было плохой идеей.
Ограничить исходящий трафик. Как упомянуто выше, я обычно не люблю устройства, которые звонят домой. Если у вас есть эти типы устройств, рассмотрите возможность блокировки от них всего интернет-трафика.
Отключите неиспользуемые сетевые сервисы, особенно uPnP. Существует широко известная уязвимость при использовании сервиса uPnP. Другие службы, вероятно, не нужны: Telnet, FTP, SMB (Samba / совместное использование файлов), TFTP, IPv6
Выйдите из страницы администратора, когда закончите . Простое закрытие веб-страницы без выхода из системы может оставить открытую аутентифицированную сессию в маршрутизаторе.
Проверьте на порт 32764 уязвимости . Насколько мне известно, некоторые маршрутизаторы, произведенные Linksys (Cisco), Netgear и Diamond, затронуты, но могут быть и другие. Была выпущена более новая прошивка, но она может не полностью исправить систему.
Проверьте свой маршрутизатор по адресу: //www.grc.com/x/portprobe=32764
Включите ведение журнала . Ищите подозрительную активность в своих журналах на регулярной основе. Большинство маршрутизаторов имеют возможность отправлять журналы по электронной почте с заданными интервалами. Также убедитесь, что часы и часовой пояс установлены правильно, чтобы ваши журналы были точными.
Для по-настоящему заботящихся о безопасности (или, может быть, просто параноиков), следующие дополнительные шаги, чтобы рассмотреть
Измените имя пользователя администратора . Все знают, что по умолчанию обычно используется admin.
Настройте гостевую сеть . Многие новые маршрутизаторы способны создавать отдельные беспроводные гостевые сети. Убедитесь, что он имеет доступ только к Интернету, а не к вашей локальной сети (интрасети). Конечно, используйте тот же метод шифрования (WPA2-Personal) с другой парольной фразой.
Не подключайте USB-накопитель к вашему роутеру . Это автоматически активирует многие службы на вашем маршрутизаторе и может открывать содержимое этого диска в Интернете.
Используйте альтернативного DNS-провайдера . Скорее всего, вы используете любые настройки DNS, которые вам дал ваш провайдер. DNS все чаще становится мишенью для атак. Есть провайдеры DNS, которые предприняли дополнительные шаги для защиты своих серверов. В качестве дополнительного бонуса другой DNS-провайдер может повысить производительность вашего интернета.
Измените диапазон IP-адресов по умолчанию в локальной сети (внутри) . Каждый маршрутизатор потребительского уровня, который я видел, использует 192.168.1.x или 192.168.0.x, чтобы упростить сценарий автоматической атаки.
Доступные диапазоны:
Любой 10.xxx
Любой 192.168.xx
172.16.xx до 172.31.xx
Измените адрес локальной сети маршрутизатора по умолчанию . Если кто-то получает доступ к вашей локальной сети, он знает, что IP-адрес маршрутизатора - xxx1 или xxx254; не делай это легким для них.
Отключить или ограничить DHCP . Отключение DHCP обычно нецелесообразно, если вы не находитесь в очень статичной сетевой среде. Я предпочитаю ограничить DHCP до 10-20 IP-адресов, начиная с xxx101; это облегчает отслеживание того, что происходит в вашей сети. Я предпочитаю размещать свои «постоянные» устройства (настольные компьютеры, принтеры, NAS и т. Д.) На статических IP-адресах. Таким образом, только ноутбуки, планшеты, телефоны и гости используют DHCP.
Отключить доступ администратора от беспроводной сети . Эта функция доступна не на всех домашних маршрутизаторах.
Отключить трансляцию SSID . Преодолеть это несложно для профессионала, и это может затруднить посещение вашей WiFi-сети.
Используйте фильтрацию MAC . То же, что и выше; неудобно для посетителей.
Некоторые из этих предметов попадают в категорию «Безопасность от неясности», и многие специалисты в области ИТ и безопасности смеются над ними, говоря, что они не являются мерами безопасности. В каком-то смысле они абсолютно правильны. Тем не менее, если есть шаги, которые вы можете предпринять, чтобы сделать вашу сеть более сложной для компрометации, я думаю, стоит подумать.
Хорошая безопасность - это не «установи и забудь». Мы все слышали о многочисленных нарушениях безопасности в некоторых крупнейших компаниях. Для меня действительно раздражающая часть - когда вы здесь, они были скомпрометированы за 3, 6, 12 месяцев или более, прежде чем это было обнаружено.
Потратьте время, чтобы просмотреть ваши журналы. Сканирование вашей сети в поисках неожиданных устройств и подключений.
Ниже авторитетная ссылка:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
