noderīgi raksti

Vissvarīgākie drošības iestatījumi, kas jāmaina maršrutētājā

Jūsu maršrutētājs ir pirmā aizsardzības līnija pret hakeriem, kuri mēģina piekļūt visām ar internetu savienotajām ierīcēm jūsu mājās. Diemžēl daudzus no labākajiem Wi-Fi maršrutētājiem ir viegli uzlauzt. Jums vajadzētu uztraukties un pārliecināties arī, vai maršrutētājs ir pareizi iestatīts.

Mēs jau runājām par pamata iestatījumiem, kas jums būtu jāmaina maršrutētājā jau iepriekš - un šīs lietas joprojām ir spēkā.

Atgādinājums:

  • Mainiet noklusējuma administratora paroli un lietotājvārdu, ja iespējams
  • Mainiet SSID (vai bezvadu tīkla nosaukumu), lai jūsu ierīces ne vienmēr pieņem savienojumus ar līdzīgi nosauktiem tīkliem (piemēram, "linksys"), kā arī tāpēc, lai hakeriem nebūtu vairāk norādes par maršrutētāja modeli (piemēram, “ linksys ")
  • Iestatiet bezvadu drošības režīmu uz WPA2 un izvēlieties tam labu, garu paroli

Cerams, ka šīs drošības izmaiņas jau esat veicis. Neraugoties uz šiem pamatiem, ir arī citas lietas, ko varat darīt, lai bloķētu tīkla drošību šajos arvien uzlauztajos laikos.

Instalējiet DD-WRT vai Tomato, ja jūsu maršrutētājs to atbalsta

Papildus maršrutētāja uzlādēšanai ar papildu funkcijām, atvērtā koda maršrutētāja programmaparatūra DD-WRT un Tomato, iespējams, ir arī drošāka nekā krājuma programmaparatūra, kas nāk ar jūsu maršrutētāju. DD-WRT un Tomato parasti nav tik jutīgi pret daudzu maršrutētāju atklātajām ievainojamībām, piemēram, arvien populārākā problēma ar WPS (Wi-Fi aizsargāta iestatīšana). Viņi arī tiek regulāri atjaunināti, piedāvā vairāk drošības iespēju (piemēram, uzlabota reģistrēšana vai DNS šifrēšana ar DNSCrypt) un sniedz jums lielāku kontroli pār aparatūru. Drošības eksperts Braiens Krebs saka:

Lielākā daļa maršrutētāju programmaparatūras ir diezgan netīri un bez kauliem, vai arī tajās ir nedokumentētas "funkcijas" vai ierobežojumi.

Parasti, kad runa ir par maršrutētāja programmaparatūras jaunināšanu, es mēdzu virzīt cilvēkus prom no ražotāja programmaparatūras uz alternatīvām, atvērtā koda alternatīvām, piemēram, DD-WRT vai Tomato. Es jau sen esmu paļāvies uz DD-WRT, jo tas nāk ar visiem zvaniem, svilpieniem un opcijām, kuras jūs kādreiz varētu vēlēties maršrutētāja programmaparatūrā, taču tas parasti saglabā šīs funkcijas pēc noklusējuma izslēgtas, ja vien jūs tās neieslēdzat.

Pārbaudiet DD-WRT un Tomato atbalstīto ierīču lapas, lai redzētu, vai tās jums noderēs. Tomāti ir draudzīgāki lietotājam, bet DD-WRT ir aprīkoti ar vairāk iestatījumiem.

Regulāri atjauniniet savu programmaparatūru

Neatkarīgi no tā, vai izmantojat akciju programmaparatūru vai trešās puses programmatūru, ir svarīgi pastāvīgi atjaunināt savu programmaparatūru, jo visu laiku tiek atklātas jaunas ievainojamības (piemēram, Linksys kļūda, kas attāliem lietotājiem ļāva piekļūt administrācijas konsolei, neveicot piesakieties vai dažos populāros maršrutētājos iebūvēta siena).

Faktiskās programmaparatūras atjaunināšanas darbības var atšķirties atkarībā no maršrutētāja, taču lielākā daļa ļaus jums pārbaudīt, vai maršrutētāja vadības panelī nav jauna programmaparatūra. Pārlūkprogrammā ievadiet maršrutētāja IP adresi, piesakieties un pēc tam apskatiet sadaļu Papildu iestatījumi vai administrēšana. Varat arī pārbaudīt maršrutētāja ražotāja vietni vietnē, lai uzzinātu, vai ir pieejama jauna programmaparatūra.

Daži maršrutētāji piedāvā arī iespēju automātiski atjaunināt uz jaunāko programmaparatūru, taču jūs varētu vēlēties pārbaudīt atjauninājumu piedāvātos un instalēt tos manuāli.

Izslēdziet attālo administrēšanu

Daudzos maršrutētājos tas jau ir izslēgts pēc noklusējuma, taču, tikai gadījumā, pārbaudiet, vai ir atspējota attālā administrēšana (saukta arī par attālo pārvaldību vai iespējot Web piekļuvi no WAN). Attālā administrēšana ļauj piekļūt maršrutētāja vadības panelim ārpus mājas tīkla, lai jūs varētu uzzināt, kāpēc tā būtu problēma. Šis iestatījums, iespējams, atrodas jūsu uzlabotajā vai administrēšanas sadaļā.

Atspējot UPnP

UPnP jeb Universal Plug and Play ir izveidots, lai maršrutētājs varētu vieglāk atklāt tīkla ierīces. Diemžēl šajā protokolā ir arī nopietni drošības trūkumi, ar kļūdām un sliktu UPnP ieviešanu, kas ietekmē miljoniem tiešsaistē savienotu ierīču. Lielākā problēma ir tā, ka UPnP nav nekāda veida autentifikācijas (tā katru ierīci un lietotāju uzskata par uzticamu). How-To Geek izskaidro dažas problēmas, kas saistītas ar UPnP, ja tā ir iespējota maršrutētājā, ieskaitot ļaunprātīgu programmu iespēju novirzīt trafiku uz dažādām IP adresēm ārpus vietējā tīkla.

GRC UPnP tests var noteikt, vai jūsu ierīces ir nedrošas un pakļautas publiskajam internetam, un tādā gadījumā jums tās ir jāatvieno. (Piezīme: noklikšķiniet uz sarkanās lentes lapas augšējā labajā stūrī, lai palaistu faktisko testu; lapa, kurā jūs novirzāties, izmantojot šo saiti, ir tikai piemērs.)

Lai izslēgtu UPnP maršrutētājā, dodieties uz vadības konsoli un meklējiet UPnP iestatījumu (daudzos maršrutētājos tas atrodas administrācijas sadaļā). Atspējojiet arī opciju “Ļaut lietotājam konfigurēt UPnP”, ja tāda ir pieejama. Ņemiet vērā, ka tas neietekmē jūsu spēju, teiksim, straumēt videoklipus tīklā, izmantojot UPnP - tas ietekmē tikai lietas, kas nav jūsu tīklā. Tas nozīmē, ka jums, iespējams, būs manuāli jāiestata portu pāradresācija, lai tādas lietas kā BitTorrent darbotos optimāli.

Citi iestatījumi, kas, iespējams, nav nepatikšanas vērti

Jūs, iespējams, esat dzirdējis arī par citiem iestatījumiem, piemēram, MAC filtrēšanas ieslēgšanu vai tīkla SSID paslēpšanu, taču, ņemot vērā visas grūtības, tie nepievieno lielu drošību.

SSID slēpšana

No pirmā acu uzmetiena maršrutētāja SSID slēpšana izklausās laba ideja, taču tā faktiski var būt jūsu drošība. Wi-Fi drošības eksperts Džošua Wright vietnē Tech Republic skaidro:

Jautājums: Džošua, lūdzu, dariet man zināmas savas domas par maršrutētāja SSID apraides atspējošanu.

Džošua Raita: Tā ir slikta ideja. Es zinu, ka PCI specifikācija jums to prasa, un esmu viņiem teicis, ka viņiem šī prasība ir jānoņem no specifikācijas. Iedomājieties, ka esat valdības bāze, un jūs nesakat aģentiem, kur atrodaties. Viņiem jāstaigā un jāturpina jautāt: "Vai jūs esat valdības bāze?" visiem sanāk. Galu galā kāds izveicīgs hakeris vai slikts puisis teiks: "Heck YEAH Es esmu tava bāze, ienāc un nāc man dalīties ar saviem noslēpumiem". Tas būtībā notiek ar SSID maskēšanu, kad jums ir jāprasa katram satiktajam AP, vai ir pieejams vēlamais SSID, ļaujot uzbrucējam uzdoties par jūsu SSID lidostā, kafejnīcā, lidmašīnā utt. Īsāk sakot, don ' t neaptveriet savu SSID, taču nepadariet to par kaut ko līdzīgu “sexyhackertargethere”.

Maršrutētāja SSID slēpšana var kavēt kaimiņus no mēģinājumiem brīvi ielādēt jūsu tīklā, taču tas neaptur spējīgus hakerus un var pat darboties kā skaļa bāka, sakot viņiem: "hei, šeit es cenšos slēpties". Turklāt, ja jūs cenšaties neļaut kaimiņiem no brīvas kravas, pārliecinieties, vai jums ir droša parole.

MAC filtrēšana

Tāpat MAC filtrēšana, kas ierobežo tīkla piekļuvi tikai tām ierīcēm, kuras atļaujat, izklausās lieliski un var nodrošināt papildu aizsardzību pret vidējo bezmaksas pārlādētāju, bet MAC adreses ir viegli sabojāt. Stack Exchange lietotājs sysadmin1138 to apkopo šādi:

Kādam, kurš vēlas tieši jūsu tīklu, šifrēšana (īpaši nesadalīta šifrēšana) nodrošinās ievērojami labāku drošību. Mūsdienās lielākajā daļā adapteru MAC viltošana ir niecīga, un pēc tīkla uzlaušanas līdz vietai, kurā varat novērot paketes lidojumā, varat iegūt derīgu MAC adrešu sarakstu. Arī SSID tajā brīdī ir mazsvarīgs. Pieejamo rīku kopu automatizētā rakstura dēļ MAC filtrēšana un SSID slēpšana vairs nav īsti pūļu vērta. Pēc manām domām.

Tomēr, ja jums nav grūtību, MAC filtrēšanas ieslēgšana nekaitēs. Tikai zināt, ka tas nav spēcīgais drošības elements, kas varētu šķist, un tas ir diezgan apgrūtinoši, ja kādreiz iegūstat jaunu ierīci vai iegūstat draugu nāc ciemos.

Statiskās IP adreses

Visbeidzot, ir vēl viens iestatījums, kuru jūs varētu apsvērt mainīt: DHCP izslēgšana, kas automātiski izsniedz tīkla adreses ierīcēm, kas savieno ar jūsu maršrutētāju. Tā vietā visām ierīcēm varat piešķirt statiskas IP adreses. Teorija ir tāda, ka, ja DHCP ir atspējots, nezināmām mašīnām netiks piešķirta adrese.

Tomēr gan DHCP, gan statiskajiem IP ir riski un negatīvie punkti, kā norāda šī diskusija par Stack Exchage; statiskie IP var būt neaizsargāti pret krāpnieciskiem uzbrukumiem, savukārt ierīces, kuras iegūst IP, izmantojot DHCP, var tikt pakļautas uzbrukumiem cilvēkiem no vidus uz negodīgiem DHCP serveriem. Nav skaidras vienprātības par to, kas ir labāks drošībai (lai gan daži no Microsoft kopienas pārstāvjiem apgalvo, ka tas neko nemaina).

Ja iepriekšējos sadaļās minētie drošības iestatījumi ir nomainīti, atpūtieties mazliet mierīgāk, zinot, ka jūs, visticamāk, darāt visu iespējamo, lai aizsargātu mājas tīklu.