Der er ikke sådan noget som en perfekt sikkerhed. Givet tilstrækkelig viden, ressourcer, tid og ethvert system kan være kompromitteret. Det bedste du kan gøre er at gøre det så svært for en angriber som muligt. At sagde, at der er trin, du kan tage for at styrke dit netværk mod langt de fleste angreb.
Standard konfigurationer for, hvad jeg kalder forbruger-grade-routere, der tilbyder temmelig grundlæggende sikkerhed. For at være ærlig, er det ikke tager meget at kompromittere dem. Når jeg installerer en ny router (eller nulstille en eksisterende), jeg sjældent bruger “setup guider’. Jeg går igennem og konfigurere alt præcis, hvordan jeg vil have det. Medmindre der er en god grund til, at jeg normalt ikke lade det være som standard.
Jeg kan ikke fortælle dig præcis de indstillinger, du skal ændre. Hver routerens admin-side er forskellige, selv router fra samme producent. Afhængigt af den specifikke router, kan der være indstillinger, du ikke kan ændre. For mange af disse indstillinger, vil du nødt til at få adgang til de avancerede konfiguration af admin side.
Jeg har inkluderet screenshots af en Asus RT-AC66U. Det er i standardtilstand.
Opdatere din firmware. De fleste mennesker opdatere firmware, når de først installerer routeren, og derefter overlade det alene. Nyere forskning har vist, at 80% af de 25 mest solgte trådløse router modeller har sikkerhedsproblemer. Berørte producenter inkluderer: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, og andre. De fleste producenter frigive opdaterede firmware, når sårbarheder er bragt frem i lyset. Indstille en påmindelse i Outlook eller hvad e-mail-system, du bruger. Jeg anbefaler at kontrollere for opdateringer hver 3 måneder. Jeg ved, at dette lyder som en no-brainer, men kun installere firmware fra producentens hjemmeside.
Også deaktivere routeren ‘ s evne til automatisk at søge efter opdateringer. Jeg er ikke en fan af at lade enheder ‘ringer hjem’. Du har ingen kontrol over, hvad dato er sendt. For eksempel, du vidste, at flere såkaldte “Smart Tv’ sende oplysninger tilbage til producenten? De sender alle dine tv-vaner, hver gang du skifter kanal. Hvis du tilslutter et USB-drev til dem, de sender en liste af hvert filnavn på drevet. Disse data er krypteret og sendes selv om menuindstilling er indstillet til NEJ.
Slå remote administration. Jeg forstår, at nogle mennesker har brug for at være i stand til at omlægge deres netværk på afstand. Hvis du er nødt til i det mindste aktivere https-adgang og ændre standard port. Bemærk at dette omfatter enhver type af “cloud” baseret ledelse, som Linksys’ Smart WiFi-Konto, og Asus’ AiCloud.
Bruge en stærk adgangskode for routeren admin. Nok sagt.
Aktiver HTTPS – for alle admin-forbindelser. Dette er som standard deaktiveret på mange routere.
Begrænse indgående trafik. Jeg ved, at dette er sund fornuft, men nogle gange er folk ikke forstår konsekvenserne af bestemte indstillinger. Hvis du skal bruge port forwarding, være meget selektiv. Hvis det er muligt, at bruge en ikke-standard port til den tjeneste, du konfigurerer. Der er også indstillinger for filtrering anonym trafik på internettet (ja), og for ping svar (no).
Brug WPA2 kryptering for WiFi. Aldrig bruge WEP. Det kan blive brudt inden for få minutter med software, der er frit tilgængelige på internettet. WPA er ikke meget bedre.
Sluk WPS (WiFi Protected Setup). Jeg forstår det praktiske ved at bruge WPS, men det var en dårlig idé at begynde.
Begræns udgående trafik. Som nævnt ovenfor, er jeg normalt ikke kan lide enheder, som telefonen hjem. Hvis du har disse typer af enheder, kan du overveje at blokere al trafik på internettet fra dem.
Deaktivere ubrugte netværkstjenester, især uPnP. Der er en kendt sårbarhed, når du bruger uPnP-tjenesten. Andre tjenester formentlig unødvendig: Telnet, FTP, SMB (Samba/fildeling), TFTP, IPv6
Log ud fra admin side, når du er færdig. Bare lukning af web-siden uden at logge ud, kan efterlade en godkendt session åben i routeren.
Ind til port 32764 sårbarhed. Til min viden på nogle routere, der produceres af Linksys (Cisco), Netgear, og Diamant er berørt, men der kan være andre. Nyere firmware blev udgivet, men kan ikke fuldt ud patch-systemet.
Tjek din router på: https://www.grc.com/x/portprobe=32764
Aktivere logføring. Se for mistænkelig aktivitet på din logger på en regelmæssig basis. De fleste routere har mulighed for at maile den logs til dig, med faste intervaller. Sørg også for, at uret og tidszone er indstillet korrekt, så dine logs er nøjagtige.
For virkelig sikkerhed-bevidste (eller måske bare paranoid), det følgende er yderligere skridt til at overveje,
Ændre admin brugernavn. Alle kender den standard er normalt admin.
Oprette en ‘Gæst’ netværk. Mange nyere routere er i stand til at skabe en separat trådløst gæst netværk. Sikre, at det kun har adgang til internettet, og ikke dit LAN-netværk (intranet). Selvfølgelig bruge samme krypteringsmetode (WPA2-personal (Personlig) med en anden kode.
Tilslut ikke USB-lager til din router. Dette aktiverer automatisk mange tjenester på din router, og kan afsløre indholdet af dette drev til internettet.
Bruge en alternativ DNS-udbyder. Chancerne er, du bruger, uanset DNS-indstillinger i din INTERNETUDBYDER har givet dig. DNS er i stigende grad blevet et mål for angreb. Der er DNS-udbydere, der har taget yderligere skridt til at sikre deres servere. Som en ekstra bonus, en anden DNS-udbyder, kan det øge dine internet-ydelse.
Ændre standard-IP-adresse-området på din LAN (inde) netværk. Hver forbruger-grade-router, jeg har set, bruger enten 192.168.1.x eller 192.168.0.x at gøre det lettere at scriptet en automatiseret angreb.
Til rådighed intervaller er:
10.x.x.x
Enhver 192.168.x.x
172.16.x.x til 172.31.x.x
Ændre routerens standard INTERNET-adresse. Hvis en person ikke kan få adgang til dit LAN, de ved, at routerens IP-adresse er enten x.x.x.1 eller x.x.x.254; gør det ikke nemt for dem.
Deaktivere eller begrænse DHCP. Deaktivering af DHCP er som regel ikke praktisk, medmindre du er i en meget statisk netværk miljø. Jeg foretrækker at begrænse DHCP til 10-20 IP-adresser, der starter ved x.x.x.101; dette gør det nemmere at holde styr på, hvad der sker på dit netværk. Jeg foretrækker at lægge mine ‘permanent’ enheder (pc ‘ er, printere, NAS, osv.) på statiske IP-adresser. På den måde kun bærbare computere, tablets, telefoner, og gæsterne er ved brug af DHCP.
Deaktiver admin adgang fra wireless. Denne funktionalitet er ikke tilgængelig på alle hjemme-routere.
Deaktiver SSID broadcast. Det er ikke svært for en professionel til at overvinde og kan gøre det en smerte at give de besøgende på dit WiFi-netværk.
Brug MAC-filtrering. Samme som ovenfor; generende for besøgende.
Nogle af disse elementer, der falder ind under kategorien “Sikkerhed ved Ubemærkethed’, og der er mange IT-og security-folk, der håner dem, som siger, at de ikke er sikkerheds-foranstaltninger. På en måde, de er helt korrekte. Men, hvis der er trin, du kan tage for at gøre det mere vanskeligt at kompromittere dit netværk, jeg tror, det er værd at overveje.
God sikkerhed er ikke “sæt det og glemme det”. Vi har alle hørt om de mange brud på sikkerheden på nogle af de største virksomheder. For mig, er det virkelig irriterende er, når du er her, de havde været i fare for 3, 6, 12 måneder eller mere, før det blev opdaget.
Tag dig tid til at se gennem dine logfiler. Scan dit netværk på udkig efter uventet enheder og forbindelser. Hvis du ønsker en hurtig og nem måde at se hvad der er på dit netværk, Fing er en handy app, der findes til IOS, Android, Windows, Mac osv. http://www.overlooksoft.com/fing
Nedenfor er nogle autoritative henvisninger:
- NSA – https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_BestPracticesForKeepingYourHomeNetworkSecure.pdf
- US-CERT – https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf