Non c’è nessuna tale cosa come una perfetta sicurezza. Dato abbastanza conoscenze, di risorse, di tempo e di ogni sistema può essere compromessa. Il meglio che puoi fare è quello di rendere difficile per un attaccante come possibile. Detto questo ci sono passi che si possono adottare per indurire la rete contro la stragrande maggioranza degli attacchi.
Le configurazioni di default per quello che io chiamo consumer-grade router offrono un livello base di sicurezza. Per essere onesti, non ci vuole molto a compromessi. Quando si installa un nuovo router (o il ripristino di un esistente), io uso raramente il ” setup wizard’. Ho passare attraverso e configurare il tutto esattamente come voglio. A meno che non ci sia una buona ragione, io di solito non lasciare come predefinito.
Io non posso dirvi l’esatta impostazioni che è necessario cambiare. Ogni pagina di amministrazione del router è diverso; anche il router dal produttore stesso. A seconda del router specifico, ci possono essere delle impostazioni è possibile modificare. Per molte di queste impostazioni, è necessario accedere alla configurazione avanzata sezione della pagina di amministrazione.
Ho incluso screenshot di un Asus RT-AC66U. È lo stato di default.
Aggiornare il firmware. La maggior parte delle persone aggiornare il firmware quando si installa prima il router e poi lasciarlo da solo. La ricerca recente ha mostrato che l ‘ 80% dei 25 top-vendita wireless router modelli hanno le vulnerabilità di sicurezza. Fabbricanti interessati sono: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, e altri. La maggior parte dei produttori di rilascio dell’aggiornamento del firmware quando le vulnerabilità vengono portate alla luce. Impostare un promemoria in Outlook o qualsiasi sistema di posta elettronica che si usa. Vi consiglio di verificare la disponibilità di aggiornamenti ogni 3 mesi. So che questo suona come un gioco da ragazzi, ma solo installare il firmware dal sito web del produttore.
Inoltre, è possibile disattivare il router è in grado di verificare automaticamente la disponibilità di aggiornamenti. Io non sono un fan di lasciare che i dispositivi di telefono di casa’. Si ha alcun controllo su ciò che oggi viene inviato. Per esempio, sapevate che alcune delle cosiddette ‘Smart Tv’ inviare informazioni del produttore? Essi inviare tutte le tue abitudini di visione ogni volta che si cambia canale. Se si collega un drive USB, si invia un elenco di ogni nome di file sul disco. Questo dato è chiaro e viene inviato anche se il menu è impostata su NO.
Disabilitare la gestione remota. Capisco che alcune persone hanno bisogno di essere in grado di riconfigurare la propria rete in remoto. Se è necessario, almeno per abilitare l’accesso https e cambiare la porta di default. Si noti che questo include qualsiasi tipo di cloud based di gestione, come il Linksys Smart WiFi Account e Asus AiCloud.
Utilizzare una password per il router admin. Ha detto basta.
Abilita HTTPS per tutti admin connessioni. Questo è disattivata per impostazione predefinita su molti router.
Limitare il traffico in entrata. So che questo è il senso comune, ma a volte le persone non capiscono le conseguenze di determinate impostazioni. Se è necessario utilizzare il port forwarding, è necessario essere molto selettivi. Se possibile, utilizzare una porta non standard per il servizio che si sta configurando. Ci sono anche le impostazioni per il filtro di anonimo il traffico internet (sì), e per la risposta al ping (no).
Utilizzare la crittografia WPA2 per il WiFi. Non utilizzare mai WEP. Può essere rotto in pochi minuti con software liberamente disponibili su internet. WPA non è molto meglio.
Disattivare la funzione WPS (WiFi Protected Setup). Capisco la comodità di utilizzo di WPS, ma è stata una cattiva idea per iniziare.
Limitare il traffico in uscita. Come detto sopra, io di solito non come dispositivi che il telefono di casa. Se si dispone di questi tipi di dispositivi, bloccando tutto il traffico internet da loro.
Disattivare servizi di rete inutilizzati, soprattutto uPnP. C’è un noto vulnerabilità quando si utilizza il servizio uPnP. Altri servizi inutili: Telnet, FTP, SMB (Samba/file sharing), TFTP, IPv6
Il Log out dall’admin della pagina quando fatto. Solo la chiusura della pagina web senza registrazione può lasciare una sessione autenticata aprire nel router.
Controllare la porta 32764 vulnerabilità. A mia conoscenza, alcuni router prodotto da Linksys (Cisco), Netgear, e il Diamante sono interessato, ma ci possono essere altri. Il firmware più recente è stato rilasciato, ma non completamente patch di sistema.
Controllare il router: https://www.grc.com/x/portprobe=32764
Attivare la registrazione. Look per attività sospetta nel tuo log su una base regolare. La maggior parte dei router hanno la possibilità di inviare email con le registrazioni a intervalli predefiniti. Inoltre, assicurarsi che l’orologio e il fuso orario è impostato correttamente, in modo che i registri sono accurate.
Per i più attenti alla sicurezza (o forse solo paranoico), i seguenti passaggi aggiuntivi da considerare
Cambiare il nome utente admin. Tutti conoscono il valore di default è di solito admin.
Impostare un ‘Ospite’ della rete. Molti nuovi router sono in grado di creare separata guest wireless reti. Assicurarsi che non ha accesso a internet, e non LAN (intranet). Naturalmente, utilizzare lo stesso metodo di crittografia (WPA2-Personal) e con una passphrase.
Non collegare il cavo USB di archiviazione per il tuo router. Questo consente automaticamente di molti servizi sul router e può esporre il contenuto di tale unità a internet.
Utilizzare un DNS alternativo provider. Le probabilità sono voi stanno usando tutte le impostazioni DNS del provider. DNS è diventato sempre più un bersaglio per gli attacchi. Ci sono fornitori di DNS che hanno preso ulteriori misure per proteggere i loro server. Come bonus aggiuntivo, un altro provider DNS può aumentare le prestazioni di internet.
Modificare l’impostazione predefinita intervallo di indirizzi IP sulla LAN (interna) di rete. Ogni consumatore-tipo router ho visto utilizza 192.168.1.x o 192.168.0.x rendere più facile per lo script di un attacco automatizzato.
Campi a disposizione sono:
10.x.x.x
Qualsiasi 192.168.x.x
172.16.x.x 172.31.x.x
Modificare il predefinito del router LAN indirizzo. Se qualcuno riesce ad accedere alla LAN, che conoscono l’indirizzo IP del router è x.x.x.1 o x.x.x.254; non rendono facile per loro.
Disabilitare o limitare il DHCP. Disattivare il DHCP è di solito non è pratico se non sei in un molto statica ambiente di rete. Preferisco limitare il DHCP per 10-20 indirizzi IP a partire da x.x.x.101; questo rende più facile per tenere traccia di ciò che sta accadendo sulla rete. Io preferisco mettere il mio ‘permanente’ dispositivi (desktop, stampanti, NAS, etc.) su indirizzi IP statici. In quel modo solo laptop, tablet, telefoni, e gli ospiti con DHCP.
Disattivare l’admin di accesso wireless. Questa funzionalità non è disponibile su tutti i router di casa.
Disattivare la trasmissione SSID. Questo non è difficile per un professionista per superare e in grado di rendere un dolore per permettere ai visitatori sulla rete WiFi.
Utilizzare il filtro MAC. Come sopra; scomodo per i visitatori.
Alcuni di questi elementi rientrano nella categoria di “Security by Obscurity”, e ci sono molti operatori della sicurezza, che si fanno beffe di loro, dicendo che non sono le misure di sicurezza. In un certo senso, sono assolutamente corrette. Se, tuttavia, ci sono passi che si possono adottare per rendere più difficile per compromettere la vostra rete, penso che vale la pena considerare.
Un buon sistema di sicurezza non è “impostare e dimenticare”. Abbiamo tutti sentito parlare di molte violazioni di sicurezza presso alcune delle aziende più grandi. A me, veramente irritante è che quando qui erano state compromesse per 3, 6, 12 mesi o più prima che fosse scoperto.
Prendetevi il tempo per guardare attraverso il vostro log. La scansione della rete alla ricerca per imprevisti dispositivi e le connessioni. Se si desidera un modo facile e veloce per vedere cosa c’è sulla rete, Fing è una comoda app, disponibile per IOS, Android, Windows, Mac,etc. http://www.overlooksoft.com/fing
Qui di seguito sono alcuni riferimenti autorevoli:
- NSA – https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_BestPracticesForKeepingYourHomeNetworkSecure.pdf
- US-CERT – https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf