Er is niet zoiets als de perfecte beveiliging. Voldoende kennis, middelen en tijd elk systeem kan in gevaar worden gebracht. Het beste wat je kunt doen is het natuurlijk zo moeilijk maken voor een aanvaller mogelijk. Dat zei zijn er stappen die u kunt nemen om uit te harden uw netwerk tegen de overgrote meerderheid van de aanvallen.
De standaard configuraties voor wat ik noem de consument rang routers bieden vrij basic security. Om eerlijk te zijn, het is niet veel voor hen in gevaar brengen. Wanneer ik de installatie van een nieuwe router (of opnieuw instellen van een bestaande) heb ik zelden gebruik maken van de ‘wizards’. Ik ga door en configureren alles precies hoe ik het wil. Tenzij er een goede reden, ik meestal niet het standaard laten.
Ik kan je niet vertellen de exacte instellingen die u nodig hebt om te veranderen. Elke router admin pagina is anders; zelfs router van dezelfde fabrikant. Afhankelijk van de specifieke router, kan er instellingen die u niet kunt wijzigen. Voor veel van deze instellingen, gaat u naar de geavanceerde configuratie deel van de admin pagina.
Ik heb screenshots van een Asus RT-AC66U. Het is in de standaard staat.
Updaten van uw firmware. De meeste mensen update van de firmware toen ze voor het eerst installeren van de router en dan te laten staan. Recent onderzoek heeft aangetoond dat 80% van de 25 best verkopende draadloze router modellen zijn beveiligingsproblemen. Getroffen fabrikanten zijn onder andere: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, en anderen. De meeste fabrikanten vrij bijgewerkte firmware wanneer kwetsbaarheden aan het licht zijn gekomen. Een herinnering instellen in Outlook of welk e-mailsysteem dat u gebruikt. Ik adviseer controleren op updates elke 3 maanden. Ik weet dat dit klinkt als een no-brainer, maar alleen het installeren van de firmware van de website van de fabrikant.
Schakel ook de router de mogelijkheid om automatisch te controleren op updates. Ik ben geen fan van verhuur van apparaten ‘phone home’. Je hebt geen controle over wat de datum is verzonden. Bijvoorbeeld, wist u dat verschillende zogenaamde ‘Smart Tv’ stuur informatie terug naar de fabrikant? Ze sturen al uw kijkgedrag elke keer als u het kanaal wijzigt. Als u sluit een USB-station in hen, ze sturen een lijst van elke bestandsnaam op het station. Deze data is niet versleuteld en verzonden, zelfs als u de menu-instelling is ingesteld op NEE.
Het uitschakelen van extern beheer. Ik begrijp sommige mensen moeten in staat zijn om opnieuw hun netwerk op afstand. Als u ten minste het inschakelen van https-toegang en wijzigen van de standaard-poort. Merk op dat dit ook een soort van ‘cloud’ gebaseerde management, zoals de Linksys Smart WiFi-Account en Asus’ AiCloud.
Gebruik een sterk wachtwoord voor de router admin. Genoeg gezegd.
HTTPS inschakelen voor alle admin-verbindingen. Dit is standaard uitgeschakeld op veel routers.
Het beperken van het inkomende verkeer. Ik weet dat dit is logisch, maar soms zijn mensen niet begrijpen van de gevolgen van bepaalde instellingen. Als u het gebruik van poort forwarding, zeer selectief. Indien mogelijk, gebruik je een niet-standaard poort voor de service die u configureert. Er zijn ook instellingen voor het filteren van anoniem op het internet-verkeer (ja), en voor het ping-antwoordbericht (geen).
Gebruik WPA2-encryptie voor de WiFi. Nooit gebruik maken van WEP. Het kan worden doorbroken binnen enkele minuten met de software vrij beschikbaar is op het internet. WPA is niet veel beter.
Uitschakelen van WPS (WiFi Protected Setup). Ik begrijp het gemak van het gebruik van WPS, maar het was een slecht idee om te beginnen.
Het beperken van uitgaand verkeer. Zoals hierboven vermeld, die ik normaal niet graag apparaten die telefoon thuis. Als u deze typen apparaten, overweeg dan het blokkeren van al het internetverkeer van hen.
Schakel ongebruikte netwerk diensten, in het bijzonder van uPnP. Er is een alom bekende kwetsbaarheid bij het gebruik van de uPnP-service. Andere diensten waarschijnlijk onnodig: Telnet, FTP, SMB (Samba/file sharing), TFTP, IPv6
Log uit van de admin-pagina wanneer u klaar. Gewoon het sluiten van de webpagina zonder uit te loggen kan een geverifieerde sessie openen in de router.
Controleer voor de haven 32764 kwetsbaarheid. Bij mijn weten sommige routers geproduceerd door Linksys (Cisco), Netgear en Diamant zijn getroffen, maar ook anderen. Nieuwe firmware werd vrijgegeven, maar kan niet volledig patch het systeem.
Controleer uw router bij: https://www.grc.com/x/portprobe=32764
Schakel logboekregistratie. Kijk voor verdachte activiteit in je logs op een regelmatige basis. De meeste routers hebben de mogelijkheid van het e-mailen van de logs om u op gezette tijden. Ook zorg ervoor dat de klok en tijdzone correct zijn ingesteld, zodat uw logboeken correct zijn.
Voor de echt bewust van beveiliging (of misschien gewoon paranoïde), zijn de volgende extra stappen te overwegen
Het wijzigen van de gebruikersnaam van de beheerder. Iedereen kent de standaard is meestal admin.
Het opzetten van een ‘Guest’ netwerk. Veel nieuwere routers zijn in staat het creëren van een aparte draadloze gast netwerken. Ervoor zorgen dat slechts toegang heeft tot het internet, en niet uw LAN-netwerk (intranet). Natuurlijk gebruik maken van de dezelfde codering methode (WPA2-Personal) met een ander wachtwoord.
Sluit geen USB-opslag aan op uw router. Dit activeert automatisch de vele diensten die op uw router en kan leiden van de inhoud van dat station naar het internet.
Gebruik een alternatieve DNS-provider. De kans groot dat u met behulp van welke DNS-instellingen van uw ISP u heeft gegeven. DNS steeds meer een doel voor aanvallen. Er zijn DNS-providers die zijn genomen extra maatregelen om de beveiliging van hun servers. Als een toegevoegde bonus, een andere DNS-provider kan het verhogen van uw internet prestaties.
Wijzigen van het standaard bereik van IP-adres op uw LAN (binnen) netwerk. Elke consument rang router die ik heb gezien gebruikt 192.168.1.x of 192.168.0.x het gemakkelijker te maken een script voor een geautomatiseerde aanval.
Beschikbare reeksen zijn:
10.x.x.x
Een 192.168.x.x
172.16.x.x 172.31.x.x
Het wijzigen van de router op het standaard-LAN-adres. Wanneer iemand zich toegang te krijgen tot uw NETWERK, ze weten dat de router het IP-adres is een x.x.x.1 of x.x.x.254; maak het niet gemakkelijk voor hen.
Uitschakelen of beperken van DHCP. Het uitschakelen van DHCP is meestal niet handig, tenzij je in een erg statisch netwerk omgeving. Ik geef de voorkeur aan het beperken van DHCP 10-20 IP-adressen die beginnen bij x.x.x.101; dit maakt het gemakkelijker om bij te houden van wat er gebeurt op uw netwerk. Ik geef de voorkeur aan mijn ‘vaste’ apparaten (desktops, printers, NAS, etc.) op statische IP-adressen. Op die manier alleen laptops, tablets, telefoons, en de gasten worden met behulp van DHCP.
Het uitschakelen van de toegang van de beheerder van draadloos. Deze functionaliteit is niet beschikbaar op alle thuis-routers.
Het uitschakelen van SSID broadcast. Dit is niet moeilijk voor een professional te overwinnen en kan het een pijn om de bezoekers op uw WiFi-netwerk.
Het gebruik van MAC-filtering. Hetzelfde als hierboven; vervelend voor bezoekers.
Sommige van deze items vallen in de categorie ‘Veiligheid door Obscuriteit’, en er zijn veel IT-en security professionals die spotten met hen, zeggende: zij zijn niet veiligheidsmaatregelen. Op een manier, ze zijn absoluut correct is. Echter, als er zijn stappen die u kunt nemen om het moeilijker te maken om compromissen te sluiten op uw netwerk, ik denk dat het het overwegen waard.
Een goede beveiliging is niet ‘instellen en vergeten’. We hebben allemaal gehoord over de vele schendingen van de beveiliging bij een aantal van de grootste bedrijven. Voor mij is het echt irritant deel is wanneer u hier hadden ze gecompromitteerd voor 3, 6, 12 maanden of langer voordat het werd ontdekt.
Neem de tijd om te kijken via uw logbestanden. Het scannen van uw netwerk op zoek naar onverwachte apparaten en verbindingen. Als u wilt op een snelle en eenvoudige manier om te zien wat er op uw netwerk, Fing is een handige app, die beschikbaar is voor IOS, Android, Windows, Mac,etc. http://www.overlooksoft.com/fing
Hieronder zijn een aantal gezaghebbende referenties:
- NSA – https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_BestPracticesForKeepingYourHomeNetworkSecure.pdf
- US-CERT – https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf