Es gibt keine solche Sache wie vollkommene Sicherheit. Ausreichend wissen, Ressourcen und Zeit, jedes system kann kompromittiert werden. Die besten können Sie tun ist, machen es so schwierig für einen Angreifer wie möglich. Das heißt es gibt Schritte, die Sie ergreifen können, um Härten Sie Ihr Netzwerk gegen die überwiegende Mehrheit der Angriffe.
Die Standard-Konfigurationen für das, was ich rufen Sie Verbraucher-grade-Router bieten ziemlich grundlegende Sicherheit. Um ehrlich zu sein, es braucht nicht viel, um Sie gefährden. Wenn ich die Installation eines neuen Routers (oder reset einer bestehenden), ich habe selten verwenden Sie das “setup-Assistenten”. Ich gehe durch und konfigurieren alles genau, wie ich es will. Es sei denn, es gibt einen guten Grund, ich in der Regel don ‘ T lassen Sie es als Standard.
Ich kann Ihnen nicht sagen, die genauen Einstellungen, die Sie ändern müssen. Jeder router-admin-Seite unterschiedlich ist; auch router vom gleichen Hersteller. Abhängig von der spezifischen router, kann es sein, Einstellungen, die Sie nicht ändern können. Für viele dieser Einstellungen, die Sie benötigen Zugriff auf die erweiterte Konfiguration Abschnitt der admin-Seite.
Ich habe screenshots von einem Asus RT-AC66U. Es ist in der default-Zustand.
Aktualisieren Sie Ihre firmware. Die meisten Leute aktualisieren Sie die firmware, wenn Sie installieren Sie zuerst den router und dann lassen Sie es allein. Die neuere Forschung hat gezeigt, dass 80% der 25 top-selling-wireless router-Modelle haben Sicherheitslücken. Betroffene Hersteller: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet und andere. Die meisten Hersteller release-firmware aktualisiert werden, wenn Sicherheitslücken werden ans Licht gebracht. Legen Sie eine Erinnerung in Outlook oder was auch immer E-Mail-system Sie verwenden. Ich empfehle die Prüfung auf updates alle 3 Monate. Ich weiß, das klingt wie ein Klacks, aber nur installieren Sie die firmware von der website des Herstellers.
Auch, deaktivieren Sie die router-Fähigkeit, automatisch nach updates. Ich bin kein fan der Vermietung Geräte, die ‘phone home’. Sie haben keine Kontrolle darüber, was aktuell gesendet wird. Zum Beispiel, wussten Sie, dass verschiedene so genannte ” Smart-TVs senden Informationen zurück an den Hersteller? Sie senden alle Ihre Sehgewohnheiten jedes mal, wenn Sie den Kanal wechseln. Wenn Sie ein USB-Laufwerk in Sie, schicken Sie eine Liste mit allen Dateinamen auf dem Laufwerk. Diese Daten werden unverschlüsselt und wird auch dann gesendet, wenn die Menü-Einstellung auf NO festgelegt ist.
Deaktivieren der remote-Verwaltung. Ich verstehe manche Leute müssen in der Lage sein, neu zu konfigurieren, Ihr Netzwerk aus der Ferne. Wenn Sie haben, zumindest aktivieren Sie den https-Zugriff der Standard-port. Beachten Sie, dass dies enthält jede Art von ‘cloud’ – basierte management -, wie die Linksys Smart WiFi-Konto und Asus AiCloud.
Verwenden Sie ein starkes Passwort für den router admin. Genug gesagt.
Aktivieren Sie HTTPS für alle admin-verbindungen. Diese Einstellung ist standardmäßig auf vielen Routern.
Beschränken des eingehenden Datenverkehrs. Ich weiß, das ist gesunder Menschenverstand, aber manchmal Leute nicht verstehen, die Konsequenzen bestimmter Einstellungen. Wenn Sie port-forwarding zu verwenden, sehr wählerisch sein. Wenn möglich, verwenden Sie eine nicht-standard-port für den Dienst Sie konfigurieren. Es gibt auch Einstellungen für das filtern von anonymen internet-Verkehr (ja), und für die ping-Antwort (Nein).
Verwenden Sie WPA2-Verschlüsselung für das WiFi. Verwenden Sie niemals WEP. Es gebrochen werden kann innerhalb von Minuten mit einer software die im internet frei verfügbar. WPA ist auch nicht viel besser.
Schalten Sie WPS (WiFi Protected Setup). Ich verstehe die Bequemlichkeit der Verwendung von WPS, aber es war eine schlechte Idee zu starten.
Beschränken Sie den ausgehenden Datenverkehr. Wie oben erwähnt, habe ich normalerweise nicht mag-Geräte, das Telefon zu Hause. Wenn Sie diese Arten von Geräten, berücksichtigen blockieren alle internet-Verkehr von Ihnen.
Deaktivieren Sie ungenutzte Netzwerk-Dienste, insbesondere uPnP. Es ist eine weithin bekannte Sicherheitslücke bei der Verwendung von uPnP-Dienst. Sonstige Leistungen wahrscheinlich unnötig: Telnet, FTP, SMB (Samba/file-sharing), TFTP, IPv6
Melden Sie sich vom admin-Seite, wenn Sie fertig. Nur schließen Sie die web-Seite ohne sich abzumelden verlassen kann, eine authentifizierte Sitzung öffnen im router.
Überprüfen Sie für den port 32764 Schwachstelle. Meines Wissens nach einige Router hergestellt von Linksys (Cisco), Netgear, Diamond betroffen sind, aber es gibt vielleicht andere. Neuere firmware veröffentlicht wurde, aber kann nicht ganz mit dem patch-system.
Überprüfen Sie Ihren router an: https://www.grc.com/x/portprobe=32764
Aktivieren Sie die Protokollierung. Schauen Sie auf verdächtige Aktivitäten in Ihren logs auf einer regulären basis. Die meisten Router verfügen über die Fähigkeit, E-Mail-Versand der Protokolle, um Sie in festgelegten Abständen. Auch stellen Sie sicher, dass die Uhrzeit und Zeitzone korrekt eingestellt sind, so dass Ihre Protokolle sind korrekt.
Für die wirklich Sicherheits-bewussten (oder vielleicht auch einfach nur paranoid ist), sind folgende weitere Schritte zu erwägen
Ändern Sie den Benutzernamen admin. Jeder kennt die Standard-Regel ist “admin”.
Richten Sie eine “Gast” – Netzwerk. Viele neuere Router sind in der Lage die Erstellung von separaten WLAN-Gast-Netzwerke. Es sicherstellen, dass nur Zugriff auf das internet und nicht LAN (intranet). Natürlich, verwenden Sie die gleiche Verschlüsselung (WPA2-Personal) mit einer anderen passphrase.
Schließen Sie keine USB-Speicher an Ihrem router. Dies aktiviert automatisch viele Dienste auf dem router und öffnen kann der Inhalt der Festplatte ins internet.
Verwenden Sie einen alternativen DNS-Anbieter. Die Chancen sind Sie mit jedem beliebigen DNS-Einstellungen von Ihrem ISP. DNS hat sich zunehmend ein Ziel für Attacken. Es gibt DNS-Provider, die weitere Schritte zur Sicherung Ihrer Server. Als zusätzlichen bonus, einen anderen DNS-provider kann steigern Sie Ihre internet-performance.
Ändern Sie die Standard-IP-Adressbereich im LAN (inside) Netzwerk. Jeder Verbraucher-grade-router, den ich gesehen habe, verwendet entweder 192.168.1.x oder 192.168.0.x macht es einfacher, ein Skript für die automatisierte Attacke.
Verfügbaren Bereiche sind:
Jeder 10.x.x.x
Alle 192.168.x.x
172.16.x.x bis 172.31.x.x
Ändern Sie die router-Standard-LAN-Adresse. Wenn jemand Zugang zu Ihrem LAN, Sie wissen, die router-IP-Adresse ist entweder x.x.x.1 oder x.x.x.254; nicht machen es einfach für Sie.
Deaktivieren oder einschränken DHCP. Ausschalten von DHCP ist in der Regel nicht sinnvoll, es sei denn, du bist in einer sehr statischen Netzwerk-Umgebung. Ich bevorzuge es, zu beschränken, DHCP, 10-20 IP-Adressen beginnend bei x.x.x.101; dies macht es einfacher zu verfolgen, was passiert in Ihrem Netzwerk. Ich ziehe meine “permanenten” – Geräte (desktops, Drucker, NAS, etc.) auf statische IP-Adressen. So nur laptops, tablets, Smartphones, und die Gäste werden mit DHCP.
Deaktivieren Sie admin-Zugriff vom WLAN. Diese Funktionalität ist nicht auf allen Heim-Routern.
Deaktivieren Sie SSID-broadcast. Dies ist nicht schwer für einen Profi zu überwinden und es machen kann, ein Schmerz, um zuzulassen, dass Besucher auf Ihrem WiFi-Netzwerk.
Die MAC-Filterung verwenden. Wie oben; unbequem für die Besucher.
Einige dieser Elemente fallen in die Kategorie der ‘Security by Obscurity’, und es gibt viele IT-und security-Profis, die spotten über Sie, sagen, Sie sind nicht Sicherheits-Maßnahmen. In einer Art und Weise, Sie sind absolut richtig. Wenn jedoch gibt es Schritte, die Sie ergreifen können, um es schwieriger zu manipulieren-Netzwerk, ich denke, es ist eine überlegung Wert.
Gute Sicherheit ist nicht ‘set it and forget it’. Wir haben alle gehört, über die viele Sicherheitsprobleme bei einigen der größten Unternehmen. Für mich, die wirklich irritierend ist, wenn Sie hier hatten Sie kompromittiert wurden für 3, 6, 12 Monate oder mehr, bevor es entdeckt wurde.
Nehmen Sie sich die Zeit, schauen Sie durch Ihre Protokolle. Scannen Sie Ihr Netzwerk suchen unerwarteter Geräte und verbindungen. Wenn Sie wollen eine schnelle und einfache Möglichkeit, um zu sehen, was auf Ihrem Netzwerk, Fing ist eine praktische app, erhältlich für IOS, Android, Windows, Mac,etc. http://www.overlooksoft.com/fing
Unten sind einige maßgebliche Referenzen:
- NSA – https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_BestPracticesForKeepingYourHomeNetworkSecure.pdf
- US-CERT – https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf