I-secure ang iyong wireless router

• Kategorya: Network

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Piliin Ang Operating System Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pumili Ng Isang Programa Ng Projection (Opsyonal) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Ilarawan Ang Iyong Problema

Kumuha Ng Sagot

Ipadala Ako Sa Pamamagitan Ng Email Ipakita Sa Site

Walang bagay tulad ng perpektong seguridad. Dahil sa sapat na kaalaman, mapagkukunan, at oras ng anumang sistema ay maaaring ikompromiso. Ang pinakamahusay na maaari mong gawin ay gawin itong mahirap para sa isang umaatake hangga't maaari. Iyon ay may mga hakbang na maaari mong gawin upang patigasin ang iyong network laban sa karamihan ng mga pag-atake.

Ang default na mga pagsasaayos para sa tinatawag kong mga routers na grade-consumer ay nag-aalok ng medyo pangunahing seguridad. Upang maging matapat, hindi kinakailangan na ikompromiso ang mga ito. Kapag nag-install ako ng isang bagong router (o i-reset ang isang umiiral na), bihira akong gumamit ng 'setup wizards'. Dumadaan ako at i-configure ang lahat nang eksakto kung paano ko ito gusto. Maliban kung mayroong isang magandang dahilan, karaniwang hindi ko ito iiwan bilang default.

Hindi ko masasabi sa iyo ang eksaktong mga setting na kailangan mong baguhin. Ang bawat pahina ng admin ng bawat router ay naiiba; kahit na ang router mula sa parehong tagagawa. Depende sa tukoy na router, maaaring may mga setting na hindi mo mababago. Para sa marami sa mga setting na ito, kakailanganin mong ma-access ang advanced na seksyon ng pagsasaayos ng pahina ng admin.

Tip : maaari mong gamitin ang Ang Android app RouterCheck upang subukan ang seguridad ng iyong router .

Nagsama ako ng mga screenshot ng isang Asus RT-AC66U. Ito ay nasa default na estado.

I-update ang iyong firmware. Karamihan sa mga tao ay nag-update ng firmware nang una nilang mai-install ang router at pagkatapos ay iwanan lamang ito. Ipinakita ng kamakailang pananaliksik na 80% ng 25 nangungunang mga modelo ng wireless router ay may mga kahinaan sa seguridad. Ang mga apektadong tagagawa ay kinabibilangan ng: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, at iba pa. Karamihan sa mga tagagawa ay naglalabas ng na-update na firmware kapag ang mga kahinaan ay dinadala sa ilaw. Magtakda ng isang paalala sa Outlook o anumang email system na iyong ginagamit. Inirerekumenda kong suriin ang mga update tuwing 3 buwan. Alam kong ito ay parang isang walang utak, ngunit mag-install lamang ng firmware mula sa website ng tagagawa.

Gayundin, huwag paganahin ang kakayahan ng router upang awtomatikong suriin para sa mga update. Hindi ako tagahanga ng pagpapaalam sa 'home home' ng mga aparato. Wala kang kontrol sa kung anong petsa ang ipinadala. Halimbawa, alam mo ba na maraming mga tinatawag na 'Smart TV' ay nagpabalik ng impormasyon sa kanilang tagagawa? Ipinapadala nila ang lahat ng iyong mga gawi sa pagtingin sa tuwing binabago mo ang channel. Kung isinaksak mo ang isang USB drive sa kanila, nagpapadala sila ng isang listahan ng bawat filename sa drive. Ang data na ito ay hindi nai-encrypt at ipinadala kahit na ang setting ng menu ay nakatakda sa HINDI.

Huwag paganahin ang malayong pangangasiwa. Naiintindihan ko ang ilang mga tao na kailangang ma-configure ang kanilang network nang malayuan. Kung mayroon kang, hindi bababa sa paganahin ang pag-access ng https at baguhin ang default port. Tandaan na kasama dito ang anumang uri ng pamamahala na nakabase sa 'cloud', tulad ng Smartsy Account ng Linksys 'at Asus' AiCloud.

Gumamit ng isang malakas na password para sa admin ng router. Sapat na sabi. Default na mga password para sa mga router ay karaniwang kaalaman at hindi mo nais ang sinuman na subukan lamang ang isang default na pass at pumasok sa router.

Paganahin ang HTTPS para sa lahat ng mga koneksyon sa admin. Ito ay hindi pinagana sa pamamagitan ng default sa maraming mga router.

Limitahan ang papasok na trapiko. Alam kong ito ay pangkaraniwan, ngunit kung minsan hindi nauunawaan ng mga tao ang mga kahihinatnan ng ilang mga setting. Kung kailangan mong gumamit ng pagpapasa ng port, maging napaka-pili. Kung maaari, gumamit ng isang non-standard na port para sa serbisyong iyong nai-configure. Mayroon ding mga setting para sa pag-filter ng hindi nagpapakilalang trapiko sa internet (oo), at para sa pagtugon sa ping (hindi).

Gumamit ng WPA2 encryption para sa WiFi. Huwag gumamit ng WEP. Maaari itong masira sa loob ng ilang minuto gamit ang software na malayang magagamit sa internet. Ang WPA ay hindi mas mahusay.

I-off ang WPS (WiFi Protected Setup) . Nauunawaan ko ang kaginhawaan ng paggamit ng WPS, ngunit isang masamang ideya na magsimula.

Limitahan ang papalabas na trapiko. Tulad ng nabanggit sa itaas, karaniwang hindi ko gusto ang mga aparato na nasa bahay ng telepono. Kung mayroon kang mga ganitong uri ng aparato, isaalang-alang ang pagharang sa lahat ng trapiko sa internet mula sa kanila.

Huwag paganahin ang hindi nagamit na mga serbisyo sa network, lalo na ang uPnP. Mayroong isang malawak na kilalang kahinaan kapag gumagamit ng serbisyo ng uPnP. Iba pang mga serbisyo na marahil ay hindi kinakailangan: Telnet, FTP, SMB (Samba / pagbabahagi ng file), TFTP, IPv6

Mag-log out mula sa pahina ng admin kapag tapos na . Ang pagsasara lamang ng web page nang walang pag-log out ay maaaring mag-iwan ng isang pagpapatunay na sesyon na bukas sa router.

Suriin para sa kahinaan ng port 32764 . Sa aking kaalaman ang ilang mga router na ginawa ng Linksys (Cisco), Netgear, at Diamond ay apektado, ngunit maaaring may iba pa. Ang mga mas bagong firmware ay pinakawalan, ngunit maaaring hindi ganap na i-patch ang system.

Suriin ang iyong router sa: https://www.grc.com/x/portprobe=32764

I-on ang pag-log . Maghanap ng mga kahina-hinalang aktibidad sa iyong mga log nang regular. Karamihan sa mga router ay may kakayahan ng pag-email sa mga log sa iyo sa mga itinakdang agwat. Tiyakin din na ang oras ng orasan at oras ay itinakda nang tama upang tumpak ang iyong mga log.

Para sa tunay na security-conscious (o marahil paranoid lamang), ang mga sumusunod ay mga karagdagang hakbang na dapat isaalang-alang

Baguhin ang pangalan ng gumagamit ng admin . Alam ng lahat na ang default ay karaniwang admin.

Mag-set up ng isang network ng 'Panauhin' . Maraming mga mas bagong mga router ang may kakayahang lumikha ng hiwalay na mga wireless na network ng bisita. Tiyakin na may access lamang ito sa internet, at hindi iyong LAN (intranet). Siyempre, gumamit ng parehong paraan ng pag-encrypt (WPA2-Personal) na may ibang passphrase.

Huwag ikonekta ang imbakan ng USB sa iyong router . Ito ay awtomatikong nagbibigay-daan sa maraming mga serbisyo sa iyong router at maaaring ilantad ang mga nilalaman ng drive na iyon sa internet.

Gumamit ng isang kahaliling provider ng DNS . Pagkakataon ginagamit mo ang anumang mga setting ng DNS na ibinigay sa iyo ng ISP. Ang DNS ay lalong naging target para sa mga pag-atake. May mga tagapagbigay ng DNS na gumawa ng karagdagang mga hakbang upang ma-secure ang kanilang mga server. Bilang isang dagdag na bonus, maaaring dagdagan ng isa pang tagapagbigay ng DNS ang iyong pagganap sa internet.

Baguhin ang saklaw ng default na IP address sa iyong LAN (sa loob) network . Ang bawat router na grade-consumer na nakita ko ay gumagamit ng alinman sa 192.168.1.x o 192.168.0.x na ginagawang mas madali ang pag-script ng isang awtomatikong pag-atake.
Magagamit na mga saklaw ay:
Anumang 10.x.x.x
Anumang 192.168.x.x
172.16.x.x hanggang 172.31.x.x

Baguhin ang default na address ng LAN ng router . Kung ang isang tao ay nakakakuha ng access sa iyong LAN, alam nila ang IP address ng router ay alinman sa x.x.x.1 o x.x.x.254; huwag gawing madali para sa kanila.

Huwag paganahin o higpitan ang DHCP . Ang pag-off ng DHCP ay karaniwang hindi praktikal maliban kung ikaw ay nasa isang napaka-static na kapaligiran sa network. Mas gusto kong higpitan ang DHCP sa 10-20 IP address na nagsisimula sa x.x.x.101; ginagawang mas madali itong masubaybayan kung ano ang nangyayari sa iyong network. Mas gusto kong ilagay ang aking 'permanent' na aparato (desktop, printer, NAS, atbp.) Sa mga static na IP address. Sa ganoong paraan lamang ang mga laptop, tablet, telepono, at panauhin ay gumagamit ng DHCP.

Huwag paganahin ang pag-access ng admin mula sa wireless . Ang pag-andar na ito ay hindi magagamit sa lahat ng mga home router.

Huwag paganahin ang broadcast sa SSID . Hindi ito mahirap para sa isang propesyonal na pagtagumpayan at gawin itong isang sakit upang payagan ang mga bisita sa iyong WiFi network.

Gumamit ng pagsala ng MAC . Katulad ng nasa itaas; hindi kasiya-siya para sa mga bisita.

Ang ilan sa mga item na ito ay nahuhulog sa kategorya ng 'Security by Obscurity', at mayroong maraming mga IT at mga propesyonal sa seguridad na nanunuya sa kanila, na nagsasabing hindi sila mga hakbang sa seguridad. Sa isang paraan, sila ay ganap na tama. Gayunpaman, kung may mga hakbang na maaari mong gawin upang mas mahirap na ikompromiso ang iyong network, sa palagay ko ay dapat na isaalang-alang ito.

Ang mabuting seguridad ay hindi 'itakda ito at kalimutan ito'. Narinig nating lahat ang tungkol sa maraming mga paglabag sa seguridad sa ilan sa mga pinakamalaking kumpanya. Sa akin, ang talagang nakakainis na bahagi ay kapag narito ka na sila ay nakompromiso sa loob ng 3, 6, 12 buwan o higit pa bago ito natuklasan.

Maglaan ng oras upang tingnan ang iyong mga log. I-scan ang iyong network na naghahanap ng mga hindi inaasahang aparato at koneksyon.

Nasa ibaba ang isang may-akda na sanggunian:

• US-CERT - https://www.us-cert.gov/site/default/files/publications/HomeRouterSecurity2011.pdf