אבטח את הנתב האלחוטי שלך

נסה את הכלי שלנו לביטול בעיות

אין דבר כזה ביטחון מושלם. בהינתן מספיק ידע, משאבים וזמן, כל מערכת יכולה להתפשר. הכי טוב שתוכלו לעשות הוא להקשות על התוקף ככל האפשר. עם זאת, ישנם צעדים שתוכלו לנקוט בכדי להקשיח את הרשת שלכם כנגד הרוב המכריע של ההתקפות.

תצורות ברירת המחדל עבור מה שאני מכנה נתבים בדרגה צרכנית מציעות אבטחה בסיסית למדי. למען האמת, לא צריך הרבה להתפשר עליהם. כשאני מתקין נתב חדש (או מאפס קיימת), לעתים רחוקות אני משתמש ב'אשפי ההתקנה '. אני עוברת ומגדירה הכל בדיוק איך שאני רוצה. אלא אם כן יש סיבה טובה, אני בדרך כלל לא משאיר את זה כברירת מחדל.

אני לא יכול לומר לך את ההגדרות המדויקות שאתה צריך לשנות. עמוד הניהול של כל נתב שונה; אפילו נתב מאותו יצרן. בהתאם לנתב הספציפי, יתכנו הגדרות שלא ניתן לשנות. עבור רבות מהגדרות אלה, תצטרך לגשת לחלק התצורה המתקדם של דף הניהול.

עֵצָה אתה יכול להשתמש ב- אפליקציית אנדרואיד Router בדוק כדי לבדוק את האבטחה של הנתב שלך .

צירפתי צילומי מסך של Asus RT-AC66U. זה במצב ברירת המחדל.

עדכן את הקושחה שלך. רוב האנשים מעדכנים את הקושחה כאשר הם מתקינים לראשונה את הנתב ואז משאירים אותו לבד. מחקרים עדכניים הראו כי 80% מתוך 25 דגמי הנתב האלחוטי הנמכרים ביותר הם בעלי פגיעויות אבטחה. היצרנים המושפעים כוללים: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet ועוד. מרבית היצרנים משחררים קושחה מעודכנת כשמגיעים לאור נקודות תורפה. קבע תזכורת ב- Outlook או בכל מערכת דוא'ל שאתה משתמש בה. אני ממליץ לבדוק עדכונים כל 3 חודשים. אני יודע שזה נשמע כמו אין-מוח, אבל התקן רק קושחה מאתר היצרן.

כמו כן, השבת את יכולת הנתב לבדוק באופן אוטומטי אם יש עדכונים. אני לא חובב לתת למכשירים 'טלפון הביתה'. אין לך שליטה באיזה תאריך נשלח. לדוגמה, האם ידעת שכמה מה שמכונה 'טלוויזיות חכמות' שולחים מידע חזרה ליצרן שלהם? הם שולחים את כל הרגלי הצפייה שלך בכל פעם שאתה משנה את הערוץ. אם אתה מחבר לתוכם כונן USB, הם שולחים רשימה של כל שם הקובץ בכונן. נתונים אלה אינם מוצפנים ונשלחים גם אם הגדרת התפריט מוגדרת כ- NO.

השבת ניהול מרחוק. אני מבין שיש אנשים שצריכים להיות מסוגלים להגדיר מחדש את הרשת שלהם מרחוק. אם עליך, לפחות לאפשר גישה ל- https ולשנות את יציאת ברירת המחדל. שים לב שזה כולל כל סוג של ניהול מבוסס ענן, כמו חשבון WiFi החכם של Linksys ו- AiCloud של Asus.

השתמש בסיסמה חזקה עבור מנהל נתבים. נאמר מספיק. סיסמאות ברירת מחדל לנתבים הם ידועים ואינך רוצה שאף אחד ינסה לעבור ברירת מחדל ולהיכנס לנתב.

אפשר HTTPS לכל חיבורי מנהל המערכת. זה מושבת כברירת מחדל בנתבים רבים.

wireless-security-1

הגבלת תנועה נכנסת. אני יודע שזה השכל הישר, אבל לפעמים אנשים לא מבינים את ההשלכות של הגדרות מסוימות. אם עליכם להשתמש בהעברת יציאות, היו בררניים מאוד. במידת האפשר, השתמש ביציאה לא סטנדרטית עבור השירות שאתה מגדיר. ישנן גם הגדרות לסינון תעבורת אינטרנט אנונימית (כן) ולתגובת ping (לא).

wireless-security-2

השתמש בהצפנת WPA2 עבור ה- WiFi. לעולם אל תשתמש ב- WEP. ניתן לשבור אותו תוך דקות בעזרת תוכנה הזמינה בחינם באינטרנט. WPA אינו טוב בהרבה.

wireless-security-3

כבה את WPS (הגדרת WiFi מוגן) . אני מבין את הנוחות בשימוש ב- WPS, אבל היה רעיון רע להתחיל.

wireless-security-4

הגבל את התנועה היוצאת. כאמור, בדרך כלל אני לא אוהב מכשירים שמתקשרים אליהם הביתה. אם יש לך מכשירים מסוג זה, שקול לחסום מהם את כל התעבורה באינטרנט.

השבת שירותי רשת שאינם בשימוש, במיוחד uPnP. קיימת פגיעות ידועה בכל שימוש בשירות uPnP. שירותים אחרים ככל הנראה מיותרים: Telnet, FTP, SMB (שיתוף קבצים של סמבה), TFTP, IPv6

כשתסיים, התנתק מדף הניהול . רק סגירת דף האינטרנט מבלי להתנתק יכולה להשאיר הפעלה מאומתת פתוחה בנתב.

בדוק אם יש פגיעות ביציאה 32764 . למיטב ידיעתי ישנם נתבים המיוצרים על ידי Linksys (Cisco), Netgear ו- Diamond, אך הם עשויים להיות אחרים. קושחה חדשה יותר שוחררה, אך יתכן שהיא לא תתקן את המערכת במלואה.

בדוק את הנתב שלך ב: https://www.grc.com/x/portprobe=32764

הפעל כריתת עצים . חפש פעילות חשודה ביומנים שלך על בסיס קבוע. לרוב הנתבים יש אפשרות לשלוח אליך את היומנים בפרקי זמן קבועים. כמו כן, וודאו שהשעון ואזור הזמן מוגדרים כראוי כך שהיומנים שלכם יהיו מדויקים.

עבור מודעי האבטחה באמת (או אולי רק פרנואידים), להלן צעדים נוספים שיש לקחת בחשבון

שנה את שם המשתמש של הניהול . כולם יודעים שהברירת המחדל היא לרוב מנהל.

הקמת רשת 'אורח' . נתבים חדשים רבים יותר מסוגלים ליצור רשתות אורחים אלחוטיות נפרדות. וודא שיש לו גישה לאינטרנט בלבד ולא לרשת LAN שלך (אינטראנט). כמובן, השתמש באותה שיטת הצפנה (WPA2-Personal) עם ביטוי סיסמה שונה.

אל תחבר אחסון USB לנתב שלך . זה מאפשר באופן אוטומטי שירותים רבים בנתב שלך ועלול לחשוף את תוכן הכונן לאינטרנט.

השתמש בספק DNS חלופי . רוב הסיכויים שאתה משתמש בכל הגדרות ה- DNS שהספק שלך נתן לך. DNS הפכה יותר ויותר יעד להתקפות. ישנם ספקי DNS שנקטו צעדים נוספים לאבטחת השרתים שלהם. כבונוס נוסף, ספק DNS אחר עשוי להגדיל את ביצועי האינטרנט שלך.

שנה את טווח כתובות ה- IP המוגדר כברירת מחדל ברשת LAN (בפנים) . כל נתב בכיתה צרכנית שראיתי משתמש ב 192.168.1.x או 192.168.0.x שמקל על תסריט התקפה אוטומטית.
טווחים זמינים הם:
כל 10.x.x.x
כל 192.168.x.x
172.16.x.x עד 172.31.x.x

שנה את כתובת ה- LAN של ברירת המחדל של הנתב . אם מישהו מקבל גישה לרשת ה- LAN שלך, הוא יודע שכתובת ה- IP של הנתב היא x.x.x.1 או x.x.x.254; אל תקל עליהם.

wireless-security-5

השבת או הגבל את DHCP . כיבוי DHCP הוא בדרך כלל לא מעשי אלא אם כן אתה נמצא בסביבת רשת סטטית מאוד. אני מעדיף להגביל DHCP ל 10-20 כתובות IP החל מ- x.x.x.101; זה מקל על המעקב אחר המתרחש ברשת שלך. אני מעדיף להניח את המכשירים ה'קבעיים 'שלי (שולחנות עבודה, מדפסות, NAS וכו ') על כתובות IP סטטיות. ככה רק מחשבים ניידים, טאבלטים, טלפונים ואורחים משתמשים ב- DHCP.

wireless-security-6

השבת את גישת המנהל מאלחוטית . פונקציונליות זו אינה זמינה בכל הנתבים הביתיים.

השבת שידור SSID . זה לא קשה לאיש מקצוע להתגבר עליו ויכול לגרום לכאב לאפשר למבקרים ברשת ה- WiFi שלך.

השתמש בסינון MAC . כנ'ל; לא נוח למבקרים.

חלק מהפריטים הללו נכללים בקטגוריה 'אבטחה על ידי סתום', ויש הרבה אנשי IT ואבטחה שמלגלגים עליהם ואומרים שהם לא אמצעי אבטחה. באופן מסוים, הם נכונים לחלוטין. עם זאת, אם יש צעדים שתוכלו לנקוט בכדי להקשות על הפגיעה ברשת שלכם, אני חושב שכדאי לשקול זאת.

אבטחה טובה איננה 'הגדר אותה ושכח אותה'. כולנו שמענו על פרצות האבטחה הרבות בכמה מהחברות הגדולות ביותר. בעיניי החלק המעצבן באמת הוא כשאתה כאן הם התפשרו במשך 3, 6, 12 חודשים או יותר לפני שהתגלה.

קח את הזמן לבדוק את היומנים שלך. סרוק את הרשת שלך מחפש מכשירים וחיבורים לא צפויים.

להלן התייחסות סמכותית: