Защитите свой беспроводной маршрутизатор

• Категория: Сеть

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Совершенной безопасности не бывает. При наличии достаточных знаний, ресурсов и времени любая система может быть взломана. Лучшее, что вы можете сделать, - это максимально усложнить задачу злоумышленнику. Тем не менее, вы можете предпринять шаги, чтобы защитить свою сеть от подавляющего большинства атак.

Конфигурации по умолчанию для того, что я называю маршрутизаторами потребительского уровня, обеспечивают довольно базовую безопасность. Честно говоря, их не нужно много, чтобы скомпрометировать их. Когда я устанавливаю новый маршрутизатор (или перезагружаю существующий), я редко использую «мастера настройки». Я прохожу и настраиваю все именно так, как хочу. Если нет веской причины, я обычно не оставляю это значение по умолчанию.

Я не могу сказать вам точные настройки, которые вам нужно изменить. Страница администратора каждого маршрутизатора отличается; даже роутер от того же производителя. В зависимости от конкретного маршрутизатора могут быть настройки, которые вы не сможете изменить. Для многих из этих настроек вам потребуется доступ к разделу расширенной конфигурации на странице администратора.

Наконечник : вы можете использовать Android-приложение RouterCheck, чтобы проверить безопасность вашего роутера ,

Я включил скриншоты Asus RT-AC66U. Он находится в состоянии по умолчанию.

Обновите прошивку. Большинство людей обновляют прошивку при первой установке маршрутизатора, а затем оставляют его в покое. Недавние исследования показали, что 80% из 25 самых продаваемых моделей беспроводных маршрутизаторов имеют уязвимости в системе безопасности. Затронутые производители: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet и другие. Большинство производителей выпускают обновленные прошивки, когда обнаруживаются уязвимости. Установите напоминание в Outlook или любой другой почтовой системе, которую вы используете. Рекомендую проверять обновления каждые 3 месяца. Я знаю, что это звучит легко, но устанавливайте прошивку только с сайта производителя.

Также отключите возможность маршрутизатора автоматически проверять наличие обновлений. Я не сторонник того, чтобы устройства «звонили домой». Вы не можете контролировать дату отправки. Например, знаете ли вы, что некоторые так называемые «умные телевизоры» отправляют информацию обратно своему производителю? Они присылают все ваши привычки просмотра каждый раз, когда вы меняете канал. Если вы подключите к ним USB-накопитель, они отправят список всех файлов на диске. Эти данные не зашифрованы и отправляются, даже если для параметра меню установлено значение НЕТ.

Отключите удаленное администрирование. Я понимаю, что некоторым людям нужно иметь возможность удаленно перенастроить свою сеть. При необходимости включите хотя бы доступ по протоколу https и измените порт по умолчанию. Обратите внимание, что это включает любой тип «облачного» управления, например учетную запись Smart WiFi Linksys и AiCloud от Asus.

Используйте надежный пароль для администратора роутера. Достаточно сказано. Пароли по умолчанию для маршрутизаторов общеизвестны, и вы не хотите, чтобы кто-то просто попробовал пройти по умолчанию и подключился к маршрутизатору.

Включить HTTPS для всех административных подключений. Это отключено по умолчанию на многих маршрутизаторах.

Ограничьте входящий трафик. Я знаю, что это здравый смысл, но иногда люди не понимают последствий определенных настроек. Если вам необходимо использовать переадресацию портов, будьте очень избирательны. По возможности используйте нестандартный порт для настраиваемой службы. Также есть настройки для фильтрации анонимного интернет-трафика (да) и ответа на пинг (нет).

Используйте шифрование WPA2 для WiFi. Никогда не используйте WEP. Его можно сломать в течение нескольких минут с помощью программного обеспечения, свободно доступного в Интернете. WPA ненамного лучше.

Отключите WPS (защищенная настройка WiFi) , Я понимаю удобство использования WPS, но начинать было плохой идеей.

Ограничьте исходящий трафик. Как упоминалось выше, я обычно не люблю устройства, которые звонят домой. Если у вас есть такие типы устройств, рассмотрите возможность блокировки всего интернет-трафика с них.

Отключите неиспользуемые сетевые службы, особенно uPnP. При использовании сервиса uPnP существует широко известная уязвимость. Другие службы, вероятно, не нужны: Telnet, FTP, SMB (Samba / обмен файлами), TFTP, IPv6

По завершении выйдите из административной страницы , Простое закрытие веб-страницы без выхода из системы может оставить сеанс аутентификации открытым в маршрутизаторе.

Проверьте порт 32764 на уязвимость , Насколько мне известно, это касается некоторых маршрутизаторов, производимых Linksys (Cisco), Netgear и Diamond, но могут быть и другие. Была выпущена более новая прошивка, но она не может полностью исправить систему.

Проверьте свой роутер по адресу: https://www.grc.com/x/portprobe=32764

Включите ведение журнала , Регулярно ищите подозрительную активность в своих журналах. Большинство маршрутизаторов имеют возможность отправлять вам журналы по электронной почте через определенные промежутки времени. Также убедитесь, что часы и часовой пояс установлены правильно, чтобы ваши журналы были точными.

Для действительно заботящихся о безопасности (или, может быть, просто параноиков), следующие дополнительные шаги, которые следует учитывать

Измените имя пользователя admin , Всем известно, что по умолчанию обычно используется admin.

Настроить гостевую сеть , Многие новые маршрутизаторы могут создавать отдельные беспроводные гостевые сети. Убедитесь, что у него есть доступ только к Интернету, а не к вашей локальной сети (интрасети). Конечно, используйте тот же метод шифрования (WPA2-Personal) с другой кодовой фразой.

Не подключайте USB-накопитель к роутеру , Это автоматически активирует многие службы на вашем маршрутизаторе и может открыть доступ к содержимому этого диска в Интернет.

Используйте альтернативного поставщика DNS , Скорее всего, вы используете те настройки DNS, которые предоставил вам ваш провайдер. DNS все чаще становится мишенью для атак. Есть поставщики DNS, которые предприняли дополнительные шаги для защиты своих серверов. В качестве дополнительного бонуса другой провайдер DNS может повысить вашу производительность в Интернете.

Измените диапазон IP-адресов по умолчанию в вашей локальной (внутренней) сети , Все маршрутизаторы потребительского уровня, которые я видел, используют 192.168.1.x или 192.168.0.x, что упрощает создание сценария автоматической атаки.
Доступные диапазоны:
Любые 10.x.x.x
Любой 192.168.x.x
172.16.x.x до 172.31.x.x

Измените LAN-адрес маршрутизатора по умолчанию , Если кто-то действительно получает доступ к вашей локальной сети, он знает, что IP-адрес маршрутизатора - x.x.x.1 или x.x.x.254; не облегчай им задачу.

Отключить или ограничить DHCP , Отключение DHCP обычно нецелесообразно, если вы не находитесь в очень статической сетевой среде. Я предпочитаю ограничивать DHCP 10-20 IP-адресами, начиная с x.x.x.101; это упрощает отслеживание того, что происходит в вашей сети. Я предпочитаю размещать свои «постоянные» устройства (настольные компьютеры, принтеры, NAS и т. Д.) На статических IP-адресах. Таким образом, только ноутбуки, планшеты, телефоны и гости будут использовать DHCP.

Отключить доступ администратора по беспроводной сети , Эта функция доступна не на всех домашних маршрутизаторах.

Отключить трансляцию SSID , Это несложно для профессионала преодолеть и может затруднить доступ посетителей к вашей сети Wi-Fi.

Использовать фильтрацию MAC-адресов , То же, что и выше; неудобно для посетителей.

Некоторые из этих элементов относятся к категории «Security by Obscurity», и многие ИТ-специалисты и специалисты по безопасности смеются над ними, говоря, что они не являются мерами безопасности. В каком-то смысле они абсолютно правы. Однако, если есть меры, которые можно предпринять, чтобы затруднить взлом вашей сети, я думаю, об этом стоит подумать.

Хорошая безопасность - это не «установил и забыл». Все мы слышали о многочисленных нарушениях безопасности в некоторых из крупнейших компаний. Меня действительно раздражает то, что вас здесь скомпрометировали в течение 3, 6, 12 месяцев или более, прежде чем это было обнаружено.

Найдите время, чтобы просмотреть свои журналы. Сканируйте свою сеть в поисках неожиданных устройств и подключений.

Ниже приводится авторитетная ссылка:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf