užitečné články

Nejdůležitější nastavení zabezpečení, která se mají ve vašem routeru změnit

Váš router je první obrannou linií proti hackerům, kteří se pokoušejí získat přístup ke všem zařízením připojeným k internetu u vás doma. Je smutné, že mnoho z nejlepších Wi-Fi routerů se snadno hackne. Měli byste mít obavy - a také se ujistěte, že je váš router správně nastaven.

Už jsme mluvili o základních nastaveních, která byste měli na routeru změnit - a ty věci stále platí.

Shrnout:

  • Změňte výchozí heslo správce - a pokud je to možné, uživatelské jméno
  • Změňte SSID (nebo název vaší bezdrátové sítě) tak, aby vaše zařízení nepřijímala vždy připojení k podobně pojmenovaným sítím (např. „Linkys“) a také abyste hackerům nedělali větší ponětí o modelu vašeho routeru (např. „ linksys ")
  • Nastavte režim zabezpečení bezdrátové sítě na WPA2 a vyberte pro něj dobré dlouhé heslo

Doufejme, že jste již provedli tyto změny zabezpečení. Kromě těchto základů však můžete v těchto stále hackovaných časech udělat více, abyste zamkli zabezpečení sítě.

Nainstalujte si DD-WRT nebo Tomato, pokud to váš směrovač podporuje

Kromě přeplňování routeru dalšími funkcemi jsou firmware DD-WRT a Tomato s otevřeným zdrojovým kódem pravděpodobně bezpečnější než zásobní firmware dodávaný s routerem. DD-WRT a Tomato nemají tendenci být tak náchylní k zranitelnostem nalezeným v mnoha směrovačích, jako je stále populární problém s WPS (Wi-Fi Protected Setup). Pravidelně se také aktualizují, nabízejí více možností zabezpečení (například pokročilé protokolování nebo šifrování DNS pomocí DNSCrypt) a poskytují vám větší kontrolu nad hardwarem. Bezpečnostní expert Brian Krebs říká:

Většina firmwaru směrovače je poměrně neohrabaná a barebone, nebo jinak zahrnuje nezdokumentované „funkce“ nebo omezení.

Normálně, pokud jde o upgrade firmwaru routeru, mám tendenci nasměrovat lidi od firmwaru výrobce k alternativním alternativám s otevřeným zdrojovým kódem, jako jsou DD-WRT nebo Tomato. Dlouho jsem se spoléhal na DD-WRT, protože přichází se všemi zvonky, píšťalkami a možnostmi, které byste kdy mohli chtít ve firmwaru routeru, ale obvykle tyto funkce ve výchozím nastavení vypne, pokud je nezapnete.

Na stránkách podporovaných zařízení zkontrolujte, zda DD-WRT a Tomato nefungují. Tomato je uživatelsky přívětivější, ale DD-WRT je plná dalších nastavení.

Pravidelně aktualizujte svůj firmware

Bez ohledu na to, zda používáte firmware skladu nebo třetí stranu, je důležité udržet firmware aktuální, protože stále jsou objevována nová zranitelná místa (jako je chyba Linksys, která poskytla vzdáleným uživatelům přístup k administrační konzoli bez nutnosti přihlaste se nebo zadní vrátka zabudovaná do několika oblíbených směrovačů).

Skutečné kroky aktualizace firmwaru se mohou lišit podle routeru, ale většina vám umožní zkontrolovat nový firmware z ovládacího panelu routeru. V prohlížeči zadejte IP adresu routeru, přihlaste se a podívejte se do části Pokročilá nastavení nebo administrace. Můžete také zkontrolovat webovou stránku podpory výrobce směrovače a zjistit, zda je k dispozici nový firmware.

Některé směrovače také nabízejí možnost automatické aktualizace na nejnovější firmware, ale můžete raději zkontrolovat, co aktualizace nabízejí a nainstalovat ručně.

Vypněte vzdálenou správu

U mnoha směrovačů je toto nastavení ve výchozím nastavení vypnuto, ale pouze v případě, že je zakázána vzdálená správa (známá také jako vzdálená správa nebo povolit přístup na web z WAN). Vzdálená správa umožňuje přístup k ovládacímu panelu směrovače z vnější strany vaší domácí sítě - abyste viděli, proč by to byl problém. Toto nastavení je opět pravděpodobně ve vaší pokročilé nebo administrační sekci.

Zakázat UPnP

UPnP neboli Universal Plug and Play jsou navrženy tak, aby usnadňovaly objevování síťových zařízení routerem. Tento protokol je bohužel také protkán závažnými bezpečnostními dírami, přičemž chyby a špatné implementace UPnP ovlivňují miliony zařízení připojených online. Největším problémem je, že UPnP nemá žádnou autentizaci (považuje každé zařízení a uživatele za důvěryhodné). How-To Geek vysvětluje některé problémy s UPnP, pokud je na vašem routeru povoleno, mezi něž patří možnost škodlivých aplikací přesměrovat provoz na různé adresy IP mimo místní síť.

Test UPnP GRC vám může sdělit, zda jsou vaše zařízení v bezpečí a jsou vystavena veřejnému internetu. V takovém případě byste je měli odpojit. (Poznámka: Kliknutím na červenou stužku v pravém horním rohu stránky spustíte skutečný test; stránka, na kterou přistoupíte prostřednictvím tohoto odkazu, je pouze příkladem.)

Chcete-li na routeru vypnout UPnP, přejděte do konzoly pro správu a vyhledejte nastavení UPnP (na mnoha směrovačích je to v administrační sekci). Zakažte také možnost „Povolit uživateli konfiguraci UPnP“, pokud je k dispozici. Mějte na paměti, že to neovlivní vaši schopnost říkat například streamování videí v síti pomocí UPnP - ovlivňuje to pouze věci mimo vaši síť. To znamená, že možná budete muset ručně nastavit předávání portů, aby věci jako BitTorrent fungovaly optimálně.

Další nastavení, která pravděpodobně nestojí za problém

Možná jste také slyšeli o jiných nastaveních, jako je zapnutí filtrování MAC nebo skrytí SSID vaší sítě, ale pro všechny jejich problémy nepřidávají příliš mnoho zabezpečení.

SSID skrývá

Skrytí SSID routeru na první pohled zní jako dobrý nápad, ale ve skutečnosti by to mohlo znamenat vaši bezpečnost. Odborník na zabezpečení Wi-Fi Joshua Wright vysvětluje na Tech Republic:

Otázka: Joshua, dejte mi prosím vědět vaše myšlenky na deaktivaci vysílání SSID routeru.

Joshua Wright: Je to špatný nápad. Vím, že specifikace PCI vyžaduje, abyste to udělali, a řekl jsem jim, že musí tento požadavek ze specifikace odstranit. Představte si, že jste vládní základnou a neřeknete svým agentům, kde se nacházíte. Musí chodit kolem a ptát se: "Jste vládní základna?" všem setkání. Nakonec nějaký šikovný hacker nebo špatný člověk řekne: "Heck YEAH, jsem tvoje základna, pojď dál a poděl se se mnou o svá tajemství." To je v podstatě to, co se stane s maskováním SSID, kde se musíte zeptat každého AP, se kterým se setkáte, pokud je požadovaný SSID k dispozici, což útočníkovi umožňuje vydávat se na SSID na letišti, v kavárně, v letadle atd. Stručně řečeno, Nezakrývejte si SSID, ale také své SSID nedělejte jako „sexyhackertargethere“.

Skrytí vašeho SSID routeru může zabránit vašim sousedům v pokusu o uvolnění zátěže ve vaší síti, ale nezastaví to schopné hackery a může dokonce fungovat jako hlasitý maják, který jim říká: „Hej, tady se snažím skrýt.“ Kromě toho, pokud se snažíte zabránit sousedům v bezplatném nakládání, ujistěte se, že máte zabezpečené heslo.

Filtrování MAC

Podobně filtrování MAC, které omezuje přístup k síti pouze na zařízení, která povolíte, zní skvěle a může poskytnout další ochranu před průměrným freeloaderem, ale MAC adresy jsou snadno spoof. Uživatel zásobníku Exchange sysadmin1138 to shrnuje takto:

Pro někoho, kdo chce vaši síť konkrétně, bude šifrování (zejména neporušené šifrování) poskytovat mnohem lepší zabezpečení. MAC spoofing je dnes ve většině adaptérů triviální a poté, co jste rozbili síť do bodu, kdy můžete sledovat pakety za letu, můžete získat seznam platných MAC adres. SSID je v tomto bodě také triviální. Vzhledem k automatizované povaze dostupných sad nástrojů, filtrování MAC a skrývání SSID již opravdu nestojí za námahu. Dle mého názoru.

To znamená, že pokud vám to nebude vadit, zapnutí filtrování MAC nebude bolet. Jenom vím, že se nejedná o silnou bezpečnostní funkci, která by se mohla zdát - a je to docela hádka, pokud někdy dostanete nové zařízení nebo máte přítele navštivte.

Statické IP adresy

Nakonec je zde ještě jedno nastavení, které byste mohli zvážit: Vypnutí DHCP, které automaticky rozdává síťové adresy zařízením připojeným k routeru. Místo toho můžete všem zařízením přiřadit statické adresy IP. Teorie je, že pokud je DHCP zakázáno, neznámým strojům nebude dána adresa.

Jak DHCP, tak statická IP však mají rizika i nevýhody, jak zdůrazňuje tato diskuse o zásobníku Exchage; statické adresy IP mohou být náchylné k útokům spoofingu, zatímco zařízení, která získávají své adresy IP prostřednictvím protokolu DHCP, mohou být vystaveny útokům typu „man-in-the-middle“ ze nepoctivých serverů DHCP. Neexistuje žádný solidní konsensus o tom, co je lepší pro bezpečnost (i když několik z komunity Microsoftu tvrdí, že to nezmění).

Pokud máte nastavení zabezpečení zmíněné ve výše uvedených oddílech, klidně si odpočiňte s vědomím, že s největší pravděpodobností děláte maximum pro zabezpečení své domácí sítě.