Sikre din trådløse router

Der er ikke sådan noget som perfekt sikkerhed. Givet tilstrækkelig viden, ressourcer og tid, ethvert system kan kompromitteres. Det bedste du kan gøre er at gøre det så svært for en angriber som muligt. Når det er sagt, er der skridt, du kan tage for at hærde dit netværk mod langt de fleste angreb.

Standardkonfigurationer for det, jeg kalder routere til forbrugerkvalitet, tilbyder ret grundlæggende sikkerhed. For at være ærlig kræver det ikke meget at gå på kompromis med dem. Når jeg installerer en ny router (eller nulstiller en eksisterende), bruger jeg sjældent 'installationsguiderne'. Jeg går igennem og konfigurerer alt præcist, hvordan jeg vil have det. Medmindre der er en god grund, forlader jeg det som standard ikke.

Jeg kan ikke fortælle dig de nøjagtige indstillinger, du har brug for at ændre. Hver routers admin-side er forskellig; endda router fra den samme producent. Afhængig af den specifikke router kan der være indstillinger, som du ikke kan ændre. I mange af disse indstillinger skal du få adgang til det avancerede konfigurationsafsnit på admin-siden.

Tip : du kan bruge Android-appen RouterCheck til at teste din routers sikkerhed.

Jeg har inkluderet skærmbilleder af en Asus RT-AC66U. Det er i standardtilstand.

Opdater din firmware. De fleste mennesker opdaterer firmwaren, når de først installerer routeren og lader den derefter være i fred. Nylig forskning har vist, at 80% af de 25 mest solgte trådløse routermodeller har sikkerhedssårbarheder. Berørte producenter inkluderer: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet og andre. De fleste producenter frigiver opdateret firmware, når sårbarheder bringes frem. Angiv en påmindelse i Outlook eller hvilket e-mail-system du bruger. Jeg anbefaler at tjekke for opdateringer hver 3. måned. Jeg ved, at dette lyder som en no-brainer, men installer kun firmware fra producentens websted.

Deaktiver også routerens kapacitet til automatisk at kontrollere, om der er opdateringer. Jeg er ikke tilhænger af at lade enheder 'telefon hjem'. Du har ingen kontrol over, hvilken dato der sendes. Vidste du for eksempel, at flere såkaldte "Smart TV'er" sender information tilbage til deres producent? De sender alle dine seervaner, hver gang du skifter kanal. Hvis du tilslutter et USB-drev til dem, sender de en liste over hvert filnavn på drevet. Disse data er ikke-krypterede og sendes, selvom menuindstillingen er indstillet til NEJ.

Deaktiver fjernadministration. Jeg forstår, at nogle mennesker har brug for at kunne konfigurere deres netværk eksternt. Hvis du skal, skal du i det mindste aktivere https-adgang og ændre standardporten. Bemærk, at dette inkluderer enhver type 'sky'-baseret styring, såsom Linksys' Smart WiFi-konto og Asus 'AiCloud.

Brug en stærk adgangskode til routeradministration. Nok sagt. Standard adgangskoder til routere er almindelig viden, og du ønsker ikke, at nogen bare skal prøve et standardpas og komme ind i routeren.

Aktivér HTTPS for alle administratorforbindelser. Dette er som standard deaktiveret på mange routere.

Begræns indgående trafik. Jeg ved, at dette er sund fornuft, men nogle gange forstår folk ikke konsekvenserne af visse indstillinger. Hvis du skal bruge portvideresendelse, skal du være meget selektiv. Brug om muligt en ikke-standardport til den service, du konfigurerer. Der er også indstillinger til filtrering af anonym internettrafik (ja) og til ping-svar (nej).

Brug WPA2-kryptering til WiFi. Brug aldrig WEP. Det kan brydes inden for få minutter med software, der er frit tilgængeligt på internettet. WPA er ikke meget bedre.

Sluk for WPS (WiFi Protected Setup) . Jeg forstår bekvemmeligheden ved at bruge WPS, men det var en dårlig ide at starte.

Begræns udgående trafik. Som nævnt ovenfor kan jeg normalt ikke lide enheder, der ringer hjem. Hvis du har disse typer enheder, kan du overveje at blokere al internettrafik fra dem.

Deaktiver ubrugte netværkstjenester, især uPnP. Der er en meget kendt sårbarhed, når du bruger uPnP-service. Andre tjenester er sandsynligvis unødvendige: Telnet, FTP, SMB (Samba / fildeling), TFTP, IPv6

Log ud fra admin-siden, når du er færdig . Bare lukning af websiden uden at logge ud kan efterlade en godkendt session åben i routeren.

Kontroller, om der er sårbarhed ved port 32764 . Så vidt jeg ved, er nogle routere produceret af Linksys (Cisco), Netgear og Diamond berørt, men der kan være andre. Nyere firmware blev frigivet, men muligvis laver ikke systemet helt.

Tjek din router på: //www.grc.com/x/portprobe=32764

Tænd for logning . Se regelmæssigt efter mistænkelig aktivitet i dine logfiler. De fleste routere har kapacitet til at e-maile logfilerne til dig med bestemte intervaller. Sørg også for, at uret og tidszonen er indstillet korrekt, så dine logfiler er nøjagtige.

For de virkelig sikkerhedsbevidste (eller måske bare paranoide) er følgende yderligere trin at overveje

Skift admin-brugernavn . Alle ved, at standard er normalt admin.

Opret et 'Gæst' netværk . Mange nyere routere er i stand til at oprette separate trådløse gæstenetværk. Sørg for, at den kun har adgang til internettet og ikke dit LAN (intranet). Brug naturligvis den samme krypteringsmetode (WPA2-Personal) med en anden adgangssætning.

Tilslut ikke USB-lager til din router . Dette aktiverer automatisk mange tjenester på din router og udsætter muligvis indholdet af dette drev til internettet.

Brug en alternativ DNS-udbyder . Chancerne er, at du bruger de DNS-indstillinger, som din internetudbyder gav dig. DNS er i stigende grad blevet et mål for angreb. Der er DNS-udbydere, der har taget yderligere skridt for at sikre deres servere. Som en ekstra bonus kan en anden DNS-udbyder øge din internetpræstation.

Skift standard IP-adresseinterval på dit LAN (indvendigt) netværk . Hver router, jeg har set på forbrugerklasse, har set, bruger 192.168.1.x eller 192.168.0.x, hvilket gør det lettere at scriptere et automatiseret angreb.

Tilgængelige intervaller er:

Enhver 10.xxx

Enhver 192.168.xx

172.16.xx til 172.31.xx

Skift routerens standard LAN-adresse . Hvis nogen får adgang til dit LAN, ved de, at routerens IP-adresse er enten xxx1 eller xxx254; gør det ikke let for dem.

Deaktiver eller begræns DHCP . Det er normalt ikke praktisk at slukke DHCP, medmindre du er i et meget statisk netværksmiljø. Jeg foretrækker at begrænse DHCP til 10-20 IP-adresser, der starter ved xxx101; dette gør det lettere at holde styr på, hvad der sker på dit netværk. Jeg foretrækker at placere mine 'permanente' enheder (desktops, printere, NAS osv.) På statiske IP-adresser. På den måde bruger kun bærbare computere, tablets, telefoner og gæster DHCP.

Deaktiver administratoradgang fra trådløs . Denne funktionalitet er ikke tilgængelig på alle hjemm routere.

Deaktiver SSID-udsendelse . Dette er ikke svært for en professionel at overvinde og kan gøre det en smerte at tillade besøgende på dit WiFi-netværk.

Brug MAC-filtrering . Samme som ovenfor; upraktisk for besøgende.

Nogle af disse poster falder ind under kategorien 'Sikkerhed ved uklarhed', og der er mange it- og sikkerhedsfolk, der spotter dem og siger, at de ikke er sikkerhedsforanstaltninger. På en måde er de helt korrekte. Men hvis der er trin, du kan tage for at gøre det vanskeligere at gå på kompromis med dit netværk, synes jeg det er værd at overveje.

God sikkerhed er ikke 'indstil det og glem det'. Vi har alle hørt om de mange sikkerhedsbrud hos nogle af de største virksomheder. For mig er den virkelig irriterende del, når du her, de var blevet kompromitteret i 3, 6, 12 måneder eller mere, før den blev opdaget.

Tag dig tid til at gennemse dine logfiler. Scan dit netværk på udkig efter uventede enheder og forbindelser.

Nedenfor er en autoritativ reference:

  • US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf