Bảo vệ bộ định tuyến không dây của bạn
- Thể LoạI: Mạng Lưới
Không có cái gọi là bảo mật hoàn hảo. Có đủ kiến thức, nguồn lực và thời gian, bất kỳ hệ thống nào cũng có thể bị xâm phạm. Điều tốt nhất bạn có thể làm là gây khó khăn cho kẻ tấn công nhất có thể. Điều đó nói rằng có những bước bạn có thể thực hiện để củng cố mạng của mình trước phần lớn các cuộc tấn công.
Các cấu hình mặc định cho những gì tôi gọi là bộ định tuyến cấp người tiêu dùng cung cấp bảo mật khá cơ bản. Thành thật mà nói, không cần nhiều để thỏa hiệp với chúng. Khi tôi cài đặt bộ định tuyến mới (hoặc đặt lại bộ định tuyến hiện có), tôi hiếm khi sử dụng 'trình hướng dẫn thiết lập'. Tôi xem xét và định cấu hình mọi thứ chính xác theo cách tôi muốn. Trừ khi có lý do chính đáng, tôi thường không để mặc định.
Tôi không thể cho bạn biết cài đặt chính xác mà bạn cần thay đổi. Mỗi trang quản trị của bộ định tuyến đều khác nhau; thậm chí cả bộ định tuyến từ cùng một nhà sản xuất. Tùy thuộc vào bộ định tuyến cụ thể, có thể có các cài đặt bạn không thể thay đổi. Đối với nhiều cài đặt này, bạn sẽ cần truy cập vào phần cấu hình nâng cao của trang quản trị.
tiền boa : bạn có thể sử dụng Ứng dụng Android RouterCheck để kiểm tra tính bảo mật của bộ định tuyến của bạn .
Tôi đã gửi kèm ảnh chụp màn hình của Asus RT-AC66U. Nó ở trạng thái mặc định.
Cập nhật chương trình cơ sở của bạn. Hầu hết mọi người cập nhật chương trình cơ sở khi họ cài đặt bộ định tuyến lần đầu tiên và sau đó để yên. Nghiên cứu gần đây đã chỉ ra rằng 80% trong số 25 mẫu bộ định tuyến không dây bán chạy nhất có lỗ hổng bảo mật. Các nhà sản xuất bị ảnh hưởng bao gồm: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet và các hãng khác. Hầu hết các nhà sản xuất phát hành phần sụn cập nhật khi các lỗ hổng được đưa ra ánh sáng. Đặt lời nhắc trong Outlook hoặc bất kỳ hệ thống email nào bạn sử dụng. Tôi khuyên bạn nên kiểm tra các bản cập nhật 3 tháng một lần. Tôi biết điều này nghe có vẻ không có trí tuệ, nhưng chỉ cài đặt chương trình cơ sở từ trang web của nhà sản xuất.
Ngoài ra, hãy tắt khả năng tự động kiểm tra các bản cập nhật của bộ định tuyến. Tôi không phải là người thích để các thiết bị ở 'nhà'. Bạn không có quyền kiểm soát ngày nào được gửi. Ví dụ: bạn có biết rằng một số cái gọi là 'TV thông minh' gửi thông tin trở lại nhà sản xuất của chúng không? Họ gửi tất cả thói quen xem của bạn mỗi khi bạn thay đổi kênh. Nếu bạn cắm ổ USB vào chúng, chúng sẽ gửi một danh sách mọi tên tệp trên ổ đó. Dữ liệu này không được mã hóa và được gửi ngay cả khi cài đặt menu được đặt thành KHÔNG.
Tắt quản trị từ xa. Tôi hiểu rằng một số người cần có thể cấu hình lại mạng của họ từ xa. Nếu bạn phải làm vậy, ít nhất hãy bật quyền truy cập https và thay đổi cổng mặc định. Lưu ý rằng điều này bao gồm mọi loại quản lý dựa trên ‘đám mây’, chẳng hạn như Tài khoản WiFi thông minh của Linksys và AiCloud của Asus.
Sử dụng mật khẩu mạnh cho quản trị viên bộ định tuyến. Nói đủ rồi. Mật khẩu mặc định cho bộ định tuyến là kiến thức phổ biến và bạn không muốn bất kỳ ai chỉ thử pass mặc định và truy cập vào bộ định tuyến.
Bật HTTPS cho tất cả các kết nối quản trị viên. Điều này được tắt theo mặc định trên nhiều bộ định tuyến.
Hạn chế lưu lượng trong nước. Tôi biết đây là lẽ thường tình, nhưng đôi khi mọi người không hiểu hậu quả của một số cài đặt nhất định. Nếu bạn phải sử dụng chuyển tiếp cổng, hãy thật chọn lọc. Nếu có thể, hãy sử dụng cổng không chuẩn cho dịch vụ bạn đang định cấu hình. Ngoài ra còn có các cài đặt để lọc lưu lượng truy cập internet ẩn danh (có) và phản hồi ping (không).
Sử dụng mã hóa WPA2 cho WiFi. Không bao giờ sử dụng WEP. Nó có thể bị hỏng trong vòng vài phút với phần mềm có sẵn miễn phí trên internet. WPA không tốt hơn nhiều.
Tắt WPS (Thiết lập WiFi được Bảo vệ) . Tôi hiểu sự tiện lợi của việc sử dụng WPS, nhưng đó là một ý tưởng tồi khi bắt đầu.
Hạn chế lưu lượng ra ngoài. Như đã đề cập ở trên, tôi thường không thích các thiết bị điện thoại ở nhà. Nếu bạn có những loại thiết bị này, hãy xem xét việc chặn tất cả lưu lượng truy cập internet từ chúng.
Tắt các dịch vụ mạng không sử dụng, đặc biệt là uPnP. Có một lỗ hổng được biết đến rộng rãi khi sử dụng dịch vụ uPnP. Các dịch vụ khác có thể không cần thiết: Telnet, FTP, SMB (Samba / chia sẻ tệp), TFTP, IPv6
Đăng xuất khỏi trang quản trị khi hoàn tất . Chỉ cần đóng trang web mà không đăng xuất có thể mở một phiên đã xác thực trong bộ định tuyến.
Kiểm tra lỗ hổng cổng 32764 . Theo hiểu biết của tôi, một số bộ định tuyến do Linksys (Cisco), Netgear và Diamond sản xuất bị ảnh hưởng, nhưng có thể có những bộ khác. Phần mềm cơ sở mới hơn đã được phát hành, nhưng có thể không vá đầy đủ hệ thống.
Kiểm tra bộ định tuyến của bạn tại: https://www.grc.com/x/portprobe=32764
Bật ghi nhật ký . Tìm kiếm hoạt động đáng ngờ trong nhật ký của bạn một cách thường xuyên. Hầu hết các bộ định tuyến đều có khả năng gửi nhật ký qua email cho bạn vào những khoảng thời gian đã định. Đồng thời đảm bảo đồng hồ và múi giờ được đặt chính xác để nhật ký của bạn được chính xác.
Đối với những người thực sự có ý thức về bảo mật (hoặc có thể chỉ hoang tưởng), sau đây là các bước bổ sung cần xem xét
Thay đổi tên người dùng quản trị viên . Mọi người đều biết mặc định thường là admin.
Thiết lập mạng 'Khách' . Nhiều bộ định tuyến mới hơn có khả năng tạo các mạng khách không dây riêng biệt. Đảm bảo rằng nó chỉ có quyền truy cập vào internet chứ không phải mạng LAN (mạng nội bộ) của bạn. Tất nhiên, sử dụng cùng một phương pháp mã hóa (WPA2-Personal) với một cụm mật khẩu khác.
Không kết nối bộ lưu trữ USB với bộ định tuyến của bạn . Điều này tự động bật nhiều dịch vụ trên bộ định tuyến của bạn và có thể hiển thị nội dung của ổ đĩa đó với internet.
Sử dụng nhà cung cấp DNS thay thế . Rất có thể bạn đang sử dụng bất kỳ cài đặt DNS nào mà ISP của bạn cung cấp cho bạn. DNS ngày càng trở thành mục tiêu của các cuộc tấn công. Có những nhà cung cấp DNS đã thực hiện các bước bổ sung để bảo mật máy chủ của họ. Như một phần thưởng bổ sung, nhà cung cấp DNS khác có thể tăng hiệu suất internet của bạn.
Thay đổi dải địa chỉ IP mặc định trên mạng LAN (bên trong) của bạn . Mọi bộ định tuyến dành cho người tiêu dùng mà tôi đã thấy đều sử dụng 192.168.1.x hoặc 192.168.0.x giúp dễ dàng hơn trong việc lập kịch bản một cuộc tấn công tự động.
Phạm vi có sẵn là:
10.x.x.x bất kỳ
Bất kỳ 192.168.x.x
172.16.x.x đến 172.31.x.x
Thay đổi địa chỉ LAN mặc định của bộ định tuyến . Nếu ai đó có quyền truy cập vào mạng LAN của bạn, họ biết địa chỉ IP của bộ định tuyến là x.x.x.1 hoặc x.x.x.254; đừng làm cho họ dễ dàng.
Tắt hoặc hạn chế DHCP . Tắt DHCP thường không thực tế trừ khi bạn đang ở trong một môi trường mạng rất tĩnh. Tôi muốn hạn chế DHCP ở 10-20 địa chỉ IP bắt đầu từ x.x.x.101; điều này giúp bạn dễ dàng theo dõi những gì đang xảy ra trên mạng của mình. Tôi thích đặt các thiết bị 'vĩnh viễn' của mình (máy tính để bàn, máy in, NAS, v.v.) trên địa chỉ IP tĩnh. Theo cách đó, chỉ máy tính xách tay, máy tính bảng, điện thoại và khách đang sử dụng DHCP.
Tắt quyền truy cập quản trị từ mạng không dây . Chức năng này không có sẵn trên tất cả các bộ định tuyến gia đình.
Tắt truyền phát SSID . Điều này không khó đối với một chuyên gia để khắc phục và có thể khiến bạn khó khăn khi cho phép khách truy cập trên mạng WiFi của bạn.
Sử dụng lọc MAC . Giống như trên; gây bất tiện cho du khách.
Một số trong số các mục này thuộc danh mục ‘Bảo mật bởi sự kém tinh khiết’ và có rất nhiều chuyên gia bảo mật và CNTT chế giễu chúng, nói rằng chúng không phải là biện pháp bảo mật. Theo một cách nào đó, chúng hoàn toàn chính xác. Tuy nhiên, nếu có những bước bạn có thể thực hiện để làm cho việc xâm nhập mạng của bạn trở nên khó khăn hơn, thì tôi nghĩ điều đó đáng được xem xét.
Bảo mật tốt không phải là 'đặt nó và quên nó đi'. Tất cả chúng ta đều đã nghe nói về nhiều vi phạm bảo mật tại một số công ty lớn nhất. Đối với tôi, phần thực sự khó chịu là khi bạn ở đây, họ đã bị xâm phạm trong 3, 6, 12 tháng hoặc hơn trước khi nó được phát hiện.
Hãy dành thời gian để xem qua nhật ký của bạn. Quét mạng của bạn để tìm các thiết bị và kết nối không mong muốn.
Dưới đây là tài liệu tham khảo có thẩm quyền: