Säkra din trådlösa router

Prova Vårt Instrument För Att Eliminera Problem

Det finns inget sådant som perfekt säkerhet. Med tanke på tillräcklig kunskap, resurser och tid kan alla system komprometteras. Det bästa du kan göra är att göra det så svårt för en angripare som möjligt. Som sagt det finns steg du kan vidta för att härda ditt nätverk mot den stora majoriteten av attacker.

Standardkonfigurationerna för vad jag kallar konsumentkvalitativa routrar erbjuder ganska grundläggande säkerhet. För att vara ärlig krävs det inte mycket för att kompromissa med dem. När jag installerar en ny router (eller återställer en befintlig) använder jag sällan 'installationsguiderna'. Jag går igenom och konfigurerar allt exakt hur jag vill ha det. Om det inte finns någon god anledning lämnar jag det vanligtvis inte som standard.

Jag kan inte berätta exakt vilka inställningar du behöver ändra. Varje routers administrationssida är annorlunda; även router från samma tillverkare. Beroende på den specifika routern kan det finnas inställningar som du inte kan ändra. För många av dessa inställningar måste du komma åt det avancerade konfigurationsavsnittet på admin-sidan.

Dricks : du kan använda Android-app RouterCheck för att testa din routers säkerhet .

Jag har inkluderat skärmdumpar av en Asus RT-AC66U. Det är i standardläget.

Uppdatera din firmware. De flesta uppdaterar firmware när de först installerar routern och lämnar den sedan i fred. Ny forskning har visat att 80% av de 25 mest sålda trådlösa routermodellerna har säkerhetsproblem. Påverkade tillverkare inkluderar: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet och andra. De flesta tillverkare släpper uppdaterad firmware när sårbarheter tas upp. Ställ in en påminnelse i Outlook eller vilket e-postsystem du använder. Jag rekommenderar att du letar efter uppdateringar var tredje månad. Jag vet att det låter som en no-brainer, men installerar bara firmware från tillverkarens webbplats.

Inaktivera också routerns kapacitet för att automatiskt leta efter uppdateringar. Jag är inte fan av att låta enheter 'telefon hemma'. Du har ingen kontroll över vilket datum som skickas. Visste du till exempel att flera så kallade ”Smart TV-apparater” skickar information tillbaka till sin tillverkare? De skickar alla dina visningsvanor varje gång du byter kanal. Om du ansluter en USB-enhet till dem skickar de en lista med alla filnamn på enheten. Dessa data är okrypterade och skickas även om menyinställningen är inställd på NEJ.

Inaktivera fjärradministration. Jag förstår att vissa människor måste kunna konfigurera sitt nätverk på distans. Om du måste göra, åtminstone aktivera https-åtkomst och ändra standardporten. Observera att detta inkluderar alla typer av 'moln' -baserad hantering, såsom Linksys Smart WiFi-konto och Asus 'AiCloud.

Använd ett starkt lösenord för routeradministratör. Nog sagt. Standardlösenord för routrar är vanliga kunskaper och du vill inte att någon bara ska prova ett standardkort och komma in i routern.

Aktivera HTTPS för alla admin-anslutningar. Detta är som standard inaktiverat på många routrar.

wireless-security-1

Begränsa inkommande trafik. Jag vet att detta är sunt förnuft, men ibland förstår människor inte konsekvenserna av vissa inställningar. Om du måste använda port vidarebefordran, var mycket selektiv. Använd om möjligt en icke-standardport för den tjänst du konfigurerar. Det finns också inställningar för filtrering av anonym internettrafik (ja) och för ping-svar (nej).

wireless-security-2

Använd WPA2-kryptering för WiFi. Använd aldrig WEP. Det kan brytas inom några minuter med programvara som är fritt tillgänglig på internet. WPA är inte mycket bättre.

wireless-security-3

Stäng av WPS (WiFi Protected Setup) . Jag förstår bekvämligheten med att använda WPS, men det var en dålig idé att börja.

wireless-security-4

Begränsa utgående trafik. Som nämnts ovan gillar jag normalt inte enheter som ringer hem. Om du har dessa typer av enheter kan du överväga att blockera all internettrafik från dem.

Inaktivera oanvända nätverkstjänster, särskilt uPnP. Det finns en allmänt känd sårbarhet när du använder uPnP-tjänst. Andra tjänster är förmodligen onödiga: Telnet, FTP, SMB (Samba / fildelning), TFTP, IPv6

Logga ut från admin-sidan när du är klar . Att bara stänga webbsidan utan att logga ut kan lämna en autentiserad session öppen i routern.

Kontrollera om port 32764 är sårbar . Såvitt jag vet är vissa routrar som producerats av Linksys (Cisco), Netgear och Diamond påverkade, men det kan finnas andra. Nyare firmware släpptes, men kanske inte korrigerar systemet helt.

Kontrollera din router på: https://www.grc.com/x/portprobe=32764

Slå på loggning . Leta regelbundet efter misstänksam aktivitet i dina loggar. De flesta routrar har möjlighet att skicka e-post till loggarna till dig med bestämda intervall. Se också till att klockan och tidszonen är korrekt inställda så att dina loggar är korrekta.

För de verkligen säkerhetsmedvetna (eller kanske bara paranoida) är följande ytterligare steg att tänka på

Ändra administratörens användarnamn . Alla vet att standard är vanligtvis admin.

Ställ in ett 'Gäst' -nätverk . Många nyare routrar kan skapa separata trådlösa gästnätverk. Se till att den bara har tillgång till internet och inte ditt LAN (intranät). Använd naturligtvis samma krypteringsmetod (WPA2-Personal) med en annan lösenfras.

Anslut inte USB-lagring till din router . Detta möjliggör automatiskt många tjänster på din router och kan exponera innehållet på den enheten på internet.

Använd en alternativ DNS-leverantör . Chansen är stor att du använder de DNS-inställningar din ISP gav dig. DNS har alltmer blivit ett mål för attacker. Det finns DNS-leverantörer som har vidtagit ytterligare åtgärder för att säkra sina servrar. Som en extra bonus kan en annan DNS-leverantör öka din internetprestanda.

Ändra standard IP-adressintervallet i ditt LAN (inuti) nätverk . Varje router för konsumentkvalitet som jag har sett använder antingen 192.168.1.x eller 192.168.0.x vilket gör det lättare att skripta en automatiserad attack.
Tillgängliga intervall är:
Alla 10x.x.x
Alla 192.168.x.x
172.16.x.x till 172.31.x.x

Ändra routerns standard LAN-adress . Om någon får åtkomst till ditt LAN vet de att routerns IP-adress är antingen x.x.x.1 eller x.x.x.254; gör det inte lätt för dem.

wireless-security-5

Inaktivera eller begränsa DHCP . Att stänga av DHCP är vanligtvis inte praktiskt om du inte befinner dig i en mycket statisk nätverksmiljö. Jag föredrar att begränsa DHCP till 10-20 IP-adresser som börjar på x.x.x.101; detta gör det lättare att hålla reda på vad som händer i ditt nätverk. Jag föredrar att placera mina 'permanenta' enheter (stationära datorer, skrivare, NAS etc.) på statiska IP-adresser. På det sättet är det bara bärbara datorer, surfplattor, telefoner och gäster som använder DHCP.

wireless-security-6

Inaktivera adminåtkomst från trådlöst . Den här funktionen är inte tillgänglig på alla hemmarutrar.

Inaktivera SSID-sändning . Detta är inte svårt för en professionell att övervinna och kan göra det ont att låta besökare i ditt WiFi-nätverk.

Använd MAC-filtrering . Samma som ovan; besvärligt för besökare.

Vissa av dessa artiklar faller inom kategorin 'Säkerhet genom fördömnad', och det finns många IT- och säkerhetspersonal som lurar på dem och säger att de inte är säkerhetsåtgärder. På ett sätt är de helt korrekta. Men om det finns åtgärder du kan vidta för att göra det svårare att kompromissa med ditt nätverk, tror jag det är värt att överväga.

God säkerhet är inte 'ställ in och glöm det'. Vi har alla hört talas om de många säkerhetsöverträdelserna hos några av de största företagen. För mig är den riktigt irriterande delen när du här de komprometterades i 3, 6, 12 månader eller mer innan den upptäcktes.

Ta dig tid att titta igenom dina loggar. Skanna ditt nätverk och leta efter oväntade enheter och anslutningar.

Nedan är en auktoritativ referens: