รักษาความปลอดภัยเราเตอร์ไร้สายของคุณ

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

ไม่มีสิ่งที่เรียกว่าการรักษาความปลอดภัยที่สมบูรณ์แบบ ให้ความรู้ทรัพยากรและเวลาเพียงพอที่ระบบใด ๆ สามารถถูกบุกรุกได้ สิ่งที่ดีที่สุดที่คุณทำได้คือทำให้ผู้โจมตีทำได้ยากที่สุด ที่กล่าวว่ามีขั้นตอนที่คุณสามารถทำได้เพื่อเพิ่มความแข็งแกร่งให้เครือข่ายของคุณจากการโจมตีส่วนใหญ่

การกำหนดค่าเริ่มต้นสำหรับสิ่งที่ฉันเรียกว่าเราเตอร์ระดับผู้บริโภคมีความปลอดภัยขั้นพื้นฐานพอสมควร บอกตามตรงว่าไม่ต้องใช้เวลามากในการประนีประนอม เมื่อฉันติดตั้งเราเตอร์ใหม่ (หรือรีเซ็ตที่มีอยู่) ฉันแทบจะไม่ใช้ 'ตัวช่วยสร้างการตั้งค่า' ฉันทำตามและกำหนดค่าทุกอย่างตามที่ฉันต้องการ หากไม่มีเหตุผลที่ดีฉันมักจะไม่ปล่อยให้เป็นค่าเริ่มต้น

ฉันไม่สามารถบอกคุณได้ว่าคุณต้องเปลี่ยนการตั้งค่าที่แน่นอน หน้าผู้ดูแลระบบของเราเตอร์ทุกหน้าแตกต่างกัน แม้แต่เราเตอร์จากผู้ผลิตรายเดียวกัน อาจมีการตั้งค่าที่คุณไม่สามารถเปลี่ยนแปลงได้ทั้งนี้ขึ้นอยู่กับเราเตอร์ที่ระบุ สำหรับการตั้งค่าเหล่านี้คุณจะต้องเข้าถึงส่วนการกำหนดค่าขั้นสูงของหน้าผู้ดูแลระบบ

ปลาย : คุณสามารถใช้ไฟล์ RouterCheck แอป Android เพื่อทดสอบความปลอดภัยของเราเตอร์ของคุณ .

ฉันได้รวมภาพหน้าจอของ Asus RT-AC66U อยู่ในสถานะเริ่มต้น

อัปเดตเฟิร์มแวร์ของคุณ คนส่วนใหญ่อัปเดตเฟิร์มแวร์เมื่อติดตั้งเราเตอร์เป็นครั้งแรกจากนั้นจึงปล่อยไว้เฉยๆ งานวิจัยล่าสุดพบว่า 80% ของเราเตอร์ไร้สายที่ขายดีที่สุด 25 รุ่นมีช่องโหว่ด้านความปลอดภัย ผู้ผลิตที่ได้รับผลกระทบ ได้แก่ Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet และอื่น ๆ ผู้ผลิตส่วนใหญ่ปล่อยเฟิร์มแวร์ที่อัปเดตเมื่อมีช่องโหว่ปรากฏขึ้น ตั้งค่าการแจ้งเตือนใน Outlook หรือระบบอีเมลที่คุณใช้ ฉันขอแนะนำให้ตรวจสอบการอัปเดตทุกๆ 3 เดือน ฉันรู้ว่านี่ฟังดูเหมือนไม่ง่าย แต่ติดตั้งเฟิร์มแวร์จากเว็บไซต์ของผู้ผลิตเท่านั้น

นอกจากนี้ปิดความสามารถของเราเตอร์เพื่อตรวจสอบการอัปเดตโดยอัตโนมัติ ฉันไม่ชอบให้อุปกรณ์ 'โทรศัพท์บ้าน' คุณไม่สามารถควบคุมได้ว่าจะส่งวันที่ใด ตัวอย่างเช่นคุณทราบหรือไม่ว่า 'สมาร์ททีวี' หลายเครื่องส่งข้อมูลกลับไปยังผู้ผลิตของตน พวกเขาส่งพฤติกรรมการดูทั้งหมดของคุณทุกครั้งที่คุณเปลี่ยนช่อง หากคุณเสียบไดรฟ์ USB เข้ากับไดรฟ์พวกเขาจะส่งรายการชื่อไฟล์ทั้งหมดในไดรฟ์ ข้อมูลนี้ไม่ได้เข้ารหัสและจะถูกส่งแม้ว่าการตั้งค่าเมนูจะถูกตั้งค่าเป็น NO ก็ตาม

ปิดใช้งานการดูแลระบบระยะไกล ฉันเข้าใจว่าบางคนต้องสามารถกำหนดค่าเครือข่ายใหม่ได้จากระยะไกล หากคุณต้องเปิดใช้งานการเข้าถึง https เป็นอย่างน้อยและเปลี่ยนพอร์ตเริ่มต้น โปรดทราบว่าสิ่งนี้รวมถึงการจัดการที่ใช้ 'คลาวด์' ทุกประเภทเช่นบัญชี Smart WiFi ของ Linksys และ AiCloud ของ Asus

ใช้รหัสผ่านที่คาดเดายาก สำหรับผู้ดูแลระบบเราเตอร์ พูดพอแล้ว. รหัสผ่านเริ่มต้นสำหรับเราเตอร์ เป็นความรู้ทั่วไปและคุณไม่ต้องการให้ใครลองใช้รหัสผ่านเริ่มต้นและเข้าสู่เราเตอร์

เปิดใช้งาน HTTPS สำหรับการเชื่อมต่อผู้ดูแลระบบทั้งหมด สิ่งนี้ถูกปิดใช้งานโดยค่าเริ่มต้นในเราเตอร์หลายตัว

wireless-security-1

จำกัด การจราจรขาเข้า ฉันรู้ว่านี่เป็นเรื่องธรรมดา แต่บางครั้งผู้คนก็ไม่เข้าใจผลของการตั้งค่าบางอย่าง หากคุณต้องใช้การส่งต่อพอร์ตโปรดเลือกให้มาก หากเป็นไปได้ให้ใช้พอร์ตที่ไม่ได้มาตรฐานสำหรับบริการที่คุณกำลังกำหนดค่า นอกจากนี้ยังมีการตั้งค่าสำหรับกรองปริมาณการใช้อินเทอร์เน็ตที่ไม่ระบุตัวตน (ใช่) และสำหรับการตอบสนองแบบ ping (ไม่ใช่)

wireless-security-2

ใช้การเข้ารหัส WPA2 สำหรับ WiFi ห้ามใช้ WEP สามารถเสียได้ภายในไม่กี่นาทีด้วยซอฟต์แวร์ที่มีอยู่บนอินเทอร์เน็ตอย่างอิสระ WPA ไม่ได้ดีขึ้นมาก

wireless-security-3

ปิด WPS (WiFi Protected Setup) . ฉันเข้าใจความสะดวกในการใช้ WPS แต่มันเป็นความคิดที่ดีที่จะเริ่มต้น

wireless-security-4

จำกัด การจราจรขาออก ตามที่กล่าวไว้ข้างต้นปกติแล้วฉันไม่ชอบอุปกรณ์ที่โทรศัพท์บ้าน หากคุณมีอุปกรณ์ประเภทนี้ให้พิจารณาบล็อกการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดจากอุปกรณ์เหล่านี้

ปิดใช้งานบริการเครือข่ายที่ไม่ได้ใช้โดยเฉพาะ uPnP มีช่องโหว่ที่รู้จักกันอย่างแพร่หลายเมื่อใช้บริการ uPnP บริการอื่น ๆ อาจไม่จำเป็น: Telnet, FTP, SMB (Samba / การแชร์ไฟล์), TFTP, IPv6

ออกจากระบบหน้าผู้ดูแลระบบเมื่อเสร็จสิ้น . เพียงแค่ปิดหน้าเว็บโดยไม่ต้องออกจากระบบก็สามารถเปิดเซสชันที่พิสูจน์ตัวตนไว้ในเราเตอร์ได้

ตรวจสอบช่องโหว่ของพอร์ต 32764 . จากความรู้ของฉันเราเตอร์บางตัวที่ผลิตโดย Linksys (Cisco), Netgear และ Diamond ได้รับผลกระทบ แต่อาจมีบางตัว เฟิร์มแวร์รุ่นใหม่ออกมาแล้ว แต่อาจไม่สามารถแก้ไขระบบได้ทั้งหมด

ตรวจสอบเราเตอร์ของคุณที่: https://www.grc.com/x/portprobe=32764

เปิดการบันทึก . มองหากิจกรรมที่น่าสงสัยในบันทึกของคุณเป็นประจำ เราเตอร์ส่วนใหญ่มีความสามารถในการส่งอีเมลบันทึกถึงคุณตามช่วงเวลาที่กำหนด ตรวจสอบให้แน่ใจว่าได้ตั้งค่านาฬิกาและเขตเวลาอย่างถูกต้องเพื่อให้บันทึกของคุณถูกต้อง

สำหรับผู้ที่คำนึงถึงความปลอดภัยอย่างแท้จริง (หรืออาจเป็นเพียงความหวาดระแวง) ต่อไปนี้เป็นขั้นตอนเพิ่มเติมที่ต้องพิจารณา

เปลี่ยนชื่อผู้ใช้ของผู้ดูแลระบบ . ทุกคนรู้ดีว่าค่าเริ่มต้นมักจะเป็นผู้ดูแลระบบ

ตั้งค่าเครือข่าย 'แขก' . เราเตอร์รุ่นใหม่ ๆ จำนวนมากสามารถสร้างเครือข่ายแขกไร้สายแยกกันได้ ตรวจสอบให้แน่ใจว่ามีการเข้าถึงอินเทอร์เน็ตเท่านั้นไม่ใช่ LAN ของคุณ (อินทราเน็ต) แน่นอนใช้วิธีการเข้ารหัสเดียวกัน (WPA2-Personal) ด้วยรหัสผ่านที่แตกต่างกัน

อย่าเชื่อมต่อที่จัดเก็บข้อมูล USB กับเราเตอร์ของคุณ . ซึ่งจะเปิดใช้งานบริการต่างๆบนเราเตอร์ของคุณโดยอัตโนมัติและอาจเปิดเผยเนื้อหาของไดรฟ์นั้นสู่อินเทอร์เน็ต

ใช้ผู้ให้บริการ DNS สำรอง . มีโอกาสที่คุณจะใช้การตั้งค่า DNS ใดก็ตามที่ ISP ของคุณมอบให้คุณ DNS กลายเป็นเป้าหมายของการโจมตีมากขึ้นเรื่อย ๆ มีผู้ให้บริการ DNS ที่ดำเนินการเพิ่มเติมเพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ของตน เป็นโบนัสเพิ่มเติมผู้ให้บริการ DNS รายอื่นอาจเพิ่มประสิทธิภาพอินเทอร์เน็ตของคุณ

เปลี่ยนช่วงที่อยู่ IP เริ่มต้นบนเครือข่าย LAN ของคุณ (ภายใน) . เราเตอร์ระดับผู้บริโภคทุกตัวที่ฉันเคยเห็นใช้ 192.168.1.x หรือ 192.168.0.x ทำให้ง่ายต่อการเขียนสคริปต์การโจมตีอัตโนมัติ
ช่วงที่มีจำหน่าย ได้แก่ :
10.x.x.x ใด ๆ
192.168.x.x ใด ๆ
172.16.x.x ถึง 172.31.x.x

เปลี่ยนที่อยู่ LAN เริ่มต้นของเราเตอร์ . หากมีใครเข้าถึง LAN ของคุณได้พวกเขาจะรู้ว่าที่อยู่ IP ของเราเตอร์คือ x.x.x.1 หรือ x.x.x.254 อย่าทำให้ง่ายสำหรับพวกเขา

wireless-security-5

ปิดใช้งานหรือ จำกัด DHCP . โดยปกติแล้วการปิด DHCP จะใช้ไม่ได้จริงเว้นแต่คุณจะอยู่ในสภาพแวดล้อมเครือข่ายที่คงที่ ฉันต้องการ จำกัด DHCP ไว้ที่ 10-20 ที่อยู่ IP โดยเริ่มต้นที่ x.x.x.101; วิธีนี้ช่วยให้ติดตามสิ่งที่เกิดขึ้นบนเครือข่ายของคุณได้ง่ายขึ้น ฉันชอบวางอุปกรณ์ 'ถาวร' (เดสก์ท็อปเครื่องพิมพ์ NAS ฯลฯ ) ไว้ในที่อยู่ IP แบบคงที่ วิธีนี้มีเพียงแล็ปท็อปแท็บเล็ตโทรศัพท์และแขกเท่านั้นที่ใช้ DHCP

wireless-security-6

ปิดการเข้าถึงผู้ดูแลระบบจากระบบไร้สาย . ฟังก์ชันนี้ไม่สามารถใช้ได้กับเราเตอร์ในบ้านบางรุ่น

ปิดใช้งานการออกอากาศ SSID . นี่ไม่ใช่เรื่องยากสำหรับมืออาชีพที่จะเอาชนะและอาจสร้างความเจ็บปวดให้กับผู้เยี่ยมชมบนเครือข่าย WiFi ของคุณ

ใช้การกรอง MAC . เหมือนข้างบน; ไม่สะดวกสำหรับผู้เยี่ยมชม

รายการเหล่านี้บางรายการจัดอยู่ในหมวดหมู่ 'Security by Obscurity' และมีผู้เชี่ยวชาญด้านไอทีและความปลอดภัยจำนวนมากที่เยาะเย้ยพวกเขาว่าไม่ใช่มาตรการรักษาความปลอดภัย ในทางที่ถูกต้อง อย่างไรก็ตามหากมีขั้นตอนที่คุณสามารถทำได้เพื่อให้ยากต่อการบุกรุกเครือข่ายของคุณฉันคิดว่าควรพิจารณา

การรักษาความปลอดภัยที่ดีไม่ใช่การ 'ตั้งค่าแล้วลืม' เราทุกคนเคยได้ยินเกี่ยวกับการละเมิดความปลอดภัยมากมายใน บริษัท ที่ใหญ่ที่สุดบางแห่ง สำหรับฉันส่วนที่น่ารำคาญจริงๆคือเมื่อคุณอยู่ที่นี่พวกเขาถูกบุกรุกเป็นเวลา 3, 6, 12 เดือนหรือมากกว่านั้นก่อนที่มันจะถูกค้นพบ

ใช้เวลาในการตรวจสอบบันทึกของคุณ สแกนเครือข่ายของคุณเพื่อค้นหาอุปกรณ์และการเชื่อมต่อที่ไม่คาดคิด

ด้านล่างนี้เป็นการอ้างอิงที่เชื่อถือได้: