Assegureu el router sense fil

• Categoria: Xarxa

Proveu El Nostre Instrument Per Eliminar Problemes

Seleccioneu El Sistema Operatiu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Trieu Un Programa De Projecció (Opcionalment) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descriviu El Vostre Problema

Obteniu Una Resposta

Envieu -Me Per Correu Electrònic Mostra Al Lloc

No hi ha res perfecte per a la seguretat. Tenint en compte prou coneixements, recursos i temps qualsevol sistema pot ser compromès. El millor que podeu fer és dificultar el possible a un atacant. Dit això, hi ha mesures que podeu fer per endurir la vostra xarxa davant la gran majoria d'atacs.

Les configuracions predeterminades de les que anomeno encaminadors de qualitat del consumidor ofereixen una seguretat bastant bàsica. Per ser sincer, no es triga gaire a comprometre-les. Quan instal·lo un encaminador nou (o restableixo un existent), rarament faig servir els 'assistents de configuració'. Passo i configuro tot exactament com ho vull. A menys que hi hagi una bona raó, normalment no ho deixo per defecte.

No us puc dir la configuració exacta que heu de canviar. La pàgina d'administració de cada router és diferent; fins i tot encaminador del mateix fabricant. Segons el router específic, pot ser que hi hagi configuració que no pugueu canviar. Per a moltes d’aquestes configuracions, haureu d’accedir a la secció de configuració avançada de la pàgina d’administració.

Consell : podeu utilitzar Aplicació Android RouterCheck per provar la seguretat del vostre enrutador .

He inclòs captures de pantalla d’un Asus RT-AC66U. Es troba en l'estat predeterminat.

Actualitzeu el firmware. La majoria de les persones actualitzen el firmware quan instal·len primer l’encaminador i després el deixen en pau. Recents investigacions han demostrat que el 80% dels 25 models de router sense fils més venuts tenen vulnerabilitats en la seguretat. Els fabricants afectats inclouen: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet i altres. La majoria de fabricants alliberen el firmware actualitzat quan es mostren vulnerabilitats. Configureu un recordatori a Outlook o a qualsevol sistema de correu electrònic que utilitzeu. Recomano consultar les actualitzacions cada 3 mesos. Sé que això sona com una idea que no funciona, però només instal·leu el firmware al lloc web del fabricant.

A més, desactiveu la capacitat del router per comprovar automàticament les actualitzacions. No sóc pas aficionat a deixar que els dispositius es posin 'per telèfon' a casa. No teniu cap control sobre quina data s’envia. Per exemple, sabíeu que diverses anomenades 'televisions intel·ligents' envien informació al seu fabricant? Envien tots els vostres hàbits de visualització cada vegada que canvieu de canal. Si connecteu una unitat USB a ells, envien una llista de tots els noms de fitxer de la unitat. Aquestes dades no estan xifrades i s’envien fins i tot si la configuració del menú està configurada en NO.

Desactiva l’administració remota. Entenc que algunes persones han de poder reconfigurar la seva xarxa de forma remota. Si ho heu de fer, almenys activeu l’accés https i canvieu el port predeterminat. Tingueu en compte que això inclou qualsevol tipus de gestió basada en 'núvols', com ara el compte intel·ligent WiFi de Linksys i l'AiCloud d'Asus.

Utilitzeu una contrasenya contundent per a l'administrador del router. No dic més. Contrasenyes per defecte dels encaminadors són coneixements habituals i no voleu que ningú provi una passada per defecte i accedeixi al router.

Activa HTTPS per a totes les connexions d'administrador. Aquesta opció està desactivada de manera predeterminada en molts encaminadors.

Restringiu el trànsit entrant. Sé que això és de sentit comú, però a vegades la gent no entén les conseqüències de determinades configuracions. Si heu d'utilitzar el reenviament de ports, sigueu molt selectius. Si és possible, utilitzeu un port no estàndard per al servei que configureu. També hi ha configuració per filtrar el trànsit d’internet anònim (sí) i per respondre a ping (no).

Utilitzeu el xifrat de WPA2 per a WiFi. No utilitzeu mai WEP. Es pot trencar en pocs minuts amb un programari lliure disponible a Internet. La WPA no és molt millor.

Desactiveu WPS (configuració protegida WiFi) . Entenc la conveniència d’utilitzar WPS, però va ser una mala idea començar.

Restringiu el trànsit sortint. Com s'ha esmentat anteriorment, normalment no m'agraden els dispositius que porten el telèfon casolà. Si teniu aquest tipus de dispositius, penseu en bloquejar-los tot el trànsit d'Internet.

Desactiva els serveis de xarxa no utilitzats, especialment uPnP. Hi ha una vulnerabilitat molt coneguda quan s’utilitza servei uPnP. Altres serveis probablement innecessaris: Telnet, FTP, SMB (Samba / compartir fitxers), TFTP, IPv6

Tanqueu la sessió des de la pàgina d'administrador quan hagi acabat . Tan sols tancar la pàgina web sense sortir de sessió pot deixar oberta una sessió autentificada al router.

Comproveu la vulnerabilitat del port 32764 . Segons el meu coneixement, alguns routers produïts per Linksys (Cisco), Netgear i Diamond estan afectats, però també n’hi ha d’altres. Es va publicar un firmware més recent, però és possible que no es pugui pegar completament el sistema.

Comproveu el vostre router a: https://www.grc.com/x/portprobe=32764

Activa el registre . Busqueu activitats sospitoses als vostres registres de forma regular. La majoria dels routers tenen la possibilitat d’enviar-vos per correu electrònic els registres a intervals establerts. També assegureu-vos que el rellotge i la zona horària estiguin correctament ajustats perquè els registres siguin precisos.

Els passos addicionals a tenir en compte són els següents:

Canvieu el nom d’usuari de l’administrador . Tothom sap que el predeterminat sol ser administrador.

Configura una xarxa de 'convidats' . Molts routers més nous poden crear xarxes de convidats sense fils independents. Assegureu-vos que només tingui accés a Internet, i no a la vostra LAN (intranet). Per descomptat, utilitzeu el mateix mètode de xifrat (WPA2-Personal) amb una frase de contrasenya diferent.

No connecteu l'emmagatzematge USB al router . Això permet automàticament molts serveis del router i pot exposar el contingut de la unitat a Internet.

Utilitzeu un proveïdor de DNS alternatiu . És probable que utilitzeu qualsevol configuració DNS que us va proporcionar el vostre ISP. El DNS s’ha convertit cada vegada més en un objectiu d’atacs. Hi ha proveïdors DNS que han fet mesures addicionals per protegir els seus servidors. Com a bonus addicional, un altre proveïdor de DNS pot augmentar el rendiment d’internet.

Canvieu l’interval d’adreces IP predeterminat de la vostra xarxa LAN (dins) . Tots els enrutadors de qualitat del consumidor que he vist utilitzen 192.168.1.x o 192.168.0.x facilitant la secció d’un atac automatitzat.
Els intervals disponibles són:
Qualsevol 10.x.x.x
Qualsevol any 192.168.x.x
172.16.x.x a 172.31.x.x

Canvieu l'adreça LAN predeterminada del router . Si algú accedeix a la vostra LAN, sap que l’adreça IP del router és x.x.x.1 o x.x.x.254; no els ho farà fàcil.

Desactiveu o restringiu el DHCP . Normalment no és pràctic desactivar DHCP a menys que estigui en un entorn de xarxa molt estàtic. Prefereixo restringir DHCP a 10-20 adreces IP a partir de x.x.x.101; això facilita fer un seguiment del que passa a la vostra xarxa. Prefereixo posar els meus dispositius “permanents” (ordinadors de sobretaula, impressores, NAS, etc.) en adreces IP estàtiques. D’aquesta manera només utilitzaran DHCP ordinadors portàtils, tauletes, telèfons i convidats.

Desactiva l’accés d’administració des de la xarxa sense fils . Aquesta funcionalitat no està disponible a tots els encaminadors domèstics.

Desactiva la difusió SSID . Això no és difícil per a un professional superar-lo i pot suposar un dolor per permetre als visitants de la vostra xarxa WiFi.

Utilitzeu el filtratge MAC . Igual que l'anterior; inconvenient per als visitants.

Alguns d'aquests ítems entren en la categoria de 'Seguretat per obscuritat' i hi ha molts professionals de la informàtica i la seguretat que els hi fan una afirmació, dient que no són mesures de seguretat. En certa manera, són absolutament correctes. Tanmateix, si hi ha mesures que podeu fer perquè sigui més difícil comprometre la vostra xarxa, crec que convé tenir en compte.

Una bona seguretat no és 'definiu-la i oblideu-la'. Tots hem sentit a parlar dels molts incompliments de seguretat en algunes de les majors empreses. Per a mi, la part realment irritant és quan esteu aquí que havien estat compromeses durant 3, 6, 12 mesos o més abans que es descobrís.

Aprofiteu el temps per mirar els registres. Escanegeu la vostra xarxa buscant dispositius i connexions inesperades.

A continuació, es fa una referència autoritària:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf