הנתב שלך הוא קו ההגנה הראשון מפני האקרים המנסים לגשת לכל המכשירים המחוברים לאינטרנט בבית שלך. למרבה הצער,קל לפרוץ לרבים מנתבי ה-Wi-Fi המובילים. אתה צריך להיות מודאג - וגם לוודא שהנתב שלך מוגדר כהלכה.
דיברנו עלאת ההגדרות הבסיסיות שאתה צריך לשנותבנתב שלך בעבר - והדברים האלה עדיין נכונים.
לסיכום:
שנה את סיסמת ברירת המחדל של מנהל המערכת - ואת שם המשתמש, אם אפשר
שנה את ה-SSID (או את השם של הרשת האלחוטית שלך) כך שהמכשירים שלך לא תמיד יקבלו חיבורים לרשתות בעלות שמות דומים (למשל "linksys") וגם כדי שלא תיתן להאקרים יותר רמז לדגם הנתב שלך (למשל " linksys")
הגדר את מצב האבטחה האלחוטית ל-WPA2 ובחר עבורה סיסמה טובה וארוכה
אני מקווה שכבר ביצעת את שינויי האבטחה האלה. עם זאת, מעבר ליסודות אלה, יש דברים נוספים שאתה יכול לעשות כדי לנעול את אבטחת הרשת שלך בזמנים שנפרצים יותר ויותר.
התקן DD-WRT או Tomato אם הנתב שלך תומך בכך
מִלְבַדלהטעין את הנתב שלך עם תכונות נוספות, קושחת נתב קוד פתוחDD-WRTועַגְבָנִיָהסביר להניח שהם בטוחים יותר מקושחת המניות שמגיעה עם הנתב שלך. DD-WRT ועגבנייה נוטים לא להיות רגישים באותה מידהנקודות תורפה שנמצאו בנתבים רבים, כמו הנושא הפופולרי תמיד עםWPS (הגדרה מוגנת Wi-Fi). הם גם מתעדכנים באופן קבוע יותר, מציעיםאפשרויות אבטחה נוספות(כגון רישום מתקדם אוהצפנת DNS עם DNSCrypt), ולתת לך יותר שליטה על החומרה שלך. מומחה האבטחה בריאן קרבסאומר:
רוב הקושחה של הנתב היא די מסורבלת וחסרת עצמות, או שהיא כוללת "תכונות" או מגבלות לא מתועדות.
בדרך כלל כשזה מגיע לשדרוג קושחת הנתב, אני נוטה להרחיק אנשים מהקושחה של היצרן לעבר חלופות חלופיות, קוד פתוח, כגון
DD-WRT
אוֹ
עַגְבָנִיָה
. זמן רב הסתמכתי על DD-WRT מכיוון שהוא מגיע עם כל הפעמונים, המשרוקיות והאפשרויות שאי פעם תרצה בקושחת הנתב, אבל זה בדרך כלל שומר על התכונות האלה כבויות כברירת מחדל, אלא אם כן אתה מפעיל אותן.
בדוק את דפי המכשירים הנתמכים עבורDD-WRTועַגְבָנִיָהכדי לראות אם הם יעבדו בשבילך. עגבניה ידידותית יותר למשתמש, אבל DD-WRT עמוס בהגדרות נוספות.
עדכן את הקושחה שלך באופן קבוע
לא משנה אם אתה משתמש בקושחה המניה או בקושחה של צד שלישי, חשוב לשמור על הקושחה עדכנית, מכיוון שפגיעויות חדשות מתגלות כל הזמן (כמובאג של Linksysשנתן למשתמשים מרוחקים גישה למסוף הניהול ללא צורך בכניסה, או לדלת האחורית המובנית בכמה נתבים פופולריים).
השלבים בפועל לעדכון הקושחה עשויים להשתנות בהתאם לנתב, אך רובם יאפשרו לך לחפש קושחה חדשה מלוח הבקרה של הנתב. בדפדפן שלך, הזן את כתובת ה-IP של הנתב שלך, התחבר, ולאחר מכן עיין בסעיף ההגדרות המתקדמות או הניהול. לחלופין, אתה יכול לבדוק את אתר התמיכה של יצרן הנתב שלך כדי לראות אם קושחה חדשה זמינה.
חלק מהנתבים מציעים גם את היכולת לעדכן אוטומטית לקושחה העדכנית ביותר, אבל אולי תעדיף לבדוק מה העדכונים מציעים ולהתקין באופן ידני.
כבה את הניהול מרחוק
בנתבים רבים זה כבר כבוי כברירת מחדל, אבל, ליתר בטחון, בדוק שניהול מרחוק (המכונה גם ניהול מרחוק או אפשר גישה לאינטרנט מ-WAN) מושבת. ניהול מרחוק נותן גישה ללוח הבקרה של הנתב שלך מחוץ לרשת הביתית שלך - כך שתוכל לראות מדוע זו תהיה בעיה. שוב, כנראה שההגדרה הזו נמצאת בקטע המתקדם או הניהול שלך.
השבת את UPnP
UPnP, או Universal Plug and Play, נועד להקל על גילוי התקני רשת על ידי הנתב. לרוע המזל, הפרוטוקול הזה רצוף גם בחורי אבטחה רציניים, עם באגים והטמעות לקויות של UPnP המשפיעות על מיליוני מכשירים המחוברים באינטרנט. הבעיה הגדולה ביותר היא של-UPnP אין שום סוג של אימות (הוא מחשיב כל מכשיר ומשתמש כאמין). How-To Geek מסביר חלק מהבעיות עם UPnPאם זה מופעל בנתב שלך, הכוללים אפשרות של יישומים זדוניים שינתבו מחדש תעבורה לכתובות IP שונות מחוץ לרשת המקומית.
בדיקת UPnP של GRCיכול לומר לך אם המכשירים שלך אינם מאובטחים וחשופים לאינטרנט הציבורי, ובמקרה זה עליך לנתק אותם. (הערה: לחץ על הסרט האדום בפינה השמאלית העליונה של הדף כדי להפעיל את הבדיקה בפועל; הדף שבו אתה נוחת באמצעות קישור זה הוא רק דוגמה).
כדי לכבות את UPnP בנתב שלך, היכנס למסוף הניהול וחפש את הגדרת UPnP (בנתבים רבים, זה תחת סעיף הניהול). השבת גם את האפשרות "אפשר למשתמש להגדיר UPnP" אם זמינה. זכור שזה לא משפיע על היכולת שלך, למשל,הזרם סרטונים ברחבי הרשת שלך עם UPnP-זה משפיע רק על דברים מחוץ לרשת שלך. זה אומר שאולי תצטרךהגדר ידנית העברת יציאותכדי שדברים כמו ביטורנט יעבדו בצורה אופטימלית.
הגדרות אחרות שכנראה לא שוות את הצרות
אולי שמעתם גם על הגדרות אחרות כמו הפעלת סינון MAC או הסתרת SSID של הרשת שלכם, אבל למרות כל הטרחה שלהם, הן לא מוסיפות הרבה אבטחה.
הסתרת SSID
במבט ראשון, הסתרת ה-SSID של הנתב שלך נשמעת כמו רעיון טוב, אבל זה יכול להיות בעצםלְהַקְטִיןהביטחון שלך. מומחה אבטחת Wi-Fi ג'ושוע רייטמסביר על Tech Republic:
שְׁאֵלָה:
ג'ושוע, אנא הודע לי מה דעתך על השבתת שידור ה-SSID של הנתב שלך.
ג'ושוע רייט:
זה רעיון גרוע. אני יודע שמפרט ה-PCI מחייב אותך לעשות זאת, ואמרתי להם שהם צריכים להסיר את הדרישה הזו מהמפרט. דמיינו שאתם בסיס ממשלתי ואינכם מספרים לסוכנים שלכם היכן אתם נמצאים. הם צריכים להסתובב ולהמשיך לשאול "האם אתה הבסיס הממשלתי?" לכל המפגש. בסופו של דבר, איזה האקר ערמומי או בחור רע יגיד "לעזאזל, כן, אני הבסיס שלך, היכנס ושתף אותי בסודות שלך." זה בעצם מה שקורה עם הסוואה של SSID, שבו אתה צריך לשאול כל AP שאתה פוגש אם ה-SSID הרצוי לו זמין, מה שמאפשר לתוקף להתחזות ל-SSID שלך בשדה התעופה, בבית הקפה, במטוס וכו'. בקיצור, אל תעשה זאת. לא להסוות את ה-SSID שלך, אבל אל תהפוך את ה-SSID שלך למשהו כמו "sexyhackertargethere".
הסתרת ה-SSID של הנתב שלך עלולה למנוע מהשכנים שלךמנסה לטעון בחינם ברשת שלך, אבל זה לא יעצור האקרים מוכשרים ואפילו יכול לשמש כמשואה רועשת שאומרת להם, "היי, הנה אני מנסה להסתתר." חוץ מזה, אם אתה מנסה למנוע מהשכנים שלך לטעון בחינם, רק וודא שיש לך סיסמה מאובטחת.
סינון MAC
באופן דומה, סינון MAC, המגביל את הגישה לרשת רק למכשירים שאתה מאפשר, נשמע מצוין ויכול לספק הגנה נוספת מפני הטוען החופשי הממוצע שלך, אך קל לזייף כתובות MAC. משתמש Stack Exchange sysadmin1138מסכם את זה ככה:
עבור מישהו שרוצה את הרשת שלך באופן ספציפי, הצפנה (בעיקר הצפנה לא שבורה) תספק אבטחה טובה בהרבה. זיוף MAC הוא טריוויאלי ברוב המתאמים בימינו, ואחרי שפיצחת את הרשת עד כדי כך תוכל לנטר מנות בטיסה תוכל לקבל רשימה של כתובות MAC חוקיות. SSID הוא טריוויאלי גם בשלב זה. בשל האופי האוטומטי של ערכות הכלים הזמינות, סינון MAC והסתרת SSID כבר לא ממש שווים את המאמץ. לְדַעַתִי.
עם זאת, אם לא אכפת לך מהטרחה, הפעלת סינון MAC לא תזיק.רק דעו שזו לא תכונת האבטחה החזקה שהיא עשויה להיראות - וזה די טרחה אם אי פעם תקבלו מכשיר חדש, או אם חבר יבוא לבקר.
כתובות IP סטטיות
לבסוף, יש עוד הגדרה אחת שאתה עשוי לשקול לשנות: כיבוי DHCP, שמחלק אוטומטית כתובות רשת למכשירים שמתחברים לנתב שלך. במקום זאת, אתה יכול להקצות כתובות IP סטטיות לכל המכשירים שלך. התיאוריה היא שאם DHCP מושבת, מחשבים לא ידועים לא יקבלו כתובת.
עם זאת, גם ל-DHCP וגם לכתובות IP סטטיות יש סיכונים וחסרונות, כמוהדיון הזה ב-Stack Exchangeמציין; כתובות IP סטטיות יכולות להיות פגיעות להתקפות זיוף, בעוד שמכשירים שמקבלים את כתובות ה-IP שלהם באמצעות DHCP עלולים להיות נתונים להתקפות אדם-באמצע משרתי DHCP סוררים. אין הסכמה מוצקה לגבי מה עדיף לאבטחה (אם כי כמה בקהילה של מיקרוסופטלומר שזה לא משנה).
אם יש לך את הגדרות האבטחה שהוזכרו בסעיפים שלמעלה, תנוח קצת יותר בשלווה בידיעה שככל הנראה אתה עושה כמיטב יכולתך כדי לאבטח את הרשת הביתית שלך.
