Proteggi il tuo router wireless

• Categoria: Rete

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Non esiste una sicurezza perfetta. Data una conoscenza, risorse e tempo sufficienti, qualsiasi sistema può essere compromesso. Il meglio che puoi fare è rendere il più difficile possibile per un attaccante. Detto questo, ci sono passaggi che puoi intraprendere per rafforzare la tua rete contro la stragrande maggioranza degli attacchi.

Le configurazioni predefinite per quelli che chiamo router di livello consumer offrono una sicurezza abbastanza semplice. Ad essere onesti, non ci vuole molto per comprometterli. Quando installo un nuovo router (o ne ripristino uno esistente), utilizzo raramente le 'procedure guidate di configurazione'. Eseguo e configura tutto esattamente come lo desidero. A meno che non ci sia una buona ragione, di solito non lo lascio come predefinito.

Non posso dirti le impostazioni esatte che devi modificare. La pagina di amministrazione di ogni router è diversa; anche router dello stesso produttore. A seconda del router specifico, potrebbero esserci impostazioni che non è possibile modificare. Per molte di queste impostazioni, dovrai accedere alla sezione di configurazione avanzata della pagina di amministrazione.

Mancia : puoi usare il RouterCheck dell'app Android per testare la sicurezza del router .

Ho incluso screenshot di un Asus RT-AC66U. È nello stato predefinito.

Aggiorna il tuo firmware. La maggior parte delle persone aggiorna il firmware la prima volta che installa il router e poi lo lascia da solo. Ricerche recenti hanno dimostrato che l'80% dei 25 modelli di router wireless più venduti presenta vulnerabilità di sicurezza. I produttori interessati includono: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet e altri. La maggior parte dei produttori rilascia firmware aggiornato quando vengono scoperte vulnerabilità. Imposta un promemoria in Outlook o in qualsiasi sistema di posta elettronica che utilizzi. Consiglio di controllare gli aggiornamenti ogni 3 mesi. So che suona come un gioco da ragazzi, ma installa solo il firmware dal sito web del produttore.

Inoltre, disabilita la capacità del router di verificare automaticamente la presenza di aggiornamenti. Non mi piace lasciare che i dispositivi 'telefonino a casa'. Non hai il controllo sulla data di invio. Ad esempio, sapevi che diverse cosiddette 'Smart TV' inviano informazioni al loro produttore? Trasmettono tutte le tue abitudini di visualizzazione ogni volta che cambi canale. Se si collega un'unità USB a loro, inviano un elenco di tutti i nomi di file sull'unità. Questi dati non sono crittografati e vengono inviati anche se l'impostazione del menu è impostata su NO.

Disabilita l'amministrazione remota. Capisco che alcune persone debbano essere in grado di riconfigurare la propria rete da remoto. Se è necessario, abilitare almeno l'accesso https e modificare la porta predefinita. Si noti che questo include qualsiasi tipo di gestione basata sul 'cloud', come l'account Smart WiFi di Linksys e AiCloud di Asus.

Usa una password complessa per l'amministratore del router. È stato detto abbastanza. Password predefinite per i router sono di conoscenza comune e non vuoi che nessuno provi semplicemente un passaggio predefinito e acceda al router.

Abilita HTTPS per tutte le connessioni amministrative. Questo è disabilitato per impostazione predefinita su molti router.

Limita il traffico in entrata. So che questo è buon senso, ma a volte le persone non capiscono le conseguenze di determinate impostazioni. Se devi usare il port forwarding, sii molto selettivo. Se possibile, utilizza una porta non standard per il servizio che stai configurando. Sono disponibili anche impostazioni per filtrare il traffico Internet anonimo (sì) e per la risposta al ping (no).

Usa la crittografia WPA2 per il WiFi. Non utilizzare mai WEP. Può essere interrotto in pochi minuti con il software disponibile gratuitamente su Internet. WPA non è molto meglio.

Disattiva WPS (WiFi Protected Setup) . Capisco la comodità di usare WPS, ma è stata una cattiva idea iniziare.

Limita il traffico in uscita. Come accennato in precedenza, normalmente non mi piacciono i dispositivi che telefonano a casa. Se disponi di questi tipi di dispositivi, valuta la possibilità di bloccare tutto il traffico Internet proveniente da essi.

Disabilita i servizi di rete inutilizzati, specialmente uPnP. Esiste una vulnerabilità ampiamente nota quando si utilizza il servizio uPnP. Altri servizi probabilmente non necessari: Telnet, FTP, SMB (Samba / condivisione file), TFTP, IPv6

Esci dalla pagina di amministrazione quando hai finito . La semplice chiusura della pagina Web senza disconnettersi può lasciare aperta una sessione autenticata nel router.

Verificare la vulnerabilità della porta 32764 . Per quanto ne so, alcuni router prodotti da Linksys (Cisco), Netgear e Diamond sono interessati, ma potrebbero essercene altri. È stato rilasciato un firmware più recente, ma potrebbe non applicare la patch completa al sistema.

Controlla il tuo router su: https://www.grc.com/x/portprobe=32764

Attiva la registrazione . Cerca regolarmente attività sospette nei tuoi registri. La maggior parte dei router è in grado di inviarti i log tramite posta elettronica a intervalli prestabiliti. Assicurati inoltre che l'orologio e il fuso orario siano impostati correttamente in modo che i tuoi registri siano accurati.

Per chi è veramente attento alla sicurezza (o forse solo paranoico), i seguenti sono passaggi aggiuntivi da considerare

Modifica il nome utente dell'amministratore . Tutti sanno che l'impostazione predefinita è solitamente admin.

Imposta una rete 'Ospite' . Molti router più recenti sono in grado di creare reti guest wireless separate. Assicurati che abbia accesso solo a Internet e non alla tua LAN (intranet). Ovviamente, utilizza lo stesso metodo di crittografia (WPA2-Personal) con una passphrase diversa.

Non collegare l'archivio USB al router . Ciò abilita automaticamente molti servizi sul router e potrebbe esporre il contenuto di tale unità a Internet.

Utilizza un provider DNS alternativo . È probabile che tu stia utilizzando le impostazioni DNS fornite dal tuo ISP. Il DNS è diventato sempre più un obiettivo per gli attacchi. Esistono provider DNS che hanno adottato misure aggiuntive per proteggere i propri server. Come bonus aggiuntivo, un altro provider DNS può aumentare le prestazioni di Internet.

Modificare l'intervallo di indirizzi IP predefinito sulla rete LAN (interna) . Ogni router di livello consumer che ho visto utilizza 192.168.1.x o 192.168.0.x, rendendo più semplice lo script di un attacco automatico.
Le gamme disponibili sono:
Qualsiasi 10.x.x.x
Qualsiasi 192.168.x.x
Da 172.16.x.x a 172.31.x.x

Modifica l'indirizzo LAN predefinito del router . Se qualcuno riesce ad accedere alla tua LAN, sa che l'indirizzo IP del router è x.x.x.1 o x.x.x.254; non renderlo facile per loro.

Disabilita o limita DHCP . Disattivare il DHCP di solito non è pratico a meno che non ti trovi in ​​un ambiente di rete molto statico. Preferisco limitare il DHCP a 10-20 indirizzi IP a partire da x.x.x.101; questo rende più facile tenere traccia di ciò che sta accadendo sulla tua rete. Preferisco mettere i miei dispositivi 'permanenti' (desktop, stampanti, NAS, ecc.) Su indirizzi IP statici. In questo modo solo laptop, tablet, telefoni e ospiti utilizzano DHCP.

Disabilita l'accesso amministratore dal wireless . Questa funzionalità non è disponibile su tutti i router domestici.

Disabilita la trasmissione SSID . Questo non è difficile da superare per un professionista e può rendere difficile consentire ai visitatori della tua rete WiFi.

Usa il filtro MAC . Come sopra; scomodo per i visitatori.

Alcuni di questi elementi rientrano nella categoria 'Security by Obscurity' e ci sono molti professionisti IT e della sicurezza che si fanno beffe di loro, dicendo che non sono misure di sicurezza. In un certo senso, sono assolutamente corrette. Tuttavia, se ci sono passaggi che puoi intraprendere per rendere più difficile la compromissione della tua rete, penso che valga la pena considerare.

Una buona sicurezza non è 'impostalo e dimenticalo'. Abbiamo tutti sentito parlare delle numerose violazioni della sicurezza in alcune delle più grandi aziende. Per me, la parte davvero irritante è quando sei qui che erano stati compromessi per 3, 6, 12 mesi o più prima di essere scoperti.

Prenditi il ​​tempo per esaminare i tuoi registri. Scansiona la tua rete alla ricerca di dispositivi e connessioni impreviste.

Di seguito un riferimento autorevole:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf