تأمين جهاز التوجيه اللاسلكي الخاص بك

لا يوجد شيء مثل الأمن المثالي. بالنظر إلى ما يكفي من المعرفة والموارد والوقت يمكن اختراق أي نظام. أفضل ما يمكنك فعله هو جعل الأمر أكثر صعوبة بالنسبة للمهاجمين. ومع ذلك ، فهناك خطوات يمكنك اتخاذها لتقوية شبكتك ضد الغالبية العظمى من الهجمات.

توفر التكوينات الافتراضية لما أسميه أجهزة التوجيه من فئة المستهلك أمانًا أساسيًا إلى حد ما. أن نكون صادقين ، الأمر لا يتطلب الكثير من المساومة عليهم. عندما أقوم بتثبيت جهاز توجيه جديد (أو إعادة تعيين جهاز موجود) ، نادراً ما أستخدم "معالجات الإعداد". أذهب إلى كل شيء وأضبطه بالضبط كما أريد. ما لم يكن هناك سبب وجيه ، فأنا لا أتركه افتراضيًا.

لا يمكنني إخبارك بالإعدادات الدقيقة التي تحتاج إلى تغييرها. تختلف صفحة مسؤول كل جهاز توجيه ؛ حتى جهاز التوجيه من نفس الشركة المصنعة. اعتمادًا على جهاز التوجيه المحدد ، قد تكون هناك إعدادات لا يمكنك تغييرها. بالنسبة إلى العديد من هذه الإعدادات ، ستحتاج إلى الوصول إلى قسم التكوين المتقدم في صفحة المسؤول.

نصيحة : يمكنك استخدام تطبيق Android RouterCheck لاختبار أمان جهاز التوجيه الخاص بك.

لقد شملت لقطات من آسوس RT-AC66U. إنه في الحالة الافتراضية.

تحديث البرامج الثابتة الخاصة بك. يقوم معظم الأشخاص بتحديث البرنامج الثابت عند تثبيت جهاز التوجيه لأول مرة ثم يتركونه بمفرده. أظهرت الأبحاث الحديثة أن 80٪ من طرز الموجه اللاسلكي الـ 25 الأكثر مبيعًا بها ثغرات أمنية. تشمل الشركات المصنعة المتأثرة: Linksys و Asus و Belkin و Netgear و TP-Link و D-Link و Trendnet وغيرها. تقوم معظم الشركات المصنعة بإصدار برامج ثابتة محدثة عند ظهور الثغرات الأمنية. قم بتعيين تذكير في Outlook أو أي نظام بريد إلكتروني تستخدمه. أوصي التحقق من التحديثات كل 3 أشهر. أعلم أن هذا يبدو وكأنه برنامج غير عقلاني ، لكن فقط قم بتثبيت البرامج الثابتة من موقع الشركة المصنعة.

كذلك ، قم بتعطيل قدرة جهاز التوجيه على البحث عن التحديثات تلقائيًا. أنا لست من عشاق ترك "هاتف المنزل" للأجهزة. ليس لديك أي سيطرة على تاريخ الإرسال. على سبيل المثال ، هل تعلم أن ما يسمى "أجهزة التلفزيون الذكية" ترسل المعلومات إلى الشركة المصنعة لها؟ يرسلون كل عادات المشاهدة الخاصة بك في كل مرة تقوم فيها بتغيير القناة. إذا قمت بتوصيل محرك أقراص USB بها ، يرسلون قائمة بكل اسم ملف على محرك الأقراص. هذه البيانات غير مشفرة ويتم إرسالها حتى إذا تم ضبط إعداد القائمة على NO.

تعطيل الإدارة عن بعد. أدرك أن بعض الأشخاص بحاجة إلى أن يكونوا قادرين على إعادة تكوين شبكتهم عن بُعد. إذا كنت بحاجة إلى ذلك ، فقم بتمكين الوصول إلى https على الأقل وتغيير المنفذ الافتراضي. لاحظ أن هذا يشمل أي نوع من الإدارة القائمة على السحابة ، مثل حساب WiFi WiFi من Linksys و Asus 'AiCloud.

استخدم كلمة مرور قوية لمشرف جهاز التوجيه. قال بما فيه الكفاية. كلمات المرور الافتراضية لأجهزة التوجيه هي معلومات شائعة ولا ترغب في أن يحاول أي شخص مجرد تمرير افتراضي والدخول إلى جهاز التوجيه.

تمكين HTTPS لجميع اتصالات المشرف. يتم تعطيل هذا بشكل افتراضي على العديد من أجهزة التوجيه.

تقييد حركة المرور الواردة. أعرف أن هذا أمر جيد ، لكن في بعض الأحيان لا يفهم الناس عواقب بعض الإعدادات. إذا كان يجب عليك استخدام إعادة توجيه المنفذ ، فكن انتقائيًا للغاية. إذا كان ذلك ممكنًا ، استخدم منفذًا غير قياسي للخدمة التي تقوم بتكوينها. هناك أيضًا إعدادات لتصفية حركة مرور الإنترنت المجهولة (نعم) ، ولإجابة ping (لا).

استخدم تشفير WPA2 للواي فاي. لا تستخدم WEP. يمكن كسرها في غضون دقائق مع برنامج متاح مجانا على شبكة الإنترنت. WPA ليس أفضل بكثير.

قم بإيقاف تشغيل WPS (إعداد WiFi المحمي) . أنا أفهم راحة استخدام WPS ، لكنها كانت فكرة سيئة للبدء.

تقييد حركة المرور الصادرة. كما ذكر أعلاه ، أنا عادة لا أحب الأجهزة التي هاتف المنزل. إذا كان لديك هذه الأنواع من الأجهزة ، فكر في حظر كل حركة المرور على الإنترنت منها.

تعطيل خدمات الشبكة غير المستخدمة ، وخاصة uPnP. توجد ثغرة أمنية معروفة على نطاق واسع عند استخدام خدمة uPnP. قد لا تكون الخدمات الأخرى ضرورية: Telnet ، FTP ، SMB (مشاركة سامبا / ملف) ، TFTP ، IPv6

تسجيل الخروج من صفحة المسؤول عند الانتهاء . مجرد إغلاق صفحة الويب دون تسجيل الخروج يمكن أن يترك جلسة مصادقة مفتوحة في جهاز التوجيه.

تحقق من وجود ثغرة أمنية في المنفذ 32764 . على حد علمي ، تتأثر بعض أجهزة التوجيه التي تنتجها Linksys (Cisco) و Netgear و Diamond ، ولكن قد يكون هناك آخرون. تم إصدار أحدث البرامج الثابتة ، ولكن قد لا يؤدي إلى تصحيح النظام بالكامل.

تحقق من جهاز التوجيه الخاص بك على: //www.grc.com/x/portprobe=32764

قم بتشغيل التسجيل . ابحث عن نشاط مشبوه في سجلاتك بشكل منتظم. معظم أجهزة التوجيه لديها القدرة على إرسال السجلات إليك عبر البريد الإلكتروني على فترات زمنية محددة. تأكد أيضًا من ضبط الساعة والمنطقة الزمنية بشكل صحيح حتى تكون سجلاتك دقيقة.

فيما يتعلق بالوعي الأمني الحقيقي (أو ربما بجنون العظمة فقط) ، فيما يلي بعض الخطوات الإضافية التي يجب مراعاتها

تغيير اسم المستخدم المسؤول . الجميع يعرف الافتراضي هو عادة المسؤول.

قم بإعداد شبكة "ضيف" . العديد من أجهزة التوجيه الأحدث قادرة على إنشاء شبكات اتصال لاسلكية منفصلة. تأكد من أنها لا تملك إلا الوصول إلى الإنترنت وليس شبكة LAN الخاصة بك. بالطبع ، استخدم نفس طريقة التشفير (WPA2- شخصي) مع عبارة مرور مختلفة.

لا تقم بتوصيل وحدة تخزين USB بجهاز التوجيه الخاص بك . يعمل هذا تلقائيًا على تمكين العديد من الخدمات على جهاز التوجيه الخاص بك وقد يعرض محتويات محرك الأقراص هذا إلى الإنترنت.

استخدم مزود DNS بديل . من المحتمل أنك تستخدم إعدادات DNS التي أعطاها لك موفر خدمة الإنترنت. أصبح DNS هدفًا للهجمات بشكل متزايد. هناك مزودو DNS الذين اتخذوا خطوات إضافية لتأمين خوادمهم. كمكافأة إضافية ، قد يزيد مزود DNS آخر من أداء الإنترنت لديك.

تغيير نطاق عنوان IP الافتراضي على شبكة LAN (داخل) الخاصة بك . يستخدم كل جهاز توجيه من مستوى المستهلك الذي شاهدته إما 192.168.1.x أو 192.168.0.x مما يسهل عملية البرمجة النصية للهجمات الآلية.

النطاقات المتاحة هي:

أي 10.xxx

أي 192.168.xx

172.16.xx إلى 172.31.xx

تغيير عنوان LAN الافتراضي للموجه . إذا تمكن شخص ما من الوصول إلى شبكة LAN الخاصة بك ، فيعرف أن عنوان IP الخاص بالموجه هو xxx1 أو xxx254 ؛ لا تجعل من السهل بالنسبة لهم.

تعطيل أو تقييد DHCP . عادةً ما يكون إيقاف تشغيل DHCP غير عملي إلا إذا كنت في بيئة شبكة ثابتة للغاية. أفضّل قصر DHCP على عناوين IP 10-20 التي تبدأ في xxx101 ؛ هذا يجعل من السهل تتبع ما يحدث على شبكتك. أفضل وضع أجهزتي "الدائمة" (أجهزة الكمبيوتر المكتبية والطابعات و NAS ، إلخ) على عناوين IP الثابتة. بهذه الطريقة فقط أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف والضيوف يستخدمون DHCP.

تعطيل وصول المسؤول من اللاسلكية . هذه الوظيفة غير متوفرة على جميع أجهزة التوجيه المنزلية.

تعطيل بث SSID . ليس من الصعب على المحترف التغلب عليه ويمكن أن يجعل من الألم السماح للزائرين على شبكة WiFi.

استخدام تصفية MAC . نفس أعلاه غير مريح للزوار.

تندرج بعض هذه العناصر في فئة "الأمان بواسطة الغموض" ، وهناك العديد من المتخصصين في تكنولوجيا المعلومات والأمن الذين يسخرون منهم ، قائلين إنها ليست إجراءات أمنية. بطريقة ما ، فهي صحيحة تماما. ومع ذلك ، إذا كانت هناك خطوات يمكنك اتخاذها لزيادة صعوبة المساس بشبكتك ، فأنا أعتقد أن الأمر يستحق النظر.

الأمن الجيد ليس هو "ضبطه ونسيانه". لقد سمعنا جميعًا عن العديد من الانتهاكات الأمنية في بعض أكبر الشركات. بالنسبة لي ، فإن الجزء المزعج حقًا هو أنك تعرضت هنا للخطر لمدة 3 أو 6 أو 12 شهرًا أو أكثر قبل اكتشافه.

خذ الوقت الكافي للبحث في سجلاتك. ابحث عن شبكتك بحثًا عن أجهزة واتصالات غير متوقعة.

أدناه هو مرجع موثوق: