Beveilig uw draadloze router
- Categorie: Netwerk
Er bestaat niet zoiets als perfecte beveiliging. Met voldoende kennis, middelen en tijd kan elk systeem worden aangetast. Het beste wat je kunt doen, is het een aanvaller zo moeilijk mogelijk maken. Dat gezegd hebbende, zijn er stappen die u kunt nemen om uw netwerk te beschermen tegen de overgrote meerderheid van de aanvallen.
De standaardconfiguraties voor wat ik routers van consumentenkwaliteit noem, bieden een redelijk basisbeveiliging. Om eerlijk te zijn, er is niet veel voor nodig om ze in gevaar te brengen. Wanneer ik een nieuwe router installeer (of een bestaande reset), gebruik ik zelden de ‘setup-wizards’. Ik doorloop en configureer alles precies zoals ik het wil. Tenzij er een goede reden is, laat ik het meestal niet standaard staan.
Ik kan u niet de exacte instellingen vertellen die u moet wijzigen. De beheerpagina van elke router is anders; zelfs router van dezelfde fabrikant. Afhankelijk van de specifieke router zijn er mogelijk instellingen die u niet kunt wijzigen. Voor veel van deze instellingen heeft u toegang nodig tot het geavanceerde configuratiegedeelte van de beheerpagina.
Tip : u kunt de Android-app RouterCheck om de beveiliging van uw router te testen .
Ik heb screenshots van een Asus RT-AC66U toegevoegd. Het is in de standaardstatus.
Update uw firmware. De meeste mensen werken de firmware bij wanneer ze de router voor het eerst installeren en laten deze dan met rust. Recent onderzoek heeft aangetoond dat 80% van de 25 bestverkochte draadloze routermodellen beveiligingsproblemen heeft. Betrokken fabrikanten zijn onder meer: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet en anderen. De meeste fabrikanten geven bijgewerkte firmware vrij wanneer kwetsbaarheden aan het licht komen. Stel een herinnering in Outlook of welk e-mailsysteem u ook gebruikt. Ik raad aan om elke 3 maanden op updates te controleren. Ik weet dat dit klinkt als een no-brainer, maar installeer alleen firmware van de website van de fabrikant.
Schakel ook de mogelijkheid van de router uit om automatisch op updates te controleren. Ik ben er geen fan van om apparaten naar huis te laten bellen. U heeft geen controle over welke datum wordt verzonden. Wist u bijvoorbeeld dat verschillende zogenaamde ‘Smart TV's’ informatie terugsturen naar hun fabrikant? Ze sturen al je kijkgewoonten elke keer dat je van kanaal verandert. Als je er een USB-drive op aansluit, sturen ze een lijst met alle bestandsnamen op de drive. Deze gegevens zijn niet versleuteld en worden zelfs verzonden als de menu-instelling is ingesteld op NEE.
Schakel beheer op afstand uit. Ik begrijp dat sommige mensen hun netwerk op afstand moeten kunnen herconfigureren. Als het moet, schakel dan in ieder geval https-toegang in en wijzig de standaardpoort. Merk op dat dit elk type ‘cloud’ gebaseerd beheer omvat, zoals Linksys ’Smart WiFi-account en Asus’ AiCloud.
Gebruik een sterk wachtwoord voor routerbeheerder. Genoeg gezegd. Standaardwachtwoorden voor routers zijn algemeen bekend en u wilt niet dat iemand gewoon een standaardpas probeert en toegang krijgt tot de router.
HTTPS inschakelen voor alle admin-verbindingen. Dit is standaard uitgeschakeld op veel routers.
Beperk inkomend verkeer. Ik weet dat dit gezond verstand is, maar soms begrijpen mensen de gevolgen van bepaalde instellingen niet. Als u port forwarding moet gebruiken, wees dan zeer selectief. Gebruik indien mogelijk een niet-standaardpoort voor de service die u configureert. Er zijn ook instellingen voor het filteren van anoniem internetverkeer (ja), en voor ping-respons (nee).
Gebruik WPA2-codering voor de wifi. Gebruik nooit WEP. Het kan binnen enkele minuten worden verbroken met software die gratis beschikbaar is op internet. WPA is niet veel beter.
Schakel WPS uit (WiFi Protected Setup) . Ik begrijp het gemak van het gebruik van WPS, maar het was een slecht idee om te beginnen.
Beperk uitgaand verkeer. Zoals hierboven vermeld, hou ik normaal gesproken niet van apparaten die naar huis bellen. Als je dit soort apparaten hebt, overweeg dan om al het internetverkeer van deze apparaten te blokkeren.
Schakel ongebruikte netwerkservices uit, vooral uPnP. Er is een algemeen bekende kwetsbaarheid bij het gebruik van de uPnP-service. Andere services die waarschijnlijk niet nodig zijn: Telnet, FTP, SMB (Samba / bestandsdeling), TFTP, IPv6
Log uit van de admin-pagina als u klaar bent . Door simpelweg de webpagina te sluiten zonder uit te loggen, kan een geauthenticeerde sessie open blijven in de router.
Controleer op kwetsbaarheid van poort 32764 . Voor zover ik weet, worden sommige routers die zijn geproduceerd door Linksys (Cisco), Netgear en Diamond getroffen, maar er kunnen andere zijn. Er is nieuwere firmware uitgebracht, maar het systeem is mogelijk niet volledig gepatcht.
Controleer uw router op: https://www.grc.com/x/portprobe=32764
Schakel logboekregistratie in . Zoek regelmatig naar verdachte activiteiten in uw logboeken. De meeste routers hebben de mogelijkheid om de logboeken op gezette tijden naar u te e-mailen. Zorg er ook voor dat de klok en tijdzone correct zijn ingesteld, zodat uw logboeken nauwkeurig zijn.
Voor de echt veiligheidsbewuste (of misschien gewoon paranoïde) zijn de volgende aanvullende stappen om te overwegen
Wijzig de gebruikersnaam van de admin . Iedereen weet dat de standaard meestal admin is.
Stel een ‘Gastnetwerk 'in . Veel nieuwere routers zijn in staat afzonderlijke draadloze gastnetwerken te creëren. Zorg ervoor dat het alleen toegang heeft tot internet, en niet uw LAN (intranet). Gebruik natuurlijk dezelfde versleutelingsmethode (WPA2-Personal) met een andere wachtwoordzin.
Sluit geen USB-opslag aan op uw router . Hierdoor worden automatisch veel services op uw router ingeschakeld en kan de inhoud van die schijf op internet worden weergegeven.
Gebruik een alternatieve DNS-provider . De kans is groot dat u de DNS-instellingen gebruikt die uw ISP u heeft gegeven. DNS is steeds meer een doelwit geworden voor aanvallen. Er zijn DNS-providers die aanvullende maatregelen hebben genomen om hun servers te beveiligen. Als extra bonus kan een andere DNS-provider uw internetprestaties verbeteren.
Wijzig het standaard IP-adresbereik op uw LAN-netwerk (binnen) . Elke router van consumentenkwaliteit die ik heb gezien, gebruikt 192.168.1.x of 192.168.0.x, waardoor het eenvoudiger is om een geautomatiseerde aanval te scripten.
Beschikbare bereiken zijn:
Elke 10.x.x.x
Elke 192.168.x.x
172.16.x.x tot 172.31.x.x
Wijzig het standaard LAN-adres van de router . Als iemand toegang krijgt tot uw LAN, weten ze dat het IP-adres van de router x.x.x.1 of x.x.x.254 is; maak het ze niet gemakkelijk.
DHCP uitschakelen of beperken . DHCP uitschakelen is meestal niet praktisch, tenzij u zich in een zeer statische netwerkomgeving bevindt. Ik geef er de voorkeur aan DHCP te beperken tot 10-20 IP-adressen beginnend bij x.x.x.101; dit maakt het gemakkelijker om bij te houden wat er in uw netwerk gebeurt. Ik geef er de voorkeur aan om mijn ‘permanente’ apparaten (desktops, printers, NAS, etc.) op statische IP-adressen te zetten. Op die manier gebruiken alleen laptops, tablets, telefoons en gasten DHCP.
Schakel beheerderstoegang draadloos uit . Deze functionaliteit is niet op alle thuisrouters beschikbaar.
Schakel SSID-uitzending uit . Dit is voor een professional niet moeilijk te verhelpen en kan het lastig maken om bezoekers op uw wifi-netwerk toe te staan.
Gebruik MAC-filtering . Hetzelfde als hierboven; lastig voor bezoekers.
Sommige van deze items vallen in de categorie ‘Security by Obscurity’, en er zijn veel IT- en beveiligingsprofessionals die ze belachelijk maken en zeggen dat het geen beveiligingsmaatregelen zijn. In zekere zin zijn ze absoluut correct. Als er echter stappen zijn die u kunt nemen om het moeilijker te maken om uw netwerk in gevaar te brengen, denk ik dat dit het overwegen waard is.
Goede beveiliging is niet ‘instellen en vergeten’. We hebben allemaal gehoord over de vele beveiligingsinbreuken bij enkele van de grootste bedrijven. Voor mij is het echt irritante deel wanneer je hier bent dat ze 3, 6, 12 maanden of langer gecompromitteerd waren voordat het werd ontdekt.
Neem de tijd om uw logboeken door te nemen. Scan uw netwerk op zoek naar onverwachte apparaten en verbindingen.
Hieronder vindt u een gezaghebbende referentie: