Kā nodrošināt maršrutētāju, kameras, printerus un citas ierīces, kas nav pieejamas internetā
Daži tīkla printeri, kameras, maršrutētāji un citas aparatūras ierīces ir pieejamas internetā. Ir pat meklētājprogrammas, kas paredzētas, lai meklētu šādas eksponētas ierīces. Ja jūsu ierīces ir drošas, jums par to nebūs jāuztraucas.
Izpildiet šo rokasgrāmatu, lai pārliecinātos, ka tīkla ierīces ir pareizi izolētas no interneta. Ja viss ir pareizi konfigurēts, cilvēki nevarēs atrast jūsu ierīces, veicot meklēšanu Shodan.
Nodrošiniet savu maršrutētāju
Parastā mājas tīklā, pieņemot, ka jums nav citu ierīču, kas pievienotas tieši jūsu modemam, jūsu maršrutētājam jābūt vienīgajai ierīcei, kas ir tieši savienota ar internetu. Pieņemot, ka jūsu maršrutētājs ir pareizi konfigurēts, tas būs vienīgā ierīce, kas ir pieejama no interneta. Visas pārējās ierīces ir savienotas ar jūsu maršrutētāju vai tā Wi-Fi tīklu, un tās ir pieejamas tikai tad, ja maršrutētājs tos atļauj.
Vispirms vispirms pārliecinieties, vai jūsu maršrutētājs pats ir drošs. Daudziem maršrutētājiem ir “tālvadības” vai “attālās vadības” funkcijas, kas ļauj pieteikties maršrutētājam no interneta un konfigurēt tās iestatījumus. Lielākā daļa cilvēku nekad neizmantos šādu funkciju, tāpēc jums ir jānodrošina, ka tā ir atspējota - ja šī funkcija ir iespējota un jums ir vāja parole, uzbrucējs, iespējams, var pieteikties jūsu maršrutētājam attālināti. Ja maršrutētājs to piedāvā, šo opciju atradīsiet maršrutētāja tīmekļa saskarnē. Ja jums ir nepieciešama tālvadība, pārliecinieties, ka nomaināt noklusējuma paroli un, ja iespējams, arī lietotājvārdu.
Daudziem patērētāju maršrutētājiem ir nopietna drošības ievainojamība. UPnP ir nedrošs protokols, kas ļauj lokālajā tīklā esošajām ierīcēm pārsūtīt maršrutētājus, veidojot ugunsmūra noteikumus. Tomēr mēs jau iepriekš esam iekļāvuši kopēju drošības problēmu ar UPnP - daži maršrutētāji pieņems arī UPnP pieprasījumus no interneta, ļaujot ikvienam internetā izveidot ugunsmūra noteikumus maršrutētājam.
Pārbaudiet, vai jūsu maršrutētājs ir neaizsargāts pret šo UPnP ievainojamību, apmeklējot ShieldsUP! tīmekļa vietni un palaižot “Instant UPnP Exposure Test”.
Ja jūsu maršrutētājs ir neaizsargāts, jūs, iespējams, varēsiet novērst šo problēmu, atjauninot to ar tās ražotāja jaunāko programmaparatūras versiju. Ja tas nedarbojas, varat mēģināt atspējot UPnP maršrutētāja interfeisā vai iegādāties jaunu maršrutētāju, kam nav šīs problēmas. Pārliecinieties, ka atkārtoti veicat iepriekš minēto testu pēc programmaparatūras atjaunināšanas vai UPnP atspējošanas, lai nodrošinātu, ka jūsu maršrutētājs ir faktiski drošs.
Pārliecinieties, vai citas ierīces nav pieejamas
Pārliecinieties, ka jūsu printeri, kameras un citas ierīces nav pieejamas internetā, ir diezgan vienkārši. Pieņemot, ka šīs ierīces ir aiz maršrutētāja un nav tieši savienotas ar internetu, varat kontrolēt, vai tās ir pieejamas no maršrutētāja. Ja nesūtāt ostas tīklā iekļautajām ierīcēm vai izvietojat tās DMZ, kas pilnībā pakļauj tās internetam, šīs ierīces būs pieejamas tikai vietējā tīklā.
Jums vajadzētu arī nodrošināt, lai ostas pārraides un DMZ funkcijas netiktu pakļautas jūsu datoriem vai tīkla ierīcēm internetam. Tikai uz priekšu vērstās ostas, kuras jums tiešām ir nepieciešams pārsūtīt, un izvairīties no DMZ funkcijas - dators vai ierīce DMZ saņems visu ienākošo trafiku, it kā tā būtu tieši pieslēgta internetam. Šis ir ātrs īsceļš, kas novērš nepieciešamību pēc portu pārsūtīšanas, bet DMZ'd ierīce arī zaudē drošības priekšrocības, ko rada aiz maršrutētāja.
Ja vēlaties, lai jūsu ierīces būtu pieejamas tiešsaistē - varbūt vēlaties attālināti pieslēgties tīkla drošības kameras interfeisam un redzēt, kas notiek jūsu mājā - jums ir jānodrošina, lai viņi būtu droši uzstādīti. Pārsūtot ostas no maršrutētāja un padarot ierīces pieejamas internetā, pārliecinieties, vai tās ir izveidotas ar spēcīgu paroli, ko nevar viegli uzminēt. Tas var izklausīties acīmredzami, bet interneta pieslēgto printeru un kameru skaits, kas ir pakļauti tiešsaistē, parāda, ka daudzi cilvēki nedod paroli ar savu ierīču aizsardzību.
Iespējams, vēlēsities arī apsvērt, ka šādas ierīces netiek pakļautas internetam un tā vietā iestatāt VPN. Tā vietā, lai ierīces būtu tieši savienotas ar internetu, tās ir savienotas ar vietējo tīklu un jūs varat attālināti izveidot savienojumu ar vietējo tīklu, piesakoties VPN. Vienu VPN serveri varat nodrošināt vieglāk nekā jūs varat nodrošināt vairākas dažādas ierīces ar saviem iebūvētajiem tīmekļa serveriem.
Varat arī izmēģināt radošākus risinājumus. Ja nepieciešams tikai attālināti izveidot savienojumu ar ierīcēm no vienas atrašanās vietas, maršrutētāju var iestatīt ugunsmūra noteikumus, lai nodrošinātu, ka tos var attālināti piekļūt no vienas IP adreses. Ja vēlaties koplietot tādas ierīces kā printeri tiešsaistē, iespējams, vēlēsities mēģināt izveidot kaut ko līdzīgu Google mākoņdrukai, nevis tieši atklāt tos.
Pārliecinieties, ka ierīces ir atjauninātas ar visiem programmaparatūras atjauninājumiem, kas ietver arī drošības labojumus - it īpaši, ja tie ir tieši pakļauti internetam.
Bloķējiet Wi-Fi
Kamēr jūs atrodaties, noteikti bloķējiet Wi-Fi tīklus. Jaunas tīkla pieslēgtās ierīces - no Google Chromecast TV straumēšanas ierīces līdz Wi-Fi iespējotām spuldzēm un viss, kas atrodas starp tām - parasti Wi-Fi tīklu uztver kā drošu zonu. Tie ļauj jebkurai Wi-Fi ierīcei piekļūt, tos izmantot un konfigurēt. Viņi to dara acīmredzamu iemeslu dēļ - tas ir lietotājam draudzīgāks pret visām ierīcēm, kas atrodas tīklā, uzskatīt par uzticamām, nevis mudināt lietotājus autentificēt savās mājās. Tomēr tas darbojas tikai tad, ja vietējais Wi-Fi tīkls ir faktiski drošs. Ja jūsu Wi-Fi nav drošs, ikviens var savienot un nolaupīt jūsu ierīces. Tie var arī pārlūkot visus tīklā koplietotos failus.
Pārliecinieties, ka jūsu mājas maršrutētājam ir iespējoti droši Wi-Fi šifrēšanas iestatījumi. Jums vajadzētu izmantot WPA2 šifrēšanu ar diezgan spēcīgu ieejas frāzi - ideālā gadījumā saprātīgu garo frāzi ar cipariem un simboliem papildus burtiem.
Ir daudzi citi veidi, kā jūs varat mēģināt nodrošināt mājas tīklu - no WEP šifrēšanas izmantošanas līdz MAC adreses filtrēšanai un bezvadu tīkla slēpšanai, bet tie nesniedz daudz drošības. WPA2 šifrēšana ar spēcīgu ieejas frāzi ir ceļš.
Kad tas viss nonāk pie tā, tie ir standarta drošības punkti. Jums tikai jānodrošina, lai jūsu ierīces būtu atjauninātas ar jaunākajiem drošības ielāpi, aizsargātas ar spēcīgām parolēm un droši konfigurētas.
Īpaša uzmanība jāpievērš tīkla izveidei - maršrutētājam nevajadzētu iestatīt, lai ierīces atklātos internetā, ja vien tās nav droši konfigurētas. Pat tad jūs varētu vēlēties izveidot savienojumu ar tiem attālināti, izmantojot VPN, lai nodrošinātu papildu drošību vai nodrošinātu, ka tie ir pieejami tikai no noteiktām IP adresēm.