Маршрутизаторы для малых офисных и домашних сетей. Безопасность.

Введение

Вопросы безопасности.

Уменьшения опасных последствий

• Измените имя пользователя и пароль по умолчанию: Производители устанавливают имена пользователей и пароли для этих устройств по умолчанию на заводе-изготовителе, чтобы обеспечить пользователям доступ для настройки устройства. Эти имена и пароли по умолчанию легко доступны в различных источниках и хорошо известны хакерам, поэтому они должны быть немедленно изменены во время первоначальной настройки маршрутизатора. Рекомендуется надежный пароль, который использует сочетание букв и цифр, длинной 14 или более символов. Кроме того, рекомендуется менять пароли каждые 30 - 90 дней.
• Измените SSID по умолчанию: SSID это уникальное имя, которое идентифицирует конкретную беспроводную сеть (WLAN). Все беспроводные устройства в одной WiFi сети должны использовать одинаковый SSID для того, чтобы общаться друг с другом. Производители устанавливают SSID по умолчанию на заводе-изготовителе, который, как правило, содержит марку или название устройства. Злоумышленник может использовать имя по умолчанию для идентификации устройства и уязвимостей, связанных с ним. Пользователи иногда устанавливают SSID, которое идентифицирует их организацию, местонахождение, свое собственное имя и т.д. Это облегчает злоумышленнику задачу определить назначение сети. Например, сеть с SSID, использующей название компании является более привлекательной, чем сеть с именем "ABC123". При выборе SSID, следуйте лучшим практикам применяемым к требованиям сложности пароля, как описано ниже:
• Минимальная длина SSID должна быть больше восьми символов. Используйте алфавитно-цифровые символы в SSID.
• Регулярно изменяйте SSID и старайтесь не использовать предыдущие имена (пароли).
• Настройте WPA2-AES для обеспечения конфиденциальности данных: Wireless Equivalent Privacy (WEP) является алгоритмом безопасности, предназначенном для обеспечения конфиденциальности данных (аутентификации и шифрования), но имеет серьезные недостатки. WEP был заменен стандартом 802.11 Wi-Fi Protected Access (WPA), который имеет более новую версию WPA2. WPA и WPA2 обеспечивают более сильную аутентификацию и шифрование с использованием динамически изменяющиеся ключей. WPA и WPA2 подходят для бизнес и личного использования. WPA-Personal, также известный как WPA-PSK (Pre-Shared Key), был разработан для домашних сетей и небольших офисов с использованием предварительно распределенных ключей, не требующих отдельного сервера аутентификации. При использовании WPA-PSK, установите длинный предварительно согласованный ключ и периодически меняйте его. Для WPA-Enterprise требуется сервер аутентификации RADIUS, который использует расширенный протокол аутентификации (EAP), и обеспечивает дополнительную безопасность, но для его реализации требуется больший бюджет и более сложная реализация. WPA2 включает AES 128-битное шифрование используемое правительственными учреждениями. WPA2 с AES представляет собой наиболее безопасный вариант, и все беспроводные устройства должны быть WPA2 совместимыми. Если не возможно использовать WPA2, то используйте WPA. WEP представляет собой наименее безопасный вариант. Если используется WEP, то он должен быть настроен на использование 128-битного ключа, публикацией которого администратор маршрутизатора может управлять.
• Ограничение область покрытия WLAN: локальные сети по своей природе более безопасны, чем сети WLAN, потому что они находятся под защитой физической структуры, в которых они находятся. Территория покрытия WLAN часто выходит за пределы периметра вашего дома или организации. Это позволяет злоумышленниками перехватывать трафик вашей сети вне вашего сетевого периметра. Поэтому размещение антенны, тип антенны, и уровня мощности передачи являются важными аспектами, которые следует учитывать. Ограничьте зону покрытия вещания для защиты беспроводной сети. Расположенная в центре помещения всенаправленная антенна является наиболее распространенным типом. Если возможно, используйте направленную антенну, направляя ее только в необходимые области. Экспериментируя с уровнем и силой сигнала передачи, также можно ограничить покрытие необходимых областей.
• Выключайте WLAN, когда она не используется: отключенная беспроводная сеть, наверняка предотвратит нападение злоумышленников. Даже если частые включения и выключения устройства для вас неприемлемы, используйте этот метод во время длительных периодов своего отсутствия.
• Отключите UPnP: Universal Plug and Play (UPnP) является удобной функцией которая позволяет сетевым устройствам беспрепятственно установить связь друг с другом в сети. Хотя функция UPnP облегчает первоначальную конфигурацию сети, но она представляет угрозу безопасности. Например, вредоносные программы в вашей сети могут использовать UPnP, чтобы открыть дыру для злоумышленников в вашем маршрутизаторе. Поэтому, отключите UPnP, когда она не требуется.
• Обновите прошивку : Так же, как и программное обеспечение на ваших компьютерах, прошивка маршрутизатора (программное обеспечение, которое управляет им) должно своевременно обновляться. Большинство обновлений устраняют уязвимости защиты, которые могут повлиять на сеть.
• Используйте статические IP-адреса или ограничьте выдачу адресов по DHCP: Большинство домашних маршрутизаторов настроены на работу с протоколом DHCP. DHCP позволяет легко конфигурировать сетевые настройки клиентских устройств (IP-адрес, адрес шлюза, DNS и т.д.). Однако, он также позволяет неавторизованным пользователям получить IP-адрес в сети. Отключение DHCP и настройка клиентов вручную является наиболее безопасным вариантом, но это может быть неприемлемо в случае большого размера сети и прочих причин. При использовании DHCP, ограничьте количество IP-адресов предоставляемых DHCP. Это позволит ограничить количество пользователей, которые могут подключаться к сети - включая неавторизованных пользователей.
• Отключите удаленное управление: Отключите эту функцию, чтобы запретить соединения злоумышленников с маршрутизатором и его настройку из внешних сетей (WAN).
• Отключите удаленное обновление: Эта функция, если таковая имеется, позволяет маршрутизатору загружать обновления из внешней сети по TFTP протоколу, что потенциально может поставить под угрозу прошивку маршрутизатора. Поэтому, она должна быть отключена.
• Отключите DMZ: демилитаризованная зона маршрутизатора (DMZ) это отдельная подсеть подключенная к Интернету, которая состоит из устройств, к которым требуется доступ из Интернет (веб-серверы и т.д.). Отключите эту функцию, если она не используется. Пользователи или администраторы иногда включают ее в случае устранения неполадок, а затем забывают отключить ее, подвергая риску взлома устройства включенные в эту зону. Рекомендуется использовать брандмауэр при использовании этой функции.
• Отключите ненужные службы: Как и в любой компьютерной системе, отключите все ненужные службы в целях сокращения количества возможных внешних воздействий на маршрутизатор.
• Запретить ответ на запросы ping: ответы на запросы ping, как правило, по умолчанию разрешены. Если эта функция включена, задача обнаружение и исследования маршрутизатора становится легче, чем когда она отключена. Она позволяет вашему маршрутизатор отвечать на ping команды, получаемые из Интернета, что потенциально подвергает вашу сеть опасности. Хотя отключение этой функции не защитит вас от взлома, но по крайней мере, усложнит его. Убедитесь, что данная служба отключена.
• Используйте брандмауэр маршрутизатора: Большинство домашних маршрутизаторов имеют собственный брандмауэр. Убедитесь, что он активирован и правильно настроен так, чтобы только авторизованные пользователи и службы имели доступ к сети. Активируйте динамическую фильтрацию пакетов (SPI) на брандмауэре, если доступна эта функция. SPI расширяет возможности брандмауэра мтодами проверки пакетов, разделяя легальный и нежелательный трафик. Еще одна особенность, которую имеют многие домашние маршрутизаторы - это создание белых и черные списков, для разрешения или запрещения трафика со списка веб-сайтов, услуг, портов и т.п. Воспользуетесь этой функцией, если она доступна. Обратите внимание, что брандмауэр, встроенный в маршрутизатор не препятствет попыткам соединения пользователей находящихся в зоне действия вашей беспроводной сети (wi-fi).
• Журналирование: Включите ведение журнала маршрутизатора и периодически просматривайте журналы для обнаружения важной информации относительно попыток вторжений, хакерских атак и т.д.
• Следите за беспроводным трафиком: отслеживайте wi-fi трафик для выявления случаев несанкционированного использования вашей сети. Если вы обнаружите в журналах неизвестное вам устройство, то можно задействовать брандмауэр или функцию фильтрации MAC адресов. Для получения дополнительной информации о том, как использовать эти механизмы, изучите документацию на устройство и на сайте производителя.
• Администратору рабочих станций: Убедитесь, что любой компьютер используемый для управления маршрутизатором находится в доверенном сегменте сети, что бы исключить перехват пакетов управления устройством и сбор информации о вашей сети.
• Отключите режим моста и используйте трансляцию сетевых адресов (NAT): Домашние маршрутизаторы разделяют адреса внутренней сети и Интернета с помощью механизма преобразования сетевых адресов (NAT). NAT обеспечивает применение локальных IP-адресов для всех устройств в сети. Это позволяет запретить прямой доступ к ним из Интернета, и не позволяет легко получить внутренние адреса устройств вашей сети. IP-адрес внешнего интерфейса маршрутизатора скрывает устройства, которые находятся за ним в вашей сети. Это механизм предоставляет дополнительный уровень безопасности.
• Некоторые маршрутизаторы имеют функцию, которая позволяет им функционировать в качестве моста между двумя сетями. Эта функция может быть использована для соединения сетевых сегментов или устройств в одну общую локальную сеть используя Интернет каналы. Отключите эту функцию, если она не требуется, для ограничения этого вектора атак на маршрутизатор.

Securing WLANs using 802.11i
Using Wireless Technology Securely
Home Wireless Security