무선 라우터 보안
- 범주: 회로망
완벽한 보안이란 없습니다. 충분한 지식, 자원 및 시간이 주어지면 모든 시스템이 손상 될 수 있습니다. 할 수있는 최선의 방법은 공격자가 가능한 한 어렵게 만드는 것입니다. 즉, 대부분의 공격으로부터 네트워크를 강화하기 위해 취할 수있는 조치가 있습니다.
내가 소비자 등급 라우터라고 부르는 기본 구성은 상당히 기본적인 보안을 제공합니다. 솔직히 말해서 그들을 타협하는 데 많은 시간이 걸리지 않습니다. 새 라우터를 설치하거나 기존 라우터를 재설정 할 때 '설정 마법사'를 거의 사용하지 않습니다. 나는 모든 것을 내가 원하는 방식으로 정확하게 구성합니다. 타당한 이유가없는 한 보통 기본값으로 두지 않습니다.
변경해야하는 정확한 설정을 말씀 드릴 수 없습니다. 모든 라우터의 관리 페이지는 다릅니다. 같은 제조업체의 라우터도 마찬가지입니다. 특정 라우터에 따라 변경할 수없는 설정이있을 수 있습니다. 이러한 설정 중 대부분은 관리자 페이지의 고급 구성 섹션에 액세스해야합니다.
팁 : 당신은 사용할 수 있습니다 Android 앱 RouterCheck는 라우터의 보안을 테스트합니다. .
Asus RT-AC66U의 스크린 샷을 포함했습니다. 기본 상태입니다.
펌웨어를 업데이트하십시오. 대부분의 사람들은 라우터를 처음 설치할 때 펌웨어를 업데이트 한 다음 그대로 둡니다. 최근 조사에 따르면 상위 판매 무선 라우터 모델 25 개 중 80 %에 보안 취약성이 있습니다. 영향을받는 제조업체는 Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet 등입니다. 대부분의 제조업체는 취약점이 드러나면 업데이트 된 펌웨어를 출시합니다. Outlook 또는 사용하는 전자 메일 시스템에서 미리 알림을 설정합니다. 3 개월마다 업데이트를 확인하는 것이 좋습니다. 당연한 말처럼 들리지만 제조업체 웹 사이트에서만 펌웨어를 설치하십시오.
또한 업데이트를 자동으로 확인하는 라우터의 기능을 비활성화하십시오. 저는 기기를 '집으로 전화'하는 것을 좋아하지 않습니다. 전송되는 날짜를 제어 할 수 없습니다. 예를 들어, 소위 '스마트 TV'여러 대가 제조업체에 정보를 다시 전송한다는 사실을 알고 계셨습니까? 채널을 변경할 때마다 모든 시청 습관을 보냅니다. USB 드라이브를 연결하면 드라이브의 모든 파일 이름 목록이 전송됩니다. 이 데이터는 암호화되지 않으며 메뉴 설정이 NO로 설정되어 있어도 전송됩니다.
원격 관리를 비활성화합니다. 일부 사람들은 네트워크를 원격으로 재구성 할 수 있어야한다는 것을 알고 있습니다. 필요한 경우 최소한 https 액세스를 활성화하고 기본 포트를 변경하십시오. 여기에는 Linksys의 Smart WiFi Account 및 Asus의 AiCloud와 같은 모든 유형의 '클라우드'기반 관리가 포함됩니다.
강력한 암호 사용 라우터 관리자 용. 충분했다. 라우터의 기본 비밀번호 상식이며 아무도 기본 패스를 시도하고 라우터에 들어가는 것을 원하지 않습니다.
HTTPS 활성화 모든 관리자 연결에 대해. 이것은 많은 라우터에서 기본적으로 비활성화되어 있습니다.
인바운드 트래픽을 제한합니다. 이것이 상식이라는 것을 알고 있지만 때로는 사람들이 특정 설정의 결과를 이해하지 못합니다. 포트 포워딩을 사용해야하는 경우 매우 선택적으로 사용해야합니다. 가능하면 구성중인 서비스에 비표준 포트를 사용하세요. 익명 인터넷 트래픽 필터링 (예) 및 핑 응답 (아니오)에 대한 설정도 있습니다.
WiFi에 WPA2 암호화를 사용하십시오. WEP를 사용하지 마십시오. 인터넷에서 무료로 사용할 수있는 소프트웨어를 사용하면 몇 분 내에 깨질 수 있습니다. WPA는 그다지 좋지 않습니다.
WPS (WiFi Protected Setup) 끄기 . WPS 사용의 편리함은 이해하지만 시작하는 것이 좋지 않았습니다.
아웃 바운드 트래픽을 제한합니다. 위에서 언급했듯이 저는 일반적으로 집에 전화하는 기기를 좋아하지 않습니다. 이러한 유형의 장치가있는 경우 해당 장치의 모든 인터넷 트래픽을 차단하는 것이 좋습니다.
사용하지 않는 네트워크 서비스, 특히 uPnP를 비활성화합니다. uPnP 서비스를 사용할 때 널리 알려진 취약점이 있습니다. 기타 불필요한 서비스 : Telnet, FTP, SMB (Samba / 파일 공유), TFTP, IPv6
완료되면 관리자 페이지에서 로그 아웃 . 로그 아웃하지 않고 웹 페이지를 닫으면 인증 된 세션이 라우터에서 열린 상태로 남을 수 있습니다.
포트 32764 취약성 확인 . 내가 아는 한 Linksys (Cisco), Netgear 및 Diamond에서 생산 한 일부 라우터가 영향을 받지만 다른 라우터도있을 수 있습니다. 최신 펌웨어가 출시되었지만 시스템을 완전히 패치하지 못할 수 있습니다.
다음에서 라우터를 확인하십시오. https://www.grc.com/x/portprobe=32764
로깅 켜기 . 정기적으로 로그에서 의심스러운 활동을 찾으십시오. 대부분의 라우터에는 설정된 간격으로 로그를 이메일로 보낼 수있는 기능이 있습니다. 또한 로그가 정확하도록 시계와 시간대가 올바르게 설정되어 있는지 확인하십시오.
진정한 보안 의식 (또는 편집증 환자)을 위해 고려해야 할 추가 단계는 다음과 같습니다.
관리자 사용자 이름 변경 . 기본값은 일반적으로 admin이라는 것을 누구나 알고 있습니다.
'게스트'네트워크 설정 . 대부분의 최신 라우터는 별도의 무선 게스트 네트워크를 만들 수 있습니다. LAN (인트라넷)이 아닌 인터넷에만 액세스 할 수 있는지 확인하십시오. 물론 다른 암호로 동일한 암호화 방법 (WPA2-Personal)을 사용하십시오.
USB 저장소를 라우터에 연결하지 마십시오. . 이렇게하면 라우터에서 많은 서비스가 자동으로 활성화되고 해당 드라이브의 콘텐츠가 인터넷에 노출 될 수 있습니다.
대체 DNS 공급자 사용 . ISP가 제공 한 DNS 설정을 사용하고있을 가능성이 있습니다. DNS는 점점 더 공격의 대상이되었습니다. 서버를 보호하기 위해 추가 단계를 수행 한 DNS 공급자가 있습니다. 추가 보너스로 다른 DNS 제공 업체가 귀하의 인터넷 성능을 향상시킬 수 있습니다.
LAN (내부) 네트워크의 기본 IP 주소 범위 변경 . 내가 본 모든 소비자 등급 라우터는 192.168.1.x 또는 192.168.0.x를 사용하므로 자동화 된 공격을 쉽게 스크립팅 할 수 있습니다.
사용 가능한 범위는 다음과 같습니다.
모든 10.x.x.x
모든 192.168.x.x
172.16.x.x ~ 172.31.x.x
라우터의 기본 LAN 주소 변경 . 누군가 LAN에 액세스 할 수있는 경우 라우터의 IP 주소가 x.x.x.1 또는 x.x.x.254임을 알고 있습니다. 그들을 쉽게 만들지 마세요.
DHCP 비활성화 또는 제한 . DHCP를 끄는 것은 매우 정적 인 네트워크 환경에 있지 않는 한 일반적으로 실용적이지 않습니다. DHCP를 x.x.x.101에서 시작하는 10-20 개의 IP 주소로 제한하는 것을 선호합니다. 이렇게하면 네트워크에서 일어나는 일을 쉽게 추적 할 수 있습니다. 고정 IP 주소에 '영구'장치 (데스크톱, 프린터, NAS 등)를 배치하는 것을 선호합니다. 이렇게하면 랩톱, 태블릿, 전화 및 게스트 만 DHCP를 사용합니다.
무선에서 관리자 액세스 비활성화 . 이 기능은 모든 홈 라우터에서 사용할 수 없습니다.
SSID 브로드 캐스트 비활성화 . 이것은 전문가가 극복하기 어렵지 않으며 방문자가 WiFi 네트워크에 접속하는 것을 어렵게 만들 수 있습니다.
MAC 필터링 사용 . 같은 상기와; 방문자에게 불편합니다.
이러한 항목 중 일부는 '은밀한 보안'범주에 속하며 보안 조치가 아니라고 비웃는 IT 및 보안 전문가가 많이 있습니다. 어떤면에서 그들은 절대적으로 정확합니다. 하지만 네트워크 손상을 더 어렵게 만들기 위해 취할 수있는 조치가 있다면 고려해 볼 가치가 있다고 생각합니다.
좋은 보안은 '설정하고 잊어 버리는 것'이 아닙니다. 우리 모두는 일부 대기업의 많은 보안 침해에 대해 들어 봤습니다. 저에게 정말 짜증나는 부분은 당신이 여기에있을 때 그들이 발견되기 전에 3, 6, 12 개월 또는 그 이상 동안 타협을 받았다는 것입니다.
시간을내어 로그를 살펴보십시오. 네트워크를 스캔하여 예상치 못한 장치 및 연결을 찾습니다.
다음은 권위있는 참조입니다.