Nastavte si bezpečne váš WiFi router aplikovaním nastavení, ktoré môžu eliminovať prípadný útok.
Už len veľmi ťažko si vieme predstaviť domácnosť či kanceláriu kde nie je bezdrôtová sieť. Teší ma stúpajúca tendencia záujmu o kybernetickú bezpečnosť u bežných používateľov internetu a preto som sa rozhodol napísať jednoduchý návod na zvýšenie bezpečnosti vášho bezdrôtového smerovača (Wireless LAN router; tiež známe ako Wifi Router).
Väčšina bežne dostupných router-ov pre malé firmy či domácnosť (tzv. SOHO: Small Office/Home Office) je prednastavená a inštalácia a uvedenie do prevádzky je vďaka user-friendly politikám výrobcov veľmi jednoduchá. V skratke – podľa pribaleného obrázkového manuálu pripojíte kabeláž a Vaša sieť je funkčná. No zvyčajne to znamená aj to, že je zraniteľná. Zodpovednejší užívatelia aplikujú niekoľko nastavení, ktoré môžu eliminovať prípadný útok, alebo ho útočníkovi rapídne sťažiť. Ako sa dostať k nastaveniam router-a sa dočítate v každom pribalenom návode.
My sa teraz pozrieme, ktoré kroky by ste rozhodne nemali obchádzať.
1. Zmena prihlasovacieho mena a hesla do konfiguračného rozhrania.
Po prvom zapnutí a prihlásení sa do konfiguračného rozhrania je nutné zmeniť prihlasovacie meno (login) a heslo (password). Pri zmene hesiel odporúčam dodržiavať politiku bezpečných hesiel. Prihlasovacie meno by nemalo obsahovať slovníkové slová (napr. Admin123), malo by mať minimálne 8 alfa-numerických znakov, obsahovať číslice a špeciálne znaky. Ako je možné vidieť na obrázku nižšie výrobcovia zvyčajne používajú defaultné prihlasovacie údaje a útočníci o tom samozrejme vedia tiež. Ak ich nezmeníte, poskytnete útočníkovi zaručený a neobmedzený prístup do Vašej siete!
zdroj obr.: tp-link.com
2. Zmena názvu WiFi siete (SSID – Service Set Identifier)
Výrobcovia vo svojich základných nastaveniach používajú základné názvy siete, v ktorých zvyčajne figuruje typ zariadenia (default SSID). Toto určite odporúčam zmeniť tak, aby z názvu siete nebolo jasné o akého výrobcu a typ zariadenia ide, jeho umiestnenie, ani meno používateľa. Meno by malo obsahovať aspoň osem alfanumerických znakov spolu so znakmi. Ako je vidieť na predchádzajúcom obrázku ak by útočník videl názov siete TL-WDR4300, tak vie jednoducho vyčítať o aké zariadenie ide, rýchlo zistiť, či má nejaké zraniteľnosti a teda aký postup pri útoku zvoliť.
3. Nastavenie autentifikačného kľúča siete WiFi
Pri voľbe šifrovania odporúčam využívať WPA2 protokol a znova sa riadiť politikou bezpečných hesiel. Starším protokolom ako WPA a WEP je dobre sa vyhnúť. Takisto je vhodné vypnutie WPS funkcie.
Pýtate sa prečo? WPS síce zjednodušuje prepájanie sa WiFi zariadení, ale robí to takým spôsobom, že zjednodušuje prácu aj útočníkom. WPS miesto hesla využíva osem miestne číslo a to nie je problém rýchlo odhadnúť.
Šifrovanie WPA2 je dynamicky sa meniaci šifrovací algoritmus, ktorý slúži na autentifikáciu a samozrejme na šifrovanie. WPA2 obsahuje 128bitové AES (Advanced Encryption Standard) šifrovanie, vďaka čomu bol akceptovaný aj vládnymi organizáciami ako napr. NSA. Hoci od roku 2018 je k dispozícií aj WPA3, na našom trhu ešte nemá veľké zastúpenie, ak ho však k dispozícií máte, mali by ste ho pred WPA2 uprednostniť.
4. Vypnutie UPnP protokolu
Ak to Vaše zariadenie dovolí, zvážte vypnutie protokolu UPnP (Universal Plug and Play), ktorý aj keď umožňuje pohodlné pripojenie a zároveň automatické nakonfigurovanie sieťového zariadenia (tlačiareň a pod.) predstavuje bezpečnostné riziko. Viac sa dozviete v Incident podcaste 074.
5. Zakázať Ping (Packet InterNet Groper) odpovede
Tento jednoduchý program slúži na preverenie funkčnosti spojenia medzi dvoma sieťovými zariadeniami. Aj keď tento krok nezabráni vyhľadaniu vášho zariadenia útočníkovi to dosť sťaží.
6. Vypnutie DHCP (Dynamic Host Configuration Protocol) servera
Už samotný názov nám hovorí, že tento protokol umožňuje žiadať (pomocou klienta na pripájanom zariadení) a následne aj získať (z DHCP servera na Vašom smerovači) konfiguráciu v podobe IP adresy, brány (gateway), DNS (domain name system) a pod. Vypnutím tohto servera na smerovači bude nutné tieto informácie nastaviť na klientoch (počítačoch, Smart zariadeniach) manuálne, čo môže byť nepraktické hlavne v prípade väčšieho počtu pripájaných zariadení, ale DHCP protokol je zraniteľný viacerými spôsobmi, preto je vhodné zvážiť jeho použitie.
V tomto kroku by som rád odporučil použitie iného rozsahu IP adries ako je prednastavené (zvyčajne 192.168.0.X alebo 192.168.1.X). Je to jednoduchá a účinná technika na zníženie pravdepodobnosti úspešného útoku.
7. Filtrovane MAC adries
MAC (Media Access Control) adresa, teda fyzická adresa, je 48bitové identifikačné číslo. Vlastní ho každé sieťové zariadenie, či už je to smerovač, sieťová karta, wifi anténa a mnoho ďalších. Pomocou MAC adress filtering je možné zadefinovať, ktoré zariadenie resp. ktorá MAC adresa môže mat prístup k smerovaču. Všetky ostatné budú odmietnuté. Filter je možné nastaviť aj opačne. To znamená že zamietnutý bude prístup len konkrétnym zadaným MAC adresám a všetky ostatné ho budú mať povolený. Odporúčam však zamerať sa na prvý spomínaný spôsob.
Prečo? : Hoci MAC adresu je možné na zariadeniach meniť, je časovo náročné odhadnúť jednu povolenú a samozrejme aj nepripojenú MAC adresu zo zoznamu.
8. Zakázanie vzdialenej správy z WAN rozhrania
Zakázaním vzdialenej správy zabránite vstupu do konfiguračného rozhrania smerovača cez WAN (Wide Area Network, čo je najčastejšie Internet pripojenie) rozhranie. To znamená že Váš smerovač bude možne konfigurovať len z počítačov pripojených priamo k smerovaču. Smerovače štandardne nedovoľujú vstup do konfiguračného rozhrania ani cez sieť WiFi, niektoré značky však áno. Odporúčam si to skontrolovať, keďže to môže byť vážna bezpečnostná diera.
9. Prekladanie adries pomocou NAT (Network Adress Translation alebo Native Adress Translation)
Funkcia NAT zabezpečuje oddelenie vašej lokálnej siete od internetu a zabezpečí aby IP adresy zariadení vo vnútri vašej siete neboli z vonku viditeľné. To znamená že pri nadväzovaní spojenia so serverom v internete vašu pôvodnú lokálnu IP prepíše na adresu vonkajšieho rozhrania a zapíše si ju do tabuľky. Následne pri odpovedi si v tabuľke vyhľadá, pre ktorú lokálnu IP je odpoveď určená, urobí opačný preklad a odošle počítaču na vnútornej sieti. Takto sú všetky vaše počítače schované za jedinú vonkajšiu IP adresu. Táto možnosť pridáva ďalšiu vrstvu zabezpečenia pred útokmi z vonkajšej siete.
10. Zapnutie brány firewall
Každý SOHO smerovač by mal mať v dnešnej dobe aj funkcionalitu firewall. Brána firewall v závislosti od konfigurácie umožňuje prístup k sieti iba oprávneným užívateľom či službám. Mali by ste sa uistiť, že je táto funkcia zapnutá. Aj keď je dnes vo firewall funkcionalita SPI (Stateful packet inspection) väčšou samozrejmosťou a je automaticky aktivovaná, ak váš firewall má možnosť aktivovať alebo deaktivovať SPI, určite ju aktivujte. Je to technológia, ktorá monitoruje komunikáciu medzi zariadeniami a kontroluje, či prichádzajúce dátové pakety pochádzajú z danej komunikácie a rozhoduje či im dovolí alebo zamietne prechod bránou firewall.
Na záver by som chcel poznamenať, že aj keď sa hovorí, že „pred zlodejom niet zámku“, je určite dobré urobiť aspoň minimálne bezpečnostné opatrenia, ktoré predkonfigurované SOHO smerovače poskytujú. Určite sa nespoliehajte, že vás pred útokom ochráni váš poskytovateľ internetu. Pre útočníka je atraktívny každý cieľ, či už má alebo nemá zaujímavé dáta. Nemusí vám nič „ukradnúť“, len vás zneužije na dolovanie kryptomeny, alebo z vás urobí zdroj útokov na iné ciele. A to asi nechcete.
Pre viac možností konfigurácie sú dostupné aj plne konfigurovateľné smerovače a špeciálne firewaly. Zvážte ich kúpu a zverte ich konfiguráciu odborníkom, ktorí zaručene pomôžu ochrániť vaše firemné alebo domáce dáta pred útokom a zneužitím.
( S.O. )
