Як переконатися, що маршрутизатор, фотокамери, принтери та інші пристрої не доступні в Інтернеті
Мережні принтери, камери, маршрутизатори та інші апаратні пристрої деяких людей доступні з Інтернету. Є навіть пошукові системи, призначені для пошуку таких відкритих пристроїв. Якщо ваші пристрої захищені, вам не доведеться турбуватися про це.
Дотримуйтесь цього посібника, щоб переконатися, що мережні пристрої правильно ізольовані від Інтернету. Якщо ви все правильно налаштуєте, люди не зможуть знайти ваші пристрої, виконавши пошук на Shodan.
Захистіть маршрутизатор
У типовій домашній мережі - якщо ви не маєте інших пристроїв, підключених безпосередньо до модему - ваш маршрутизатор повинен бути єдиним пристроєм, підключеним безпосередньо до Інтернету. Припускаючи, що ваш маршрутизатор правильно налаштований, це буде єдиний пристрій, доступний з Інтернету. Всі інші пристрої підключені до маршрутизатора або мережі Wi-Fi і доступні лише в тому випадку, якщо маршрутизатор дозволяє.
По-перше, переконайтеся, що ваш маршрутизатор захищений. Багато маршрутизаторів мають функції «віддаленого адміністрування» або «віддаленого керування», які дозволяють входити в ваш маршрутизатор з Інтернету та налаштовувати його параметри. Переважна більшість людей ніколи не буде використовувати таку функцію, тому ви повинні переконатися, що вона вимкнена - якщо ви маєте цю функцію і маєте слабкий пароль, зловмисник зможе віддалено увійти в ваш маршрутизатор. Ви знайдете цей параметр у веб-інтерфейсі вашого маршрутизатора, якщо ваш маршрутизатор пропонує його. Якщо вам потрібне віддалене керування, переконайтеся, що ви зміните пароль за замовчуванням і, якщо можливо, також ім'я користувача.
Багато маршрутизаторів споживачів мають серйозну уразливість безпеки. UPnP - небезпечний протокол, який дозволяє пристроям у локальній мережі переадресовувати порти - шляхом створення правил брандмауера - на маршрутизаторі. Проте раніше ми розглядали загальну проблему безпеки з UPnP - деякі маршрутизатори також приймають запити UPnP з Інтернету, дозволяючи будь-кому в Інтернеті створювати правила брандмауера на вашому маршрутизаторі..
Перевірте, чи є ваш маршрутизатор вразливим до цієї уразливості UPnP, відвідавши ShieldsUP! веб-сайту та запуску "Instant UPnP Exposure Test".
Якщо ваш маршрутизатор є вразливим, ви можете усунути цю проблему, оновивши її за допомогою останньої версії прошивки, доступної від її виробника. Якщо це не спрацює, ви можете спробувати відключити UPnP в інтерфейсі маршрутизатора або придбати новий маршрутизатор, який не має цієї проблеми. Обов'язково повторно запустіть вищевказаний тест після оновлення мікропрограми або вимкнення UPnP, щоб переконатися, що маршрутизатор дійсно захищений.
Переконайтеся, що інші пристрої не доступні
Забезпечення недоступності принтерів, фотоапаратів та інших пристроїв через Інтернет є досить простим. Припускаючи, що ці пристрої знаходяться за маршрутизатором і не підключені безпосередньо до Інтернету, можна керувати доступом до них з маршрутизатора. Якщо ви не перенаправляєте порти на мережеві пристрої або розміщуєте їх у DMZ, які повністю виставляють їх в Інтернеті, ці пристрої будуть доступні лише з локальної мережі.
Також слід переконатися, що функції переадресації портів і функції DMZ не піддають роботу комп'ютерів або мережевих пристроїв Інтернету. Тільки прямі порти, які вам дійсно потрібно переадресовувати, і ухилятися від функції DMZ - комп'ютер або пристрій в DMZ отримуватиме весь вхідний трафік, як якщо б він був підключений безпосередньо до Інтернету. Це швидкий ярлик, що дозволяє уникнути необхідності переадресації портів, але пристрій DMZ також втрачає переваги безпеки, що стоїть за маршрутизатором.
Якщо ви хочете зробити свої пристрої доступними в Інтернеті - можливо, ви хочете віддалено ввійти до інтерфейсу мережевої камери безпеки і подивитися, що відбувається у вашому будинку - ви повинні переконатися, що вони налаштовані надійно. Після перенаправлення портів з маршрутизатора та забезпечення доступності пристроїв з Інтернету, переконайтеся, що вони налаштовані з надійним паролем, який не легко вгадати. Це може здатися очевидним, але кількість підключених до Інтернету принтерів і фотоапаратів, які були виставлені в мережі, показують, що багато людей не захищають свої паролі пристроями.
Ви також можете розглянути можливість виставляти такі пристрої в Інтернеті та встановлювати VPN. Замість того, щоб пристрої безпосередньо підключалися до Інтернету, вони підключені до локальної мережі, і ви можете віддалено підключитися до локальної мережі, увійшовши в VPN. Ви можете забезпечити один VPN-сервер легше, ніж можна забезпечити декілька різних пристроїв зі своїми вбудованими веб-серверами.
Можна також спробувати більше творчих рішень. Якщо потрібно лише віддалено з'єднатися з пристроями з одного місця, ви можете налаштувати правила брандмауера на маршрутизаторі, щоб забезпечити доступ до них лише з віддаленого IP-адреси. Якщо ви бажаєте спільно використовувати пристрої, наприклад, принтери в Інтернеті, спробуйте налаштувати щось на зразок Google Cloud Print, а не безпосередньо виставляти їх.
Переконайтеся, що ваші пристрої оновлюються будь-якими оновленнями мікропрограм, які також містять виправлення безпеки - особливо, якщо вони піддаються безпосередньому доступу до Інтернету.
Заблокуйте свій Wi-Fi
Перебуваючи на цьому, переконайтеся, що заблокували мережі Wi-Fi. Нові пристрої, підключені до мережі - від пристрою для передавання телевізорів Chromecast від Google до лампочок з підтримкою Wi-Fi і все, що відбувається між ними - як правило, розглядають вашу мережу Wi-Fi як безпечну область. Вони дозволяють будь-якому пристрою Wi-Fi отримувати доступ, використовувати і конфігурувати їх. Вони роблять це з очевидної причини - це більш зручно для користувача, щоб розглядати всі пристрої в мережі як довірені, ніж підказувати користувачам для автентифікації у власних будинках. Однак, це добре працює лише в тому випадку, якщо локальна мережа Wi-Fi фактично захищена. Якщо ваш Wi-Fi не є безпечним, будь-хто може підключитися та захопити пристрої. Вони також можуть переглядати всі файли, які ви поділили в мережі.
Переконайтеся, що на домашньому маршрутизаторі ввімкнено захищені параметри шифрування Wi-Fi. Ви повинні використовувати шифрування WPA2 з досить сильною паролем - в ідеалі досить довгою пароллю з цифрами та символами, крім літер.
Існує багато інших способів захистити домашню мережу - від використання шифрування WEP до ввімкнення фільтрації MAC-адрес і приховування вашої бездротової мережі - але вони не забезпечують більшої безпеки. Шифрування WPA2 з сильною пароллю - це шлях.
Коли все зводиться до цього, це стандартні перешкоди безпеки. Вам потрібно лише забезпечити, щоб ваші пристрої були найсучаснішими з найновішими виправленнями безпеки, захищеними надійними паролями та безпечно налаштованими.
Зверніть особливу увагу на роботу з мережею - маршрутизатор не повинен встановлюватися, щоб відкривати пристрої в Інтернеті, якщо вони не налаштовані надійно. Навіть тоді ви можете підключитися до них віддалено через VPN для додаткової безпеки або переконатися, що вони доступні лише з певних IP-адрес.