Sichern Sie Ihren WLAN-Router

• Kategorie: Netzwerk

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

Perfekte Sicherheit gibt es nicht. Bei genügend Wissen, Ressourcen und Zeit kann jedes System kompromittiert werden. Das Beste, was Sie tun können, ist, es einem Angreifer so schwer wie möglich zu machen. Es gibt jedoch Schritte, die Sie unternehmen können, um Ihr Netzwerk gegen die überwiegende Mehrheit der Angriffe abzusichern.

Die Standardkonfigurationen für sogenannte Consumer-Router bieten eine relativ einfache Sicherheit. Um ehrlich zu sein, braucht es nicht viel, um sie zu kompromittieren. Wenn ich einen neuen Router installiere (oder einen vorhandenen zurücksetze), verwende ich selten die 'Setup-Assistenten'. Ich gehe durch und konfiguriere alles genau so, wie ich es will. Wenn es keinen guten Grund gibt, lasse ich es normalerweise nicht als Standard.

Ich kann Ihnen nicht genau sagen, welche Einstellungen Sie ändern müssen. Die Administrationsseite jedes Routers ist anders. sogar Router vom selben Hersteller. Je nach Router gibt es möglicherweise Einstellungen, die Sie nicht ändern können. Für viele dieser Einstellungen müssen Sie auf den Abschnitt für die erweiterte Konfiguration der Administrationsseite zugreifen.

Trinkgeld : Sie können die verwenden Android App RouterCheck, um die Sicherheit Ihres Routers zu testen .

Ich habe Screenshots eines Asus RT-AC66U beigefügt. Es befindet sich im Standardzustand.

Aktualisieren Sie Ihre Firmware. Die meisten Benutzer aktualisieren die Firmware, wenn sie den Router zum ersten Mal installieren und dann in Ruhe lassen. Jüngste Untersuchungen haben gezeigt, dass 80% der 25 meistverkauften WLAN-Routermodelle Sicherheitslücken aufweisen. Betroffene Hersteller sind: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet und andere. Die meisten Hersteller veröffentlichen aktualisierte Firmware, wenn Schwachstellen aufgedeckt werden. Legen Sie eine Erinnerung in Outlook oder einem anderen von Ihnen verwendeten E-Mail-System fest. Ich empfehle, alle 3 Monate nach Updates zu suchen. Ich weiß, das klingt wie ein Kinderspiel, aber installieren Sie nur die Firmware von der Website des Herstellers.

Deaktivieren Sie außerdem die Fähigkeit des Routers, automatisch nach Updates zu suchen. Ich bin kein Fan davon, Geräte nach Hause telefonieren zu lassen. Sie haben keine Kontrolle darüber, welches Datum gesendet wird. Wussten Sie zum Beispiel, dass mehrere sogenannte „Smart-TVs“ Informationen an ihren Hersteller zurücksenden? Sie senden alle Ihre Sehgewohnheiten jedes Mal, wenn Sie den Kanal wechseln. Wenn Sie ein USB-Laufwerk anschließen, senden sie eine Liste aller Dateinamen auf dem Laufwerk. Diese Daten sind unverschlüsselt und werden auch dann gesendet, wenn die Menüeinstellung auf NEIN gesetzt ist.

Deaktivieren Sie die Remoteverwaltung. Ich verstehe, dass einige Leute in der Lage sein müssen, ihr Netzwerk remote neu zu konfigurieren. Wenn Sie müssen, aktivieren Sie mindestens den https-Zugriff und ändern Sie den Standardport. Beachten Sie, dass dies jede Art von Cloud-basierter Verwaltung umfasst, z. B. das Smart WiFi-Konto von Linksys und die AiCloud von Asus.

Verwenden Sie ein sicheres Passwort für Router Admin. Genug gesagt. Standardkennwörter für Router sind allgemein bekannt und Sie möchten nicht, dass jemand einfach einen Standardpass versucht und sich an den Router wendet.

Aktivieren Sie HTTPS für alle Admin-Verbindungen. Dies ist auf vielen Routern standardmäßig deaktiviert.

Beschränken Sie den eingehenden Verkehr. Ich weiß, dass dies gesunder Menschenverstand ist, aber manchmal verstehen die Leute die Konsequenzen bestimmter Einstellungen nicht. Wenn Sie die Portweiterleitung verwenden müssen, seien Sie sehr wählerisch. Verwenden Sie nach Möglichkeit einen nicht standardmäßigen Port für den Dienst, den Sie konfigurieren. Es gibt auch Einstellungen zum Filtern des anonymen Internetverkehrs (Ja) und zum Pingen der Antwort (Nein).

Verwenden Sie die WPA2-Verschlüsselung für das WLAN. Verwenden Sie niemals WEP. Es kann innerhalb von Minuten mit Software, die im Internet frei verfügbar ist, beschädigt werden. WPA ist nicht viel besser.

Schalten Sie WPS (WiFi Protected Setup) aus. . Ich verstehe die Bequemlichkeit der Verwendung von WPS, aber es war eine schlechte Idee, damit zu beginnen.

Beschränken Sie den ausgehenden Verkehr. Wie oben erwähnt, mag ich normalerweise keine Geräte, die nach Hause telefonieren. Wenn Sie über diese Art von Geräten verfügen, sollten Sie den gesamten Internetverkehr blockieren.

Deaktivieren Sie nicht verwendete Netzwerkdienste, insbesondere uPnP. Bei der Verwendung des uPnP-Dienstes ist eine Sicherheitslücke allgemein bekannt. Andere Dienste sind wahrscheinlich nicht erforderlich: Telnet, FTP, SMB (Samba / File Sharing), TFTP, IPv6

Melden Sie sich von der Admin-Seite ab, wenn Sie fertig sind . Durch einfaches Schließen der Webseite ohne Abmelden kann eine authentifizierte Sitzung im Router geöffnet bleiben.

Überprüfen Sie die Sicherheitsanfälligkeit für Port 32764 . Meines Wissens sind einige von Linksys (Cisco), Netgear und Diamond hergestellte Router betroffen, aber möglicherweise auch andere. Neuere Firmware wurde veröffentlicht, aber möglicherweise nicht vollständig gepatcht.

Überprüfen Sie Ihren Router unter: https://www.grc.com/x/portprobe=32764

Aktivieren Sie die Protokollierung . Suchen Sie regelmäßig in Ihren Protokollen nach verdächtigen Aktivitäten. Die meisten Router können die Protokolle in festgelegten Intervallen per E-Mail an Sie senden. Stellen Sie außerdem sicher, dass Uhr und Zeitzone richtig eingestellt sind, damit Ihre Protokolle korrekt sind.

Für wirklich sicherheitsbewusste (oder vielleicht nur paranoide) Personen sind die folgenden zusätzlichen Schritte zu beachten

Ändern Sie den Administrator-Benutzernamen . Jeder weiß, dass der Standard normalerweise admin ist.

Richten Sie ein 'Gast' -Netzwerk ein . Viele neuere Router können separate drahtlose Gastnetzwerke erstellen. Stellen Sie sicher, dass es nur Zugang zum Internet hat und nicht zu Ihrem LAN (Intranet). Verwenden Sie natürlich dieselbe Verschlüsselungsmethode (WPA2-Personal) mit einer anderen Passphrase.

Schließen Sie keinen USB-Speicher an Ihren Router an . Dadurch werden automatisch viele Dienste auf Ihrem Router aktiviert und der Inhalt dieses Laufwerks kann dem Internet zugänglich gemacht werden.

Verwenden Sie einen alternativen DNS-Anbieter . Möglicherweise verwenden Sie die DNS-Einstellungen, die Sie von Ihrem Internetdienstanbieter erhalten haben. DNS ist zunehmend ein Ziel für Angriffe geworden. Es gibt DNS-Anbieter, die zusätzliche Schritte zur Sicherung ihrer Server unternommen haben. Als zusätzlichen Bonus kann ein anderer DNS-Anbieter Ihre Internetleistung steigern.

Ändern Sie den Standard-IP-Adressbereich in Ihrem LAN-Netzwerk (innerhalb des Netzwerks) . Jeder Consumer-Router, den ich gesehen habe, verwendet entweder 192.168.1.x oder 192.168.0.x, um das Skript für einen automatisierten Angriff zu vereinfachen.
Verfügbare Bereiche sind:
Beliebige 10.x.x.x.
Beliebig 192.168.x.x
172.16.x.x bis 172.31.x.x.

Ändern Sie die Standard-LAN-Adresse des Routers . Wenn jemand Zugriff auf Ihr LAN erhält, weiß er, dass die IP-Adresse des Routers entweder x.x.x.1 oder x.x.x.254 lautet. mach es ihnen nicht leicht

Deaktivieren oder beschränken Sie DHCP . Das Deaktivieren von DHCP ist normalerweise nur dann sinnvoll, wenn Sie sich in einer sehr statischen Netzwerkumgebung befinden. Ich ziehe es vor, DHCP auf 10-20 IP-Adressen zu beschränken, die bei x.x.x.101 beginnen. Auf diese Weise können Sie leichter verfolgen, was in Ihrem Netzwerk passiert. Ich bevorzuge es, meine 'permanenten' Geräte (Desktops, Drucker, NAS usw.) auf statische IP-Adressen zu setzen. Auf diese Weise verwenden nur Laptops, Tablets, Telefone und Gäste DHCP.

Deaktivieren Sie den Administratorzugriff über WLAN . Diese Funktionalität ist nicht auf allen Heimroutern verfügbar.

Deaktivieren Sie die SSID-Übertragung . Dies ist für einen Fachmann nicht schwer zu überwinden und kann es schwierig machen, Besucher in Ihrem WiFi-Netzwerk zuzulassen.

Verwenden Sie die MAC-Filterung . Das gleiche wie oben; unpraktisch für Besucher.

Einige dieser Elemente fallen in die Kategorie „Sicherheit durch Dunkelheit“, und es gibt viele IT- und Sicherheitsexperten, die sich über sie lustig machen und sagen, dass es sich nicht um Sicherheitsmaßnahmen handelt. In gewisser Weise sind sie absolut korrekt. Wenn Sie jedoch Schritte unternehmen können, um die Kompromittierung Ihres Netzwerks zu erschweren, sollten Sie darüber nachdenken.

Gute Sicherheit bedeutet nicht, sie festzulegen und zu vergessen. Wir haben alle von den vielen Sicherheitsverletzungen bei einigen der größten Unternehmen gehört. Für mich ist der wirklich irritierende Teil, wenn Sie hier waren, wurden sie für 3, 6, 12 Monate oder länger kompromittiert, bevor sie entdeckt wurden.

Nehmen Sie sich Zeit, um Ihre Protokolle zu durchsuchen. Scannen Sie Ihr Netzwerk nach unerwarteten Geräten und Verbindungen.

Unten finden Sie eine maßgebliche Referenz:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf