Jak zajistit, že směrovač, kamery, tiskárny a další zařízení nejsou přístupné na internetu
Některé síťové tiskárny, fotoaparáty, směrovače a další hardwarová zařízení jsou přístupné z Internetu. Existují i vyhledávače navržené pro vyhledávání takových exponovaných zařízení. Pokud jsou vaše zařízení bezpečná, nebudete se o to muset starat.
Postupujte podle této příručky, abyste zajistili, že vaše síťová zařízení budou řádně izolována od Internetu. Pokud vše správně nakonfigurujete, lidé nebudou moci najít vaše zařízení pomocí vyhledávání na Shodanu.
Zabezpečte směrovač
V typické domácí síti - za předpokladu, že nemáte žádné jiné zařízení připojené přímo do modemu - by měl být váš router jediným zařízením, které je připojeno přímo k Internetu. Za předpokladu, že je váš směrovač správně nakonfigurován, bude jediným zařízením, které je přístupné z Internetu. Všechna ostatní zařízení jsou připojena k routeru nebo síti Wi-Fi a jsou přístupná pouze v případě, že směrovač umožňuje.
Nejdříve nejdříve: Ujistěte se, že je váš směrovač bezpečný. Mnoho směrovačů má funkce vzdálené správy nebo vzdálené správy, které umožňují přihlásit se k routeru z Internetu a konfigurovat jeho nastavení. Převážná většina lidí tuto funkci nikdy nepoužívá, a proto byste měla zajistit, že je zakázána. Pokud máte tuto funkci povolenou a máte slabé heslo, může se útočník moci vzdáleně přihlásit k routeru. Tuto možnost najdete ve webovém rozhraní vašeho směrovače, pokud jej směrovač nabízí. Pokud potřebujete vzdálenou správu, ujistěte se, že změníte výchozí heslo a případně také uživatelské jméno.
Mnoho spotřebitelských směrovačů má vážnou bezpečnostní zranitelnost. UPnP je nejistý protokol, který umožňuje zařízením v lokální síti předávat porty - pomocí vytváření pravidel firewallu - na směrovači. Předtím jsme však pokryli společný bezpečnostní problém s UPnP - některé směrovače budou přijímat požadavky UPnP i z Internetu, což každému na internetu umožní vytvářet pravidla brány firewall ve vašem směrovači.
Zkontrolujte, zda je váš směrovač zranitelný vůči této zranitelnosti UPnP tím, že navštívíte ShieldsUP! webové stránky a spustit test okamžitého testu expozice UPnP.
Pokud je váš směrovač zranitelný, můžete tento problém vyřešit aktualizací nejnovější verze firmwaru, který je k dispozici u jeho výrobce. Pokud to nefunguje, můžete zkusit vypnout UPnP v rozhraní routeru nebo zakoupit nový směrovač, který nemá tento problém. Ujistěte se, že znovu spustit výše uvedený test po aktualizaci firmwaru nebo vypnutí UPnP, abyste zajistili, že váš směrovač je skutečně bezpečný.
Ujistěte se, že ostatní zařízení nejsou přístupná
Zajistit, že vaše tiskárny, kamery a další zařízení nejsou přístupné přes internet, je poměrně jednoduché. Za předpokladu, že tato zařízení jsou za směrovačem a nejsou přímo připojena k Internetu, můžete řídit, zda jsou přístupné ze směrovače. Pokud nepřenášíte porty do síťových zařízení nebo je nepoužíváte v DMZ, který je vystavuje zcela na internetu, budou tato zařízení přístupná pouze z lokální sítě.
Měli byste také zajistit, aby funkce pro předávání portů a funkce DMZ nevystavovaly vaše počítače nebo síťová zařízení Internetu. Pouze budoucí porty, které skutečně potřebujete předat, a vyhýbat se funkce DMZ - počítač nebo zařízení v DMZ obdrží veškerou příchozí komunikaci, jako by byla připojena přímo k Internetu. Jedná se o rychlou zkratku, která zabraňuje nutnosti přesměrování portů, ale zařízení DMZ'd také ztratí bezpečnostní výhody, které stojí za router.
Chcete-li zařízení zpřístupnit online - možná se chcete připojit vzdáleně do rozhraní síťové kamery a zjistit, co se děje ve vašem domě - měli byste se ujistit, že jsou nastaveny bezpečně. Po přesměrování portů ze směrovače a zpřístupnění zařízení z Internetu se ujistěte, že jsou nastaveny se silným heslem, které se nedá snadno odhadnout. To může znít zřejmý, ale počet internetových tiskáren a fotoaparátů, které byly vystaveny online, ukazuje, že mnoho lidí chrání heslem jejich zařízení.
Možná budete chtít také zvážit, že nebudete vystavovat tato zařízení na internetu a místo toho nastavovat VPN. Spíše než zařízení, která jsou přímo připojena k Internetu, jsou připojeni k místní síti a můžete se k lokální síti vzdáleně připojit přihlášením do sítě VPN. Jeden VPN server můžete zabezpečit jednodušeji, než si můžete zajistit několik různých zařízení s vlastními vestavěnými webovými servery.
Můžete také zkusit více kreativních řešení. Pokud potřebujete vzdáleně připojit k vašim zařízením z jediného místa, můžete nastavit pravidla brány firewall ve směrovači, abyste se ujistili, že mohou být vzdáleně dostupní pouze z jedné adresy IP. Chcete-li sdílet zařízení, jako jsou tiskárny online, můžete zkusit nastavit něco jako Google Cloud Print, než je přímo vystavovat.
Ujistěte se, že vaše zařízení budou aktuální s firmwarovými aktualizacemi, které obsahují také bezpečnostní opravy - zejména pokud jsou přímo vystaveny Internetu.
Uzamkněte Wi-Fi
Zatímco jste na tom, nezapomeňte uzamknout sítě Wi-Fi. Nové zařízení připojená k síti - ze zařízení pro streamování Chromecast Google na síťové žárovky s podporou Wi-Fi a vše mezi nimi - obecně považují vaši síť Wi-Fi za zabezpečenou oblast. Umožňují libovolnému zařízení na vašem Wi-Fi přístup, použití a konfiguraci. Využívají to z pochopitelných důvodů - uživatelsky přívětivější je zacházet se všemi zařízeními v síti jako důvěryhodnými, než aby uživatelé vyzvali k autentizaci ve vlastních domovech. To ovšem funguje dobře, pouze pokud je místní síť Wi-Fi skutečně bezpečná. Pokud vaše Wi-Fi není zabezpečené, může se k nim připojit kdokoli a jeho únosy. Mohou také procházet všechny soubory, které jste sdíleli v síti.
Ujistěte se, že máte v domovském směrovači povoleno zabezpečené nastavení šifrování Wi-Fi. Měli byste používat šifrování WPA2 s poměrně silnou přístupovou frází - ideálně rozumně dlouhou přístupovou frázi s čísly a symboly kromě písmen.
Existuje mnoho dalších způsobů, jak se pokusit zabezpečit vaši domácí síť - od šifrování WEP až po filtrování adres MAC a skrytí bezdrátové sítě - ale tyto systémy nenabízí mnoho zabezpečení. Šifrování WPA2 se silnou přístupovou frází je způsob, jak jít.
Když to všechno dopadne, jsou to standardní bezpečnostní předsudky. Musíte pouze zajistit, aby vaše zařízení byla aktuální s nejnovějšími bezpečnostními záplatami, chráněna silnými hesly a bezpečně nakonfigurována.
Zvláštní pozornost věnujte síti - směrovač by neměl být nastaven tak, aby vystavoval zařízení na internetu, pokud nejsou nakonfigurováni bezpečně. Dokonce je možné, že se k nim budete chtít připojit vzdáleně prostřednictvím sítě VPN, abyste získali další zabezpečení, nebo zajistíte, že jsou přístupné pouze z konkrétních adres IP.