在2017年底及2018年初,各个方面的专家们都反复提到物联网设备的安全性问题。这包括安全趋势预测、 网络安全规划、 网络犯罪 报告、攻击态势报告及网络攻击事件
- 安全趋势预测:2018年1月3日, 2018网络安全发展趋势 ,及 2018物联网及其安全发展趋势
- 网络安全规划:2017年12月21日, 2018网络安全规划:CISO们需要考虑5个问题 首要是全球性合规法规
- 网络犯罪报告:2017年12月14日, 下载 | 2017网络犯罪报告 ,搜索引擎无法收录的深网比公网大5千倍
- 攻击态势报告:2017年11月30日, 入侵网络视频监控系统 只需要2分钟 发起请求的大多是路由器等物联网设备
- 网络攻击事件:2017年11月30日, Dyn再次遭遇Mirai物联网恶意软件DDoS攻击 DNS服务瘫痪2小时
而这些分析中,路由器是反复被提到,很明显这是您必须考虑的第一个设备,因为它不仅控制网络的边界,而且所有的流量和信息都通过它。 如今,这些设备中的大多数具有各种各样的功能,工具和配置,这虽然增加了它们的潜力,但也增加了可能受到损害的风险。 所以,无论你家里是什么型号,建议你花几分钟时间分析一下它的运行情况,一定要检查如下这7个关键点。
更改您路由器的默认密码
在2017年这个建议仍然是名单上的第一个,但事实是许多用户在家里安装它们时,仍然没有改变默认的密码。 毋庸置疑,就在一个多月前,Hold Security的一项调查发现, 通过使用默认凭证, Equifax 内部门户很容易被盗用。
这些凭据几乎在每个设备上,可以通过在互联网上搜索轻松找到。 所以你应该改变路由器的用户名和密钥,并尝试使用强大而唯一的密码。
启用路由器的网络隔离功能
现代互联网路由器大多都可以让你创建不同的网络,以便用于不同的目的。 一个好的做法是利用这个功能并创建单独的网络,以便在使用最敏感的设备时尽可能少地暴露出来。
另外,许多当前的路由器也有防火墙,允许你分析设备的输入和输出流量,并确定哪些连接是允许的,哪些不是。 通过这些功能,您可以将所有敏感设备,如监控摄像机、存储设备、环境控制设备(如灯光或恒温器)等与其他设备(如计算机或手机)分开。 您还可以选择在家中有客人时分享哪些设备,哪些设备保持隔离状态,或者将您的孩子的游戏控制台和计算机与其他网络分开。
这样,如果发生任何未经授权的访问或发生 恶意软件 感染,您的最重要的计算机将受到保护。
禁用您不使用的服务和功能
除非您明确了解路由器中的每个功能,并且实际上需要这些功能,否则请禁用所有未使用的功能。 从简单的扫描技术,你可以确定哪些端口和服务是打开的。 这些可以从外面进入,为攻击者或好奇的邻居留下一扇敞开的大门。 另外,这些服务中的很多可能存在攻击者可以利用的漏洞来访问网络。
根据去年下半年的ESET调查,超过20%的家庭路由设备在非安全协议(如Telnet或HTTP)上启用了远程管理服务。如果您不需要从家外访问路由器,最好禁用远程管理:通过安全协议(如SSH或HTTPS)控制管理服务,并禁用任何其他不使用的功能。
路由器允许使用本地网络中的一些端口进行管理和配置; 这可以通过以太网电缆或无线连接完成。 通常情况下,您可以通过Web配置您的路由器,但路由器也允许连接其他服务和端口,例如FTP(端口21),SSH(22),Telnet(23),HTTP(80),HTTPS(443)或SMB(139,445)。
除此之外,还有其他各种众所周知和使用良好的服务,其默认端口被确定为由互联网号码分配机构(IANA)定义的互联网标准 。 尽管默认情况下可能会在路由器中设置阻止的端口配置,但您可以查看它以确定状态和配置设置。 换句话说,您只能启用您需要的服务,禁用所有其他服务,并阻止未使用的端口。 即使是远程连接,除非必要。
本提示也适用于连接到路由器的所有设备。 关闭所有设备上未使用的相机、麦克风或其他组件,以避免曝光。 事实上,许多用户不太使用这些服务或者没有正确的配置是很常见的,搜索引擎Shodan已经使用默认凭证索引了九千多个 网络摄像头 和七千个路由器。而在2017年5月 绿盟科技发布的《国内物联网资产的暴露情况分析》报告中, 国内的路由器和调制解码器(Modem)设备暴露数量较多,二者总数量达到500 万以上。
在路由器上执行漏洞测试
在路由器设置中寻找弱点时还有另外一个方面需要考虑 ,测试路由器是否可以使用自动执行任务(如查找已知漏洞)的工具执行。 这种类型的工具包括如何解决这些可能的问题的信息,选项和建议。 攻击者使用类似的工具来识别路由器中的漏洞,因此使用它们也是一个好主意,这样你的路由器就不再是低成本的了。
某些路由器测试包括扫描端口漏洞,恶意DNS服务器信誉,默认或易于破解的密码,易受攻击的固件或恶意软件攻击。 一些还包括路由器的Web服务器组件的漏洞分析,寻找跨站点脚本(XSS),代码注入或远程代码执行等问题。
如果你不知道这些攻击和违规行为,一定要找到尽可能为你辛苦工作的路由器测试(或一组测试)的方法。你可以尝试 使用Connected Home Monitor工具,这是安全公司ESET推出的测试工具。
help.eset.com/essp/11/en-US/idh_page_homenetwork_protection.html?idh_page_homenetwork_protection.html
注意链接您路由器上的设备和连接
你知道有多少设备连接到你的网络? 你能轻易识别他们吗? 在检测入侵或奇怪的行为时,这是关键。
虽然看起来是一个单调乏味的复杂活动,但现实情况是,许多路由器可以方便地识别连接的设备,因为不用像MAC地址这样难以理解的命名法,而是允许为每个设备创建个性化的名称。 在这些情况下,建议花几分钟时间来识别设备,然后才能更轻松地识别设备。
每隔一段时间进行一次计数并检查网络中的设备(如电视机,游戏机,安全摄像头,智能设备等)并不重要。同样值得注意的是,您也可以检查这些计算机的配置,并确保没有默认选项或更新挂起安装。
无论是通过自动化工具还是通过手动使用路由器的管理选项来完成验证,下一步的适当步骤包括仅允许允许的设备,只使用过滤器来限制对特定IP地址或MAC地址的访问。
要开始此活动,“连接家庭监控”工具提供了一个易于访问的连接设备列表(按设备类型分类)(例如打印机,路由器,移动设备等),以显示连接到家庭网络的内容。 然后,您必须使用路由器界面自行进行更改。
更新您路由器的固件
所有的硬件设备都有一个操作系统,这就是所谓的固件; 和其他系统一样,必须更新以纠正潜在的错误和漏洞。事实上,在路由器固件和其他硬件中查找漏洞比看起来更普遍。 就在几个月前,NetGear路由器上报告的一个漏洞允许它窃取访问凭据并控制设备。
2017年10月,有一个名为 KRACK (Key Reinstallation AttaCK)的漏洞消息,它允许拦截连接到Wi-Fi网络中的接入点的设备之间的流量,这再次强调了更新的重要性。
对于利用此漏洞的攻击,其行为人通常必须靠近预期受害者的Wi-Fi网络。 攻击者可以通过成功侦察通信或安装恶意软件。 一旦制造商发布解决漏洞的安全补丁,我们总是建议更新连接到您的网络的所有设备(如电脑,智能手机或平板电脑); 一旦补丁可用,也将更新安装到路由器的固件中。
其他的做法,比如配置“公共网络”模式的计算机,与“私人/家庭”网络模式相比,增加了设备的安全级别,因为它减少了受信任设备受到攻击的风险。 我们要强调,最重要的是保持计算机和设备的更新。
大多数路由器的固件与您的电脑或手机的操作系统之间的主要区别在于,在后者中,更新通常是自动的。 也就是说,它们被下载和安装,而不需要用户交互。 对于大多数物联网设备的网络设备,固件更新不是自动的,但用户必须下载并安装新版本。
虽然对于没有丰富的技术能力的用户来说这可能有点繁琐,但事实并非如此。 大多数设备都有一个图形化的管理界面,您可以在其中找到关于设备信息的部分。 一旦你找到你的路由器的型号和安装的固件版本,只需去提供商的网站,并检查是否有更新的版本进行安装。 许多设备已经在管理控制台中直接包含更新功能,这对于查看和安装更新非常有用。
现在您知道在您的路由器和连接到您的网络的设备的配置上投入几分钟是值得的。 不要害怕调查计算机的功能,禁用不使用的计算机,配置保护措施并注意所连接的设备。 目前大多数设备都带有友好的图形界面,所以在几分钟内你就可以得到更多的保护。
启用路由器的安全选项
第五个理想的做法是启用路由器配置中可用的安全选项,这些选项取决于设备的型号和类型。 无论家庭网络中使用的路由器型号如何,我们建议您启用旨在为您的设备和网络提供更多保护的安全选项。
例如,一些最近的路由器包括配置选项,以允许针对 诸如SYN洪水、ICMP回声、ICMP重定向、局域网拒绝(LAND)、Smurf和WinNuke等 已知的拒绝服务 DoS攻击 提供增强的保护 。 如果启用这些选项反而影响了路由器和网络正常运行,请选择性地禁用它们以提高性能。
(原文链接:http://toutiao.secjia.com/router-configured-security)
扫一扫或点击进入“上海奥航智能科技有限公司”官网:www.aohsmart.com 扫一扫或点击进入“中国移动安全信息网”:cn-mobi.com
免责声明:本文仅代表作者个人观点,与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
