Uusaastalubadused: Õigesti seadistatud ruuter

BY POSTED jaanuar 17, 2019 3:47 p.l.

cybersecurity


Teine asi, millele see aasta tähelepanu pöörata, on seade, mis on Sinu võrgu närvikeskuseks ning potentsiaalne probleem kehva turvalisuse korral.

Kuidas Sa tagad oma võrgu turvalisuse? Enamasti läheb see au ühele seadmele, mis on konstantses ühenduses Sinu kodus oleva internetiga ühendatud seadmetega: Sinu ruuter. See tagasihoidlik vidin ei pruugi salvestada Sinu isikuandmeid, ent kogu seadmest läbi liikuva liikluse korral peaks selle võrgutöö hea hooldamine olema Sinu turvalisuse kultuuri võtmekomponent. Ja siiski ignoreerime tavaliselt ruuteriga seotud turvalisusprobleeme.

Meie tehnoloogiast sõltuval ajastul on üks väike must karp mistahes koduse võrgu keskseks komponendiks (okei, paljud ruuterid ei ole ei musta värvi ega karpidena, ent me ei lase end sellest häirida, eks?). Tegelikult on tõenäoline, et Sinu ruuter kahekordistub modemina või isegi vastupidi, eriti kui see on Sinu Interneti-teenuse pakkua (ISP) poolt tarnitud. Loomulikult on tarbijale vastav ruuter tavaliselt varustatud sisseehitatud traadita pöörduspunkitga (WAP), nii et me ei komistaks kaablite otsa. Sõltumata Sinu seadistusest, on ruuter võrgu turvalisuse lahutamatu osa.

Kogu maagia juures, mida üks ruuter suudab teha, unustatakse selle olemasolu tavaliselt sel momendil, kui see hakkab täitma oma ainsat ilmset eesmärki – ühendada meie kodu internetiga. Täiesti glamuurivaba seade ja tavaliselt peidus kusagil ülemisel riiulil, ei nõua ta kunagi Sinu tähelepanu, teeb vaikselt om asja ning äratab inimeste tähelepanu ainult juhul, kui midagi juhtub internetiühendusega. Sellest tulenevalt võime küsida:

Miks peaksime hoolima ruuteritest?

Lihtsamalt öeldes võib halvasti turvatud ruuter panna kõik võrgus olevad seadmed sõltuma ründajate armust. See pole hüperbool. Ohud käivitavad mängu ja häkitud ruuter võib:

Ja see pole sugugi ammendav loetelu.

Ruuteri tugevdamiseks ja häkkeritest eemalehoidmiseks, peab ruuteri seadme seadistama õigesti. See võib tunduda hirmuäratav ülesanne, ent see on arvatavasti tingitud teadmatusest. Enamik abinõusid ei ole mingil moel katsumusteks ja need on piisavad Sinu ruuteri turvalisuse oluliseks parandamiseks.

Sinu ruuteri admin seadeid saab tavaliselt kasutada juhtmevabalt, kirjutades ruuteri IP-aadresssi mistahes veebibrauseri URL-i ribale (IP-aadress on sageli 192.168.1.1 või 192.168.0.1, ent kontrollige oma seadme silti või otsige Google’ist). Väidetavalt on parim viis ühendada see pikalt unustatud ja tolmune seade oma sülearvutiga Etherneti kaabli kaudu ja seejärel kirjutada IP-aadress. Paljudel juhtudel jõuate seadeteni isegi läbi spetsiaalse nutitelefonirakenduse.

Loomulikult on tugevdatud ruuteri jaoks mõned eeltingimused ( sine quibus non), väljaspool seda, kui tulemüür on sisse lülitatud:

Eemalda vaikimisi puudujäägid

Siin saame turvaliselt jätkata sealt, kus jäime eelmine nädal pooleli: salasõnad on alati tähtsad, kui jutt käib võrgu turvalisusest ning topelt olulised WiFi ühenduste korral. Kõigist tootja poolt eelnevalt kofigureeritud seadetest on salasõna üks esimesi aspekte, mis tuleb asendada tugevama vastu. Võimaluse korral vali  üldine kasutajanimi vaikimisi kasutajanime asemel, mis tavaliselt on üks nendest viiest valikust: admin, administraator, root, kasutaja või siis kasutajanime puudumine.

Lisaks tootjate kulude vähendamisele on need ja mõned teised vaikimisi konfigureeritud seadistused lihtsamaks seadistamiseks ja kaugotsinguks. Kuid mugavustegur on võimeline siiski tekitama probleeme, sest isegi näiteks sisselogimisandmed on ilmselgelt loogilised ja tihti jagatud ruuteri mudelite ja isegi tervete kaubamärkide vahel ära. Tõepoolest, sisselogimisandmed on nähtavad igaühele, kes ainult viitsib ja oskab otsida Google’ist või isegi vähem: piisab kui proovida ühte sellist absurdset (kergesti arvatavat kasutajanimi/parool) varianti ja see võibki olla halvasti konfigureeritud ruuteri ligipääsuks piisav. ESETi poolt 2016. aastal tehtud testis, kus uuriti 12 000 kodu ruuterit, oli üks seitsmest ruuterist “sageli kasutatavate vaikimisi kasutajanimega ja salasõnaga või siiski kõige sagedamini kasutatava kombinatsiooniga”.

Traadita ruuterite puhul (mis on tänapäeval enamuses kasutatavad), võib ruuteri kaubamärgi ja mudeli kohta teavet anda traadita võrgu vaikimisi  nimetus. Muutke see nimi, a la Service Set Identifier (SSID), selliseks, mis ei tuvasta Teie asukohta. Samuti võite peatada SSID edastamise, kuid pidage meeles, et isegi mõnele keskpärasele tehnilisele mõistusele ei ole ka see takistuseks.

Samuti on vaikimisi aktiveeritud funktsiooniks WiFi Protectes Setup (WPS), mis oli algselt mõeldud uute seadmete võrku lisamiseks. WPS-i saab hõlpsasti õõnestada, kuna PIN-numbritel põhinev rakendamine on lihtsasti murtav. Lõppkokkuvõttes on see kõik Sinu traadita salasõna, aka eeljagatud võtme (PSK),  ründamiseks sobiv keskkond.

Teine funktsioon, mis on ruuteril vaikimisi lubatud ja mis kujutab endast olulist turvariski, on Universal Plug and Play (UPnP). Välja arvatud juhul, kui olete täiesti kindlad, et vajate UPnP-d, mis on mõeldud hõõrdetuks suhtlemiseks võrguseadmete vahel, kuid millel puudu autentimismehhanism, peaksite selle välja lülitama. Soovitame tungivalt sulgeda kõik protokollid ja blokeerige kõik vajalikud pordid, sest see vähendab Teie võrgu rünnakupinda.

Hoidke nuhkijad eemal

Kui tegemist on WiFi paroolidega (ja seega kontrolliga selle üle, et pääseb Teie traadita võrku), on see Sinu võimalus olla loominguline. Salasõna võib koosneb kuni 63. tähemärgist, ent alati pole see vajalik. Sellegipoolest veendu, et Sinu parool oleks pikk ja keeruline, nii et see suudaks taluda jõhkraid rünnakuid, kus õnneliku lõputa seadmed teevad enneolematuid samme, et saada pihta õigele salasõnale. Loomulikult peab see erinema kõigist teistest sisselogimisandmetest, sealhulgas ruuteri administraatori konsooli pääsemise andmetest.

Samuti peate oma traadita ühenduse jaoks määrama turvaprotokolli. Siin pole palju valikuid ning ainus soovituslik võimalus on WPA2, lühike variant “WiFi Protected Access 2”. Kodude puhul on parim WPA2 isiklik režiim (WPA2-Personal aka WPA2-PSK) ja seda toetavad AES-i krüpteerimine, mis on kõigi kavatsuste ja kaustusvõimaluste korral tänapäeva arvutusressurssidega murdumatu.  Tugev õhu-krüpteerimise segab kõiki andmeid WiFi-ga ühendatud seadme ja ruuteri vahel, tagades, et nuhkija ei saa seda lihtsalt lugeda isegi siis, kui nad on kuidagi kättesaadavad.

Eksisteerib kaks vanemat WiFi turvarežiimi, mis võivad olla ka Sinu ruuteril – WPA esimene iteratsioon, mida nimetatakse lihtsalt WPA-ks ja tõeliselt vana Wired Equivalent Privacy (WEP). Siiski ei ole mingit põhjust kasutada kumbagi neist, eriti kergesti häkitavat WEP-i, kuna WPA2 on kohustuslik WiFi Alliance’i sertifitseeritud riistvara alates 2006. aastast.

Muidugi ootavad paljud meist kannatamatult WPA-3 võrguühenduse riistvara turuletulekut.  Kuna see uus turvastandard seab sisse traadita turvalisuse mitmeid olulisi täiustusi, sealhulgas parema kaitse paroolivastaste rünnakute vastu, võiks see aeg saabuda juba kiiremini.

Uuenda, uuenda!

Tegelikult on ruuterid arvutid, mistõttu tuleb nende püsivara hulka kinnitatud operatsioonisüsteeme turvalisuse haavatavuste vastu võitlemiseks ajakohastada. Tõepoolest on ruuterid tuntud selle poolest, et neid saab rünnata peamiselt tänu vananenud püsivarale, mis on sageli põhjustatud sellest, et ruuterite omanikud ei viitsi värksendusi installida. See muudab asjad väga lihtsaks häkkerite jaoks, kuna paljud ruuterid satuvad rünnakute alla teadaolevate turvaaukude skännimise teel.

Selleks, et kontrollida ruuteri püsivara ajakohasust, navigeerige seadme administraatoripaneelile. Kui Sul ei ole kaasaegset ruuterit, mis teostab uuendusi automaatselt või teavitan uutest püsivara versioonidest, peate minema müüja veebisaidile ja kontrollima värskenduse saadavust. Kui värskendus on olemas, teate, mida edasi teha. Antud tegevust tuleb korrata regulaarselt, vähemalt kord aastas.

On täiesti võimalik, et kuna ruuteri väljaandja on Sinu seadmele värskenduste väljastamise lõpetanud, ei pruugita tegelikult uuendusi installida. See võib juhtuda vanemate ruuterite puhul ning sel juhul on lihtsam osta uus ruuter.

Igatahes on püsivara uuendamine ka kasulik: lisaks uuendustele, mis parandavad turvalisust, võib uus püsivara versioon sisaldada ka toimivuse parandusi ja uusi funktsioone, sealhulgas turvamehhanismidega seonduvaid.

Boonuse vihjed

Mida saate veel teha minimaalse vaevaga? Siin on veel mõned kiired nõuanded:

Iga ruuter peaks võimaldama luua mitut võrku, mis on eriti mugav kergesti häkkitavate asjade Interneti (loT) seadmete abil. Kui Sul on “tark” kodu, kaaluge kogu selle IT-tehnoloogia liigutamist eraldatud võrku, nii et selle haavatavusi ei saa kasutada Sinu arvuti, nutitelefoni või salvestusseadmete andmete kasutamiseks. Samuti saate luua lastele ja nende “mänguasjadele” eraldi võrgu.

Samuti, kaaluge eraldi võrgu loomist külastajatele. Nii jagate ainult oma interneti ühendust, mitte võrku, ja takistate külaliste seadmete pahavara kandumist Teie digitaalsetesse varadesse, mis on vaid üks võimalik stsenaarium, kuidas külaline võib teadmatult kahjustada Teie võrku.

Samuti on hea keelata ruuteri kaugjuhtimine, et vähendada ründajate tõenäosust ning nende võimet rünnata ruuterit mistahes maailma punktist. Sellised viisil on ruuteris muudatuste tegemiseks vaja füüsilist ligipääsu.

Kokkuvõte

Ruuteri turvalisuse kohta on tegelikult palju rohkem detaile ja aspekte, kui siin artiklis käsitletud. Kuis isegi mõne “liimina” toimiva seadistuse, mis sisaldab kõiki Teie interneti ühendusega seadmeid,  muutmine tähendab Teie üldise turvalisuse tugevdamises palju. “Healoomuline hooletus”, millega me kohtleme tavaliselt oma ruutereid, võib osutuda väga kahjulikuks.

Allikas: Welivesecurity



Leave a Reply

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of