완벽한 보안과 같은 것은 없습니다. 충분한 지식, 자원 및 시스템이 손상 될 수있는 시간이 주어집니다. 최선의 방법은 공격자가 가능한 한 어렵게 만드는 것입니다. 그러나 대다수의 공격에 대비하여 네트워크를 강화하기 위해 취할 수있는 조치가 있습니다.
내가 소비자 급 라우터라고하는 것에 대한 기본 구성은 상당히 기본적인 보안을 제공합니다. 솔직히 말해서, 그것들을 타협하는 데별로 걸리지 않습니다. 새 라우터를 설치하거나 기존 라우터를 재설정 할 때 '설정 마법사'는 거의 사용하지 않습니다. 나는 내가 원하는대로 정확하게 모든 것을 구성하고 구성합니다. 정당한 이유가없는 한, 나는 그것을 기본값으로 두지 않습니다.
변경해야 할 정확한 설정을 말할 수 없습니다. 모든 라우터의 관리 페이지는 다릅니다. 같은 제조업체의 라우터조차도. 특정 라우터에 따라 변경할 수없는 설정이있을 수 있습니다. 이러한 많은 설정의 경우 관리자 페이지의 고급 구성 섹션에 액세스해야합니다.
팁 : Android 앱 RouterCheck를 사용하여 라우터의 보안을 테스트 할 수 있습니다.
Asus RT-AC66U의 스크린 샷을 포함 시켰습니다. 기본 상태입니다.
펌웨어를 업데이트하십시오. 대부분의 사람들은 라우터를 처음 설치할 때 펌웨어를 업데이트 한 다음 그대로 둡니다. 최근 연구에 따르면 25 대 인기 무선 라우터 모델 중 80 %에 보안 취약점이있는 것으로 나타났습니다. 영향을받는 제조업체로는 Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet 등이 있습니다. 대부분의 제조업체는 취약점이 발견되면 업데이트 된 펌웨어를 출시합니다. Outlook 또는 사용하는 이메일 시스템에서 알림을 설정하십시오. 3 개월마다 업데이트를 확인하는 것이 좋습니다. 나는 이것이 당연한 것처럼 들리지만 제조업체 웹 사이트에서만 펌웨어를 설치한다는 것을 알고 있습니다.
또한 라우터 기능을 비활성화하여 업데이트를 자동으로 확인하십시오. 나는 장치를 '전화 집'으로 보내는 팬이 아닙니다. 어떤 날짜가 전송되는지 제어 할 수 없습니다. 예를 들어, 소위 '스마트 TV'가 제조업체에 정보를 다시 보낸다는 것을 알고 있습니까? 채널을 변경할 때마다 모든 시청 습관을 보냅니다. USB 드라이브를 연결하면 드라이브의 모든 파일 이름 목록이 전송됩니다. 이 데이터는 암호화되지 않으며 메뉴 설정이 NO로 설정되어 있어도 전송됩니다.
원격 관리를 비활성화합니다. 일부 사람들은 네트워크를 원격으로 재구성 할 수 있어야한다는 것을 알고 있습니다. 필요한 경우 최소한 https 액세스를 활성화하고 기본 포트를 변경하십시오. 여기에는 Linksys의 Smart WiFi 계정 및 Asus의 AiCloud와 같은 모든 유형의 '클라우드'기반 관리가 포함됩니다.
라우터 관리자 에는 강력한 암호 를 사용하십시오 . 충분했다. 라우터의 기본 비밀번호는 일반적인 지식이며 누구나 기본 패스를 시도하여 라우터에 들어가기를 원하지 않습니다.
모든 관리자 연결에 HTTPS 를 사용하십시오 . 많은 라우터에서 기본적으로 비활성화되어 있습니다.
인바운드 트래픽을 제한하십시오. 나는 이것이 상식이라는 것을 알고 있지만 때로는 사람들이 특정 설정의 결과를 이해하지 못합니다. 포트 포워딩을 사용해야하는 경우 매우 선택적입니다. 가능하면 구성중인 서비스에 비표준 포트를 사용하십시오. 익명 인터넷 트래픽 필터링 (예) 및 핑 응답 (아니요)에 대한 설정도 있습니다.
WiFi에 WPA2 암호화를 사용하십시오. WEP를 사용하지 마십시오. 인터넷에서 무료로 사용할 수있는 소프트웨어로 몇 분 안에 고장날 수 있습니다. WPA는 훨씬 나아지지 않습니다.
WPS (WiFi Protected Setup)를 끕니다 . WPS 사용의 편리함을 이해하지만 시작하기는 좋지 않았습니다.
발신 트래픽을 제한합니다. 위에서 언급했듯이 나는 보통 집에 전화하는 기기를 좋아하지 않습니다. 이러한 유형의 장치가있는 경우 모든 인터넷 트래픽을 차단하십시오.
사용하지 않는 네트워크 서비스, 특히 uPnP를 비활성화하십시오. uPnP 서비스를 사용할 때 널리 알려진 취약점이 있습니다. 텔넷, FTP, SMB (삼바 / 파일 공유), TFTP, IPv6
완료되면 관리자 페이지에서 로그 아웃하십시오 . 로그 아웃하지 않고 웹 페이지를 닫으면 인증 된 세션이 라우터에서 열린 상태로 남을 수 있습니다.
포트 32764 취약점을 확인하십시오 . 내 지식으로는 Linksys (Cisco), Netgear 및 Diamond에서 생산 한 일부 라우터가 영향을 받지만 다른 라우터가있을 수 있습니다. 최신 펌웨어가 릴리스되었지만 시스템을 완전히 패치하지 못할 수 있습니다.
//www.grc.com/x/portprobe=32764에서 라우터를 확인하십시오.
로깅을 켭니다 . 정기적으로 로그에서 의심스러운 활동을 찾으십시오. 대부분의 라우터에는 설정된 간격으로 로그를 이메일로 보내는 기능이 있습니다. 또한 로그가 정확하도록 시계 및 시간대가 올바르게 설정되어 있는지 확인하십시오.
진정으로 안전을 고려한 (또는 아마도 편집증), 다음은 고려해야 할 추가 단계입니다.
관리자 이름을 변경하십시오 . 누구나 기본값이 보통 admin이라는 것을 알고 있습니다.
'게스트'네트워크를 설정하십시오 . 많은 최신 라우터는 별도의 무선 게스트 네트워크를 만들 수 있습니다. LAN (인트라넷)이 아닌 인터넷에만 액세스 할 수 있는지 확인하십시오. 물론 암호문이 다른 동일한 암호화 방법 (WPA2- 개인)을 사용하십시오.
라우터에 USB 저장소를 연결하지 마십시오 . 이렇게하면 라우터에서 많은 서비스가 자동으로 활성화되고 해당 드라이브의 내용이 인터넷에 노출 될 수 있습니다.
대체 DNS 공급자를 사용하십시오 . ISP가 제공 한 DNS 설정을 사용하고있을 가능성이 있습니다. DNS는 점점 더 공격의 대상이되었습니다. 서버를 보호하기 위해 추가 단계를 수행 한 DNS 공급자가 있습니다. 추가 보너스로 다른 DNS 제공 업체가 인터넷 성능을 향상시킬 수 있습니다.
LAN (내부) 네트워크의 기본 IP 주소 범위를 변경하십시오 . 내가 본 모든 소비자 급 라우터는 192.168.1.x 또는 192.168.0.x를 사용하여 자동 공격을보다 쉽게 스크립팅 할 수 있습니다.
사용 가능한 범위는 다음과 같습니다.
모든 10.xxx
192.168.xx
172.16.xx ~ 172.31.xx
라우터의 기본 LAN 주소를 변경하십시오 . 누군가 LAN에 액세스 할 수 있으면 라우터의 IP 주소가 xxx1 또는 xxx254임을 알 수 있습니다. 그들을 위해 쉽게하지 마십시오.
DHCP를 비활성화하거나 제한합니다 . 정적 네트워크 환경에 있지 않는 한 DHCP를 끄는 것은 실용적이지 않습니다. xxx101부터 DHCP를 10-20 개의 IP 주소로 제한하는 것을 선호합니다. 이를 통해 네트워크에서 발생한 상황을보다 쉽게 추적 할 수 있습니다. '영구적 인'장치 (데스크톱, 프린터, NAS 등)를 고정 IP 주소에 배치하는 것을 선호합니다. 이렇게하면 랩톱, 태블릿, 전화 및 게스트 만 DHCP를 사용합니다.
무선에서 관리자 액세스를 비활성화합니다 . 이 기능은 모든 홈 라우터에서 사용할 수있는 것은 아닙니다.
SSID 브로드 캐스트를 비활성화합니다 . 이것은 전문가가 극복하기 어렵지 않으며 Wi-Fi 네트워크 방문자에게 고통을 줄 수 있습니다.
MAC 필터링을 사용하십시오 . 같은 상기와; 방문자에게 불편 함.
이러한 항목 중 일부는 '보안에 의한 모호성'범주에 속하며 보안 조치가 아니라고 비난하는 많은 IT 및 보안 전문가가 있습니다. 어떤 식 으로든, 그들은 절대적으로 정확합니다. 그러나 네트워크를 손상시키기 어렵게 만드는 단계가 있다면 고려해 볼 가치가 있다고 생각합니다.
좋은 보안은 '설정하고 잊어 버리지'않습니다. 우리는 모두 대기업의 많은 보안 침해에 대해 들었습니다. 나에게 정말 짜증나는 부분은 당신이 발견되기 전에 그들이 3, 6, 12 개월 또는 그 이상 타협되었을 때입니다.
시간을내어 로그를 살펴보십시오. 네트워크를 스캔하여 예기치 않은 장치 및 연결을 찾으십시오.
아래는 권위있는 참조입니다.
- US-CERT-//www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
