Amankan router nirkabel Anda
- Kategori: Jaringan
Tidak ada yang namanya keamanan yang sempurna. Dengan pengetahuan, sumber daya, dan waktu yang cukup, sistem apa pun dapat dikompromikan. Hal terbaik yang dapat Anda lakukan adalah mempersulit penyerang. Karena itu, ada beberapa langkah yang dapat Anda ambil untuk memperkuat jaringan Anda dari sebagian besar serangan.
Konfigurasi default untuk apa yang saya sebut router tingkat konsumen menawarkan keamanan yang cukup mendasar. Sejujurnya, tidak perlu banyak kompromi untuk mereka. Saat saya memasang perute baru (atau menyetel ulang yang sudah ada), saya jarang menggunakan 'wizards pengaturan'. Saya pergi melalui dan mengkonfigurasi semuanya persis seperti yang saya inginkan. Kecuali jika ada alasan kuat, saya biasanya tidak membiarkannya sebagai default.
Saya tidak dapat memberi tahu Anda pengaturan persis yang perlu Anda ubah. Setiap halaman admin router berbeda; bahkan router dari pabrikan yang sama. Bergantung pada router tertentu, mungkin ada setelan yang tidak dapat Anda ubah. Untuk banyak dari pengaturan ini, Anda perlu mengakses bagian konfigurasi lanjutan di halaman admin.
Tip : Anda dapat menggunakan Aplikasi Android RouterCheck untuk menguji keamanan router Anda .
Saya telah menyertakan tangkapan layar dari Asus RT-AC66U. Ini dalam keadaan default.
Perbarui firmware Anda. Kebanyakan orang memperbarui firmware ketika mereka pertama kali menginstal router dan kemudian membiarkannya. Penelitian terbaru menunjukkan bahwa 80% dari 25 model router nirkabel terlaris memiliki kerentanan keamanan. Produsen yang terpengaruh termasuk: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, dan lainnya. Sebagian besar pabrikan merilis firmware yang diperbarui ketika kerentanan terungkap. Setel pengingat di Outlook atau sistem email apa pun yang Anda gunakan. Saya sarankan untuk memeriksa pembaruan setiap 3 bulan. Saya tahu ini kedengarannya tidak perlu dipikirkan lagi, tetapi hanya menginstal firmware dari situs web produsen.
Selain itu, nonaktifkan kemampuan router untuk memeriksa pembaruan secara otomatis. Saya bukan penggemar membiarkan perangkat 'menelepon ke rumah'. Anda tidak memiliki kendali atas tanggal pengiriman. Misalnya, tahukah Anda bahwa beberapa yang disebut 'Smart TV' mengirimkan informasi kembali ke pabrikannya? Mereka mengirimkan semua kebiasaan menonton Anda setiap kali Anda mengganti saluran. Jika Anda mencolokkan drive USB ke dalamnya, mereka mengirim daftar setiap nama file pada drive. Data ini tidak dienkripsi dan dikirim meskipun pengaturan menu disetel ke NO.
Nonaktifkan administrasi jarak jauh. Saya memahami beberapa orang perlu mengkonfigurasi ulang jaringan mereka dari jarak jauh. Jika harus, setidaknya aktifkan akses https dan ubah port default. Perhatikan bahwa ini termasuk semua jenis manajemen berbasis 'cloud', seperti Linksys 'Smart WiFi Account dan Asus' AiCloud.
Gunakan kata sandi yang kuat untuk admin router. Cukup berkata. Kata sandi default untuk router adalah pengetahuan umum dan Anda tidak ingin siapa pun hanya mencoba pass default dan masuk ke router.
Aktifkan HTTPS untuk semua koneksi admin. Ini dinonaktifkan secara default di banyak router.
Batasi lalu lintas masuk. Saya tahu ini masuk akal, tetapi terkadang orang tidak memahami konsekuensi dari setelan tertentu. Jika Anda harus menggunakan penerusan port, berhati-hatilah. Jika memungkinkan, gunakan port non-standar untuk layanan yang Anda konfigurasi. Ada juga pengaturan untuk memfilter lalu lintas internet anonim (ya), dan untuk tanggapan ping (tidak).
Gunakan enkripsi WPA2 untuk WiFi. Jangan pernah menggunakan WEP. Ini dapat dipecahkan dalam beberapa menit dengan perangkat lunak yang tersedia secara gratis di internet. WPA tidak jauh lebih baik.
Matikan WPS (WiFi Protected Setup) . Saya memahami kenyamanan menggunakan WPS, tetapi memulainya adalah ide yang buruk.
Batasi lalu lintas keluar. Seperti disebutkan di atas, saya biasanya tidak suka perangkat yang menelepon ke rumah. Jika Anda memiliki jenis perangkat ini, pertimbangkan untuk memblokir semua lalu lintas internet dari mereka.
Nonaktifkan layanan jaringan yang tidak digunakan, terutama uPnP. Ada kerentanan yang diketahui secara luas saat menggunakan layanan uPnP. Layanan lain yang mungkin tidak diperlukan: Telnet, FTP, SMB (Samba / file sharing), TFTP, IPv6
Keluar dari halaman admin setelah selesai . Hanya menutup halaman web tanpa logout dapat membuat sesi yang diautentikasi terbuka di router.
Periksa kerentanan port 32764 . Sepengetahuan saya beberapa router yang diproduksi oleh Linksys (Cisco), Netgear, dan Diamond terpengaruh, tetapi mungkin ada yang lain. Firmware yang lebih baru telah dirilis, tetapi mungkin tidak sepenuhnya menambal sistem.
Periksa router Anda di: https://www.grc.com/x/portprobe=32764
Aktifkan logging . Cari aktivitas mencurigakan di log Anda secara teratur. Sebagian besar perute memiliki kemampuan untuk mengirimkan log melalui email kepada Anda pada interval yang ditentukan. Pastikan juga jam dan zona waktu disetel dengan benar sehingga log Anda akurat.
Untuk mereka yang benar-benar sadar akan keamanan (atau mungkin hanya paranoid), berikut adalah langkah tambahan yang perlu dipertimbangkan
Ubah nama pengguna admin . Semua orang tahu defaultnya biasanya admin.
Siapkan jaringan 'Tamu' . Banyak perute yang lebih baru mampu membuat jaringan tamu nirkabel terpisah. Pastikan itu hanya memiliki akses ke internet, dan bukan LAN (intranet) Anda. Tentu saja, gunakan metode enkripsi yang sama (WPA2-Personal) dengan frasa sandi yang berbeda.
Jangan hubungkan penyimpanan USB ke router Anda . Ini secara otomatis mengaktifkan banyak layanan di router Anda dan dapat mengekspos konten drive itu ke internet.
Gunakan penyedia DNS alternatif . Kemungkinan Anda menggunakan pengaturan DNS apa pun yang diberikan oleh ISP Anda. DNS semakin menjadi target serangan. Ada penyedia DNS yang telah mengambil langkah tambahan untuk mengamankan server mereka. Sebagai bonus tambahan, penyedia DNS lain dapat meningkatkan kinerja internet Anda.
Ubah rentang alamat IP default pada jaringan LAN (di dalam) Anda . Setiap router tingkat konsumen yang saya lihat menggunakan 192.168.1.x atau 192.168.0.x sehingga lebih mudah untuk membuat skrip serangan otomatis.
Rentang yang tersedia adalah:
10.x.x.x.
Semua 192.168.x.x
172.16.x.x hingga 172.31.x.x
Ubah alamat LAN default router . Jika seseorang mendapatkan akses ke LAN Anda, mereka tahu alamat IP router adalah x.x.x.1 atau x.x.x.254; jangan membuatnya mudah bagi mereka.
Nonaktifkan atau batasi DHCP . Menonaktifkan DHCP biasanya tidak praktis kecuali Anda berada di lingkungan jaringan yang sangat statis. Saya lebih suka membatasi DHCP ke 10-20 alamat IP mulai dari x.x.x.101; ini mempermudah untuk melacak apa yang terjadi di jaringan Anda. Saya lebih suka menempatkan perangkat 'permanen' saya (desktop, printer, NAS, dll.) Pada alamat IP statis. Dengan begitu, hanya laptop, tablet, ponsel, dan tamu yang menggunakan DHCP.
Nonaktifkan akses admin dari nirkabel . Fungsi ini tidak tersedia di semua router rumah.
Nonaktifkan siaran SSID . Hal ini tidak sulit untuk diatasi oleh seorang profesional dan dapat mempersulit pengunjung di jaringan WiFi Anda.
Gunakan pemfilteran MAC . Sama seperti di atas; tidak nyaman bagi pengunjung.
Beberapa dari item ini termasuk dalam kategori 'Keamanan menurut Ketidakjelasan', dan ada banyak profesional TI dan keamanan yang mengejeknya, dengan mengatakan bahwa itu bukan tindakan keamanan. Di satu sisi, mereka sepenuhnya benar. Namun, jika ada langkah-langkah yang dapat Anda lakukan untuk mempersulit peretasan jaringan Anda, saya rasa ini layak dipertimbangkan.
Keamanan yang baik bukanlah 'atur dan lupakan'. Kita semua telah mendengar tentang banyak pelanggaran keamanan di beberapa perusahaan terbesar. Bagi saya, bagian yang benar-benar menjengkelkan adalah ketika Anda di sini, mereka telah disusupi selama 3, 6, 12 bulan atau lebih sebelum ditemukan.
Luangkan waktu untuk melihat log Anda. Pindai jaringan Anda untuk mencari perangkat dan koneksi yang tidak terduga.
Di bawah ini adalah referensi otoritatif: