Objavljeno

Nasveti za boljšo varnost naprav

Programska oprema in naprave se medsebojno zelo razlikujejo. Razlike med proizvajalci in njihovimi privzetimi nastavitvami so velike, zato vse spodaj napisano ne velja za vse naprave.

Administracija

To poglavje obravnava upravljanje naprave. Upravljanje naprave se precej razlikuje od funkcionalnosti naprave. Obstaja veliko možnosti, zato si jih nekaj oglejmo.

  • Uporabniško ime in geslo
    • Spremenite privzeto up. ime in geslo. Res je zelo zaskrbljujoče, koliko ljudi pusti privzeto up. ime in geslo. Up. ime/geslo kot so admin/admin ali admin/password so prva ugibanja za večino spletnih kriminalcev.
    • V največ primerih vas bo sistem sam pozval, da spremenite geslo. Dostopati morate do upravljalnega portala naprave, kar večina ljudi nikoli ne počne.
    • Dostop do naprave običajno vključuje odpiranje spletnega brskalnika na povezani napravi (v istem lokalnem omrežju) in vnašanje IP naslova naprave.
  • Oddaljen dostop ali WAN
    • Ta možnost se uporablja za omogočanje dostopa z oddaljene lokacije (ne-lokalnega omrežja).
    • To je ponavadi onemogočeno in to z dobrim razlogom.
    • Če je omogočeno, se prepričajte, da so upoštevane ostale varnostne nastavitve.
  • Avtomatska odjava
    • Ko se uporabnik prijavi v administracijo, je nastavljena časovna omejitev, ki bo odjavila uporabnika.
    • To pogosto ni mogoče konfigurirati prek nobenega uporabniškega vmesnika.
  • Omogoči Telnet/SSH
    • Telnet in SSH sta zelo nevarna, čeprav morate vedeti, kaj delate, da dejansko ne naredite resnične škode.
    • To verjetno ni privzeto omogočeno.
    • Telnet/SSH bi lahko bila varnostna luknja, ki bi jo hekerji lahko poskusili napasti. 
  • Dovoljeni IP naslov
    • Za predvidljive situacije je ta možnost lahko odlična izbira.
    • Omogočena mora biti izbira zasebnega ali javnega IP naslova in se uporablja za določanje IP naslovov, ki jim je dovoljeno komuniciranje s to napravo.
    • Če želite omogočiti Telnet/SSH, je treba to možnost (če je na voljo) močno upoštevati.
  • Shrani nastavitve
    • To je pomembno. Ker obstaja veliko sprememb, ki jih lahko naredite, zakaj ne bi shranili teh nastavitev in jih po potrebi obnovili?
    • To je kot varnostna kopija.
  • Poskusi prijave
    • To je še ena varnostna funkcija.
    • To bo onemogočilo prijavo po več poskusih neuspele prijave.
      • To pomaga preprečiti brutalne napade.
    • Pogosto obstaja možnost pošiljanja obvestila, običajno prek e-pošte, ko pride do take blokade.

 

WiFi

Obstaja nekaj brezžičnih možnosti, ki jih je treba upoštevati. Še enkrat: večina teh verjetno ne bo omogočena privzeto, ampak jo je treba obravnavati.

  • Gostujoče omrežje
    • Gostujoča omrežja se ponavadi uporabljajo v podjetjih. Veliko usmerjevalnikov ima to možnost samodejno vklopljeno.
    • To je običajno varno, saj je omrežje izolirano od drugih (glavnih) omrežij, vendar je to še vedno točka dostopa. Prav tako ne bi smel nihče iz tega omrežja priti na stran za upravljanje, vendar je težko reči, da to velja za vse naprave.
  • AP izolacija 
    • To je lahko odlična možnost. To v bistvu pravi, da nobena naprava na istem brezžičnem omrežju ne more komunicirati drug z drugim.
    • V primeru gostujočega omrežja to deluje odlično. Možnost gostujočega omrežja, navedena zgoraj, ima to možnost vključeno.
  • SSID
    • To bi morali poznati: spremenite ime brezžičnega omrežja. Ne pustite privzetega imena.
  • Skrij SSID
    • To je dobra možnost in je priporočena v zasebnih nastavitvah. Ideja te nastavitve je, da se ime omrežja (SSID) ne oglašuje.
    • Ljudje, ki se želijo povezati s tem skritim omrežjem, bi morali vedeti ime SSID in vse druge metode preverjanja pristnosti, ki so vključene.
  • Metoda avtentifikacije
    • Nekaj možnosti je tukaj. To je tudi zelo priporočljivo. Brez tega bi bilo brezžično omrežje odprto in bi omogočilo, da se lahko povežejo vsi, ki so v dosegu.
    • Novi usmerjevalniki ne bodo ponudili WEP in morda celo WPA. WPA2 bo najboljša rešitev.
    • Nazadnje, po več kot desetletju prihaja WPA3.

LAN (Layer 2 in Layer 3)

Kombiniranje dveh plasti na lokalnem omrežju se zdi smiselna.

  • IP naslov
    • Večina naprav ima dolgočasen privzet IP naslov, ki ponavadi zgleda tako: 192.168.1.x ali tako 10.0.0.1
      • če imate možnost, spremenite IP naslov, da ga malo premešate
      • na primer 192.168.1.254 bo spremenilo IP, vendar ga bo shranilo v istem podomrežju (192.168.1.x /24).
    • Preklopi nadzor vrat
      • Onemogočanje vrat stikala na usmerjevalniku je morda prezahtevno za domači primer, kar bo preprečilo, da bi nekdo imel aktivna vrata.
        • To bi zahtevalo fizično povezavo z vrati. To verjetno pri domači uporabi ne bi bil problem. Je pa super za pisarno, skupaj s ključavnico.
      • Področje DHCP
        • S privzetim IP naslovom, bo večina DHCP storitev omogočena za večino celotnega podomrežja.
          • Na primer DHCP področje je nastavljeno na 192.168.1.2 – 192.168.1.254.
          • Skrajšano, v tako majhnem omrežju, kot je dom, preprečijo, da bi se nepooblaščene ali neželene naprave pridružile.
            • NA primer, spremenite področje na 192.168.1.10 – 192.168.1.30. Vsi IP naslovi izven tega področja bodo obravnavani kot sumljivi.
        • Dodelitev DHCP MAC
          • DHCP je v večini naprav privzeto omogočen. Če gre za majhno omrežje, je to ok.
          • Če ne pričakujete veliko naprav v omrežju, lahko dodate običajne naslove MAC naprav in onemogočite ostale
            • Tega je mogoče preveč in bi bilo težko upravljati, vsekakor pa bi zagotovili varnost.
            • Nekateri GUI pogosto omogočajo, da dodate napravo na podlagi trenutnega DHCP seznama, tako da vam ni potrebno vnašati MAC naslova za vsako napravo.
        • Dodelitev strežnika DNS
          • Preverjanje in dodelitev primarnega/sekundarnega DNS za storitev DHCP bo zagotovila, da bodo stranke DHCP dobile ustrezen DNS. To lahko pomaga (ne 100%) pri napadih s posrednikom, vsaj v lokalnem omrežju

WAN

Kako je nastavljen WAN ste v neki meri prepuščeni ponudniku. Je pa nekaj stvari, ki jih je potrebno upoštevati.

  • Onemogočite WAN Ping
    • To je običajno privzeto onemogočeno.
    • To bo ljudem preprečilo, da bi vašo napravo pingali z javnim IP, kar bi kazalo na to, da je nekaj v živo.
    • Je samo še eno orodje za upočasnitev tistih s slabim namenom.
  • DMZ
    •  DMZ (Demilitarized Zone), je pravzaprav varnostno orodje, ki pomaga ločiti stvari iz vašega omrežja.
    •  DMZ bo hranil napravo ali naprave zunaj požarnega zidu, tako da bodo te naprave same. Dobro je za testiranje ali procese, ki so sami po sebi tvegani, če ne želite izpostaviti preostalega omrežja.
    • Če ga uporabite, bodite pozorni, za kaj ga uporabljate.
  • VPN
    • Mnogo naprav kot so fotoaparat ali LoT, bodo imele možnost upravljanja teh naprav z internetom.
      • Ni slaba ideja, da onemogočite dostop do stvari z javnega interneta.
      • VPN je pravi za to. Na ta način tehnično upravljate stvari iz lokalnega omrežja in prek tunela VPN.
    • Moj usmerjevalnik ima možnost za OpenVPN
      • Uporabite certifikat, da se povežete z VPN, kar vključuje up. ime in geslo.
      • Če nimate teh treh stvari, certifikata, up. imena in gesla, se ne morete povezati z VPN

Požarni zid

Požarni zid je srce varnosti, ne prezrite tega. 

  • SPI požarni zid
    • Veliko komercialnih usmerjevalnikov/naprav ima možnost SPI (Stateful Packet Inspection).
    • Skoraj vedno je privzeto omogočen.
    • SPI ni zapleten, vendar je učinkovit na nizki ravni.
    • Ni dobra možnost za napade na visoki ravni.
  • Service / Protokol požarni zid
    • Lahko je zapleten, bodite previdni.
    • Tu lahko določite specifične procese/protokole, ki ga lahko nastavite da omogoči ali zavrne.
      • Nastavite lahko vir IP-jev, cilj IP-jev, razpon vrat

Zaključek

Še ena stvar, ki jo je treba poudariti, je, da ima večina teh naprav neke vrste dnevnike, ki lahko dajejo pomembne informacije v zvezi z varnostjo. Dnevnik vključuje, na primer stvari, kot so: kdo seje prijavil, kdo se je poskušal prijaviti, pa se ni uspel, kakšen IP naslov je imel, katere nastavitve so bile spremenjene, dnevnik brezžičnega dnevnika in povezave. To lahko pokaže, kakšne težave ima naprava, kdo je grožnja, čas za vse to in kaj storiti, da popravite stvari.
Kot že omenjeno, imajo nekateri proizvajalci stvari zaklenjene, ko jih odprete, zato se zavedajte, kaj imate in kaj želite zaščititi.