18 dec. 2016

Siguranța online (5) - Configurare minimală a routerului


După o lungă perioadă de inactivitate, am revenit aici, în lumea mea... :). De data asta cu un set minimal de idei despre configurarea unui router WiFi. Mai toată lumea are unul pe acasă, acum că dispozitivele WiFi sunt peste tot. Dar unii dintre noi omit un lucru banal: o configurare de bază a routerului pentru o minimă siguranță a rețelei noastre... Fără a avea pretenția că le știu pe toate, o să vă arăt mai jos care sunt aceste setări, configurări, cum vreți voi să le spuneți, pe care orice utilizator de router ar trebui să le facă. (Exemplele sunt date din interfața web a routerului meu, pentru detalii legate de unde se află diverse opțiuni ar trebui să consultați manualul de utilizare al routerului vostru)

1. Schimbarea adresei web implicite a routerului

Orice router vine cu o adresă web implicită, de obicei 192.168.1.1 sau variații ale acesteia, și cu un set de date de logare sub forma user=admin, parola=admin. E lesne de înțeles că acestea sunt cunoscute de toată lumea și oricine le poate folosi ca să intre pe routerul nostru. Deci, să le schimbăm. Pentru a schimba adresa web implicită mergem la setări -LAN și în loc de adresa implicită scriem alta. Primele două grupe de cifre nu le putem schimba pentru că e vorba de o adresă IP internă/locală/privată care trebuie să înceapă cu 192.168., dar restul de două grupe pot fi cam orice numere până la 255. Adică adresa IP întreagă să fie 192.168.250.250. Restart la router și gata.

2. Schimbarea datelor de logare implicite

Pentru asta mergeți la Administration (sau Settings, sau cum se mai numește) și schimbați utilizatorul și parola implicite. PE unele modele de routere va fi nevoie să scrieți parola curentă înainte de a putea face schimbările. Tot de acolo se poate schimba și numele implicit al routerului, dacă vreți neapărat. SCRIEȚI PAROLA UNDEVA, LA LOC SIGUR, dacă nu o țineți minte. Dacă o uitați/pierdeți, routerul va trebui readus la setările din fabrică, adică veți pierde orice modificări, inclusiv datele rețelei Wi-Fi și orice alte setări. Cred că nu mai e nevoie să vă spun că parola trebuie să fie destul de complicată, cu litere mari și mici, cifre și alte simboluri (în funcșie și de ce vă permite software-ul routerului).

3. Dezactivarea WPS (wireless protected set-up)

WPS e o funcție care permite configurarea routerului pentru funcționarea rețelei Wi-Fi fără prea mare bătăi de cap pentru utilizatorul atehnic. Dar este și o mare problemă de securitate, așa că mai bine pierdeți ceva timp să vă familiarizați cu tot ce vă trebuie să setați rețeaua Wi-Fi din interfața routerului decât să vă pară rău mai târziu... Unele routere sunt destul de puternice să emită până mult dincolo de pereții locuinței și nu știi niciodată cine bântuie prin preajmă... cel puțin la mine în bloc cam așa-i. Unii îi zic paranoia, eu îi zic „frica păzește bostănăria”. 

4. Parolarea rețelei Wi-Fi.

Pare o glumă dar nu este. Am găsit și eu printre cunoștințe unele care nu se complicau să pună o parolă pe Wi-Fi pentru că „nu au nimic de ascuns”. Și le zic să citească despre boți, despre DDos, despre câte și mai câte... dacă ajută, nu știu, dar le zic... Bun. Deci o parolă Wi-Fi ca lumea împreună cu criptarea WPA-Personal/PSK (depinde cum scrie pe acolo prin setări), e încă o piedică în calea ... intrușilor. Voiam să zic în calea hackerului, da' ăla bun știe să treacă de WPA, ăla începător (script kiddie) o lasă baltă dacă n-ai o parolă de genul „123456” sau „iloveyou”... adică orice parolă care se află deja în dicționarele de parole care circulă pe net...

4.a.Parole diferite pe benzile de frecvență diferite.

Unele routere sunt dual-band, adică emit și pe 2,4GHz și pe 5GHz. (pentru a doua bandă dispozitivele capabile s-o folosească sunt mai puține, prima bandă e cea omniprezentă). Acum, unii spun să avem parole diferite pe cele două benzi de frecvență. Alții spun să fie aceeași parolă, ca să nu ne încurcăm. Dacă e bună, poate fi aceeași parolă, pentru că odată spartă parola, oricum hackerul are acces la router...

5. Filtrare MAC

Adresa MAC (Media Access Controller) este un șir de cifre și litere, grupate câte două, care identifică orice dispozitiv cu care ne putem conecta la o rețea (pe cablu ethernet, Wi-Fi, Bluetooth). Nu mai trebuie să spun orice placă de rețea, orice dispozitiv Bluetooth are o adresă MAC unică. Filtrarea după adresa MAC poate fi utilă pentru că orice dispozitiv care nu este pe lista de „acceptați” nu se va putea conecta la routerul nostru. Așa ca orice novice într-alea hecărelii va fi cumva descurajat... profesioniștii nici nu cred că încearcă, ei au alte metode...

6. Activare firewall din router

Un firewall e ca un fel de agent de pază care verifică cine are voie în rețea și cine nu, cam ca agentul de pază de la instituții și de la școli. Verifică legitimația și te lasă să treci sau nu. Dacă aveți așa ceva în router, este bine să-l activați împreună cu protecția împotriva DDos (normal, dacă este prezentă). După activare e bine să verificați dacă aplicațiile voastre funcționează cum ar trebui, e posibil ca firewall-ul să blocheze anumite aplicații spre/dinspre internet.  

7. Dezactivare acces web din internet/WAN.

WAN (Wide Area Network) înseamnă cam tot ce se află după routerul vostru, adică internetul larg. (spre deosebire de LAN - Local Area Network - adică rețeaua voastră din casă, compusă din router și toate dispozitivele conectate la el cu sau fără cablu - laptop, TV, smartfoane, etc. ). Cum nu cred că utilizatorii obișnuiți vor să-și schimbe parola Wi-Fi de la calculatorul de la serviciu, opțiunea asta este bine să fie dezactivată, împreună cu accesul FTP și SSH din internet/WAN. 

8. Activare control parental/filtru pentru site-uri dubioase

Asta e o sub-categorie din setările firewall-ului, dar ar fi bine să vă documentați din manualul routerului cum se face, mai ales dacă aveți copii. 

Cam astea ar fi chestiile de bază în setarea routerului, poate ar fi meritat menționată și ascunderea numelui rețelei Wi-Fi, dar asta poate cauza probleme de conectare pentru unele dispozitive. Normal, se pot face și setări mai avansate, dar despre asta altă dată, să mă mai documentez, că-s și eu începător. :)
Copyright © 2013 Sfânta lene și cuviosul somn