|
Dydis: 12088
Komentaras:
|
← Versija 16 nuo 2017-11-27 20:22:17 ⇥
Dydis: 12094
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 2: | Eilutė 2: |
| Namų darbo temai pasirinkau išnagrinėti maršruto parinktuvų (angl. router) saugumą. Tema yra aktuali, nes be interneto neįmanoma įsivaizduoti kasdienį gyvenimą šiuolaikiniame pasaulyje. O routeris yra neatsiejama interneto dalis. Saugumas vartotojams dažniausiai eina trečioje vietoje pagal hierarchiją po pačio interneto bei jo stabilumo. Tačiau yra dalis žmonių, be abejo kalbu apie tuos, kurie naudojasi interneto paslaugomis, kurie apie saugumą nieko negalvoja. Netgi numatytųjų slaptažodžių nepakeičia savo WiFi AP (angl. WiFi Acess Point) taške, arba jeigu jų net nėra, taip ir palieka, be jokių slaptažodžių. | Namų darbo temai pasirinkau išnagrinėti namų maršruto parinktuvų (angl. router) saugumą. Tema yra aktuali, nes be interneto neįmanoma įsivaizduoti kasdienį gyvenimą šiuolaikiniame pasaulyje. O routeris yra neatsiejama interneto dalis. Saugumas vartotojams dažniausiai eina trečioje vietoje pagal hierarchiją po pačio interneto bei jo stabilumo. Tačiau yra dalis žmonių, be abejo kalbu apie tuos, kurie naudojasi interneto paslaugomis, kurie apie saugumą nieko negalvoja. Netgi numatytųjų slaptažodžių nepakeičia savo WiFi AP (angl. WiFi Acess Point) taške, arba jeigu jų net nėra, taip ir palieka, be jokių slaptažodžių. |
Įvadas
Namų darbo temai pasirinkau išnagrinėti namų maršruto parinktuvų (angl. router) saugumą. Tema yra aktuali, nes be interneto neįmanoma įsivaizduoti kasdienį gyvenimą šiuolaikiniame pasaulyje. O routeris yra neatsiejama interneto dalis. Saugumas vartotojams dažniausiai eina trečioje vietoje pagal hierarchiją po pačio interneto bei jo stabilumo. Tačiau yra dalis žmonių, be abejo kalbu apie tuos, kurie naudojasi interneto paslaugomis, kurie apie saugumą nieko negalvoja. Netgi numatytųjų slaptažodžių nepakeičia savo WiFi AP (angl. WiFi Acess Point) taške, arba jeigu jų net nėra, taip ir palieka, be jokių slaptažodžių.
Istorija
Šiame skyrelyje pateiksiu trumpą maršrutizatorių aprašymą.
Pats maršrutizatorius kaip įrenginys atlieka duomenų paketų persiuntimą tarp kompiuterių tinklų. Duomenų paketas paprastai persiunčiamas iš vieno maršrutizatoriaus į kitą maršrutizatorių per tinklus, kurie sudaro internetą, kol jis pasiekia paskirties mazgą. Maršrutizatorius yra prijungtas prie dviejų ar daugiau duomenų linijų iš skirtingų tinklų. Tuo metu, kai duomenų paketas įeina į vieną iš eilučių, maršrutizatorius nuskaito paketo duomenų tinklo informaciją, norėdamas nustatyti galutinį tikslą. Tada, naudodamasis informacija savo maršrutizavimo lentelėje arba maršrutizavimo protokole, jis nukreipia paketą į kitą tinklą.
Labiausiai paplitę maršrutizatorių tipai yra namų ir mažų biurų maršrutizatoriai, kurie paprasčiausiai perduoda IP paketus tarp esamų kompiuterių ir interneto. [1]
Maršrutizatorių evoliucija
Pirmasis maršrutizatorius - ARPANET, kuris buvo įjungtas į tinklą 1969 Spalio 29-ąją.
Po 48 metų namų maršrutizatorius atrodo taip :
1 pav. ARPANET maršrutizatorius 2 pav. ASUS maršrutizatorius
Kaip matome iš pateiktų nuotraukų, routerių dydis ženkliai sumažėjo, o kaip žinome iš patirties, interneto greitis bei pralaidumas padidėjo kelis šimtus kartų lyginant su pirmųjų maršrutizatorių greičiais.
Saugumas
Šis skyrelis apie visus saugumo klausimus, pasiūlymus bei rekomendacijas.
Įsigyję vienokį ar kitokį maršrutizatorių pirmiausiai reikėtų prisijungti prie routerio administratoriaus panelės bei pakeisti slaptažodžius tiek pačio routerio, kiek WiFi AP taškų. Slaptažodžiai būtinai tūri būti nereikšmingi sumaišyti žodžiai su skaičiais, raidėmis mažosiomis didžiosiomis raidėmis. Visa tai atliekama norint apsunkinti hackeriui[1] kelią naudojant raktažodinį exploitinimą. [2]
WPS (Wi-Fi Protected Setup) - palengvina vartotojui prijungti prie tinklo naujus įrenginius vieno mygtuko paspaudimu arba suvedus 8-ių skaičių derinį. Saugumo spraga yra ta, kad reikia 104 spėjimų atspėti pirmąją dalį ir 103 antrąją dalį slaptažodžio, o su juo galima ir pilna WPA/WPA2 slaptažodį surasti. [7]
Vietinis administratorius (Local Admin) - tai žmogus prisijungęs prie routerio GUI (Graphical User Interface). Ne spraga, labiau rekomandacinis sąrašas, kuris susideda iš:
- ● Ar palaikoma HTTPS? Jeigu taip, ar yra įjungta ši funkcija? ● Sesijos laiko apribojimas po atsijungimo (log out) [kuo trumpesnis, tuo geriau] ● Apribojamas prisijungimas prie routerio GUI tik su LAN, MAC filtering, LAN IP filtering ● Ar vienu metu gali būti prisijungęs tik vienas administartorius?
Nuotolinis administravimas turėtų būti išjungtas, tačiau įmanoma naudoti su VPN ir antriniais IP (IP subnet).
- ● Ar palaikomas HTTPS protokolas? ● Automatinis užrakinimas po kelių nesėkimngų bandymų prisijungti ● Sesijos laiko apribojimas po atsijungimo (log out) ● Ar vienu metu gali būti prisijungęs tik vienas administartorius? ● Pakeisti numatytąjį porto numerį ● Apribotį priisijungimą prie routerio GUI su šaltinio IP adresu arba šaltinio tinklu
WiFi išjungti, kai nėra naudojamas, pvz: sudaryti tvarkaraštį, kuris nakčiai išjunginėtų WiFi, nes neįmanoma nulaužti neegzistuojančio WiFi tinklo.
Naudoti WiFi WPA2 AES šifravimą [5]
Naudoti svečio (guest) tinklą Jūsų namų svečiams, kuris būtų izoliuotas nuo vietinio vidinio tinklo, būtų aktyvuojamas tada, kai to reikia ir išsijungtų po tam tikro laiko. [8]
Užkarda reikia praskanuoti visus atidarytus portus, o tuos, kurie yra atidaryti abiejuose WAN (Wide Area Network) ir LAN (Local Area Network) pusėse nedelsiant išnagrinėti ir imtis veiksmų apribojant prisijungimą bent iš vienos pusės. Praskanuoti galima su NMAP (terminalas), ZenMAP (GUI) programomis. [4]
MAC adreso filtravimas nepadeda apsiginti nuo hackerio, bet padeda užblokuoti prieiga prie interneto paprastų vartotojų įrenginiams.
UPnP (Universal Plug and Play) išjungti, jeigu nėra naudojama. Saugumo spraga slypi tame, kad šis protokolas buvo suprojektuotas naudoti LAN tinklo pusėje, kur yra leidžiama įtaisams praeiti pro užkardą tokiu būdu padarant saugumo skylę.
Portų atidarymas (Port Forwarding) naudojamas įvairiems dalykams, pvz.: hostinti žaidimo serverį, stebėti namų vaizdo kamerą, tačiau tam reikia tinkamai sukonfigūruoti portus. Tam reikia portą apriboti IP adresu bei IP potinkliu. Taip pat, galima įjungti portų atidarymą pagal grafiką, tokiu būdu didinant saugumą prieš atsitiktinius portų skenavimus.
Programinė aparatinė įranga (Firmware) yra svarbi įrenginio dalis. Patartina ja kaskart atnaujinti. Kai kurie routeriai atsinaujina patys, o kai kuriuos tenka flashinti pačiam. Atnaujinimai padeda apsisaugoti nuo paslėptų gaudyklių (backdoor). Egzistuoja alternatyva originaliems firmware - custom firmware. Plačiau apie juos kitame skyriuje.
Žurnalas (LOG) padeda pamatyti kas bandė skenuoti portus, prisijungti prie routerio administratoriaus panelės ir daug kitų funkcijų, jeigu routeris juos palaiko. Pvz.: buvo pastebėtas porto skenavimas iš tam tikro IP adreso, patikrinus šį, išsiaiškinome, kad skanavo iš Kinijos. Galima skenuotus portus uždaryti,arba padaryti port forwarding į neegsistuojančius lokalius IP adresus. [3]
Prijungtų įrenginių stebėjimas (Monitoring Attached Devices) turi naudingų funkcijų kaip žiūrėti kur, kada, iš kokio įrenginio eina duomenys. Įmanoma stebėti kas prisijungė prie LAN, WiFi AP taškų. Taip pat, galima stebėti ar SMART TV nesiunčia šifruotų duomenų tokiu kaip vartotojų populiariausių kanalų sąrašą su žiūrėjimo laikais į savo serverį. [6]
Custom Firmware palyginimas
Labiausiai paplitusios distribucijos custom firmware yra ddwrt, openwrt, tomato. Turi labai daug skirtumų siūlomų įrankių bei pačių įrankių konfigūravimo. Panašumas - sukurti Linux branduoliu. Įprastai jie siūlo daugiau išplėstinių parametrų negu yra įdiegta gamykliškai bei kelis kartus greitesnį palaikymą klaidų ištaisymo. Kadangi vartotojų su custom firmware yra mažiau, atakų prieš tokius routerius, taip pat, yra mažiau. Vienintelis trūkumas, kai kuriais atvejais praflashinti custom firmware routeryje nėra kelių mygtukų paspaudimo veiksmas. [9].
DD-WRT
3 pav. DD-WRT administratoriaus panelė
Privalumai: Daugybė funkcijų ir konfigūracijų.
Palaiko daugiausiai routerių iš visų custom firmware’ų.
Trūkumai: Konfigūracija nėra paprasta, ypač naudojant sudėtingas funkcijas.
Daug skirtingųversijų (builds), kuriuos reikia testuoti norint išsirinkti stabiliausią.
OPEN WRT
4 pav.OPEN WRT administratoriaus panelė
Privalumai: Galimybė pačiam konfigūruoti paketus, kuriuos įrašyti į firmware bei įrašius ją - naudotis.
Trūkumai: Skirtingų routerių palaikymo sąrašas dar nėra didelis.
TOMATO
5pav. TOMATO administratoriaus panelė
Privalumai: Lengviausiai konfigūruojama.
Stabili.
Unikalios realaus laiko interneto srauto stebėjimo funkcijos su grafinėmis diagramomis.
Trūkumai: Skirtingų routerių palaikymo sąrašas dar nėra didelis.
Nėra daug funkcijų lyginant su DD-WRT.
Apibendrinant pateiktas populiariausias custom firware distribucijas galima teigti, jog tai yra dažniausiai saugesnis būdas naudotis interentu negu besinaudojant internetu įprastu stock routerio firmware. Pagal žemiau esančią lentelę matome, jog OPEN WRT stiprioji pusė yra kiek stabilumas, tiek funkcionalumas.
1 lentelė. Custom firmware apibendrinimo lentelė
Custom Firmware |
Stiprioji pusė |
DD-WRT |
Funkcionalumas |
TOMATO |
Stabilumas |
OPENWRT |
Funkcionalumas ir Stabilumas |
Saugumo spragų tikrinimas
Greitas būdas pasitikrinti saugumo spragas yra apsilankius interneto tinklalapiuose https://www.cert.lt/tikrinti_spragas.html [10] ir https://www.grc.com/x/ne.dll?rh1dkyd2. [11]
Atlikus tikrinimus, ekrane turėtų būti panašūs įrašai apie sėkmingą tikrinimą bei teigiamus rezultatus kaip pateiktuose žemiau paveiksluose.
6pav. Saugumo spragų tikrinimo ekrano nuotrauka Nr. 1
7pav. Saugumo spragų tikrinimo ekrano nuotrauka Nr. 2
Išvados
Taigi, šiame rašto darbe trumpai apžvelgiau routerių saugumo spragas bei pasiūliau sąrašą reikalingų atlikti veiksmų norint pagerinti saugumo lygį, tiksliau apsunkinti įsiveržimą į bevielį tinklą hakeriams. Jeigu yra reikalingas saugumas, naudojimas laidinio interneto stipriai padidins Jūsų saugumo lygį, tačiau teks atsisakyti mobiliųjų-išmaniųjų telefonų siūlomais privalumais kaip bevielis interneto ryšis namuose.
Literatūros sąrašas
Routerių istorija https://en.wikipedia.org/wiki/Router_(computing) [Interaktyvus]. [žiurėta 2017 m. lapkričio 3 d.]
Routerių saugumo sąrašas 1 https://www.routersecurity.org/checklist.php [Interaktyvus]. [žiurėta 2017 m. lapkričio 3 d.]
Routerių saugumo sąrašas 2 https://www.techworld.com/tutorial/security/home-router-security-2015-9-settings-that-will-keep-bad-guys-out-3609122/ [Interaktyvus]. [žiurėta 2017 m. lapkričio 6 d.]
Routerių saugumo sąrašas 3 https://www.tomsguide.com/us/home-router-security,news-19245.html [Interaktyvus]. [žiurėta 2017 m. lapkričio 5 d.]
Routerių saugumo sąrašas 4 https://www.pcmag.com/article2/0,2817,2409751,00.asp [Interaktyvus]. [žiurėta 2017 m. lapkričio 4 d.]
Routerių saugumo sąrašas 5 https://www.pcworld.com/article/3093362/how-to-secure-your-router-and-home-network.html [Interaktyvus]. [žiurėta 2017 m. lapkričio 4 d.]
WPS protokolo silpnoji pusė https://nakedsecurity.sophos.com/2015/04/13/we-told-you-not-to-use-wps-on-your-wi-fi-router-we-told-you-not-to-knit-your-own-crypto/ [Interaktyvus]. [žiurėta 2017 m. lapkričio 6 d.]
Routerio apžvalga https://arstechnica.com/gadgets/2015/10/review-ubiquiti-unifi-made-me-realize-how-terrible-consumer-wi-fi-gear-is/5/ [Interaktyvus]. [žiurėta 2017 m. lapkričio 6 d.]
Custom firmware palyginimas https://vpnpick.com/dd-wrt-vs-tomato-vs-open-wrt/ [Interaktyvus]. [žiurėta 2017 m. lapkričio 5 d.]
Saugumo spragų tikrinimo tiklalapis Nr. 1 https://www.cert.lt/tikrinti_spragas.html [Interaktyvus]. [žiurėta 2017 m. lapkričio 6 d.]
Saugumo spragų tikrinimo tiklalapis Nr. 2 https://www.grc.com/x/ne.dll?rh1dkyd2 [Interaktyvus]. [žiurėta 2017 m. lapkričio 6 d.]