Kebanyakan router gateway yg dipakai oleh pelanggan rumahan sangat tidak kondusif, serta beberapa router sangat rentan buat diserang sehingga harus dibuang, istilah ahli keamanan pada konferensi hacker HOPE X di New York.
"apabila router dijual pada [rantai elektronik], Anda nir ingin membelinya," kata konsultan komputer independen Michael Horowitz pada presentasi. "apabila router Anda diberikan pada Anda oleh penyedia layanan internet Anda [ISP], Anda nir ingin menggunakannya pula, karena mereka mengungkapkan jutaan dari mereka, dan itu mengakibatkan mereka sasaran primer baik buat biro intel serta orang dursila. "
Horowitz merekomendasikan bahwa konsumen yang sadar keamanan akan menaikkan ke router komersial yg ditujukan buat perjuangan kecil, atau setidaknya memisahkan modem serta router mereka menjadi 2 perangkat terpisah. (Banyak "gateway" unit, seringkali dipasok sang ISP, bertindak sebagai keduanya.) Gagal salah satu dari opsi tersebut, Horowitz membicarakan daftar tindakan pencegahan yang bisa dilakukan pengguna.
Masalah menggunakan router konsumen
Router artinya asal yang penting tetapi nir terdeteksi jaringan komputer terbaru, namun hanya sedikit pengguna rumahan yang menyadari bahwa mereka ialah komputer, menggunakan sistem operasi, aplikasi, serta kerentanan mereka sendiri.
"Sebuah router yg dikompromikan bisa memata-matai Anda," istilah Horowitz, menyebutkan bahwa router di bawah kendali penyerang sanggup melaksanakan agresi man-in-the-middle, membarui data yg nir terenkripsi atau mengirim pengguna ke situs web "jahat kembar" yang menyamar sebagai sering- menggunakan webmail atau portal perbankan online.
Banyak perangkat home-gateway kelas konsumen gagal memberi tahu pengguna apabila serta kapan pembaruan firmware tersedia, meskipun pembaruan itu krusial untuk memperbaiki lubang keamanan, Horowitz mencatat. Beberapa perangkat lain tidak akan mendapatkan istilah sandi lebih panjang dari 16 karakter.
Jutaan router di semua dunia mempunyai protokol jaringan Universal Plug and Play (UPnP) yg diaktifkan pada port yang menghadap ke internet, yg membangun mereka terkena serangan eksternal.
"UPnP dirancang buat LAN [jaringan area lokal], dan sebab itu, tidak memiliki keamanan. Dalam dan berdasarkan itu sendiri, itu bukan duduk masalah besar ," kata Horowitz. Tetapi, beliau menambahkan, "UPnP di internet menyerupai pulang untuk operasi dan mempunyai dokter bekerja dalam kaki yang galat."
Masalah lainnya ialah Protokol Administrasi Jaringan Rumah (HNAP), indera manajemen yang ditemukan pada beberapa router tingkat konsumen yg mentransmisikan berita sensitif perihal router melalui Web pada http: // [router IP address] / HNAP1 /, serta mengungkapkan kontrol penuh pada pengguna jarak jauh yang mengungkapkan nama pengguna serta istilah sandi administratif (yang banyak pengguna tidak pernah ubah berdasarkan default pabrik).
Pada tahun2019, cacing router berjulukan TheMoon menggunakan protokol HNAP buat mengidentifikasi router merek Linksys yg rentan yg bisa menyebar sendiri. (Linksys dengan cepat mengeluarkan patch firmware.)
"Segera setelah Anda datang di tempat tinggal , ini ialah sesuatu yg ingin Anda lakukan menggunakan seluruh router Anda," kata Horowitz kepada kerumunan orang yg paham teknologi. "Pergilah ke / HNAP1 /, dan, semoga, Anda nir akan menerima balasan, apabila itu satu-satunya hal yang baik. Terus terperinci, jika Anda mendapatkan balasan, aku akan membuang router."
Ancaman WPS
Yang terburuk menurut semuanya ialah Wi-Fi Protected Setup (WPS), fitur fasilitas penggunaan yang memungkinkan pengguna melewati kata sandi jaringan serta menghubungkan perangkat ke jaringan Wi-Fi hanya menggunakan memasukkan PIN delapan digit yg dicetak dalam router itu sendiri. . Bahkan apabila kata sandi jaringan atau nama jaringan berubah, PIN permanen valid.
"Ini ialah duduk kasus keamanan yg sangat akbar yg dihapus," kata Horowitz. "Nomor delapan-digit itu akan membawa Anda ke [router] apa pun. Kaprikornus tukang ledeng tiba ke rumah Anda, menyalakan router, merogoh gambar pecahan bawahnya, serta ia kini sanggup masuk ke jaringan Anda selamanya . "
Itu PIN delapan digit bahkan nir sahih-sahih delapan digit, Horowitz mengungkapkan. Ini bekerjsama tujuh digit, ditambah digit checksum terakhir. Empat digit pertama divalidasi sebagai satu urutan dan 3 terakhir menjadi yg lain, membuat hanya 11.000 kode yang mungkin, bukan 10 juta.
"apabila WPS aktif, Anda sanggup masuk ke router," istilah Horowitz. "Anda hanya perlu membentuk 11.000 tebakan" - peran sepele bagi sebagian besar personal komputer modern serta ponsel cerdas.
Kemudian, terdapat port jaringan 32764, yg oleh peneliti keamanan Prancis Eloi Vanderbeken dalam tahun2019 yg ditemukan sudah ditinggalkan secara rahasia di router gateway yang dijual sang beberapa merek utama. Menggunakan port 32764, siapa pun di jaringan lokal - yang mencakup ISP pengguna - sanggup mengambil kendali administratif penuh atas router, dan bahkan melaksanakan reset pabrik, tanpa kata sandi.
Pelabuhan ditutup pada sebagian besar perangkat yg terkena imbas sesudah pengungkapan Vanderbeken, namun ia kemudian menemukan bahwa itu bisa dengan gampang dibuka pulang menggunakan paket data yg dibuat khusus yg mampu dikirim menurut ISP.
"Ini sangat terang dilakukan oleh biro mata-mata, itu luar biasa," kata Horowitz. "Itu disengaja, nir diragukan lagi."
Cara mengunci router tempat tinggal Anda
Langkah pertama menuju keamanan router rumah, istilah Horowitz, ialah memastikan router dan modem bukan satu perangkat. Banyak ISP menyewakan perangkat semacam itu kepada pelanggan, namun mereka tidak memiliki kendali atas jaringan mereka sendiri.
"Jika Anda diberi satu kotak, yang kebanyakan orang saya pikir sebut gateway," katanya, "Anda wajib sanggup menghubungi ISP serta meminta mereka buat mematikan kotak sehingga bertindak hanya menjadi modem. Lalu Anda mampu masukkan router Anda sendiri ke dalamnya. "
Selanjutnya, Horowitz merekomendasikan semoga pelanggan membeli router Wi-Fi / Ethernet kelas komersial kelas rendah, menyerupai Pepwave Surf SOHO, yang dijual seharga lebih kurang $ 200, bukan router ramah konsumen yg harganya hanya $ 20. Router kelas komersial kemungkinan nir mengaktifkan UPnP atau WPS. Pepwave, Horowitz mencatat, menerangkan fitur tambahan, menyerupai rollback firmware jika pembaruan firmware berjalan salah .
Terlepas dari apakah router adalah komersial atau kelas konsumen, ada beberapa hal, bervariasi menurut yang mudah ke sulit, yg bisa dilakukan oleh direktur jaringan rumah buat memastikan router mereka lebih kondusif:
Perbaikan mudah
Ubah kredensial administratif dari nama pengguna dan kata sandi default. Mereka ialah hal pertama yg akan dicoba oleh penyerang. Petunjuk isyarat router Anda wajib memberitahuakn kepada Anda bagaimana melaksanakan ini; jika tidak, maka Google itu.
Ubah nama jaringan, atau SSID, menurut "Netgear," "Linksys" atau apa pun standarnya, menjadi sesuatu yang unik - namun jangan berikan nama yang mengidentifikasi Anda.
"Jika Anda tinggal pada sebuah gedung apartemen pada apartemen 3G, jangan panggil SSID Anda 'Apartment 3G,'" istilah Horowitz. "Sebut saja 'Apartemen 5F.'"
Aktifkan enkripsi nirkabel WPA2 sehingga hanya pengguna yg berwenang yang sanggup masuk ke jaringan Anda.
Nonaktifkan Wi-Fi Protected Setup, apabila router Anda memungkinkan Anda.
Atur jaringan Wi-Fi tamu serta tawarkan penggunaannya pada pengunjung, jikalau router Anda memiliki fitur semacam itu. Jika memungkinkan, setel jaringan tamu untuk mematikan sendiri sesudah jangka saat eksklusif.
"Anda sanggup menyalakan jaringan tamu Anda, serta mengatur pengatur ketika, dan 3 jam kemudian, beliau akan tewas sendiri," istilah Horowitz. "Itu fitur keamanan yang sangat bagus."
Jika Anda memiliki banyak perangkat rumah arif atau perangkat Internet of Things, kemungkinannya poly dari mereka tidak akan sangat aman. Hubungkan mereka jaringan Wi-Fi tamu Anda sebagai ganti jaringan primer Anda buat meminimalkan kerusakan yg diakibatkan menurut kompromi potensial perangkat IoT.
Jangan pakai manajemen router berbasis cloud jika penghasil router Anda menawarkannya. Sebaliknya, cari memahami apakah Anda mampu mematikan fitur itu.
"Ini ide yang sangat jelek," istilah Horowitz. "Jika router Anda menampakan itu, saya nir akan melakukannya, sebab sekarang Anda mempercayai orang lain antara Anda serta router Anda."
Banyak sistem "router mesh" baru, menyerupai Google Wifi serta Eero, sepenuhnya bergantung pada cloud serta hanya sanggup berinteraksi menggunakan pengguna melalui pelaksanaan smartphone berbasis cloud. Sementara model-model itu menerangkan peningkatan keamanan pada area lain, menyerupai pembaruan firmware otomatis, mungkin layak mencari router bergaya mesh yang memungkinkan kanal administratif lokal, menyerupai Netgear Orbi.
Cukup sulit
Instal firmware gres saat sudah tersedia. Masuk ke antarmuka administratif router Anda secara rutin buat memeriksa. Dengan beberapa merek, Anda mungkin harus menyelidiki situs web produsen buat peningkatan firmware. Router yang lebih baru, termasuk kebanyakan router mesh, akan secara otomatis memperbarui firmware. Namun memiliki router cadangan pada tangan apabila terdapat masalah.
Atur router Anda buat menggunakan gerombolan musik 5-GHz buat Wi-Fi daripada kelompok musik dua,4-GHz yang lebih standar, apabila mungkin dan jikalau seluruh perangkat Anda kompatibel.
"Band 5-GHz tidak melaksanakan perjalanan sejauh gerombolan musik 2,4-GHz," istilah Horowitz. "Jadi jika ada orang jahat pada lingkungan Anda satu atau dua blok jauhnya, ia mungkin melihat jaringan 2,4-GHz Anda, tetapi dia mungkin tidak melihat jaringan 5-GHz Anda."
Nonaktifkan kanal administratif jeda jauh, serta nonaktifkan kanal administratif melalui Wi-Fi. Administrator harus terhubung ke router melalui kabel Ethernet saja. (Sekali lagi, ini tidak akan mungkin menggunakan poly router mesh.)
Kiat lanjutan buat lebih poly pengguna yang tahu teknologi
Ubah pengaturan untuk antarmuka Web administrasi, apabila router Anda mengizinkannya. Idealnya, antarmuka harus menegakkan koneksi HTTPS kondusif melalui port non-standar, sehingga URL buat kanal administratif akan sebagai sesuatu seperti, buat menggunakan pola Horowitz, "//192.168.1.1:82" daripada yang lebih baku "//192.168.1.1", yg secara default menggunakan port 80 baku internet.
Gunakan mode penyamaran atau pribadi di browser ketika mengakses antarmuka administratif sebagai akibatnya URL gres Anda nir disimpan dalam riwayat browser.
Nonaktifkan PING, Telnet, SSH, UPNP serta HNAP, jikalau memungkinkan. Semua ini artinya protokol kanal jeda jauh. Daripada mengatur port yg relevan buat "ditutup", atur ke "stealth" semoga tidak ada respons yg diberikan pada komunikasi eksternal yg tidak diminta yg mungkin datang menurut penyerang yg menyidik jaringan Anda.
"Setiap router memiliki opsi buat tidak menanggapi perintah PING," istilah Horowitz. "Ini sahih-sahih sesuatu yang ingin Anda aktifkan - fitur keamanan yang hebat. Ini membantu Anda bersembunyi. Tentu saja, Anda tidak akan bersembunyi berdasarkan ISP Anda, namun Anda akan bersembunyi menurut seseorang laki-laki di Rusia atau China."
Ubah server Domain Name System (DNS) router berdasarkan server ISP sendiri ke server yg dikelola sang OpenDNS (208.67.220.220, 208.67.222.222) atau Google Public DNS (8.8.8.8, 8.8.4.4). Jika Anda memakai IPv6, alamat OpenDNS yang sesuai adalah 2620: 0: ccc :: dua dan 2620: 0: ccd :: 2, serta yg Google artinya 2001: 4860: 4860 :: 8888 dan 2001: 4860: 4860: : 8844.
Gunakan router jaringan pribadi impian (VPN) buat menambah atau mengubah perute yg ada serta mengenkripsi seluruh lalu lintas jaringan Anda.
"Ketika aku menyampaikan router VPN, maksud saya router yg mampu menjadi klien VPN," kata Horowitz. "Kemudian, Anda mendaftar dengan beberapa perusahaan VPN, dan seluruh yang Anda kirim melalui router itu melalui jaringan mereka. Ini merupakan cara yang cantik buat menyembunyikan apa yang Anda lakukan dari penyedia layanan internet Anda."
Banyak router Wi-Fi tempat tinggal sanggup "dinyalakan" buat menjalankan firmware open-source, menyerupai firmware DD-WRT, yg dalam gilirannya mendukung protokol OpenVPN secara orisinil. Kebanyakan layanan VPN komersial mendukung OpenVPN pula dan menyampaikan isyarat perihal cara mengatur open-source routers sampai menggunakannya.
Akhirnya, gunakan layanan pemindaian port Shields Up milik Gibson Research Corp. Pada //www.grc.com/shieldsup. Ini akan menguji router Anda buat ratusan kerentanan umum, yg sebagian besar bisa dimitigasi oleh direktur router.
Berikan Komentar
<i>KODE</i>
<em>KODE YANG LEBIH PANJANG</em>
Notify me
untuk mendapatkan notifikasi balasan komentar melalui Email.