Защитен и сигурен рутер
Преди да започнем:
Този материал е в 2 части, и е основно базиран върху човешкия елемент, и начините по които сами бихте могли да си попречите, заради незнание, кое е добре за вас или зле за вас, или заради грешки, които бихте допуснали, или заради твърде много излишни и произволни безсмислени и безцелни манипулации по РС или рутера. Напълно наясно съм че за болшинството от вас, този материал е загуба на време и усилие, за това ще ви го кажа директно, Този материал не е за вас. Този материал се цели в тези които се интересуват, от тези неща и смятат че материала ще им е полезен.
Важно е да се знае, колкото и да се стараете да скриете рутер, той е толкова невидим колкото е вашето познаване и колкото добро е вашето използване на наличните функциите на рутера, както и самите възможности на рутера. Винаги има начин и най-добрият рутер, замаскиран по най-добрият начин, от най-добрият администратор да бъда разкрит. Всеки рутер според възможностите си може да се скрие различно добре, но ВИНАГИ, с достатъчно сериозно търсене, всеки рутер може да се открие, независимо от всичко. Въпреки всичко това откриване не е лесно, и то не отменя, ползите от наличието на добре настроен рутер, в мрежата ви. Повечето малки и квартални доставчици, няма и да се усетят че имате рутер, ако направите всичко правилно по компютъра и по рутера.
Целево поведение на рутера:
1. да докладва мак адреса на мрежовата карта като своя WAN адрес
2. Да не се представя като видим възел на безжична мрежа
3. Да праща пакети с ТТЛ=64 хопа на доставчика
4. Да отхвърля всякакъв не генериран от вас трафик, като предпазна мярка срещу сканиране
5. Да не отговаря на Пинг, пратен до рутера.
6. Да не приема връзки от никакви устройства от устройства които не са му указани като позволени.
7. Да се използва шифрован обмен на трафик, през безжичния му аксеспойнт, през сигурен протокол.
8. Да накараме рутера да отхвърля връзки от всичко освен от устройствата и компютрите които ние желаем да приеме.
Машинен елемент:
Тъй като не всеки рутер, може да ресетне ТТЛ, ще трябва да използваме различен метод. Общото между всички рутери е че при преминаването на пакет между LAN и WAN мрежата , независимо в коя посока, стойността на ТТЛ, намалява с един хоп. Ще използваме това свойство за да си измислим заобиколен начин, да постигнем ТТЛ = 64 хопа. Ако компютъра прати пакет с ТТЛ = 64 хопа, през рутера стойността ще намалее с 1, и ще стане 63. На нас ни е необходима стойност 64. За това ако компютъра прати пакет със стойност на ТТЛ = 65 хопа, минавайки през рутера, те ще намалее с 1 минавайки през рутера и ще стане 64, и ще бъдат пратени по WAN мрежата до вашия доставчик със стойност 64. Точно стойността която искаме и която ни трябва.
Човешки елемент:
Това което най-много може да ви навреди, сте вие. Замълчете си, не казвайте на никого че имате рутер, ако ви питат, отричайте че имате такъв, и винаги казвайте че имате агресивен софтуерен Firewall, който блокира всичко което не е генерирано от вас като трафик. Най-добрият начин е да извадите кабела на доставчика, и да настроите изцяло рутера, и РС, после да рестартирате рутера и РС, да се заредят с новите настройки, след това да изключите рутера, и да включите кабела на доставчика във WAN порта, и да включите рутера наново. Разбира се това че сте му извадили кабела от контакта не е проблем и рутера няма да си забрави настройките, така че смело напред. Рутера ще помни и използва тези настройки, докато не ги смените, или не занулите рутера от копчето ресет. Дискретността, търпението, и усета към детайлите и вниманието към подробностите са ключа към успеха. Конкретно в този случай правилото колкото по-малко следи оставяте, толкова по-добре важи с ПЪЛНА СИЛА.
Машинен елемент:
Споменатата цел е напълно и реално постижима, с пълно и фино настройване на РС и рутера едновременно. Ако на едното от двете, което и да е то му куца някоя настройка, желаният ефект ще намалее. Използвайте ръководството на ОС и на рутера за постигане на пълен резултат. Всяка опция в ОС или в рутера е поставена с повод, и има своето значение и предназначение. На вас може да не ви потрябва но на друг може, да му потрябва, но щом е сложена от производителя е сложена с причина, и устройството има своите особености като дизайн и функционалност, които изискват това да е там. Ако не ви трябва просто го изключете, и то няма да ви се бърка.
Човешки елемент:
Следващите редове показват само основна и базова стратегия, и не са пълно и изчерпателно ръководство. Ако ви се налага да се справяте със ситуации, извън този материал, помагайте си с ръководството на рутера и на ОС. Нормално е за материал, който е само основен и базов да има пропуски върху някои подробности, за това, преди да започнете се уверете че сте наясно с мрежата на доставчика ви, и с нейните особености, и с правилните настройки за връзка с доставчика ви. Ако не сте наясно с нещо не започвайте преди да си го изясните. Преди да започнете също е добре да сте наясно с поведението на рутера ви, неговите особености и настройки, като и за тези на ОС за да няма неприятни изненади. Обърнете внимание как рутера променя пакетите от РС, и променете начина по който РС праща пакетите, за да може след като рутера свърши да ги обработва и ги прати на доставчика ви, те да стигнат така както вашия доставчик ги очаква. тъй кат рутера ще поддържа интернет връзката с вашия доставчик, е важно от рутера да изберете правилните настройки за да може рутера да установи връзка с доставчика ви и да я поддържа.
Част 1 да скрием рутера от чужди очи.
1. Занулете рутера, от хардуерния бутон Reset
2. Уверете се че сте наясно с настройките за вашата интернет връзка и че сте наясно с особеностите и поведението на рутера ви.
3. Настройте РС за да праща ТСР/UDP пакети със стойност за ТТЛ = 65 хопа. Това е необходимо, защото когато пакет преминава през рутера стойността на ТТЛ в Хопове се намалява с 1. Ако оставите пакетите с ТТЛ със стойност 64 хопа, това е грешно, защото рутера ще намали стойността на ТТЛ с 1, и пакета ще продължи към доставчика ви със стойност 63, което не е нашата цел. За това, за да постигнем целта си, направете пакета със стойност за ТТЛ 65 хопа, и като мине през рутера, рутера ще я промени, ще я намали с 1, и ще я препрати със стойност 64, което е нашата цел. Внимавайте, защото в много случаи, доставчика ви разчита на ТТЛ 63, за да залови наличието на рутер, разчитайки че не знаете за това, и опитвайки се да използва незнанието ви срещу вас самите. Щом доставчика ви ви казва че стойността на ТТЛ за неговата мрежа е 64 хопа, значи не е случайно и той иска, очаква и разчита, на пакети със стойност на ТТЛ 64 хопа. Не е рядкост, когато потребителя познава рутера си, но прави глупостта да се консултира с доставчика си, и доставчика виждайки че потребителя не е сигурен, решава да използва тази несигурност срещу потребителя и умишлено го въвежда в заблуда, че винаги става така, защото рутера така си работи и не може да се промени. Да винаги става така, защото рутера така си работи но МОЖЕ да се промени, и се променя от ОС. Никога няма да ви кажат направете си ттл от ОС със стойност 65, за да компенсирате, тази промяна на ТТЛ с 1. ТЕ нямат търговски и финансов интерес да ви го кажат. Те имат търговски и финансов интерес да не ви го кажат, и да не го знаете, и да ви подведат за да ви вземат парите за втори абонамент. Настройвайки Стойността на ТТЛ за пакетите ви за е 65, вие едновременно се съобразявате с рутера, и използвате това че вие знаете а доставчика ви не, във ваша полза срещу доставчика ви. Това е за сега всичко което вие нужно да знаете за ТТЛ. Надявам се че не сте толкова тъпи и глупави че да споделите това с доставчика ви. Всъщност доставчика ви знае всичко това и разчита че вие не го знаете, за това ви викам да не бъдете глупави и да не се издавате. Глупаво е, защото вие сами си издавате какво правите и сами давате на доставчика ви шанс да ви контрира. Така сами си вредите.
4. Изключете UPNP както на компютъра, така и на рутера. Проблемът с UPNP е че това е по-скоро опасна от колкото полезна технология. Да на теория, позволява широка гама връзки между програми и устройства и други бла-бла-бла-бла глупости, ама на практика, случаите в които с UPNP се злоупотребява са много пъти повече от колкото тези в които UPNP, реално е допринесло за някаква реална полза. Проблемът идва от там, че UPNP позволява широка гама от връзки да се създават свободно, така ефективно се заобикалят защитните мерки на рутера. Това е МНОГО ГОЛЯМА следа, която оставяте, и тя може много лесно да ви издаде. Няколко правилно изпратени UPNP команди и рутера ще се издаде сам, затова вързан поп, мирно село, спряно UPNP, мирна мрежа.
5. Изключете DMZ, това значи De Militarized Zone. С други думи DMZ Host е много голяма глупост, защото позволява пълен неконтролируем двупосочен трафик, между вашия компютър и който/което там го търси. Всичко отива във вашия компютър безпроблемно и безконтролно, все едно няма рутер и все едно няма защита, все едно компютъра е вързан беззащитен, към интернет.
6. Изключете SSID Broadcast. Те тази опция значи, че рутера сам се издава и сам се представя: вижте ме аз съм рутер еди кой си. Веднага ще ви заловят че сте с рутер.
7. Активирайте SPI Firewall на рутера да работи, и да допълва НАТ на рутера. SPI Firewall значи Statefull packet inspection Firewall и всъщност когато е активиран рутера ви, ви дава много добро ниво на защита, защото рутера автоматично блокира и отхвърля всичко което му е непознато.
8. Нагласете стойността на MTU от РС и от рутера да е точно тази която е препоръчваната от вашия доставчик. Така си помагате по няколко начина. единият е че няма да губите скорост, защото пакетите ще се предават директно, другият е че като пратите пакет с грешно мту доставчика ви вижда грешното МТУ, така оставяте следа, издавате се. Освен това, и връзката ви става бавна, защото рутера забавя пакетите, за да ги отвори, да пренареди битовете до новия размер на пакета, да ги пре-капсулира и да ги прати наново. За това МТУ с правилната стойност е важно. хем доставчика няма да се усети, хем скоростите ще си ги постигате, хем, рутера ще се товари по-малко, защото просто ще препраща пакетите, без да прави каквито и да било отнемащи време манипулации по тях.
9. Активирайте Discard Ping on WAN опцията на рутера, с нея указвате на рутера да не отговаря на входящ Ping. Така защитавате още мрежата си, и я правите почти невидима.
10. клонирайте мак адреса на лан картата. Така ще накарате рутера да се представи с мак адреса на лан картата. Всяко мрежово устройство си има свой мак адрес, и когато доставчика ви ви свързва, той регистрира този мак адрес. Ако рутера ви се представи със своя си мак адрес, все едно не правим нищо, рутера си казва аз съм рутер. Когато рутера се представи с мак адреса на лан картата, рутера, се представя като лан картата.
Нали помните, колкото по-малко следи оставяте, толкова по-добре.
С това се изчерпват основните неща а машинния елемент.
Нека поговорим за човешкия елемент.
Ако в ръководството пише направете нещо ПРЕДИ или СЛЕД еди кое си, значи от вас се очаква да го направите точно така. тук си има стъпки 1, 2, 3 и те трябва да се спазят правилно за да стане това което искаме и да постигнем искания резултат.
1. Отричайте наличието на рутер, казвайте че нямате, ако ви питат какво ви пази, кажете им че ви пази агресивен софтуерен firewall.
2. Когато започнете самото свързване и настройване изключете кабела на доставчика ви, и го дръжте изключен, докато не видите инструкция да го включите. в противен случай промените и рестартите ще бъдат логвани от доставчика ви, и вероятността да гризнете дървото е голяма.
3. Пренастройте РС, да праща TCP и UDP пакети с ТТЛ със стойност 65 хопа
4. Преди да настроите рутера, занулете го от неговото копче ресет, за да сте сигурни че всичко ще мине гладко.
5. дръжте кабела на доставчика ви ИЗКЛЮЧЕН, и включете кабела на компютъра в някой от ЛАН портовете на рутера. Няма значение в кой порт, те всичките ЛАН портове са равностойни. Докато кабела на доставчка ви е изключен, вие имате предимство, защото всичко което правите остава скрито от доставчика ви. За доставчика ви вие просто сте си изключили компютъра.
6. Клонирайте мак адреса на мрежовата карта
7. изключете UPNP както от рутера, така и от компютъра.
8. Изключете DMZ
9. Изключете SSID Broadcast
10. Включете Discard ping on WAN
11. Включете SPI Firewall
12. Запишете всички промени до тук, и рестартирайте рутера. Това става като извадите захранващият кабел от рутера и го върнете след около 45 секунди.
13. въведете в рутера вашият тип интернет връзка и настройките на интернет връзката, включително име и парола, ако сте на връзка която го изисква като например PPTP, PPPoE, VPN
14. Кажете на рутера да поддържа раздадените ИП-та завинаги (IP Lease time forever). Това ще ви е НЕОБХОДИМО, ако искате да настроите рутера един път и повече да не го закачате. в противен случай всеки път когато рутера смени ИП на вашия компютър, ще трябва пренастройвате целия нат наново.
15. В раздел НАТ, въведете port forwarding за приложенията които не могат да работят в условията на NAT и SPI Firewall
16. докато кабела на доставчика е все още премахнат, запишете всичко в рутера и рестартирайте, за да може рутера да се инициализира с новите настройки, това става като извадите захранващият кабел от рутера и го върнете след около 45 секунди.
След като вече имате скрит и работещ рутер, е време да го защитим от чужди посегателства. ето как става това. целта на следващите редове е да ви помогна да си защитите рутера и мрежата, базирана и изградена от рутера. Запомнете това е вашият рутер, и вашата мрежа. никой не трябва да има достъп до него освен вас, независимо от обстоятелствата. Не бъдете тъпи глупаци. Който и каквото да ви говори, каквото и както да ви го обяснява, за какъвто ще да ви се представя НЕ МУ ДАВАЙТЕ НИКАКВА информация по случая, независимо от каквото и да било.
17. Сменете дефаултните име и парола на рутера
машинен елемент
Това са име и парола за достъп до рутера, и има фабрично посочени, колкото да си направите първоначалната конфигурация. Всеки модел има ръководство в интернета, в което са посочени. Надеждна парола от скоро се счита за 16 символа дълга, съставена от произволно избрани и малки, големи букви и цифри. Съветвам ви да я направите 17 символа. като добавите 1 символ, вие правите паролата 36 пъти по-силна и 36 пъти по-трудна за разбиване.
човешки елемент
Фабричните име и парола са масово разпространявани от производителя във всякаква форма, за да може да ви е лесно да влезнете за първоначалната конфигурация на рутера. Крайно неадекватни логики, създавани от некадърни, неграмотни тъпаци и глупаци, като кой ще ме напада точно пък мен, или кой ще се сети че точно рождената дата, ми е за парола или кой ще се сети че съм оставил фабричната, са крайно погрешни, крайно глупави и крайно неадекватни. такива крайно неадекватни логики седят зад всеки успешен пробив. Ако ги оставите, ще е лесно на отсрещната страна да придобие контрол над рутера ви, защото това са първите неща които се пробват.
18. изключете remote access
Машинен елемент
Това е опасна функция, и ако не внимавате с нея, от удобство, може да ви докара ОГРОМНА БЕЛЯ. Тази функция разрешава, управление на рутера през интернет от външен за мрежата ви компютър.
човешки елемент
когато тази функция е включена, е задължително да сложите надеждна и защитена парола, Освен че можете да си настройвате рутера, отдалеч, същото ще може всеки, който ви пробие слабата парола. Не са рядкост случаите на превземане на рутер и искане на откуп, за връщане на контрола над рутера, за това ако тази функция няма да ви трябва задължително я изключете. Ако ще ви трябва, задължително сложете име и парола трудни за отгатване.
19. уверете се че SPI firwall на рутера работи
машинен елемент
Това е SPI Firewall - Statefull Packet Inspection Firewall. Тази част е една от най-важните, която ще ви осигури една от най-големите степени на защита. Този род Firewall следят какви изходящи връзки има от компютъра, и следи входящите. Ако никоя от входящите не отговаря на никоя от изходящите биват прекъснати. Ако има някоя входяща, която отговаря на някоя изходяща, тя бива допусната.
човешки елемент
Това е доста надеждна степен на защита от защитната стена, която допълва и засилва, защитата която рутера има по подразбиране. Активирайте я и не го мислете. Това ще спре, целия паразитен трафик към компютъра ви, и ще ви осигури много надеждна защита от вече заразени компютри, които бълват зарази по мрежата.
20 . Уверете се че UPNP на компютъра и рутера е изключено
машинен елемент.
Тази технология е най-голямата грешка на човечеството. УПНП осигурява безпрепятствен начин на множество машини, устройства и програми, да се свързват една с друга, в обща мрежа използвайки интернет като преносна среда, и позволява, на тези приложения ефективно да заобикалят защитната стена на рутера.
човешки елемент
Има много документирани злоупотреби, и малко реални приложения на тази технология. По-добре не я ползвайте. УПНП е начин да се премине през Firewall лесно и безпрепятствено - все едно го няма. Най-добре го изключете от компютъра и рутера, и си решавате въпроса централно във ваша полза.
21. Уверете се, че SSID broadcast е изключено
машинен елемент - тази функция позволява да скриете вашата мрежа от другите, да не се вижда от другите. Рутера няма да ви се представи, и няма да ви се покаже, в списъка с безжични мрежи, до които имате достъп.
Човешки елемент
ще трябва да знаете SSID и да го извикате директно, по SSID, за да установите връзка с рутера. Това е една от мерките срещу пиявици. Пиявиците са инатливи говеда. за тях трябва пакет от няколко мерки наведнъж, и това е една от тях.
22. филтрирайте по мак адрес
машинен елемент
филтър който сравнява мак адресите на устройствата които искат достъп , до рутера, със списък, на мак адреси на които им е позволено. ако няма съвпадение, връзката бива отхвърлена.
човешки елемент.
Това също е много добра форма на защита, не само срещу пиявици, а изобщо на рутера като цяло, защото се указва един спиък с машини които имат право, и всички други биват отхвърлени. това е много добра част от пакета мерки срещу пиявици.
23. Активирайте висшите степени на защита на безжичния аксес пойнт на рутера, като WPA/WPA2
Машинен елемент
WPA и WPA2 са системи за защитен и шифрован достъп. Най-добре да се използва WPA 2 256 bit AES защото за сега дава много добър резултат. максимален резултат се получава, ако му сложите хубава и дълга парола от поне 18 символа.
Човешки елемент
WEP и WPA вече са пробити като защитни стандарти, остава WPA2 256 Bit AES като ниво на защита, за сега е най-високото, което масово съществува в масовите рутери. В комбинация в хубава и дълга парола, имате много надеждна степен на защита. Това е още една мярка от пакета мерки срещу пиявици. Всички мерки срещу пиявици взети заедно, като сумарен и натрупан ефект на едното върху другото дават много добра и надеждна форма на защита, гарантирайки че 99,99% от пиявиците изобщо няма и да разберат че имате рутер, а останалите които са по-ербап, ще бъдат отхвърляни от рутера на няколко нива, и дори да пробият едно или две нива остават другите които ще им пречат.
24. използвайте уникално SSID което да не е дефаулт или име, или нещо смислено.
машинен елемент
Това е името с което рутера се представя в безжичната мрежа.
Човешки елемент
Така освен че улеснявате себе си и едновременно имате и психологическо предимство над пиявиците. Реално ефекта тук е психологически, очаква се че щом, сте си сменили SSID и активирали WPA2 значи сте наясно с материала и знаете какво правите. теорията гласи че това трябва да помогне срещу пиявици. На практика не съм сигурен в това твърдение. Все пак е добре да го направите за ваше собствено улеснение. Най-малкото, за да си разпознавате вашия рутер сред останалите.
25. уверете се че DMZ е изключено
Машинен елемент
Това значи De Militarized Zone. Тоест това значи че даден компютър в мрежата ще има неограничен достъп до интернет в двете посоки, и неговия трафик, няма да бъде филтриран и сканиран и компютъра е напълно беззащитен в интернет.
Човешки елемент.
Активирането на този режим е най-голямата възможна грешка. Това таралеж в гащите, Защото пускате не контролиран трафик към дадена машина, и после тя се заразява и почва да бълва във вътрешната мрежа. После не се чудете защо рутера не ви е защитил. Изключете я, не ви трябва този таралеж в гащите.
26. ъпгрейдвайте софтуера на рутера редовно
Машинен елемент
Това е системния софтуер на вашия рутер, който върши всичко - SPI Firewall, интерфейса по който настройвате рутера, и всичките му модули и части и функции се съдържат и синхронизират и координират от фърмуера. Затова неговото високо качество е от критически важно значение за успешната работа на рутера.
човешки елемент.
Тези обновявания са задължителни. с тях производителя усъвършенства текущи възможности и функции на рутера, чисти техни грешки и добавя нови функции. Актуализацията е важна, защото така се коригират грешки които водят до един или друг проблем.
27. Рестартирайте рутера, като извадите захранващият кабел за 45 секунди и го включите пак. Така рутера ще се зареди с новите си настройки, и ще е готов за работа.
28. Сега вече включете кабела на доставчика ви, във WAN порта на рутера и включете рутера. Рутера ще се инициализира с новите настройки и ще се свърже с доставчика ви и ще поддържа връзката. за доставчика ви цялата тая процедура изглежда в толкова часа си е спрял компютъра и в толкова си го е пуснал. Ако сте изпълнили всичко правилно и в правилния ред без да прибързвате, и без да правите произволни глупости по компютъра и рутера, значи всичко е наред, и честито имате скрит, защитен и работещ рутер.
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.