web-dev-qa-db-ja.com

ホームルーター構成のベストプラクティス

Wifatch に感染した多数のルーターについて読んだのですが、ルーターがこれ以上の悪意のあるマルウェアに感染しているかどうかを確認する方法がわからないことに気付きました。それ。

デフォルトのパスワードを変更し、セキュリティ上の理由でファームウェアの更新が必要かどうかを確認する以外に、ルーターを保護するために誰もが重要なことは何ですか?そのセキュリティをどのようにテストできますか?それは単に、問題に対するファームウェアパッチの提供をメーカーに依存しているケースですか?

私は Billion Bipac 7800N ルーターを持っていますが、私は彼らの事実上のセキュリティ「エキスパート」なので、さまざまなデバイスを持つ友人や家族にも利益をもたらすアドバイスに興味があります!

malwarevirusrouter
9
James Bradbury

私は常に次のことを自宅で行いますゲートウェイ(ルーター+モデム)またはルーター(個別の場合。ただし、ルーターを含まないモデムを少なくとも10年間見たことがありません)。

  1. 管理パスワードを変更します。ゲートウェイにテープで留めた紙にそれを書き込むことができます。
  2. セキュリティ設定を最高レベルに設定します。通常、これはすべての外部ポートと外部管理をオフにすることを意味します。なぜこれが欲しいのですか?
  3. LANからwww.grc.comにアクセスし、IPスキャンテストを実行します。問題を探し、再構成して修正します。
  4. ロギングをオンにして、時々監視します。中国、ロシア、ボットネットが定期的に玄関を叩くのを見てください。
  5. 本当に必要でない限り、外側から内側に通過するものをすべて殺し、本当に必要かどうかを慎重に検討してください。
  6. サーバーを実行している場合は、DMZを使用し、内部LANから分離します。DMZサーバーへのパススルーポートを必要な場合にのみオンにします。 DMZまたはそこでサーバーを実行する、ポートを通過する、またはDMZですべての着信接続を処理し、有効性、一貫性、セキュリティ、および内部システムへの転送。
  7. 外部からLANにアクセスするには、VPN(推奨)、ssh(適切)、またはその両方(ベルトとサスペンダー)を使用する必要があります。

世界に公開したままにしておくポートは、侵害されてLANが危険にさらされる可能性が非常に高いと想定します。繰り返しますが、VPNを除いて、本当に開いているポートが必要ですか?

4
Andrew Philips

最初に行うことは、メインルーターが Comodo SecureDNS を使用するように設定することです。これにより、外部の誰もコンピュータがアクセスしたドメイン名を見ることができなくなります。

あなたがしなければならないすべては入れられます

8.26.56.26 
8.20.247.20

ルーターのDHCP設定のDNSサーバーエントリとして。

2つ目は、ブラウザのHTTPS-Everywhereを全員にインストールすることです。技術者でない人でも、そんなに多くのことができます。

これらの2つのステップにより、ISPでさえ何をしているのかわからなくなります。

管理のためにルーターのパスワードをあなただけが知っているものに変更する必要があります(WiFiアクセスの場合と同じではありません)。

ルーターがリモート管理を許可しないようにする必要があります。

最後に、uPnPを無効にします。ベビーモニターのような内部のアイテムに、スマートフォンから外部からアクセスできるようにします。さらに、部外者も覗くことができます。あるケースでは、誰かがモニターのスピーカーを通して幼児と話していて、彼を怖がらせていました。

これがどれだけ広まっているかを知りたい場合は、 http://www.shodan.io/ にアクセスしてください。

2
SDsolar

ルーターが感染している場合、感染しているかどうかの確認は複雑になります(ルートキットについて聞いたことはありますか?)。新しいブログでルーターの保護について書きました: https://securityoversimplicity.wordpress.com/

ルーターを保護するために私が行ったのは、開いているポートのプライベート側アドレスとパブリック側アドレスの両方をスキャンすることでした。中には何も見つかりませんでした。外部に関しては、私のルーターがCWMPサーバー(リモート管理)を実行していることがわかりました。これを無効にするには、なんとかして管理者特権を取得する必要がありました。私のルーターがボットネットの一部である場合、インターネットが遅い場合にのみそれを伝えることができるので、これは感染を除外しません。現在、バックドアは開いたポートを保持せず、C&Cへの接続を開始します。あなたができることは、Raspberry Piを取得し、トラフィックをキャプチャしながらインターネットとルーターの間に置くことです。もちろん、それを分析する必要があります。

おげんきで ;)

0
BrunoMCBraga