Итак, я узнал, что могу легко получить свой публичный IP-адрес из моей работы. Я могу пинговать это, я могу даже войти в мой маршрутизатор с работы. Как мне защититься от этого? Как можно попасть в мою домашнюю сеть? Может кто-нибудь объяснить это немного для меня?
1 ответ
Итак, я узнал, что могу легко получить свой публичный IP-адрес из моей работы. Я могу пинговать это, я могу даже войти в мой маршрутизатор с работы. Как мне защититься от этого?
Прежде всего, вы должны убедиться, что ваш домашний маршрутизатор принимает соединения только через HTTPS, а не HTTP. Обычно вы можете найти такую настройку в разделе "Администрирование" вашего маршрутизатора, но она действительно зависит от производителя и модели, от которой зависит точное расположение этой опции.
Во-вторых, ваш маршрутизатор может поддерживать отключение входа по беспроводной сети и через интерфейс WAN. Опять же, это зависит от отдельных маршрутизаторов, так что вам придется проверить, поддерживает ли ваша функция эту функцию. В худшем случае отключите доступ HTTP/HTTPS через брандмауэр на интерфейсе WAN.
Возможно, вы также захотите настроить брандмауэр маршрутизатора так, чтобы он прерывал соединения после X неудачных попыток. Это можно сделать из графического интерфейса или, если вы используете что-то вроде dd-wrt, вы можете использовать iptables. Обратите внимание, что в качестве ссылки, упомянутой по умолчанию, dd-wrt имеет правила для большинства изображений с 2011 года.
Каким образом кто-то может попасть в мою домашнюю сеть?
Я собираюсь ответить на это немного по-другому, просто перечислив вещи, которые вы можете сделать, чтобы укрепить систему, и почему они помогают:
- Они могут атаковать порты по умолчанию для общих служб, таких как ssh, telnet, http и т.д. Если им повезет, они смогут использовать эксплойт или грубую силу с использованием общих учетных данных. Вот почему важно всегда менять службы портов, такие как ssh, на которых работают, и иметь правила брандмауэра, которые сбрасывают соединение после неудачных попыток X.
- Отключите любые услуги, которые вы не используете. Чем меньше вы работаете на маршрутизаторе, тем сложнее стать владельцем. Также обязательно отключите доступ для входа в систему от таких служб, как telnet и обычный HTTP, поскольку они не используют никакой формы шифрования, а ваши учетные данные отправляются в виде открытого текста. Если злоумышленник должен был прослушать соединение за пределами вашей глобальной сети, и вы вошли с работы, он мог увидеть ваше имя пользователя и пароль, а также то, что вы делали на маршрутизаторе.
- Также важно регулярно обновлять / обновлять маршрутизатор! Если вы используете dd-wrt, вам следует часто обновляться, чтобы не подвергать себя опасности. Так много людей забывают сделать это, и производители устройств не выпустят все эти устройства, но никогда не будут предоставлять обновления для них. Если вы этого не сделаете, злоумышленники могут использовать известные эксплойты для получения доступа к вашему маршрутизатору.
- Возможно, это немного излишне для домашней сети, но вы также можете сканировать свой маршрутизатор время от времени, используя openvas, чтобы увидеть, какие проблемы существуют. Это может помочь вам быть активным и предотвратить использование уязвимостей злоумышленниками на вашем маршрутизаторе.