Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Hacking News / Internet / Malware

Cara Memperbaiki Keamanan Router Anda

Kebanyakan router gateway yang dipakai oleh pelanggan rumahan sangat tidak aman, dan beberapa router sangat rentan untuk diserang sehingga harus dibuang, kata pakar keamanan pada konferensi hacker HOPE X di New York.

Kebanyakan router gateway yang dipakai oleh pelanggan rumahan sangat tidak kondusif Cara Memperbaiki Keamanan Router Anda

"Jika router dijual di [rantai elektronik], Anda tidak ingin membelinya," kata konsultan komputer independen Michael Horowitz dalam presentasi. "Jika router Anda diberikan kepada Anda oleh penyedia layanan internet Anda [ISP], Anda tidak ingin menggunakannya juga, sebab mereka menyampaikan jutaan dari mereka, dan itu menimbulkan mereka sasaran utama baik untuk biro agen rahasia dan orang jahat. "

Horowitz merekomendasikan bahwa konsumen yang sadar keamanan akan meningkatkan ke router komersial yang ditujukan untuk perjuangan kecil, atau setidaknya memisahkan modem dan router mereka menjadi dua perangkat terpisah. (Banyak "gateway" unit, sering dipasok oleh ISP, bertindak sebagai keduanya.) Gagal salah satu dari opsi tersebut, Horowitz menyampaikan daftar tindakan pencegahan yang sanggup dilakukan pengguna.

Masalah dengan router konsumen

Router ialah sumber yang penting tetapi tidak terdeteksi jaringan komputer modern, namun hanya sedikit pengguna rumahan yang menyadari bahwa mereka ialah komputer, dengan sistem operasi, perangkat lunak, dan kerentanan mereka sendiri.

"Sebuah router yang dikompromikan sanggup memata-matai Anda," kata Horowitz, menjelaskan bahwa router di bawah kendali penyerang sanggup melaksanakan serangan man-in-the-middle, mengubah data yang tidak terenkripsi atau mengirim pengguna ke situs web "jahat kembar" yang menyamar sebagai sering- memakai webmail atau portal perbankan online.

Banyak perangkat home-gateway kelas konsumen gagal memberi tahu pengguna kalau dan kapan pembaruan firmware tersedia, meskipun pembaruan itu penting untuk memperbaiki lubang keamanan, Horowitz mencatat. Beberapa perangkat lain tidak akan mendapatkan kata sandi lebih panjang dari 16 karakter.

Jutaan router di seluruh dunia mempunyai protokol jaringan Universal Plug and Play (UPnP) yang diaktifkan pada port yang menghadap ke internet, yang menciptakan mereka terkena serangan eksternal.

"UPnP dirancang untuk LAN [jaringan area lokal], dan sebab itu, tidak mempunyai keamanan. Dalam dan dari itu sendiri, itu bukan duduk kasus besar," kata Horowitz. Namun, beliau menambahkan, "UPnP di internet ibarat pergi untuk operasi dan mempunyai dokter bekerja pada kaki yang salah."

Masalah lainnya ialah Protokol Administrasi Jaringan Rumah (HNAP), alat manajemen yang ditemukan pada beberapa router tingkat konsumen yang mentransmisikan info sensitif perihal router melalui Web di http: // [router IP address] / HNAP1 /, dan menyampaikan kontrol penuh kepada pengguna jarak jauh yang menyampaikan nama pengguna dan kata sandi administratif (yang banyak pengguna tidak pernah ubah dari default pabrik).

Pada tahun 2014, cacing router berjulukan TheMoon memakai protokol HNAP untuk mengidentifikasi router merek Linksys yang rentan yang sanggup menyebar sendiri. (Linksys dengan cepat mengeluarkan patch firmware.)

"Segera sehabis Anda tiba di rumah, ini ialah sesuatu yang ingin Anda lakukan dengan semua router Anda," kata Horowitz kepada kerumunan orang yang paham teknologi. "Pergilah ke / HNAP1 /, dan, semoga, Anda tidak akan mendapatkan balasan, kalau itu satu-satunya hal yang baik. Terus terang, kalau Anda mendapatkan balasan, saya akan membuang router."

Ancaman WPS

Yang terburuk dari semuanya ialah Wi-Fi Protected Setup (WPS), fitur fasilitas penggunaan yang memungkinkan pengguna melewati kata sandi jaringan dan menghubungkan perangkat ke jaringan Wi-Fi hanya dengan memasukkan PIN delapan digit yang dicetak pada router itu sendiri. . Bahkan kalau kata sandi jaringan atau nama jaringan berubah, PIN tetap valid.

"Ini ialah duduk kasus keamanan yang sangat besar yang dihapus," kata Horowitz. "Nomor delapan-digit itu akan membawa Anda ke [router] apa pun. Makara tukang ledeng tiba ke rumah Anda, menyalakan router, mengambil gambar kepingan bawahnya, dan ia kini sanggup masuk ke jaringan Anda selamanya . "

Itu PIN delapan digit bahkan tidak benar-benar delapan digit, Horowitz menjelaskan. Ini bahwasanya tujuh digit, ditambah digit checksum terakhir. Empat digit pertama divalidasi sebagai satu urutan dan tiga terakhir sebagai yang lain, menghasilkan hanya 11.000 kode yang mungkin, bukan 10 juta.

"Jika WPS aktif, Anda sanggup masuk ke router," kata Horowitz. "Anda hanya perlu menciptakan 11.000 tebakan" - kiprah sepele bagi sebagian besar komputer modern dan ponsel cerdas.

Kemudian, ada port jaringan 32764, yang oleh peneliti keamanan Prancis Eloi Vanderbeken pada tahun 2013 yang ditemukan telah ditinggalkan secara belakang layar di router gateway yang dijual oleh beberapa merek utama. Menggunakan port 32764, siapa pun di jaringan lokal - yang meliputi ISP pengguna - sanggup mengambil kendali administratif penuh atas router, dan bahkan melaksanakan reset pabrik, tanpa kata sandi.

Pelabuhan ditutup di sebagian besar perangkat yang terkena imbas sehabis pengungkapan Vanderbeken, tetapi beliau kemudian menemukan bahwa itu sanggup dengan gampang dibuka kembali dengan paket data yang dirancang khusus yang sanggup dikirim dari ISP.

"Ini sangat terang dilakukan oleh biro mata-mata, itu luar biasa," kata Horowitz. "Itu disengaja, tidak diragukan lagi."

Cara mengunci router rumah Anda

Langkah pertama menuju keamanan router rumah, kata Horowitz, ialah memastikan router dan modem bukan satu perangkat. Banyak ISP menyewakan perangkat semacam itu kepada pelanggan, tetapi mereka tidak mempunyai kendali atas jaringan mereka sendiri.

"Jika Anda diberi satu kotak, yang kebanyakan orang saya pikir sebut gateway," katanya, "Anda harus sanggup menghubungi ISP dan meminta mereka untuk mematikan kotak sehingga bertindak hanya sebagai modem. Lalu Anda sanggup tambahkan router Anda sendiri ke dalamnya. "

Selanjutnya, Horowitz merekomendasikan biar pelanggan membeli router Wi-Fi / Ethernet kelas komersial kelas rendah, ibarat Pepwave Surf SOHO, yang dijual seharga sekitar $ 200, bukan router ramah konsumen yang harganya hanya $ 20. Router kelas komersial kemungkinan tidak mengaktifkan UPnP atau WPS. Pepwave, Horowitz mencatat, menyampaikan fitur tambahan, ibarat rollback firmware kalau pembaruan firmware berjalan salah.

Terlepas dari apakah router ialah komersial atau kelas konsumen, ada beberapa hal, bervariasi dari yang gampang ke sulit, yang sanggup dilakukan oleh eksekutif jaringan rumah untuk memastikan router mereka lebih aman:

Perbaikan mudah

Ubah kredensial administratif dari nama pengguna dan kata sandi default. Mereka ialah hal pertama yang akan dicoba oleh penyerang. Petunjuk arahan router Anda harus memperlihatkan kepada Anda bagaimana melaksanakan ini; kalau tidak, maka Google itu.
Ubah nama jaringan, atau SSID, dari "Netgear," "Linksys" atau apa pun standarnya, menjadi sesuatu yang unik - tetapi jangan berikan nama yang mengidentifikasi Anda.

"Jika Anda tinggal di sebuah gedung apartemen di apartemen 3G, jangan panggil SSID Anda 'Apartment 3G,'" kata Horowitz. "Sebut saja 'Apartemen 5F.'"

Aktifkan enkripsi nirkabel WPA2 sehingga hanya pengguna yang berwenang yang sanggup masuk ke jaringan Anda.

Nonaktifkan Wi-Fi Protected Setup, kalau router Anda memungkinkan Anda.

Atur jaringan Wi-Fi tamu dan tawarkan penggunaannya kepada pengunjung, kalau router Anda mempunyai fitur semacam itu. Jika memungkinkan, setel jaringan tamu untuk mematikan sendiri sehabis jangka waktu tertentu.

"Anda sanggup menyalakan jaringan tamu Anda, dan mengatur pengatur waktu, dan tiga jam kemudian, ia akan mati sendiri," kata Horowitz. "Itu fitur keamanan yang sangat bagus."

Jika Anda mempunyai banyak perangkat rumah cendekia atau perangkat Internet of Things, kemungkinannya banyak dari mereka tidak akan sangat aman. Hubungkan mereka jaringan Wi-Fi tamu Anda sebagai ganti jaringan utama Anda untuk meminimalkan kerusakan yang diakibatkan dari kompromi potensial perangkat IoT.

Jangan gunakan manajemen router berbasis cloud kalau produsen router Anda menawarkannya. Sebaliknya, cari tahu apakah Anda sanggup mematikan fitur itu.

"Ini inspirasi yang sangat buruk," kata Horowitz. "Jika router Anda menyampaikan itu, saya tidak akan melakukannya, sebab kini Anda mempercayai orang lain antara Anda dan router Anda."

Banyak sistem "router mesh" baru, ibarat Google Wifi dan Eero, sepenuhnya bergantung pada cloud dan hanya sanggup berinteraksi dengan pengguna melalui aplikasi smartphone berbasis cloud. Sementara model-model itu menyampaikan peningkatan keamanan di area lain, ibarat pembaruan firmware otomatis, mungkin layak mencari router bergaya mesh yang memungkinkan susukan administratif lokal, ibarat Netgear Orbi.

Cukup sulit

Instal firmware gres ketika sudah tersedia. Masuk ke antarmuka administratif router Anda secara rutin untuk memeriksa. Dengan beberapa merek, Anda mungkin harus menyelidiki situs web produsen untuk peningkatan firmware. Router yang lebih baru, termasuk kebanyakan router mesh, akan secara otomatis memperbarui firmware. Tetapi mempunyai router cadangan di tangan kalau ada masalah.

Atur router Anda untuk memakai grup band 5-GHz untuk Wi-Fi daripada grup band 2,4-GHz yang lebih standar, kalau mungkin dan kalau semua perangkat Anda kompatibel.

"Band 5-GHz tidak melaksanakan perjalanan sejauh grup band 2,4-GHz," kata Horowitz. "Jadi kalau ada orang jahat di lingkungan Anda satu atau dua blok jauhnya, ia mungkin melihat jaringan 2,4-GHz Anda, tetapi ia mungkin tidak melihat jaringan 5-GHz Anda."

Nonaktifkan susukan administratif jarak jauh, dan nonaktifkan susukan administratif melalui Wi-Fi. Administrator harus terhubung ke router melalui kabel Ethernet saja. (Sekali lagi, ini tidak akan mungkin dengan banyak router mesh.)

Kiat lanjutan untuk lebih banyak pengguna yang memahami teknologi

Ubah pengaturan untuk antarmuka Web administrasi, kalau router Anda mengizinkannya. Idealnya, antarmuka harus menegakkan koneksi HTTPS kondusif melalui port non-standar, sehingga URL untuk susukan administratif akan menjadi sesuatu seperti, untuk memakai rujukan Horowitz, "https://192.168.1.1:82" daripada yang lebih standar "http://192.168.1.1", yang secara default memakai port 80 standar internet.

Gunakan mode penyamaran atau eksklusif di browser ketika mengakses antarmuka administratif sehingga URL gres Anda tidak disimpan dalam riwayat browser.

Nonaktifkan PING, Telnet, SSH, UPNP dan HNAP, kalau memungkinkan. Semua ini ialah protokol susukan jarak jauh. Daripada mengatur port yang relevan untuk "ditutup", atur ke "stealth" biar tidak ada respons yang diberikan kepada komunikasi eksternal yang tidak diminta yang mungkin tiba dari penyerang yang menyelidiki jaringan Anda.

"Setiap router mempunyai opsi untuk tidak menanggapi perintah PING," kata Horowitz. "Ini benar-benar sesuatu yang ingin Anda aktifkan - fitur keamanan yang hebat. Ini membantu Anda bersembunyi. Tentu saja, Anda tidak akan bersembunyi dari ISP Anda, tetapi Anda akan bersembunyi dari seorang laki-laki di Rusia atau China."

Ubah server Domain Name System (DNS) router dari server ISP sendiri ke server yang dikelola oleh OpenDNS (208.67.220.220, 208.67.222.222) atau Google Public DNS (8.8.8.8, 8.8.4.4). Jika Anda memakai IPv6, alamat OpenDNS yang sesuai ialah 2620: 0: ccc :: 2 dan 2620: 0: ccd :: 2, dan yang Google ialah 2001: 4860: 4860 :: 8888 dan 2001: 4860: 4860: : 8844.

Gunakan router jaringan eksklusif virtual (VPN) untuk menambah atau mengganti perute yang ada dan mengenkripsi semua kemudian lintas jaringan Anda.

"Ketika saya menyampaikan router VPN, maksud saya router yang sanggup menjadi klien VPN," kata Horowitz. "Kemudian, Anda mendaftar dengan beberapa perusahaan VPN, dan semua yang Anda kirim melalui router itu melalui jaringan mereka. Ini ialah cara yang manis untuk menyembunyikan apa yang Anda lakukan dari penyedia layanan internet Anda."

Banyak router Wi-Fi rumah sanggup "dinyalakan" untuk menjalankan firmware open-source, ibarat firmware DD-WRT, yang pada gilirannya mendukung protokol OpenVPN secara asli. Kebanyakan layanan VPN komersial mendukung OpenVPN juga dan menyampaikan arahan perihal cara mengatur open-source routers sampai menggunakannya.

Akhirnya, gunakan layanan pemindaian port Shields Up milik Gibson Research Corp. di https://www.grc.com/shieldsup. Ini akan menguji router Anda untuk ratusan kerentanan umum, yang sebagian besar sanggup dimitigasi oleh eksekutif router.

Anda mungkin menyukai postingan ini :