Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci
- SPIS TREŚCI -
Konfiguracja routera pod kątem bezpieczeństwa
Ten rozdział jest dość mocno powiązany z poprzednim, gdyż też wymaga zagłębienia się w czeluści panelu administracyjnego routera. Wyjdziemy jednak poza sieci Wi-Fi i przyjrzymy się pozostałym opcjom, mającym wpływ na bezpieczeństwo naszej domowej wirtualnej pajęczyny.
1. Wyłączenie UPnP.
UPnP (Universal Plug and Play) to pozornie bardzo wygodny i funkcjonalny protokół. Za jego pomocą programy mogą poprosić router o przekierowanie niezbędnych do ich działania portów. Zwalnia to użytkownika z mozolnego i, dla niektórych, trudnego procesu, jakim jest ręczne ustawianie przekierowania. Jak zwykle jednak, wygoda wiąże się w tym przypadku z problemem ze strony bezpieczeństwa. Jeśli na jakiegoś hosta w naszej sieci dostanie się złośliwe oprogramowanie, może ono zmusić router do otwarcia furtki dla kolejnych szkodników. Lepiej będzie zatem wyłączyć UPnP w panelu administracyjnym oprogramowania routera i samodzielnie, w razie potrzeby, konfigurować przekierowanie portów.
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [8]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_7_b.jpg)
2. Włączenie firewalla.
Sprawnie działająca zapora sieciowa to podstawa. W domowych routerach nie spotkamy się może z rozwiązaniami typu IDS/IPS, jednak nawet taki podstawowy firewall będzie stanowił dodatkową, bardzo ważną warstwę ochrony naszej sieci przed zagrożeniami pochodzącymi z Internetu. Routery często oferują możliwość prostej jej konfiguracji, jak np. włączenie zabezpieczeń przed różnymi atakami (DoS, TCP SYN, itp.). Niektóre zapory sieciowe domowych routerów potrafią również chronić sieć od wewnątrz, np. przez blokadę wychodzącego ruchu sieciowego, co ma znaczenie w przypadku infekcji komputera jakimś szkodnikiem. Teoretycznie, nie będzie on mógł wtedy wyrządzić jeszcze więcej szkód poprzez ściągnięcie dodatkowego złośliwego oprogramowania. Teoretycznie, bowiem, jeśli taki koń trojański czy inny malware nie komunikuje się na niestandardowych portach, a na 80 czy 443 (HTTP i HTTPS), to raczej firewall routera takiego ruchu nie zablokuje – za pośrednictwem tych portów korzystamy chociażby ze stron WWW.
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [2]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_1_b.jpg)
3. Kontrola przekierowanych portów.
Prędzej czy później nadejdzie chwila, gdy będziemy musieli z jakiegoś powodu otworzyć port TCP czy UDP w celu umożliwienia komunikacji z jakąś usługą z zewnątrz. Chociażby, skonfigurujemy tunel VPN (o tym szczegółowo niżej) w celu bezpiecznego dostępu do naszej sieci LAN z dowolnego miejsca na świecie. Niech będzie to tunel OpenVPN. Aby w ogóle dało się nawiązać połączenie, niezbędne będzie przekierowanie portu UDP o numerze 1194 (standardowo, numer ten można i nawet należy zmienić). Takich sytuacji może być więcej. Warto mieć zatem pod kontrolą porty, jakie udostępniamy na zewnątrz. Jeśli przestajemy udostępniać jakieś usługi, wyłączamy je i blokujemy dostęp do nich kasując wpis w tabeli przekierowanych portów.
4. Konfiguracja tunelu VPN.
W części 8 poradnika pokazaliśmy na przykładzie rozwiązania OpenVPN, jak skonfigurować prosty, szyfrowany tunel między naszą siecią lokalną a komputerem łączącym się z Internetu. Jest to zdecydowanie zalecane w przypadku chęci uzyskania dostępu np. do zasobów zgromadzonych na domowym serwerze NAS, czy pulpitu zdalnego za pośrednictwem protokołu RDP. Pamiętajmy, by nigdy nie udostępniać tego typu usług bezpośrednio, chociażby za pomocą port forwardingu. Umożliwienie dostępu do protokołu SMB w ten sposób to, z uwagi na podatności w nim samym, proszenie się o infekcję.
Poradnik sieciowy. Część 8 – Konfiguracja funkcji routera
5. Zweryfikowanie braku możliwości zarządzania routerem z poziomu Internetu.
Ta funkcja domyślnie jest, na szczęście, prawie zawsze wyłączona. Panele administracyjne routerów, pomimo ochrony hasłem administratora, pełne są przeróżnych podatności, których wykorzystanie w przypadku aktywnej opcji zdalnego zarządzania (za pośrednictwem łącza WAN) nie jest trudnym zadaniem. Nie musimy chyba dodawać, co może przynieść otwarta furtka do interfejsu pozwalającego zarządzać naszym routerem, prawda? Tej funkcji zatem nigdy nie ustawiamy w pozycję „ON”.
![Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci [6]](https://www.purepc.pl/image/artykul/2018/03/06_poradnik_sieciowy_czesc_11_jak_byc_bezpiecznym_w_sieci_5_b.jpg)
6. Zmiana domyślnego hasła administratora.
Załóżmy, że wszystkie przedsięwzięcia zawiodą i atakującemu w jakiś sposób uda dostać się do naszej sieci LAN. Przed zadaniem nam ostatniego ciosu, czyli całkowitą rewolucją w konfiguracji routera, ochronę stanowić będzie ostatnia deska ratunku (umówmy się również, że oprogramowanie routera nie posiada żadnych luk…) – hasło dostępu do panelu administracyjnego. Niemało osób w ogóle tego ciągu znaków nie zmienia i pozostawia domyślne, ustawione przez producenta, np. wychodząc z założenia, że nikt obcy się do sieci nie włamie. Zawsze lepiej jest jednak dmuchać na zimne i dokonać stosownej zmiany, której wykonanie jest z reguły bardzo proste i raczej dość dobrze opisane w każdej instrukcji obsługi routera.
Powiązane publikacje
Test routera ASUS RT-AX88U Pro - wydajny router Wi-Fi 6 z obsługą ASUS AiMesh i porównanie z modelem ROG Rapture GT-AX6000
56
Test routera TP-Link Archer AX80 - wydajny kandydat do roli centrum domowej sieci komputerowej z obsługą 802.11ax
40
Test Acer Predator Connect W6 - Router dla wymagających użytkowników z obsługą Wi-Fi 6E, szybkim CPU i dużą ilością RAM
44
Test Xiaomi AX9000 - Router dla gracza i MŚP o nieziemskim wyglądzie oraz wysokiej wydajności
32
