چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3) +--- انجمن: شبکه و سرور (https://forum.romaak.ir/forumdisplay.php?fid=7) +--- موضوع: چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ (/showthread.php?tid=1362) |
چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ - shahram20 - ۹۵/۴/۲۲ این روزها در اغلب منازل میتوان یک دستگاه مودم مشاهده کرد که شاید فقط یک دستگاه برای اتصال به اینترنت باشد، اما مودمها را باید مهمترین گجت الکترونیکی خواند، چرا که این ابزار به تمام گجتهای موجود در خانه متصل شده و دروازهی ورود به اینترنت است، از اینرو مودمهای مورد استفاده در منازل را میتوان بهترین گزینه برای نفوذ توسط هکرها خواند.
این روزها وجود مودم ADSL در بسیاری از منازل به امری عادی تبدیل شده است؛ اغلب کاربران مودم را به عنوان وسیلهای ساده که میتوان تنها برای اتصال به اینترنت از آن استفاده کرد، میشناسند، اما مودم به منزلهی مهمترین گجتی است که میتواند در یک مکان وجود داشته باشد، چراکه مودم دروازهی ورود به اینترنت و همچنین وسیلهای است که گجتهای مختلفی به آن وصل میشوند، از اینرو یکی از بهترین کانالها برای نفوذ توسط هکرها است.
بسیاری از کاربران در منازل و کسب و کارهای کوچکی که از اینترنت استفاده میکنند، مودم خود را با تنظیمات پیش فرض امنیتی استفاده میکنند که معمولا خطر نفوذ در سیستم آنها را بیش از پیش افزایش میدهد. معمولا مودمها نیز همچون بسیاری دیگر از گجتهای موجود در دنیای فناوری از وجود روزنههای امنیتی زیادی رنج میبرند که برای مثال میتوان انواع باگها در فریمور، حسابهای کاربری ثبت نشده برای نفوذ و بسیاری مشکلات دیگر اشاره کرد که هر یک میتواند به عنوان روزنهای برای نفوذ افراد مورد استفاده قرار گیرد. هر چند بسیاری از این مشکلات توسط کاربران حل نمیشود، اما میتوان تدابیری اندیشیده و تغییراتی در تنظیمات مودم ایجاد کرد تا هر هکری نتواند به سادگی در مودم و شبکهی خانگی کاربران نفوذ کند. از بکارگیری مودمهای بی نام و نشان عرضه شده توسط ISP خودداری کنید شماری از ISPها مودمهایی را به کاربران عرضه میکنند که نام و نشانی ندارند. این مودمها از نظر امنیتی در مقایسه با مودمهایی که در بازار موجود بوده و بصورت مستقیم توسط عرضه کننده ارائه میشوند، ضعیفتر هستند. معمولا این مودمها از فریمورهای قدیمیتری استفاده میکنند که دارای روزنههای متعددی هستند، از اینرو پیشنهاد میشود کاربران خود یک گزینهی مناسب و معتبر را انتخاب کرده و خریداری کنند. عوض کردن رمز عبور پیش فرض ورود به تنظیمات تمام مودمهای عرضه شده به بازار از یک رمز عبور پیش فرض برای ورود به تنظیمات بهره میبرند که اغلب نیز تغییری در آن نداده و همچنان از آن استفاده میکنند؛ همین موضوع باعث شده تا رمز عبور پیش فرض دستمایهی نفوذهای بسیاری از جانب هکرها باشد. پس از راهاندازی مودم، اولین کاری که باید کرد، عوض کردن رمز عبور پیش فرض برای ورود به تنظیمات است. قطع دسترسی به تنظیمات مودم از طریق اینترنت برای اغلب کاربران دسترسی تنظیمات مودم از طریق اینترنت و خارج از شبکهی داخلی مودم غیرضروری و بدون استفاده است، از اینرو یکی از اصلیترین اقداماتی که باید انجام داد، قطع دسترسی به تنظیمات مودم از طریق اینترنت یا غیرفعال کردن Remote Management است. در صورتی که وجود چنین قابلیتی ضروری باشد، میتوان با راهاندازی VPN یا (ٰVirtual Private Network) کانالی امن برای دسترسی به شبکهی داخلی و همچنین تنظیمات مبتنی بر وب مودم ایجاد کرد. محدود کردن IPهای درون شبکه که میتوانند به تنظیمات مودم دسترسی داشته باشند در صورتی که مودم یا روتر شما چنین امکانی را داشته باشد، بهتر است دسترسی به تنظیمات مودم را از یک IP خاص فراهم کنید که توسط DHCP به گجتهای متصل شده به مودم اختصاص داده نمیشود. برای مثال در زمان تنظیمات مودم خود، DHCP یا Dynamic Host Configuration Protocol را به گونهای تنظیم کنید تا از رنج ۱۹۲.۱۶۸.۱.۱۰ تا ۱۹۲.۱۶۸.۱.۲۰۰ اقدام به اختصاص IP کند و برای دسترسی به تنظیمات مودم نیز تنها ۱۹۲.۱۶۸.۱۰.۵ قادربه دسترسی به مودم باشد. با توجه به اینکه IP مورد نظر به صورت خودکار به هیچ گجتی اختصاص داده نمیشود، از اینرو باید برای دسترسی به تنظیمات مودم، بصورت دستی IP را وارد کرد که عدم اطلاع از آن امکان نفوذ به تنظیمات را برای هر کسی که میخواهد به سیستم نفوذ کند، غیرممکن میکند. دسترسی HTTPS به مودم را در صورت امکان فعال کرده و در زمان اتمام کار، حتما لاگ اوت کنید در زمان استفاده از مرورگر برای ورود به تنظیمات مودم بهتر است از حالت incognito یا private برای تغییر در تنظیمات استفاده کنید تا ردپایی را در مرورگر خود نظیر کوکی باقی نگذارید. همچنین تا حد امکان سعی کنید تا نام کاربری و رمزعبور تنظیمات مودم را نیز ذخیره نکنید. آدرس IP دسترسی به تنظیمات مودم را تغییر دهید تمام مودمهای موجود در بازار دارای آدرسی پیش فرض برای ورود به بخش تنظیمات هستند که معمولا آدرس ۱۹۲.۱۶۸.۱.۱ میشود. برای بهبود امنیت میتوان در زمان تنظیمات، آدرس پیش فرض دسترسی به تنظیمات مودم را نیز تغییر داد. از یک رمزعبور پیچیده برای وای-فای و بهترین پروتکل ممکن استفاده کنید WPA2 یا Wi-Fi Protected Access II بهترین پروتکل انتخابی در برابر WPA و WEP است که تاکنون بارها شاهد نفوذ هکرها در مودمهایی بودهایم که از این پروتکلها استفاده میکنند. در صورتی که مودم شما این امکان را دارد تا شبکهی وای-فای موسوم به Guest ایجاد کنید، پس حتما از این گزینه استفاده کنید. ضمنا شبکهی مخصوص مهمانها نیز باید با یک رمزعبور و پروتکل WPA2 محافظت شود. این کار بدین منظور انجام میشود تا افرادی غیر از شما از این کانال به شبکهی شما متصل شوند تا در صورت وجود بدافزار در گجتهایشان، نتوانند در شبکهی شما تغییری ایجاد کنند. قابلیت WPS را غیرفعال کنید WPS را باید یکی از قابلیتهایی خواند که به ندرت مورد استفاده قرار میگیرد. WPS از طریق کلید فیزیکی تعبیه شده در پشت یا زیر مودم یا از طریق عبارتی که زیر مودم نوشته شده، امکان برقراری ارتباط با انواع گجتها را بدون نیاز به وارد کردن رمز عبور فراهم میکند. WPS را باید یکی از شناخته شدهترین و معروفترین نقاط ضعفی خواند که در سالهای اخیر بسیاری از مودمها با آن دست به گریبان بوده و از اینرو باعث هک شدن وای-فای شماری از کاربران شدهاند. برای اینکه خیالمان از بابت این موضوع راحت باشد بهتر است در صورتی که از WPS پشتیبانی میشود، این قابلیت غیرفعال باشد. دسترسی به سرویسهای مودم را از طریق اینترنت محدود کنید روی مودمها و روترها سرویسهایی وجود دارند که شاید هیچ وقت از آنها استفاده نکنید. برای مثال میتوان به Telnet، UPnP (Universal Plug and Play)، SSH (Secure Shell) و HNAP (Home Network Administration Protocol) اشاره کرد که بهتر است دسترسی آنها از طریق اینترنت قطع شود. با استفاده از سرویسهایی نظیر دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. میتوانید با اطلاع از IP مودم پورتهای باز مودم خود را مورد بررسی قرار داده و حتی سرویس UOnP مودم خود را بصورت جداگانه اسکن کنید. فریمور مودم خود را بروز نگه دارید شماری از مودمها امکان بروزرسانی خودکار فریمور را در اختیار کاربران قرار میدهند، حال آنکه شماری از مودمها این قابلیت را بصورت چک کردن دستی برای کاربران امکان پذیر میکنند. در صورتی که مودم شما هیچ یک از قابلیتهای اشاره شده را نداشت، میتوانید بصورت دستی در سایت تولیدکنندهی مودم خود با استفاده از نام و مدل مودم، به جستجوی فریمور دستگاه خود بپردازید. در صورتی که علاقه دارید تا شرایط ویژهتر و تنظیمات تخصصیتری را برای بالا بردن امنیت در مودم یا روتر خود به کار برید، میتوانید مواردی را که در ادامه اشاره میکنیم نیز مورد توجه قرار دهید. تقسیم بندی شبکه یا VLAN بندی شماری از روترهای عرضه شده به بازار این قابلیت را در اختیار کاربران قرار میدهند تا VLAN (Virtual Local area networls) مختلفی را در شبکهی داخلی تعریف کنند. با استفاده از VLAN میتوانید گروه کاربران یا گجتهای خاصی را مقرر به استفاده از یک شبکهی خاص کنید. برای مثال با توجه به اینکه گجتهای مرتبط با اینترنت اشیا هنوز در اول راه بوده و باگهای زیادی دارند، از اینرو میتوانید VLAN خاصی را برای ارتباط این گجتها اختصاص دهید. همچنین امکان استفاده از این قابلیت در جهت اختصاص یک شبکهی خاص برای ارتباط گوشیهای هوشمند نیز وجود دارد. با توجه به اینکه بسیاری از گجتهای اینترنت اشیا قابلیت کنترل از طریق گوشی هوشمند را نیز دارند، با استفاده از VLAN بندی این ارتباط از طریق شبکهی داخلی برقرار نشده و از طریق اینترنت ارتباط برقرار میشود. مک فیلتر یا دسترسی با استفاده از آدرس فیزیکی اغلب مودمهای موجود در بازار از این ویژگی پشتیبانی میکنند. با استفاده از قابلیت مک فیلتر تنها گجتهایی میتوانند پس از وارد کردن رمز عبور وایرلس از اینترنت استفاده کنند که آدرس فیزیکی کارت شبکهی گجت آنها در لیست قسمت مک فیلتر مودم ثبت شده باشد، از این رو در صورتی که رمز عبور شبکهی بیسیم نیز هک شده باشد، هیچ گجتی قادر به استفاده از اینترنت و اتصال به مودم نخواهد بود. استفاده از پورت فورواردینگ همراه با فیلتر IP در صورتی که سرویسهایی روی رایانههایی دارید که باید از اینترنت به آنها دسترسی داشته باشید، باید از پورت فورواردینگ استفاده کنید. بسیاری از نرمافزارها سعی میکنند تا پورتهایی را با استفاده از UPnP در روتر بصورت خودکار ایجاد کنند که این روش همیشه امن نیست. در صورتی که UPnP روی مودم غیرفعال باشد، باید رولهای مورد نظر را بصورت دستی در روتر وارد کرد. برای این کار باید IP منبع را به پورتی اختصاص داد تا از طریق آن بتوان به یک سرویس درون شبکه دسترسی پیدا کرد. برای مثال در صورتی که میخواهید به FTP Server کامپیوتر خود در منزل دسترسی داشته باشید، میتوانید یک رول برای Port Forwarding در روتر برای پورت ۲۱ ایجاد کنید و اجازهی دسترسی را فقط برای IPهای محل کار خود صادر کنید. استفاده از فریمورهای شخصی شده به جای فریمورهای استاندارد کارخانهای علاوه بر فریمورهایی که کمپانیهای تولیدکنندهی گوشیهای هوشمند بصورت پیش فرض منتشر میکنند، میتوان از فریمورهای شخصی سازی شدهای نیز استفاده کرد که مبتنی بر لینوکس هستند. از جملهی این فریمورها میتوان OpenWRT، DD-WRT و Asuswrt-Merlin اشاره کرد که جزو محبوبترین فریمورهای شخصی سازی شده برای مودمها و روترها هستند. این فریمورها معمولا قابلیتهای بیشتری را در اختیار کاربران قرار میدهند، همچنین توسعه دهندگان این فریمورها روزنههای امنیتی را با سرعت بیشتری رفع کرده و از اینرو مشکلات سیستم خیلی سریعتر حل میشود. با توجه به اینکه بیشتر علاقمندان به سراغ چنین فریمورهایی میروند، از اینرو به دلیل محدود بودن استفاده از این فریمورها، شانس انجام حملات برعلیه کاربرانی که از این فریمورها روی مودمهای خود استفاده میکنند نیز کمتر است. البته باید به این نکته توجه داشت که استفاده از فریمورهای شخصی شده نیازمند داشتن اطلاعات فنی است تا بتوان به درستی اقدام به لود و نصب فریمور کرد. |