شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .
باشگاه کاربران روماک
چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ - نسخه‌ی قابل چاپ

+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: شبکه و سرور (https://forum.romaak.ir/forumdisplay.php?fid=7)
+--- موضوع: چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ (/showthread.php?tid=1362)



چگونه مودم و شبکه خانگی خود را ایمن تر کنیم؟ - shahram20 - ۹۵/۴/۲۲

[تصویر:  do.php?img=1634]

این روزها در اغلب منازل می‌توان یک دستگاه مودم مشاهده کرد که شاید فقط یک دستگاه برای اتصال به اینترنت باشد، اما مودم‌ها را باید مهم‌ترین گجت الکترونیکی خواند، چرا که این ابزار به تمام گجت‌های موجود در خانه متصل شده و دروازه‌ی ورود به اینترنت است، از این‌رو مودم‌های مورد استفاده در منازل را می‌توان بهترین گزینه برای نفوذ توسط هکرها خواند.

این روزها وجود مودم ADSL در بسیاری از منازل به امری عادی تبدیل شده است؛ اغلب کاربران مودم را به عنوان وسیله‌ای ساده که می‌توان تنها برای اتصال به اینترنت از آن استفاده کرد، می‌شناسند، اما مودم به منزله‌ی مهم‌ترین گجتی است که می‌تواند در یک مکان وجود داشته باشد، چراکه مودم دروازه‌ی ورود به اینترنت و همچنین وسیله‌ای است که گجت‌های مختلفی به آن وصل می‌شوند، از این‌رو یکی از بهترین کانال‌ها برای نفوذ توسط هکرها است.
بسیاری از کاربران در منازل و کسب و کارهای کوچکی که از اینترنت استفاده می‌کنند، مودم‌ خود را با تنظیمات پیش فرض امنیتی استفاده می‌کنند که معمولا خطر نفوذ در سیستم آن‌ها را بیش از پیش افزایش می‌دهد. معمولا مودم‌ها نیز همچون بسیاری دیگر از گجت‌های موجود در دنیای فناوری از وجود روزنه‌های امنیتی زیادی رنج می‌برند که برای مثال می‌توان انواع باگ‌ها در فریمور، حساب‌های کاربری ثبت نشده برای نفوذ و بسیاری مشکلات دیگر اشاره کرد که هر یک می‌تواند به عنوان روزنه‌ای برای نفوذ افراد مورد استفاده قرار گیرد. هر چند بسیاری از این مشکلات توسط کاربران حل نمی‌شود، اما می‌توان تدابیری اندیشیده و تغییراتی در تنظیمات مودم ایجاد کرد تا هر هکری نتواند به سادگی در مودم و شبکه‌ی خانگی کاربران نفوذ کند.

از بکارگیری مودم‌های بی نام و نشان عرضه شده توسط ISP خودداری کنید
شماری از ISP‌ها مودم‌هایی را به کاربران عرضه می‌کنند که نام و نشانی ندارند. این مودم‌ها از نظر امنیتی در مقایسه با مودم‌هایی که در بازار موجود بوده و بصورت مستقیم توسط عرضه کننده ارائه می‌شوند، ضعیف‌تر هستند. معمولا این مودم‌ها از فریمورهای قدیمی‌تری استفاده می‌کنند که دارای روزنه‌های متعددی هستند، از این‌رو پیشنهاد می‌شود کاربران خود یک گزینه‌ی مناسب و معتبر را انتخاب کرده و خریداری کنند.

عوض کردن رمز عبور پیش فرض ورود به تنظیمات
 تمام مودم‌های عرضه شده به بازار از یک رمز عبور پیش فرض برای ورود به تنظیمات بهره می‌برند که اغلب نیز تغییری در آن نداده و همچنان از آن استفاده می‌کنند؛ همین موضوع باعث شده تا رمز عبور پیش فرض دستمایه‌ی نفوذهای بسیاری از جانب هکرها باشد. پس از راه‌اندازی مودم، اولین کاری که باید کرد، عوض کردن رمز عبور پیش فرض برای ورود به تنظیمات است.

قطع دسترسی به تنظیمات مودم از طریق اینترنت
برای اغلب کاربران دسترسی تنظیمات مودم از طریق اینترنت و خارج از شبکه‌ی داخلی مودم غیرضروری و بدون استفاده است، از این‌رو یکی از اصلی‌ترین اقداماتی که باید انجام داد، قطع دسترسی به تنظیمات مودم از طریق اینترنت یا غیرفعال کردن Remote Management است. در صورتی که وجود چنین قابلیتی ضروری باشد، می‌توان با راه‌اندازی VPN یا (ٰVirtual Private Network) کانالی امن برای دسترسی به شبکه‌ی داخلی و همچنین تنظیمات مبتنی بر وب مودم ایجاد کرد.

محدود کردن IP‌های درون شبکه که می‌توانند به تنظیمات مودم دسترسی داشته باشند
در صورتی که مودم یا روتر شما چنین امکانی را داشته باشد، بهتر است دسترسی به تنظیمات مودم را از یک IP خاص فراهم کنید که توسط DHCP به گجت‌های متصل شده به مودم اختصاص داده نمی‌شود. برای مثال در زمان تنظیمات مودم خود، DHCP یا Dynamic Host Configuration Protocol را به گونه‌ای تنظیم کنید تا از رنج ۱۹۲.۱۶۸.۱.۱۰ تا ۱۹۲.۱۶۸.۱.۲۰۰ اقدام به اختصاص IP کند و برای دسترسی به تنظیمات مودم نیز تنها ۱۹۲.۱۶۸.۱۰.۵ قادربه دسترسی به مودم باشد. با توجه به اینکه IP مورد نظر به صورت خودکار به هیچ گجتی اختصاص داده نمی‌شود، از این‌رو باید برای دسترسی به تنظیمات مودم، بصورت دستی IP را وارد کرد که عدم اطلاع از آن امکان نفوذ به تنظیمات را برای هر کسی که می‌خواهد به سیستم نفوذ کند، غیرممکن می‌کند.

دسترسی HTTPS به مودم را در صورت امکان فعال کرده و در زمان اتمام کار، حتما لاگ اوت کنید
 در زمان استفاده از مرورگر برای ورود به تنظیمات مودم بهتر است از حالت incognito یا private برای تغییر در تنظیمات استفاده کنید تا ردپایی را در مرورگر خود نظیر کوکی باقی نگذارید. همچنین تا حد امکان سعی کنید تا نام کاربری و رمزعبور تنظیمات مودم را نیز ذخیره نکنید.
آدرس IP دسترسی به تنظیمات مودم را تغییر دهید
تمام مودم‌های موجود در بازار دارای آدرسی پیش فرض برای ورود به بخش تنظیمات هستند که معمولا آدرس ۱۹۲.۱۶۸.۱.۱ می‌شود. برای بهبود امنیت می‌توان در زمان تنظیمات، آدرس پیش فرض دسترسی به تنظیمات مودم را نیز تغییر داد.

از یک رمزعبور پیچیده برای وای-فای و بهترین پروتکل ممکن استفاده کنید
WPA2 یا Wi-Fi Protected Access II بهترین پروتکل انتخابی در برابر WPA و WEP است که تاکنون بارها شاهد نفوذ هکرها در مودم‌هایی بوده‌ایم که از این پروتکل‌ها استفاده می‌کنند. در صورتی که مودم شما این امکان را دارد تا شبکه‌ی وای-فای موسوم به Guest ایجاد کنید، پس حتما از این گزینه استفاده کنید. ضمنا شبکه‌ی مخصوص مهمان‌ها نیز باید با یک رمزعبور و پروتکل WPA2 محافظت شود. این کار بدین منظور انجام می‌شود تا افرادی غیر از شما از این کانال به شبکه‌ی شما متصل شوند تا در صورت وجود بدافزار در گجت‌هایشان، نتوانند در شبکه‌ی شما تغییری ایجاد کنند.

قابلیت WPS را غیرفعال کنید
WPS را باید یکی از قابلیت‌هایی خواند که به ندرت مورد استفاده قرار می‌گیرد. WPS از طریق کلید فیزیکی تعبیه شده در پشت یا زیر مودم یا از طریق عبارتی که زیر مودم نوشته شده، امکان برقراری ارتباط با انواع گجت‌ها را بدون نیاز به وارد کردن رمز عبور فراهم می‌کند. WPS را باید یکی از شناخته شده‌ترین و معروف‌ترین نقاط ضعفی خواند که در سال‌های اخیر بسیاری از مودم‌ها با آن دست به گریبان بوده و از این‌رو باعث هک شدن وای-فای شماری از کاربران شده‌اند. برای اینکه خیالمان از بابت این موضوع راحت باشد بهتر است در صورتی که از WPS‌ پشتیبانی می‌شود، این قابلیت غیرفعال باشد.
دسترسی به سرویس‌های مودم را از طریق اینترنت محدود کنید
روی مودم‌ها و روترها سرویس‌هایی وجود دارند که شاید هیچ وقت از آن‌ها استفاده نکنید. برای مثال می‌توان به Telnet، UPnP (Universal Plug and Play)، SSH (Secure Shell) و HNAP (Home Network Administration Protocol) اشاره کرد که بهتر است دسترسی آن‌ها از طریق اینترنت قطع شود. با استفاده از سرویس‌هایی نظیر دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
می‌توانید با اطلاع از IP مودم پورت‌های باز مودم خود را مورد بررسی قرار داده و حتی سرویس UOnP مودم خود را بصورت جداگانه اسکن کنید.

فریمور مودم خود را بروز نگه دارید
شماری از مودم‌ها امکان بروزرسانی خودکار فریمور را در اختیار کاربران قرار می‌دهند، حال آنکه شماری از مودم‌ها این قابلیت را بصورت چک کردن دستی برای کاربران امکان پذیر می‌کنند. در صورتی که مودم شما هیچ یک از قابلیت‌های اشاره شده را نداشت، می‌توانید بصورت دستی در سایت تولیدکننده‌ی مودم خود با استفاده از نام و مدل مودم، به جستجوی فریمور دستگاه خود بپردازید.
در صورتی که علاقه دارید تا شرایط ویژه‌تر و تنظیمات تخصصی‌‌تری را برای بالا بردن امنیت در مودم یا روتر خود به کار برید، می‌توانید مواردی را که در ادامه اشاره می‌کنیم نیز مورد توجه قرار دهید.

تقسیم بندی شبکه یا VLAN بندی
شماری از روترهای عرضه شده به بازار این قابلیت را در اختیار کاربران قرار می‌دهند تا VLAN (Virtual Local area networls) مختلفی را در شبکه‌ی داخلی تعریف کنند. با استفاده از VLAN‌ می‌توانید گروه کاربران یا گجت‌های خاصی را مقرر به استفاده از یک شبکه‌ی خاص کنید. برای مثال با توجه به اینکه گجت‌های مرتبط با اینترنت اشیا هنوز در اول راه بوده و باگ‌های زیادی دارند، از این‌رو می‌توانید VLAN خاصی را برای ارتباط این گجت‌ها اختصاص دهید. همچنین امکان استفاده از این قابلیت در جهت اختصاص یک شبکه‌ی خاص برای ارتباط گوشی‌های هوشمند نیز وجود دارد. با توجه به اینکه بسیاری از گجت‌های اینترنت اشیا قابلیت کنترل از طریق گوشی هوشمند را نیز دارند، با استفاده از VLAN بندی این ارتباط از طریق شبکه‌ی داخلی برقرار نشده و از طریق اینترنت ارتباط برقرار می‌شود.

مک فیلتر یا دسترسی با استفاده از آدرس فیزیکی
اغلب مودم‌های موجود در بازار از این ویژگی پشتیبانی می‌کنند. با استفاده از قابلیت مک فیلتر تنها گجت‌هایی می‌توانند پس از وارد کردن رمز عبور وایرلس از اینترنت استفاده کنند که آدرس فیزیکی کارت شبکه‌ی گجت آن‌ها در لیست قسمت مک فیلتر مودم ثبت شده باشد، از این رو در صورتی که رمز عبور شبکه‌ی بی‌سیم نیز هک شده باشد، هیچ گجتی قادر به استفاده از اینترنت و اتصال به مودم نخواهد بود.

استفاده از پورت فورواردینگ همراه با فیلتر IP
در صورتی که سرویس‌هایی روی رایانه‌هایی دارید که باید از اینترنت به آن‌ها دسترسی داشته باشید، باید از پورت فورواردینگ استفاده کنید. بسیاری از نرم‌افزار‌ها سعی می‌کنند تا پورت‌هایی را با استفاده از UPnP در روتر بصورت خودکار ایجاد کنند که این روش همیشه امن نیست. در صورتی که UPnP روی مودم غیرفعال باشد، باید رول‌های مورد نظر را بصورت دستی در روتر وارد کرد. برای این کار باید IP منبع را به پورتی اختصاص داد تا از طریق آن بتوان به یک سرویس درون شبکه دسترسی پیدا کرد. برای مثال در صورتی که می‌خواهید به FTP Server کامپیوتر خود در منزل دسترسی داشته باشید، می‌توانید یک رول برای Port Forwarding در روتر برای پورت ۲۱ ایجاد کنید و اجازه‌ی دسترسی را فقط برای IPهای محل کار خود صادر کنید.

استفاده از فریمورهای شخصی شده به جای فریمورهای استاندارد کارخانه‌ای
علاوه بر فریمورهایی که کمپانی‌های تولیدکننده‌ی گوشی‌های هوشمند بصورت پیش فرض منتشر می‌کنند، می‌توان از فریمورهای شخصی سازی شده‌ای نیز استفاده کرد که مبتنی بر لینوکس هستند. از جمله‌ی این فریمورها می‌توان OpenWRT، DD-WRT و Asuswrt-Merlin اشاره کرد که جزو محبوب‌ترین فریمورهای شخصی سازی شده برای مودم‌ها و روترها هستند. این فریمورها معمولا قابلیت‌های بیشتری را در اختیار کاربران قرار می‌دهند، همچنین توسعه دهندگان این فریمورها روزنه‌های امنیتی را با سرعت بیشتری رفع کرده و از این‌رو مشکلات سیستم خیلی سریع‌تر حل می‌شود. با توجه به اینکه بیشتر علاقمندان به سراغ چنین فریمورهایی می‌روند، از این‌رو به دلیل محدود بودن استفاده از این فریمورها، شانس انجام حملات برعلیه کاربرانی که از این فریمورها روی مودم‌های خود استفاده می‌کنند نیز کمتر است. البته باید به این نکته توجه داشت که استفاده از فریمورهای شخصی شده نیازمند داشتن اطلاعات فنی است تا بتوان به درستی اقدام به لود و نصب فریمور کرد.