Итак, я обнаружил, что могу легко получить свой публичный IP-адрес с работы. Я могу пинговать его, я даже могу войти в свой маршрутизатор с работы. Как мне защититься от этого? Какими способами кто-то может проникнуть в мою домашнюю сеть? Может кто-нибудь объяснить мне это немного?
решение1
Итак, я обнаружил, что могу легко получить свой публичный IP-адрес с работы. Я могу пинговать его, я даже могу войти в свой маршрутизатор с работы. Как мне защититься от этого?
Прежде всего, вам следует убедиться, что ваш домашний маршрутизатор принимает только соединения по протоколу HTTPS ине HTTP. Обычно такую настройку можно найти в разделе «Администрирование» маршрутизатора, но точное расположение этой опции зависит от производителя и модели.
Во-вторых, ваш маршрутизатор может поддерживать отключение входа по беспроводной сети и интерфейсу WAN. Опять же, это зависит от индивидуальных маршрутизаторов, поэтому вам придется проверить, поддерживает ли ваш маршрутизатор эту функцию. В худшем случае отключите доступ HTTP/HTTPS через брандмауэр на интерфейсе WAN.
Вы также можете рассмотреть возможность настройки брандмауэра маршрутизатора для сброса соединений после X количества неудачных попыток. Это можно сделать из графического интерфейса или если вы используетечто-то вроде dd-wrtвы можете использовать iptables. Обратите внимание, что, как указано в ссылке, dd-wrt по умолчанию имеет правила для этого в большинстве образов с 2011 года.
Какими способами кто-то может проникнуть в мою домашнюю сеть?
Я отвечу на этот вопрос немного по-другому, просто перечислив действия, которые можно предпринять для укрепления системы, и почему это помогает:
- Они могут атаковать порты по умолчанию для обычных служб, таких как ssh, telnet, http и т. д. Если им повезет, они смогут использовать эксплойт или брутфорс, используя обычные учетные данные. Вот почему важно всегда менять порты, на которых работают службы, такие как ssh, и иметь правила брандмауэра, которые разрывают соединение после X неудачных попыток.
- Отключите все службы, которыми вы не пользуетесь.Чем меньше у вас запущено на маршрутизаторе, тем сложнее его получить. Также убедитесь, чтоотключить доступ для входа из таких служб, как telnet и обычный HTTPпоскольку они не используют никакой формы шифрования, и ваши учетные данные отправляются в открытом виде. Если злоумышленник пронюхает соединение за пределами вашей WAN, а вы вошли в систему с работы, он сможет увидеть ваше имя пользователя и пароль, а также то, что вы делали на маршрутизаторе.
- Также важно регулярно обновлять/исправлять ваш маршрутизатор!Если вы используете dd-wrt, вам следует часто обновляться, чтобы не подвергать себя опасности. Так много людей забывают это делать, и не помогает то, что производители устройств выпускают все эти устройства, но никогда не предоставляют для них обновления. Если вы этого не сделаете, злоумышленники могут использовать известные эксплойты, чтобы получить доступ к вашему маршрутизатору.
- Это, возможно, немного излишне для домашней сети, но вы также можете время от времени сканировать свой маршрутизатор, используяopenvasчтобы увидеть, какие проблемы присутствуют. Это может помочь вам быть проактивными и не дать злоумышленникам использовать уязвимости вашего маршрутизатора.