нет службы upnp (отключаем службу)
системная конфигурация-сохраняем (сохраняем настройку) |
Информацию о том, как включает клиент службы Telnet и TFTP в процессорах Windows Vista/7/8, можно найти в статье «Включение службы Telnet и TFTP в Windows Vista/7/8».
Сегодня задумался, где остались мои слабости и вспомнил - Роутер. Что можете посоветовать по настройке роутера (мне нужна адекватная скорость, но и защита). Какие функции включить, какие отключить как можно быстрее.
Из того, что я прочитал, шагом 0 будет отказ от маршрутизатора, предоставленного вашим интернет-провайдером.
nextdns хорош вместе с librewolf для пользователей, не использующих Windows, не уверен, есть ли сокращение Windows
Какой у вас роутер? У некоторых есть функции, которые упускают другие. Кроме того, какие устройства у вас есть? Отключение обнаружения принтеров полезно, если у вас нет принтера.
Роутер Keenetic. Smart TV, телефоны, iPad и ПК с ноутбуком, подключенным к Wi-Fi.
Отключить upnp и p2p. Закройте общие порты (обычно это делается по умолчанию), измените свой DNS и укрепите брандмауэр в соответствии с вашими потребностями.
Кроме того, что сказали другие: если вы хотите пройти весь путь, используйте OpenWRT. Но предупреждаю, это непросто. В качестве альтернативы, если вам нужно что-то более простое, есть Turris (Omnia/Mox), который поставляется с ним по умолчанию, и его проще настроить.
Используйте надежный пароль Wi-Fi.
Установите самый высокий режим шифрования Wi-Fi, поддерживаемый всеми вашими устройствами. WPA3 — самая новая и самая безопасная версия, однако многие устройства еще не поддерживают ее, но отключение WPA и использование смешанного режима WPA2/WPA3 может сработать. Обратите внимание, что только WPA3 поддерживает прямую секретность, что означает, что любой, кто получит доступ к вашему паролю WiFi в будущем, сможет расшифровать любой трафик, который вы когда-либо отправляли через WPA или WPA2, который был защищен этим паролем, при условии, что он записал трафик. Вы можете исправить это с помощью WPA3 и смягчить его с помощью пароля, достаточно надежного, чтобы противостоять будущим атакам и частой смене пароля. Если вы используете WPA или WPA2, включите CCMP и отключите TKIP, если на вашем маршрутизаторе есть соответствующие настройки.
Настройте гостевую сеть, чтобы вам не приходилось разрешать гостям доступ к вашей обычной сети и не нужно было сообщать им свой обычный пароль WiFi. Они, вероятно, не серьезно относятся к безопасности своих устройств и, таким образом, также представляют риск для вашей домашней сети. Кроме того, многие устройства по умолчанию автоматически сохраняют пароль WiFi в своего рода облаке, другими словами, они отправляют его дружественным компаниям, таким как Amazon.
Вы также можете создать аналогичную отдельную сеть для совместимости с устройствами, которые не поддерживают выбранный вами вариант WPA.
Убедитесь, что WPS и UPnP отключены, если вы их не используете.
Вообще говоря, отключайте все, что вам не нужно. Это не повлияет на скорость/производительность — во всяком случае, можно утверждать, что маршрутизатору, который должен «делать меньше», может привести к незначительному улучшению скорости (если ваше соединение достаточно быстрое, чтобы его ЦП был ограничен).
Для начала я бы предложил следующее
Полностью отключить UPnP. Если его использовать, это может стать довольно серьезной брешью в безопасности, и очень мало сценариев, в которых он предлагает вам какую-либо значимую пользу.
Не используйте DNS вашего интернет-провайдера. Запросы, которые проходят через них, можно отслеживать, отслеживать и использовать для рекламы. Некоторые интернет-провайдеры также вставляют свои собственные страницы вместо того, чтобы возвращать результаты NXDOMAIN в случае сбоя запроса. Есть несколько хороших альтернатив: Quad9, NextDNS, OpenDNS, Cloudflare и т. д.
Блокируйте DNS-подключения, которые не проходят через ваш маршрутизатор (и DoT/DoH), заблокировав исходящий порт 53. Множество устройств, особенно такие, как FireTV-приставки и другие комплекты домашних развлечений (усилитель Denon, смотрите на вас здесь) жестко закодируйте вторичный DNS 8.8.8.8 (Google DNS), поэтому даже если в вашей сети есть фильтрация DNS (например, PiHole и т. д.), они все равно могут разрешать «заблокированные» имена хостов.
Заблокируйте доступ к Интернету для устройств, которым не требуется доступ в Интернет. Например, если в вашей локальной сети есть устройства IoT, многие из них будут невероятно болтливыми и регулярно «звонить домой». Заблокируйте их от этого, если вам действительно не нужна эта функциональность. То же самое относится к таким вещам, как принтеры и различные комплекты домашних развлечений: ваш принтер, вероятно, периодически звонит домой; в этом нет абсолютно никакой необходимости, поэтому заблокируйте его. Вы всегда можете временно разблокировать раз в несколько месяцев, чтобы проверить наличие обновлений прошивки.
Если у вас есть устройства, которым требуется доступ в Интернет, но которым вы не доверяете, поместите их в отдельную сеть. В настоящее время многие маршрутизаторы имеют возможность настройки нескольких SSID, поэтому вы можете использовать разные сети и пароли для надежных и ненадежных устройств.
Если вы также используете маршрутизатор в качестве точки беспроводного доступа, убедитесь, что вы включили самый высокий уровень безопасности, поддерживаемый вашими устройствами (вероятно, WPA2/AES; да, WPA3 существует, но его поддерживают лишь немногие устройства). и используйте надежный пароль.
Скорее всего, если у вас включен UPnP на потребительском маршрутизаторе с выходом в Интернет, вы были или будут скомпрометированы.
Akamai, интернет-гигант, в этом месяце опубликовал отчет, в котором сообщается, что злоумышленники обнаружили злоумышленников, злоупотребляющих не менее 65 000 маршрутизаторов для создания прокси-сетей.
Выбор цитат из отчета:
Как работает внедрение NAT?
Простое объяснение уязвимости, приводящей к инъекциям NAT, заключается в том, что эти устройства предоставляют услуги на своем интерфейсе WAN, которые являются привилегированными и предназначены для использования только доверенными устройствами в локальной сети.
Используя эти незащищенные сервисы, злоумышленник может внедрить записи NAT в удаленное устройство и в некоторых случаях открыть доступ к машинам за маршрутизатором, а в других случаях внедрить хосты, маршрутизируемые через Интернет, в таблицу NAT, что приведет к маршрутизатор в качестве прокси-сервера
Как я узнаю, что меня затронули?
Если устройство активно используется для кампаний UPnProxying, у конечного пользователя не будет никаких признаков того, что это происходит.
Из-за автоматического характера UPnP, NAT и потребительских устройств люди не должны поддерживать эти правила. Это означает, что у человека нет простого способа проверить или изменить их на самих устройствах.
Что затронуто?
Затронут широкий спектр устройств, большинство из которых представляет собой сетевое оборудование потребительского уровня. Подробный список производителей, а также моделей, которые были идентифицированы на основе информации от дырявых демонов TCP, приведен в конце этого документа. Он охватывает 73 бренда/производителя и около 400 моделей. Несомненно, существует больше производителей и устройств, затронутых этими уязвимыми реализациями UPnP. Этот список состоит только из устройств, которые мы можем точно идентифицировать.
Как это исправить
Если устройство подвержено этой уязвимости, существует всего несколько вариантов ее устранения. Во-первых, это замена устройства чем-то другим, что, как вы подтвердили, не уязвимо для этих типов атак. Если замена устройства невозможна, обычно можно отключить службы UPnP на устройстве. Однако это может повлиять на другие области вашей сети, такие как игры или потоковая передача мультимедиа.
В случаях, когда ни один из этих вариантов не работает, развертывание брандмауэра перед уязвимым устройством и блокировка всего входящего трафика на порт UDP 1900 предотвратит утечку информации, которая делает возможным обнаружение демона TCP. Если ваше устройство уже скомпрометировано, это все равно позволит внедрять прокси и использовать прокси. Удаление этих инъекций вручную остановит использование прокси-сервера, но не предотвратит будущие инъекции, что превращает это решение в игру «убей крота».
Сводка
Уязвимость UPnProxy, как и многие другие проблемы, с которыми мы сталкивались в последнее время, была вызвана тем, что службы, не прошедшие проверку подлинности, открывались общедоступному Интернету способами, для которых они никогда не предназначались. Злоумышленники взяли несколько аспектов известных проблем с UPnP и объединили их, чтобы создать мощную прокси-сеть для сокрытия своего трафика. Хотя это не удаленный эксплойт, позволяющий злоумышленнику захватить компьютер, и не новый вектор отражения DDoS-атак, он по-прежнему вызывает серьезную озабоченность, поскольку позволяет скрыть источник трафика.
Конечные пользователи не смогут обнаружить подобную уязвимость самостоятельно, и, возможно, расследование может ошибочно возложить вину на невиновную сторону, поскольку трафик проходит через их маршрутизатор. Производителям необходимо прекратить использование таких протоколов, как UPnP, на внешних интерфейсах; спустя более десяти лет после обнаружения этой проблемы она продолжает беспокоить потребительские устройства. Операторы связи и интернет-провайдеры также должны проверить, должны ли они разрешать протоколы, предназначенные для доверенного использования локальной сети, через свои сети.
[так в оригинале. Примечательно] Затронутые производители/модели:
DSL-AC68R, DSL-AC68U, DSL-N55U, DSL-N55U-B, MTK7620, RT-AC3200, RT-AC51U, RT-AC52U, RT-AC53, RT-AC53U, RT-AC54U, RT-AC55U, RT-AC55UHP, RTAC56R, RT-AC56S, RT-AC56U, RT-AC66R, RT-AC66U, RT-AC66W, RT-AC68P, RT-AC68R, RT-AC68U, RT-AC68W, RT-AC87R, RT-AC87U, RT-G32, RT-N10E, RT-N10LX, RTN10P, RT-N10PV2, RT-N10U, RT-N11P, RT-N12, RT-N12B1, RT-N12C1, RT-N12D1, RT-N12E, RT-N12HP, RT-N12LX, RT-N12VP, RT-N14U, RT-N14UHP, RT-N15U, RT-N16, RTN18U, RT-N53, RT-N56U, RT-N65R, RT-N65U, RT-N66R, RT-N66U, RT-N66W, RTN13U, SP-AC2015, WL500
DIR-601, DIR-615, DIR-620, DIR-825, DSL-2652BU, DSL- 2750B, DSL-2750B-E1, DSL-2750E, DVG-2102S, DVG- 5004S, DVG- N5402SP, RG-DLINK-WBR2300
3G6200N, 3G6200NL, BR-6204WG, BR-6228nS/nC, BR-6428, BR6228GNS, BR6258GN, BR6428NS
NETGEAR R2000, WNDR3700, WNDR4300v2, WNR2000v4
Не удалось определить версию
AirRouter LAP-E4A2, NanoBeam M5-N5B-16-E815, AirGrid M5-AG5-HP-E245, PowerBeam M5-P5B-300-E3E5, NanoBridge M5-NB5-E2B5, PicoStation M2-p2N- E302, NanoStation M5-N5N-E805, NanoStation Loco M5-LM5-E8A5, NanoStation Loco M2-LM2-E0A2, NanoBeam M5-N5B-19-E825, AirGrid M5-AG5-HP-E255
Интернет-центр, Keenetic, Keenetic 4G, Keenetic DSL, Keenetic Giga II, Keenetic II, Keenetic Lite II, Keenetic Start, NBG-416N Internet Sharing Gateway, NBG-418N Internet Sharing Gateway, NBG4615 Internet Sharing Gateway, Маршрутизатор NBG5715, интернет-шлюз X150N
Читайте также:
