Największy specjalista od bezpieczeństwa sieciowego może uczynić dowolny router tylko tak bezpiecznym, jak dobrze zabezpieczony jest firmware danego urządzenia. W poniższym artykule znajdziemy listę funkcji, które muszą znaleźć się w naszym routerze, jeśli chcemy, by zapewniał on naszej sieci bezpieczeństwo. Nie jest to poradnik, jak zabezpieczyć router, a jedynie lista cech, która pozwoli nam ocenić, jak bardo dane urządzenie może być bezpieczne. Recenzje poszczególnych urządzeń dostępne w sieci, bardzo rzadko zajmują się tym zagadnieniem, więc tym bardziej warto przyjrzeć się poniższej liście i opisom w niej zawartym.
Pełne opisy poszczególnych funkcji zawarto w artykule źródłowym (link na dole). Z uwagi na objętość w poniższym materiale zawarto tylko podstawowe opisy poszczególnych funkcji.
WPS
WPS nie jest najbezpieczniejszym z protokołów, ma on wiele dziur i dlatego nie poleca się jego stosowania. Niestety jest on wymagany podczas certyfikacji Wi-Fi, więc wiele urządzeń konsumenckich go posiada. Najlepiej jest go wyłączyć i z niego w ogóle nie korzystać. Warto zwrócić uwagę, czy jest to możliwe, bo niektóre urządzenia, takie jak np. router D-Linka DIR890L nie udostępniają opcji wyłączenia WPS. Inne, mimo posiadania opcji wyłączenia WPSa, wcale tego nie robią z powodu rozmaitych bugów.
Aby sprawdzić, czy w naszej sieci Wi-Fi włączony jest WPS, wykorzystać można np. WiFi Analyzer na Androida lub WiFiInfoView firmy Nirsoft na Windowsie. Oba te programy są darmowe.
Domyślne hasła
W naszym urządzeniu nie powinno być żadnych domyślnych haseł. Nawet takie, które wyglądają na losowe nie są akceptowalne - ktoś w końcu wydedukuje, jak są one generowane i na podstawie publicznie dostępnych informacji o urządzeniu będzie w stanie samodzielnie je wygenerować (o tego rodzaju zagadnieniach pisałem w materiale dotyczącym Inżynierii wstecznej routera).
Warto zwrócić uwagę, czy nasz router wymaga podania nowego hasła, innego niż domyślne do sieci Wi-Fi podczas jej konfiguracji i czy wymaga tego samego dla hasła dostępowego do strony konfiguracyjnej.
Zarządzanie z sieci lokalnej
Hacker w naszej sieci lokalnej sam w sobie jest już problemem, ale musimy uniemożliwić mu modyfikację ustawień routera. Dodatkowo urządzenie musi być zabezpieczone przed stronami, które wykorzystują bugi w CSRF. Warto zwrócić uwagę, czy router wspiera HTTPS i czy jest ono włączone. W 2013 roku zbadani 13 konsumenckich routerów - niektóre z nich wspierały HTTPS, inne nie, ale wszystkie, które je wspierały, domyślnie miały je wyłączone.
Warto zwrócić uwagę, czy możliwe jest np. ograniczenie dostępu do panelu administratorskiego tylko z sieci kablowej Ethernet, czy można zmienić numer portu interfejsu webowego do konfiguracji oraz czy można ograniczyć dostęp do panelu administratorskiego tylko do konkretnego numeru IP lub adresu MAC maszyny administratora. Niektóre routery dostępne w sklepach, takie jak TP-Link Archer C7 mają właśnie takie opcje.
Najlepiej by było, żeby do panelu zalogować mogła się tylko jedna osoba naraz. System urządzenia powinien uniemożliwić logowanie tym samym kontem użytkownika równocześnie z wielu komputerów. Dodatkowo warto sprawdzić, czy firmware blokuje dostęp do konfiguracji po pewnej liczbie nieudanych logowań. Dobrze też, gdy logowanie zabezpieczone jest przez np. CAPTCHA, co utrudni ataki na panel konfiguracyjny.
Finalnie, warto, aby była możliwość wylogowania się z panelu konfiguracyjnego. W panelu musi być przycisk do wylogowania (a są urządzenia Linksysa czy D-Linka, które go nie mają). Przydatna okaże się także opcja wylogowania po pewnym czasie nieaktywności.
Zdalne zarządzanie
Zdalny dostęp do panelu zarządzania urządzeniem powinien wspierać i wymagać HTTPS. Wiele urządzeń zbierających doskonałe recenzje (np. Netgear Nighthawk R700) wykorzystuje do logowania HTTP, co oznacza, że nasze hasło podróżuje po sieci w pełni jawnie.
Strona konfiguracyjna powinna być dostępna pod portem, jaki wybierzemy. Jeśli to możliwe, to najlepiej jest ograniczyć logowanie tylko do pewnych adresów IP lub sieci.
Sesja administratora zalogowanego zdalnie powinna samoczynnie wygasać po pewnym czasie, podobnie jak w przypadku lokalnego zarządzania. Inne, opisane powyżej kwestie dotyczące zarządzania lokalnego, także tyczą się zarządzania zdalnego.
Jeśli nie potrzebujemy zarządzania zdalnego naszym routerem, to powinniśmy je wyłączyć, jeśli jest domyślnie włączone (jak np. w Linksysie AC1900).
Wi-Fi
Nikt nie może się włamać do sieci, która nie istnieje. Dlatego też dobrze, jeżeli w routerze zaprogramować można okresowe wyłączanie sieci Wi-Fi, na przykład na noc. Takie opcje posiadają, np. Amped Wireless RTA1750 oraz Synology RT1900ac. Jeżeli nie można tego robić automatycznie, to warto zwrócić uwagę, czy urządzenie posiada możliwość wyłączenia sieci bezprzewodowej - najlepiej w postaci fizycznego przycisku znajdującego się na urządzeniu. Dzięki temu prościej jest wyłączać sieć Wi-Fi, gdy z niej nie korzystamy.
WPA2
Każdy router obecny aktualnie na rynku wspiera szyfrowanie WPA2 z kluczem PSK, ale jest szereg rzeczy, na które trzeba zwrócić uwagę:
* Czy można korzystać tylko z WPA2? WPA i WPA2 włączone naraz nie będą tak bezpieczne.
* Czy można korzystać z AES lub CCMP z WPA2? Lepsze routery to umożliwiają, gorsze mają tylko możliwość korzystania z TKIP.
Jeśli nie wiemy, czy nasze urządzenie korzysta z TKIP czy z lepszych zabezpieczeń, możemy sprawdzić to skanerem WiFi - jednym z programów, które wymienialiśmy powyżej.
Sieci dla gości
Generalnie sieci dla Gościa to dobra i bezpieczna sprawa, ale nie wszystkie są takie same. Warto zwrócić uwagę, czy ta sieć również wspiera WPA2, czy ma hasło domyślne, czy wymusza na nas jego konfigurację. Więcej na ten temat przeczytamy w materiale na stronie autora tego poradnika i w linkowanych przez niego artykułach.
Warto zwrócić uwagę podczas konfiguracji sieci dla gości, czy ma on dostęp do naszej sieci prywatnej czy nie. Z założenia nie powinien, ale opcje z tym związane są różnie nazywane przez producentów sprzętu sieciowego. Dobrze, jeśli można ograniczyć ilość gości zalogowanych naraz do routera oraz ustawić maksymalny czas, na jaki gość może zalogować się do sieci. Warto też zwrócić uwagę, czy można ograniczać pasmo dostępne dla gości.
Dodatkowo, wartościową opcją jest możliwość konfiguracji, kiedy sieć gościa ma być aktywna. Na przykład w Trendnet TEW-813DRU skonfigurować można kiedy i na jaki czas się ona uruchamia. Jeśli nie można jej automatycznie wyłączać, dobrze jest, gdy łatwo wyłączyć ją ręcznie.
Nazwa użytkownika w routerze
Warto zwrócić uwagę na to, czy można skonfigurować własną nazwę użytkownika w interfejsie webowym do konfiguracji. W każdym urządzeniu można zmienić hasło, ale tylko w niektórych nazwę użytkownika - administratora. Badania z 2016, które przeprowadził ESET na 12 tysiącach domowych routerów wykazały, że w znacznej większości urządzeń nazwa użytkownika do zarządzania systemem to po prostu "admin" (badania nie podały, ile haseł to "password"
- przyp.red.).
Jeśli router umożliwia dodanie drugiego użytkownika, dobrze jest stworzyć konto tylko z prawami do odczytu konfiguracji. Niektóre routery umożliwiają wręcz konfigurację wielu użytkowników z różnymi prawami - np. D-Link 2750B.
Hasło do routera
Jak długie może być hasło? Niektóre routery ograniczają jego długość do 16 znaków. Np. Asus RT-N66U ogranicza jego długość, ale co gorsze - nie informuje o tym i skraca je samodzielnie do 16 znaków. Z kolei niektóre routery D-Linka ograniczają hasło do 15 znaków.
Jak krótkie może być hasło? Router powinien uniemożliwiać wprowadzenie zbyt krótkiego hasła. Dodatkowo system powinien obwarowywać hasło innymi wymaganiami co do ilości znaków, ich rodzaju etc. Koniecznie musi to być opisane w konfiguracji. Dodatkowo, system powinien być zabezpieczony przed zgadywaniem hasła - atakami metodami brute-force.
Firewall
Jeśli chodzi o zaporę sieciową, istotne są trzy aspekty.
Po pierwsze – jakie porty otwarte są po stronie Internetu? Najlepiej, aby wszystkie były zamknięte. Czasami konieczne może być otwarcie pewnych portów do zarządzania zdalnego, ale pamiętajmy o tym, że o każdy otwarty port musimy zadbać. Jest to szczególnie istotne, jeśli dostaliśmy router od dostawcy usług sieciowych – często zostawiają oni otwarte porty w systemie do zdalnego nimi zarządzania itp. W sieci jest sporo stron, które umożliwiają skanowanie otwartych portów – warto przeskanować wszystkie 65 535 porty TCP i 65 535 porty UDP.
Po drugie – które porty otwarte są od strony sieci lokalnej? Na pewno otwarty będzie port 53 dla DNSa. Klasycznym programem do skanowania portów jest nmap – skorzystajmy z niego, aby sprawdzić, jakie porty router otwiera do sieci LAN.
Po trzecie – jakie są możliwości konfiguracji zasad dla transmisji wychodzących. Wiele ataków zablokować da się w ten właśnie sposób.
Filtrowanie adresów MAC
Filtrowanie adresów MAC to daleka od ideału metoda osiągania bezpieczeństwa w sieci, ale zawsze warto utrudniać atakującym zadanie. Wiele osób nie zadaje sobie trudu korzystania z tego rodzaju obrony, jako że nie zabezpieczy to przed bardziej zaawansowanymi atakami, a czasami implementacja filtracji MAC bywa dosyć problematyczna – to, na ile jest trudna i uciążliwa, zależy mocno od naszego urządzenia.
Musimy wiedzieć, czy interesujący nas router używa tego samego filtra adresów MAC w każdej sieci, czy może ma osobne dla sieci kablowej i Wi-Fi, czy wręcz osobne dla różnych pasm (2,4 GHz i 5 GHz). Jeśli router wspiera niezależne listy filtrów MAC, to warto wykorzystać to chociażby w naszej prywatnej sieci, co ogranicza skomplikowanie tego zabiegu.
Warto zwrócić uwagę, czy oprócz dodawania MACów na listy – zabronionych i/lub dozwolonych – można dodawać do nich komentarze etc. Z testowanych przez autora urządzeń tylko AirRouter od Ubiquity, pracujący na AirOS-ie miał taką możliwość.
UPn
Rozwiązania wykorzystujące Universal Plug and Play mogą być problemem dla bezpieczeństwa na dwa sposoby. UPnP zostało zaprojektowane do pracy w routerach sieci wewnętrznych i umożliwia urządzeniom zrobienie niewielkiej „dziury” w firewallu i dlatego nie nadaje się do zastosowania z Internetem, co oczywiście nie oznacza, że urządzenia do tego dedykowane nie mają UPnP. Warto sprawdzić, czy nasz router umożliwia wyłączenie tej funkcji. Wiele urządzeń do zastosowań domowych (np. routera Netgeara) mają tą funkcję domyślnie włączoną.
Jeśli z jakiegoś powodu musimy korzystać z UPnP, dobierzmy taki router, który umożliwia zbieranie dokładnych informacji na temat tego, jaki jest stan forwardowanych portów, jaka aplikacja zgłosiła żądanie UPnP i jakie są aktualne zasady tego portu. Komplet tego rodzaju danych udostępnia np. TP-LINK Archer C7.
Forwardowanie portów
Warto wiedzieć, jakie można nakładać ograniczenia na tą funkcję. Dobrze, aby można było ograniczyć źródłowe IP lub podsieci, które mają do portów dostęp. Szereg aplikacji, jak np. Real VNC czy Apple Remote Desktop będzie wymagała otwarcia portu 5900. Jeśli nie ograniczymy dostępu do tego portu, to cały świat będzie miał do niego dostęp, a istnieje sporo grup, które aktywnie skanują sieć w poszukiwaniu tego rodzaju okazji do ataków. Pamiętajmy zatem o możliwości filtrowania adresów IP dla forwardowanych portów.
Dobrze jest zwrócić także uwagę, czy nasz router umożliwia tylko tymczasowe forwardowanie portów. Na przykład, jeśli korzystamy z Real VNC tylko w godzinach pracy, urządzenie może otwierać port 5900 tylko w tym okresie dnia.
Czy router wspiera HNAP?
Najlepiej, aby odpowiedź na to pytanie brzmiała "nie". tak zwany Home Network Administration Protocol jest źródłem wielu wrażliwości sieci. W kwietniu 2015 roku wykorzystano go do ataków na urządzenia D-Linka, rok wcześniej w lutym 2014 na urządzenia Linksysa etc.
Zazwyczaj nie ma niestety możliwości wyłączenia HNAP w naszym urządzeniu, dlatego też dobrze, aby router po prostu w ogóle nie miał zaimplementowania wsparcia dla tego protokołu. Aby sprawdzić, czy router wspiera HNAP wystarczy spróbować wejść na stronę HTTP://1.2.3.4/HNAP1/, gdzie 1.2.3.4 to adres IP routera w sieci wewnętrznej. Przeprowadźmy taki sam test zarówno z wnętrza sieci, jak i z Internetu, zmieniając 1.2.3.4 na nasz publiczny adres IP.
Firmware
Czy producent routera może informować nas e-mailem na temat aktualizacji firmware routera? Np. Peplink to robi.
Czy router podczas konfiguracji szuka aktualizacji? Jak wskazuje badanie Wall Street Journal z 2016 - jedynie połowa urządzeń na rynku tak czyni. Czy router automatycznie aktualizuje swój firmware? Jeśli tak, to patrz niżej. Preferuje się, aby aktualizacje wprowadzane były jednak ręcznie. Pozwala to szybko wgrywać łatki i patche, ale nie spieszyć się z nowymi wersjami firmware i móc poczekać na to, aż zostaną odpowiednio przetestowane i poprawione.
Czy aktualizacja firmware jest skomplikowana? Niektóre routery pozwalają na automatyczną aktualizację poprzez interfejs web, inne z kolei wymagają np. pobrania pliku na dysk komputera i ręcznie załadowanie go do routera. Pamiętajmy – im bardziej złożona procedura, tym rzadziej będzie nam się chciało to robić. Dobrze jest pamiętać podczas aktualizacji o archiwizacji obecnej konfiguracji urządzenia, jako że niektóre opcje mogą zostać napisane.
Czy można sprawdzać dostępność aktualizacji z poziomu panelu konfiguracyjnego? Asus znany jest z tego, że wiele jego routerów tego nie potrafi, mimo że ma taką opcję w panelu.
Jeśli router sam pobiera firmware z sieci, to warto zadbać o bezpieczeństwo takiej transmisji, korzystając z HTTPS, SFTP lub FTPS. Wszystko jest kwestią producenta – czy wyposażył swoje urządzenie w takie możliwości i czy jego serwery z aktualizacjami wspierają któryś z tych protokołów. Jak w 2014 roku sprawdził David Longnecker np. Asus RT-AC66R, pobierając aktualizację firmware z sieci nie korzysta w ogóle z żadnych zabezpieczeń.
Dodatkowo, jeśli chodzi o kwestie aktualizacji firmware, dobrze jest, aby urządzenie mogło odinstalować aktualizację i powrócić do poprzedniej wersji. Niektóre routery Linksysa, jak i urządzenia Peplinka wspierają taką opcję. Przydaje się ona, gdy nowy firmware działa niestabilnie, lub powoduje inne problemy.
Automatyczne aktualizacje firmware
Jeśli nasze urządzenie automatycznie pobiera z serwerów producenta firmware, to koniecznie rozważyć musimy szereg dodatkowych kwestii.
* Czy firmware posiada audyt bezpieczeństwa?
* Czy każdy nowy firmware posiada audyt i generuje logi podczas instalacji? Sprawdzając logi można upewnić się, że system działa poprawnie.
* Jak często router sprawdza dostępność aktualizacji? Czy możemy to konfigurować?
* Czy producent wysyła powiadomienia na temat aktualizacji? Przed czy po instalacji? Jakiego rodzaju to powiadomienia?
* Czy można skonfigurować, kiedy dozwolona jest aktualizacja i restart urządzenia?
* Czy można wymusić aktualizację, czy trzeba czekać, aż urządzenie zrobi to automatycznie?
* Czy oprogramowanie pobierane jest bezpieczne? Czy router korzysta z TLS podczas połączenia z serwerem producenta?
* Czy nowy firmware jest cyfrowo podpisany?
* Czy można odinstalować aktualizację?
* Czy można sprawdzić, jaka wersja jest obecnie zainstalowana na naszym urządzeniu?
* Jak zadokumentowane są aktualizacje?
* Czy router zachowuje ustawienia podczas aktualizacji? Czy można zapisać je do pliku?
Logi
Czy router posiada log lub logi zapisujące zdarzenia w sieci? Czy jest do nich dostęp? Czy są one zrozumiałe dla człowieka? Niektóre routery (np. Pepwabe Surf SOHO) generują pojedynczy plik, inne (D-Link 2750B) dwa pliki – system log i log bezpieczeństwa, a jeszcze inne (np. D-Link 860L) trzy – systemowy, bezpieczeństwa i stanu routera.
Dobrze jest czasami zaglądać do tych logów, zwłaszcza bezpieczeństwa. Pokazuje to, jak niebezpieczny jest Internet, a także może wskazywać na potencjalnie czułe punkty naszego systemu.
Powiadomienia przez e-mail
Czy router może wysyłać powiadomienia przez e-mail, gdy dzieje się coś złego? Czy przesyła informacje o atakach i błędach? To niezwykle przydatne opcje, szczególnie gdy urządzenie podłączone jest do Internetu łączami kilku dostawców. Router może powiadamiać, gdy jedno z nich się zerwie.
Czy można konfigurować wiadomość? Czy można wprowadzić kilka adresów e-mail? To tylko z niektóre istotnych pytań odnoszących się do tej funkcji.
DDNS
Nie każdy potrzebuje dynamicznego DNSa, ale przydaje się on do zdalnego zarządzania systemem bez stałego IP. Jest kilka opcji, na które warto zwrócić uwagę, między innymi to czy dostawca DDNSa wspiera HTTPS, jakich dostawców wspiera router etc.
Monitorowanie dołączonych urządzeń
Dobrze jest wiedzieć, kto/co jest podłączone do routera. Dobry router zapewni nam wgląd w tego rodzaju informacje, a także np. umożliwi nadanie urządzeniom w sieci własnych nazw.
Jakkolwiek tego rodzaju funkcje wydają się podstawowe, to jak pisze autor poradnika, są urządzenia, które tego nie potrafią, albo nie realizują tego w pełni. Niektóre routery na przykład pokazują tylko użytkowników, którzy dołączyli do sieci poprzez DHCP. Urządzenia z estałym IP nie figurują na liście dostępnej na stronie konfiguracyjnej routera. Jeśli router posiada kilka sieci, dobrze, aby monitorowanie ich było niezależne, tak aby można było sprawdzić, jakie urządzenie jest w jakiej sieci.
Funkcje monitorowania mają także inne zalety, poza zapewnianiem zwiększonego bezpieczeństwa. Pozwalają na sprawdzenie, czy używane przez nas usługi (np. VPN) działają, czy łączymy się z bankiem w bezpieczny sposób etc. Dodatkowo, niektóre routery (np. Pepwave Surf SOHO) wyświetlają siłę sygnału urządzenia łączącego się poprzez interfejs bezprzewodowy. Urządzenia te mogą także pokazywać, jakie jest w danym momencie zużycie pasma przez danego użytkownika etc. Wszystkie te dane są zapisywane i dostępna jest historia z całego dnia.
Wiele routerów posiada port USB, do którego podłączyć można dysk twardy lub pendrive i udostępniać jego zawartość w sieci. Odkryta w maju 2015 roku usterka w NetUSB sprawiła, że taka funkcja pozostawia nas wrażliwymi na ataki. Jeśli to możliwe, trzeba wyłączyć tą funkcję, ale nie każde urządzenie na to pozwala.
Dostęp do strony konfiguracyjnej
Aby dostać się do strony konfiguracyjnej routera, najczęściej wykorzystujemy adres IP, jednakże może to być zbyt złożone dla zupełnych amatorów. Czasami, zamiast wpisywać to IP, podać możemy adres specjalnej strony, która przekieruje nas do konfiguracji urządzenia.
W przypadku Netgeara jest to www.routerlogin.com lub www.routerlogin.net. TP-LINK używa strony, tplinklogin.net, a Asus router.asus.com, Netis ma netis.cc, Edimax z kolei edimax.setup etc.
Takie rozwiązanie, jakkolwiek wygodne, zmniejsza poziom bezpieczeństwa naszej sieci – tego rodzaju aliasy upraszczają dostanie się do routera w sieci, co w większości wypadków jest początkiem jakiegoś ataku.
Ukrywanie SSID
Podobnie jak filtrowanie MACów, ukrywanie SSID sieci bezprzewodowej jest prostą metodą zapewnienia pewnego dodatkowego bezpieczeństwa. Jeśli nie musimy, nie rozgłaszajmy publicznie SSID naszej sieci Wi-Fi.
Aplikacje na smartfony
Niektóre routery wyposażone są w aplikacje na smartfony, którymi można nimi zarządzać. Tutaj pada szereg ważnych pytań – na ile bezpieczna jest ta aplikacja? Czy łączy się bezpośrednio z routerem, czy korzysta z pośrednictwa serwerów producenta sprzętu? Czy aplikacja korzysta z HTTP czy HTTPS? A może wykorzystywany jest Bluetooth? Warto zastanowić się nad tymi kwestiami.
Router prosto z paczki
Dla amatorów to bardzo istotna kwestia – na ile sprawny i bezpieczny jest router prosto z paczki? Jak bezpieczne są jego ustawienia domyślne?
Powiadomienia o nowych urządzeniach
Czy router jest w stanie wysyłać powiadomienia o nowych urządzeniach? Bardziej zaawansowane urządzenia są w stanie np. wysłać e-mail o pojawieniu się nowego urządzenia – nowego adresu MAC – w sieci. Urządzenia firmy Eero podobno mają taką możliwość, podobnie jak Norton Core (ale tylko dla sieci dla gości) oraz Aztech AIR-706P, wyposażony w mobilną aplikację Aztech Smart Network jest w stanie wysyłać powiadomienia na urządzenie mobilne informujące, że coś połączyło się z naszym routerem.
Historia urządzeń w sieci
Czy router przechowuje informacje o urządzeniach, jakie podłączały się do sieci? Dobrze jest mieć możliwość przejrzenia tego rodzaju informacji, szczególnie po wylogowaniu się danego urządzenia z sieci.
Dodatkowe, przydatne funkcje bezpieczeństwa
VLAN
Wirtualne sieci LAN być może powinny znaleźć się na powyższej liście, ale w większości wypadków jest to jedynie dodatkowe i niebezpośrednie zabezpieczenie.
Dobrze jest podzielić naszą sieć LAN na logiczne sekcje, które są od siebie oddzielone. Dzięki temu atakujący, nawet jeżeli uzyska dostęp do jednej z sekcji, nie będzie miał dostępu do całej sieci naraz.
VPN i Tor
Router może wspierać VPNy oraz sieć Tor. Przydaje się to, jeśli np. korzystamy z Internetu w podróży i chcemy zabezpieczyć nasze urządzenia, jeśli korzystamy z nieznanej sobie sieci.
Możliwość zmiany adresu MAC punktu dostępowego
Opcja taka nie jest zbyt popularna w konsumenckim sprzęcie, jednakże jest bardzo wartościowa. W większości przypadków możliwość zmiany adresu MAC dotyczy jedynie portu WAN, rzadko kiedy można zmieniać MAC punktu dostępowego sieci bezprzewodowej.
Dodatkowe opcje, niezwiązane z bezpieczeństwem
Istnieje szereg dodatkowych funkcji, jakie są po prostu przydatne w routerze sieciowym. Na przykład opcja Wake on LAN (WOL) – wybudzania urządzeń w sieci z pomocą klasycznego połączenia WOL. Pozwala to na zdalne uruchamianie naszego komputera spoza sieci, jeśli chcemy mieć do niego dostęp.
Pomoc kontekstowa
Dobrze, jeśli router wyposażony jest w odpowiednią dokumentację. Jeszcze lepiej, jeśli jest to kontekstowa pomoc, a nie monolityczny podręcznik korzystania z urządzenia. Jest to tym ważniejsze, im mniejszy jest poziom umiejętności osoby instalującej urządzenie.
Szybkość i wydajność
Nie jest to może dodatkowa opcja, ale z pewnością nie można pominąć tego czynnika. Warto zaznajomić się z rankingami szybkości poszczególnych routerów – ma to spory wpływ na prędkość działania naszej sieci.
Zewnętrzne, odłączane anteny
Zewnętrzne anteny są znacznie wygodniejsze w wykorzystaniu, dają lepszy zasięg sieci Wi-Fi i, jeśli pozwalają na odłączenie ich, mogą zostać wymienione, gdy zostaną uszkodzone albo są dostępne nowe i lepsze anteny.
Diody status
Może to trywialne, ale diody sygnalizujące działanie poszczególnych portów/interfejsów routera są bardzo pomocne w codziennym monitorowaniu pracy urządzenia.
Źródło: https://www.routersecurity.org/checklist.php
Pełne opisy poszczególnych funkcji zawarto w artykule źródłowym (link na dole). Z uwagi na objętość w poniższym materiale zawarto tylko podstawowe opisy poszczególnych funkcji.
WPS
WPS nie jest najbezpieczniejszym z protokołów, ma on wiele dziur i dlatego nie poleca się jego stosowania. Niestety jest on wymagany podczas certyfikacji Wi-Fi, więc wiele urządzeń konsumenckich go posiada. Najlepiej jest go wyłączyć i z niego w ogóle nie korzystać. Warto zwrócić uwagę, czy jest to możliwe, bo niektóre urządzenia, takie jak np. router D-Linka DIR890L nie udostępniają opcji wyłączenia WPS. Inne, mimo posiadania opcji wyłączenia WPSa, wcale tego nie robią z powodu rozmaitych bugów.
Aby sprawdzić, czy w naszej sieci Wi-Fi włączony jest WPS, wykorzystać można np. WiFi Analyzer na Androida lub WiFiInfoView firmy Nirsoft na Windowsie. Oba te programy są darmowe.
Domyślne hasła
W naszym urządzeniu nie powinno być żadnych domyślnych haseł. Nawet takie, które wyglądają na losowe nie są akceptowalne - ktoś w końcu wydedukuje, jak są one generowane i na podstawie publicznie dostępnych informacji o urządzeniu będzie w stanie samodzielnie je wygenerować (o tego rodzaju zagadnieniach pisałem w materiale dotyczącym Inżynierii wstecznej routera).
Warto zwrócić uwagę, czy nasz router wymaga podania nowego hasła, innego niż domyślne do sieci Wi-Fi podczas jej konfiguracji i czy wymaga tego samego dla hasła dostępowego do strony konfiguracyjnej.
Zarządzanie z sieci lokalnej
Hacker w naszej sieci lokalnej sam w sobie jest już problemem, ale musimy uniemożliwić mu modyfikację ustawień routera. Dodatkowo urządzenie musi być zabezpieczone przed stronami, które wykorzystują bugi w CSRF. Warto zwrócić uwagę, czy router wspiera HTTPS i czy jest ono włączone. W 2013 roku zbadani 13 konsumenckich routerów - niektóre z nich wspierały HTTPS, inne nie, ale wszystkie, które je wspierały, domyślnie miały je wyłączone.
Warto zwrócić uwagę, czy możliwe jest np. ograniczenie dostępu do panelu administratorskiego tylko z sieci kablowej Ethernet, czy można zmienić numer portu interfejsu webowego do konfiguracji oraz czy można ograniczyć dostęp do panelu administratorskiego tylko do konkretnego numeru IP lub adresu MAC maszyny administratora. Niektóre routery dostępne w sklepach, takie jak TP-Link Archer C7 mają właśnie takie opcje.
Najlepiej by było, żeby do panelu zalogować mogła się tylko jedna osoba naraz. System urządzenia powinien uniemożliwić logowanie tym samym kontem użytkownika równocześnie z wielu komputerów. Dodatkowo warto sprawdzić, czy firmware blokuje dostęp do konfiguracji po pewnej liczbie nieudanych logowań. Dobrze też, gdy logowanie zabezpieczone jest przez np. CAPTCHA, co utrudni ataki na panel konfiguracyjny.
Finalnie, warto, aby była możliwość wylogowania się z panelu konfiguracyjnego. W panelu musi być przycisk do wylogowania (a są urządzenia Linksysa czy D-Linka, które go nie mają). Przydatna okaże się także opcja wylogowania po pewnym czasie nieaktywności.
Zdalne zarządzanie
Zdalny dostęp do panelu zarządzania urządzeniem powinien wspierać i wymagać HTTPS. Wiele urządzeń zbierających doskonałe recenzje (np. Netgear Nighthawk R700) wykorzystuje do logowania HTTP, co oznacza, że nasze hasło podróżuje po sieci w pełni jawnie.
Strona konfiguracyjna powinna być dostępna pod portem, jaki wybierzemy. Jeśli to możliwe, to najlepiej jest ograniczyć logowanie tylko do pewnych adresów IP lub sieci.
Sesja administratora zalogowanego zdalnie powinna samoczynnie wygasać po pewnym czasie, podobnie jak w przypadku lokalnego zarządzania. Inne, opisane powyżej kwestie dotyczące zarządzania lokalnego, także tyczą się zarządzania zdalnego.
Jeśli nie potrzebujemy zarządzania zdalnego naszym routerem, to powinniśmy je wyłączyć, jeśli jest domyślnie włączone (jak np. w Linksysie AC1900).
Wi-Fi
Nikt nie może się włamać do sieci, która nie istnieje. Dlatego też dobrze, jeżeli w routerze zaprogramować można okresowe wyłączanie sieci Wi-Fi, na przykład na noc. Takie opcje posiadają, np. Amped Wireless RTA1750 oraz Synology RT1900ac. Jeżeli nie można tego robić automatycznie, to warto zwrócić uwagę, czy urządzenie posiada możliwość wyłączenia sieci bezprzewodowej - najlepiej w postaci fizycznego przycisku znajdującego się na urządzeniu. Dzięki temu prościej jest wyłączać sieć Wi-Fi, gdy z niej nie korzystamy.
WPA2
Każdy router obecny aktualnie na rynku wspiera szyfrowanie WPA2 z kluczem PSK, ale jest szereg rzeczy, na które trzeba zwrócić uwagę:
* Czy można korzystać tylko z WPA2? WPA i WPA2 włączone naraz nie będą tak bezpieczne.
* Czy można korzystać z AES lub CCMP z WPA2? Lepsze routery to umożliwiają, gorsze mają tylko możliwość korzystania z TKIP.
Jeśli nie wiemy, czy nasze urządzenie korzysta z TKIP czy z lepszych zabezpieczeń, możemy sprawdzić to skanerem WiFi - jednym z programów, które wymienialiśmy powyżej.
Sieci dla gości
Generalnie sieci dla Gościa to dobra i bezpieczna sprawa, ale nie wszystkie są takie same. Warto zwrócić uwagę, czy ta sieć również wspiera WPA2, czy ma hasło domyślne, czy wymusza na nas jego konfigurację. Więcej na ten temat przeczytamy w materiale na stronie autora tego poradnika i w linkowanych przez niego artykułach.
Warto zwrócić uwagę podczas konfiguracji sieci dla gości, czy ma on dostęp do naszej sieci prywatnej czy nie. Z założenia nie powinien, ale opcje z tym związane są różnie nazywane przez producentów sprzętu sieciowego. Dobrze, jeśli można ograniczyć ilość gości zalogowanych naraz do routera oraz ustawić maksymalny czas, na jaki gość może zalogować się do sieci. Warto też zwrócić uwagę, czy można ograniczać pasmo dostępne dla gości.
Dodatkowo, wartościową opcją jest możliwość konfiguracji, kiedy sieć gościa ma być aktywna. Na przykład w Trendnet TEW-813DRU skonfigurować można kiedy i na jaki czas się ona uruchamia. Jeśli nie można jej automatycznie wyłączać, dobrze jest, gdy łatwo wyłączyć ją ręcznie.
Nazwa użytkownika w routerze
Warto zwrócić uwagę na to, czy można skonfigurować własną nazwę użytkownika w interfejsie webowym do konfiguracji. W każdym urządzeniu można zmienić hasło, ale tylko w niektórych nazwę użytkownika - administratora. Badania z 2016, które przeprowadził ESET na 12 tysiącach domowych routerów wykazały, że w znacznej większości urządzeń nazwa użytkownika do zarządzania systemem to po prostu "admin" (badania nie podały, ile haseł to "password"
- przyp.red.).
Jeśli router umożliwia dodanie drugiego użytkownika, dobrze jest stworzyć konto tylko z prawami do odczytu konfiguracji. Niektóre routery umożliwiają wręcz konfigurację wielu użytkowników z różnymi prawami - np. D-Link 2750B.
Hasło do routera
Jak długie może być hasło? Niektóre routery ograniczają jego długość do 16 znaków. Np. Asus RT-N66U ogranicza jego długość, ale co gorsze - nie informuje o tym i skraca je samodzielnie do 16 znaków. Z kolei niektóre routery D-Linka ograniczają hasło do 15 znaków.
Jak krótkie może być hasło? Router powinien uniemożliwiać wprowadzenie zbyt krótkiego hasła. Dodatkowo system powinien obwarowywać hasło innymi wymaganiami co do ilości znaków, ich rodzaju etc. Koniecznie musi to być opisane w konfiguracji. Dodatkowo, system powinien być zabezpieczony przed zgadywaniem hasła - atakami metodami brute-force.
Firewall
Jeśli chodzi o zaporę sieciową, istotne są trzy aspekty.
Po pierwsze – jakie porty otwarte są po stronie Internetu? Najlepiej, aby wszystkie były zamknięte. Czasami konieczne może być otwarcie pewnych portów do zarządzania zdalnego, ale pamiętajmy o tym, że o każdy otwarty port musimy zadbać. Jest to szczególnie istotne, jeśli dostaliśmy router od dostawcy usług sieciowych – często zostawiają oni otwarte porty w systemie do zdalnego nimi zarządzania itp. W sieci jest sporo stron, które umożliwiają skanowanie otwartych portów – warto przeskanować wszystkie 65 535 porty TCP i 65 535 porty UDP.
Po drugie – które porty otwarte są od strony sieci lokalnej? Na pewno otwarty będzie port 53 dla DNSa. Klasycznym programem do skanowania portów jest nmap – skorzystajmy z niego, aby sprawdzić, jakie porty router otwiera do sieci LAN.
Po trzecie – jakie są możliwości konfiguracji zasad dla transmisji wychodzących. Wiele ataków zablokować da się w ten właśnie sposób.
Filtrowanie adresów MAC
Filtrowanie adresów MAC to daleka od ideału metoda osiągania bezpieczeństwa w sieci, ale zawsze warto utrudniać atakującym zadanie. Wiele osób nie zadaje sobie trudu korzystania z tego rodzaju obrony, jako że nie zabezpieczy to przed bardziej zaawansowanymi atakami, a czasami implementacja filtracji MAC bywa dosyć problematyczna – to, na ile jest trudna i uciążliwa, zależy mocno od naszego urządzenia.
Musimy wiedzieć, czy interesujący nas router używa tego samego filtra adresów MAC w każdej sieci, czy może ma osobne dla sieci kablowej i Wi-Fi, czy wręcz osobne dla różnych pasm (2,4 GHz i 5 GHz). Jeśli router wspiera niezależne listy filtrów MAC, to warto wykorzystać to chociażby w naszej prywatnej sieci, co ogranicza skomplikowanie tego zabiegu.
Warto zwrócić uwagę, czy oprócz dodawania MACów na listy – zabronionych i/lub dozwolonych – można dodawać do nich komentarze etc. Z testowanych przez autora urządzeń tylko AirRouter od Ubiquity, pracujący na AirOS-ie miał taką możliwość.
UPn
Rozwiązania wykorzystujące Universal Plug and Play mogą być problemem dla bezpieczeństwa na dwa sposoby. UPnP zostało zaprojektowane do pracy w routerach sieci wewnętrznych i umożliwia urządzeniom zrobienie niewielkiej „dziury” w firewallu i dlatego nie nadaje się do zastosowania z Internetem, co oczywiście nie oznacza, że urządzenia do tego dedykowane nie mają UPnP. Warto sprawdzić, czy nasz router umożliwia wyłączenie tej funkcji. Wiele urządzeń do zastosowań domowych (np. routera Netgeara) mają tą funkcję domyślnie włączoną.
Jeśli z jakiegoś powodu musimy korzystać z UPnP, dobierzmy taki router, który umożliwia zbieranie dokładnych informacji na temat tego, jaki jest stan forwardowanych portów, jaka aplikacja zgłosiła żądanie UPnP i jakie są aktualne zasady tego portu. Komplet tego rodzaju danych udostępnia np. TP-LINK Archer C7.
Forwardowanie portów
Warto wiedzieć, jakie można nakładać ograniczenia na tą funkcję. Dobrze, aby można było ograniczyć źródłowe IP lub podsieci, które mają do portów dostęp. Szereg aplikacji, jak np. Real VNC czy Apple Remote Desktop będzie wymagała otwarcia portu 5900. Jeśli nie ograniczymy dostępu do tego portu, to cały świat będzie miał do niego dostęp, a istnieje sporo grup, które aktywnie skanują sieć w poszukiwaniu tego rodzaju okazji do ataków. Pamiętajmy zatem o możliwości filtrowania adresów IP dla forwardowanych portów.
Dobrze jest zwrócić także uwagę, czy nasz router umożliwia tylko tymczasowe forwardowanie portów. Na przykład, jeśli korzystamy z Real VNC tylko w godzinach pracy, urządzenie może otwierać port 5900 tylko w tym okresie dnia.
Czy router wspiera HNAP?
Najlepiej, aby odpowiedź na to pytanie brzmiała "nie". tak zwany Home Network Administration Protocol jest źródłem wielu wrażliwości sieci. W kwietniu 2015 roku wykorzystano go do ataków na urządzenia D-Linka, rok wcześniej w lutym 2014 na urządzenia Linksysa etc.
Zazwyczaj nie ma niestety możliwości wyłączenia HNAP w naszym urządzeniu, dlatego też dobrze, aby router po prostu w ogóle nie miał zaimplementowania wsparcia dla tego protokołu. Aby sprawdzić, czy router wspiera HNAP wystarczy spróbować wejść na stronę HTTP://1.2.3.4/HNAP1/, gdzie 1.2.3.4 to adres IP routera w sieci wewnętrznej. Przeprowadźmy taki sam test zarówno z wnętrza sieci, jak i z Internetu, zmieniając 1.2.3.4 na nasz publiczny adres IP.
Firmware
Czy producent routera może informować nas e-mailem na temat aktualizacji firmware routera? Np. Peplink to robi.
Czy router podczas konfiguracji szuka aktualizacji? Jak wskazuje badanie Wall Street Journal z 2016 - jedynie połowa urządzeń na rynku tak czyni. Czy router automatycznie aktualizuje swój firmware? Jeśli tak, to patrz niżej. Preferuje się, aby aktualizacje wprowadzane były jednak ręcznie. Pozwala to szybko wgrywać łatki i patche, ale nie spieszyć się z nowymi wersjami firmware i móc poczekać na to, aż zostaną odpowiednio przetestowane i poprawione.
Czy aktualizacja firmware jest skomplikowana? Niektóre routery pozwalają na automatyczną aktualizację poprzez interfejs web, inne z kolei wymagają np. pobrania pliku na dysk komputera i ręcznie załadowanie go do routera. Pamiętajmy – im bardziej złożona procedura, tym rzadziej będzie nam się chciało to robić. Dobrze jest pamiętać podczas aktualizacji o archiwizacji obecnej konfiguracji urządzenia, jako że niektóre opcje mogą zostać napisane.
Czy można sprawdzać dostępność aktualizacji z poziomu panelu konfiguracyjnego? Asus znany jest z tego, że wiele jego routerów tego nie potrafi, mimo że ma taką opcję w panelu.
Jeśli router sam pobiera firmware z sieci, to warto zadbać o bezpieczeństwo takiej transmisji, korzystając z HTTPS, SFTP lub FTPS. Wszystko jest kwestią producenta – czy wyposażył swoje urządzenie w takie możliwości i czy jego serwery z aktualizacjami wspierają któryś z tych protokołów. Jak w 2014 roku sprawdził David Longnecker np. Asus RT-AC66R, pobierając aktualizację firmware z sieci nie korzysta w ogóle z żadnych zabezpieczeń.
Dodatkowo, jeśli chodzi o kwestie aktualizacji firmware, dobrze jest, aby urządzenie mogło odinstalować aktualizację i powrócić do poprzedniej wersji. Niektóre routery Linksysa, jak i urządzenia Peplinka wspierają taką opcję. Przydaje się ona, gdy nowy firmware działa niestabilnie, lub powoduje inne problemy.
Automatyczne aktualizacje firmware
Jeśli nasze urządzenie automatycznie pobiera z serwerów producenta firmware, to koniecznie rozważyć musimy szereg dodatkowych kwestii.
* Czy firmware posiada audyt bezpieczeństwa?
* Czy każdy nowy firmware posiada audyt i generuje logi podczas instalacji? Sprawdzając logi można upewnić się, że system działa poprawnie.
* Jak często router sprawdza dostępność aktualizacji? Czy możemy to konfigurować?
* Czy producent wysyła powiadomienia na temat aktualizacji? Przed czy po instalacji? Jakiego rodzaju to powiadomienia?
* Czy można skonfigurować, kiedy dozwolona jest aktualizacja i restart urządzenia?
* Czy można wymusić aktualizację, czy trzeba czekać, aż urządzenie zrobi to automatycznie?
* Czy oprogramowanie pobierane jest bezpieczne? Czy router korzysta z TLS podczas połączenia z serwerem producenta?
* Czy nowy firmware jest cyfrowo podpisany?
* Czy można odinstalować aktualizację?
* Czy można sprawdzić, jaka wersja jest obecnie zainstalowana na naszym urządzeniu?
* Jak zadokumentowane są aktualizacje?
* Czy router zachowuje ustawienia podczas aktualizacji? Czy można zapisać je do pliku?
Logi
Czy router posiada log lub logi zapisujące zdarzenia w sieci? Czy jest do nich dostęp? Czy są one zrozumiałe dla człowieka? Niektóre routery (np. Pepwabe Surf SOHO) generują pojedynczy plik, inne (D-Link 2750B) dwa pliki – system log i log bezpieczeństwa, a jeszcze inne (np. D-Link 860L) trzy – systemowy, bezpieczeństwa i stanu routera.
Dobrze jest czasami zaglądać do tych logów, zwłaszcza bezpieczeństwa. Pokazuje to, jak niebezpieczny jest Internet, a także może wskazywać na potencjalnie czułe punkty naszego systemu.
Powiadomienia przez e-mail
Czy router może wysyłać powiadomienia przez e-mail, gdy dzieje się coś złego? Czy przesyła informacje o atakach i błędach? To niezwykle przydatne opcje, szczególnie gdy urządzenie podłączone jest do Internetu łączami kilku dostawców. Router może powiadamiać, gdy jedno z nich się zerwie.
Czy można konfigurować wiadomość? Czy można wprowadzić kilka adresów e-mail? To tylko z niektóre istotnych pytań odnoszących się do tej funkcji.
DDNS
Nie każdy potrzebuje dynamicznego DNSa, ale przydaje się on do zdalnego zarządzania systemem bez stałego IP. Jest kilka opcji, na które warto zwrócić uwagę, między innymi to czy dostawca DDNSa wspiera HTTPS, jakich dostawców wspiera router etc.
Monitorowanie dołączonych urządzeń
Dobrze jest wiedzieć, kto/co jest podłączone do routera. Dobry router zapewni nam wgląd w tego rodzaju informacje, a także np. umożliwi nadanie urządzeniom w sieci własnych nazw.
Jakkolwiek tego rodzaju funkcje wydają się podstawowe, to jak pisze autor poradnika, są urządzenia, które tego nie potrafią, albo nie realizują tego w pełni. Niektóre routery na przykład pokazują tylko użytkowników, którzy dołączyli do sieci poprzez DHCP. Urządzenia z estałym IP nie figurują na liście dostępnej na stronie konfiguracyjnej routera. Jeśli router posiada kilka sieci, dobrze, aby monitorowanie ich było niezależne, tak aby można było sprawdzić, jakie urządzenie jest w jakiej sieci.
Funkcje monitorowania mają także inne zalety, poza zapewnianiem zwiększonego bezpieczeństwa. Pozwalają na sprawdzenie, czy używane przez nas usługi (np. VPN) działają, czy łączymy się z bankiem w bezpieczny sposób etc. Dodatkowo, niektóre routery (np. Pepwave Surf SOHO) wyświetlają siłę sygnału urządzenia łączącego się poprzez interfejs bezprzewodowy. Urządzenia te mogą także pokazywać, jakie jest w danym momencie zużycie pasma przez danego użytkownika etc. Wszystkie te dane są zapisywane i dostępna jest historia z całego dnia.
Wiele routerów posiada port USB, do którego podłączyć można dysk twardy lub pendrive i udostępniać jego zawartość w sieci. Odkryta w maju 2015 roku usterka w NetUSB sprawiła, że taka funkcja pozostawia nas wrażliwymi na ataki. Jeśli to możliwe, trzeba wyłączyć tą funkcję, ale nie każde urządzenie na to pozwala.
Dostęp do strony konfiguracyjnej
Aby dostać się do strony konfiguracyjnej routera, najczęściej wykorzystujemy adres IP, jednakże może to być zbyt złożone dla zupełnych amatorów. Czasami, zamiast wpisywać to IP, podać możemy adres specjalnej strony, która przekieruje nas do konfiguracji urządzenia.
W przypadku Netgeara jest to www.routerlogin.com lub www.routerlogin.net. TP-LINK używa strony, tplinklogin.net, a Asus router.asus.com, Netis ma netis.cc, Edimax z kolei edimax.setup etc.
Takie rozwiązanie, jakkolwiek wygodne, zmniejsza poziom bezpieczeństwa naszej sieci – tego rodzaju aliasy upraszczają dostanie się do routera w sieci, co w większości wypadków jest początkiem jakiegoś ataku.
Ukrywanie SSID
Podobnie jak filtrowanie MACów, ukrywanie SSID sieci bezprzewodowej jest prostą metodą zapewnienia pewnego dodatkowego bezpieczeństwa. Jeśli nie musimy, nie rozgłaszajmy publicznie SSID naszej sieci Wi-Fi.
Aplikacje na smartfony
Niektóre routery wyposażone są w aplikacje na smartfony, którymi można nimi zarządzać. Tutaj pada szereg ważnych pytań – na ile bezpieczna jest ta aplikacja? Czy łączy się bezpośrednio z routerem, czy korzysta z pośrednictwa serwerów producenta sprzętu? Czy aplikacja korzysta z HTTP czy HTTPS? A może wykorzystywany jest Bluetooth? Warto zastanowić się nad tymi kwestiami.
Router prosto z paczki
Dla amatorów to bardzo istotna kwestia – na ile sprawny i bezpieczny jest router prosto z paczki? Jak bezpieczne są jego ustawienia domyślne?
Powiadomienia o nowych urządzeniach
Czy router jest w stanie wysyłać powiadomienia o nowych urządzeniach? Bardziej zaawansowane urządzenia są w stanie np. wysłać e-mail o pojawieniu się nowego urządzenia – nowego adresu MAC – w sieci. Urządzenia firmy Eero podobno mają taką możliwość, podobnie jak Norton Core (ale tylko dla sieci dla gości) oraz Aztech AIR-706P, wyposażony w mobilną aplikację Aztech Smart Network jest w stanie wysyłać powiadomienia na urządzenie mobilne informujące, że coś połączyło się z naszym routerem.
Historia urządzeń w sieci
Czy router przechowuje informacje o urządzeniach, jakie podłączały się do sieci? Dobrze jest mieć możliwość przejrzenia tego rodzaju informacji, szczególnie po wylogowaniu się danego urządzenia z sieci.
Dodatkowe, przydatne funkcje bezpieczeństwa
VLAN
Wirtualne sieci LAN być może powinny znaleźć się na powyższej liście, ale w większości wypadków jest to jedynie dodatkowe i niebezpośrednie zabezpieczenie.
Dobrze jest podzielić naszą sieć LAN na logiczne sekcje, które są od siebie oddzielone. Dzięki temu atakujący, nawet jeżeli uzyska dostęp do jednej z sekcji, nie będzie miał dostępu do całej sieci naraz.
VPN i Tor
Router może wspierać VPNy oraz sieć Tor. Przydaje się to, jeśli np. korzystamy z Internetu w podróży i chcemy zabezpieczyć nasze urządzenia, jeśli korzystamy z nieznanej sobie sieci.
Możliwość zmiany adresu MAC punktu dostępowego
Opcja taka nie jest zbyt popularna w konsumenckim sprzęcie, jednakże jest bardzo wartościowa. W większości przypadków możliwość zmiany adresu MAC dotyczy jedynie portu WAN, rzadko kiedy można zmieniać MAC punktu dostępowego sieci bezprzewodowej.
Dodatkowe opcje, niezwiązane z bezpieczeństwem
Istnieje szereg dodatkowych funkcji, jakie są po prostu przydatne w routerze sieciowym. Na przykład opcja Wake on LAN (WOL) – wybudzania urządzeń w sieci z pomocą klasycznego połączenia WOL. Pozwala to na zdalne uruchamianie naszego komputera spoza sieci, jeśli chcemy mieć do niego dostęp.
Pomoc kontekstowa
Dobrze, jeśli router wyposażony jest w odpowiednią dokumentację. Jeszcze lepiej, jeśli jest to kontekstowa pomoc, a nie monolityczny podręcznik korzystania z urządzenia. Jest to tym ważniejsze, im mniejszy jest poziom umiejętności osoby instalującej urządzenie.
Szybkość i wydajność
Nie jest to może dodatkowa opcja, ale z pewnością nie można pominąć tego czynnika. Warto zaznajomić się z rankingami szybkości poszczególnych routerów – ma to spory wpływ na prędkość działania naszej sieci.
Zewnętrzne, odłączane anteny
Zewnętrzne anteny są znacznie wygodniejsze w wykorzystaniu, dają lepszy zasięg sieci Wi-Fi i, jeśli pozwalają na odłączenie ich, mogą zostać wymienione, gdy zostaną uszkodzone albo są dostępne nowe i lepsze anteny.
Diody status
Może to trywialne, ale diody sygnalizujące działanie poszczególnych portów/interfejsów routera są bardzo pomocne w codziennym monitorowaniu pracy urządzenia.
Źródło: https://www.routersecurity.org/checklist.php
Cool? Ranking DIY
