Cara Memperbaiki Keamanan Router Anda

Kebanyakan router gateway yang digunakan oleh pelanggan rumahan sangat tidak aman, dan beberapa router sangat rentan untuk diserang sehingga harus dibuang, kata pakar keamanan pada konferensi hacker HOPE X di New York.

"Jika router dijual di [rantai elektronik], Anda tidak ingin membelinya," kata konsultan komputer independen Michael Horowitz dalam presentasi. "Jika router Anda diberikan kepada Anda oleh penyedia layanan internet Anda [ISP], Anda tidak ingin menggunakannya juga, karena mereka memberikan jutaan dari mereka, dan itu menjadikan mereka target utama baik untuk agen mata-mata dan orang jahat. "

Horowitz merekomendasikan bahwa konsumen yang sadar keamanan akan meningkatkan ke router komersial yang ditujukan untuk usaha kecil, atau setidaknya memisahkan modem dan router mereka menjadi dua perangkat terpisah. (Banyak "gateway" unit, sering dipasok oleh ISP, bertindak sebagai keduanya.) Gagal salah satu dari opsi tersebut, Horowitz memberikan daftar tindakan pencegahan yang bisa dilakukan pengguna.

Masalah dengan router konsumen

Router adalah sumber yang penting tetapi tidak terdeteksi jaringan komputer modern, namun hanya sedikit pengguna rumahan yang menyadari bahwa mereka adalah komputer, dengan sistem operasi, perangkat lunak, dan kerentanan mereka sendiri.

"Sebuah router yang dikompromikan dapat memata-matai Anda," kata Horowitz, menjelaskan bahwa router di bawah kendali penyerang dapat melakukan serangan man-in-the-middle, mengubah data yang tidak terenkripsi atau mengirim pengguna ke situs web "jahat kembar" yang menyamar sebagai sering- menggunakan webmail atau portal perbankan online.

Banyak perangkat home-gateway kelas konsumen gagal memberi tahu pengguna jika dan kapan pembaruan firmware tersedia, meskipun pembaruan itu penting untuk memperbaiki lubang keamanan, Horowitz mencatat. Beberapa perangkat lain tidak akan menerima kata sandi lebih panjang dari 16 karakter.

Jutaan router di seluruh dunia memiliki protokol jaringan Universal Plug and Play (UPnP) yang diaktifkan pada port yang menghadap ke internet, yang membuat mereka terkena serangan eksternal.

"UPnP dirancang untuk LAN [jaringan area lokal], dan karena itu, tidak memiliki keamanan. Dalam dan dari itu sendiri, itu bukan masalah besar," kata Horowitz. Namun, dia menambahkan, "UPnP di internet seperti pergi untuk operasi dan memiliki dokter bekerja pada kaki yang salah."

Masalah lainnya adalah Protokol Administrasi Jaringan Rumah (HNAP), alat manajemen yang ditemukan pada beberapa router tingkat konsumen yang mentransmisikan informasi sensitif tentang router melalui Web di http: // [router IP address] / HNAP1 /, dan memberikan kontrol penuh kepada pengguna jarak jauh yang memberikan nama pengguna dan kata sandi administratif (yang banyak pengguna tidak pernah ubah dari default pabrik).

Pada tahun 2014, cacing router bernama TheMoon menggunakan protokol HNAP untuk mengidentifikasi router merek Linksys yang rentan yang dapat menyebar sendiri. (Linksys dengan cepat mengeluarkan patch firmware.)

"Segera setelah Anda tiba di rumah, ini adalah sesuatu yang ingin Anda lakukan dengan semua router Anda," kata Horowitz kepada kerumunan orang yang paham teknologi. "Pergilah ke / HNAP1 /, dan, semoga, Anda tidak akan mendapatkan balasan, jika itu satu-satunya hal yang baik. Terus terang, jika Anda mendapatkan balasan, saya akan membuang router."

Ancaman WPS

Yang terburuk dari semuanya adalah Wi-Fi Protected Setup (WPS), fitur kemudahan penggunaan yang memungkinkan pengguna melewati kata sandi jaringan dan menghubungkan perangkat ke jaringan Wi-Fi hanya dengan memasukkan PIN delapan digit yang dicetak pada router itu sendiri. . Bahkan jika kata sandi jaringan atau nama jaringan berubah, PIN tetap valid.

"Ini adalah masalah keamanan yang sangat besar yang dihapus," kata Horowitz. "Nomor delapan-digit itu akan membawa Anda ke [router] apa pun. Jadi tukang ledeng datang ke rumah Anda, menyalakan router, mengambil gambar bagian bawahnya, dan ia sekarang bisa masuk ke jaringan Anda selamanya . "

Itu PIN delapan digit bahkan tidak benar-benar delapan digit, Horowitz menjelaskan. Ini sebenarnya tujuh digit, ditambah digit checksum terakhir. Empat digit pertama divalidasi sebagai satu urutan dan tiga terakhir sebagai yang lain, menghasilkan hanya 11.000 kode yang mungkin, bukan 10 juta.

"Jika WPS aktif, Anda bisa masuk ke router," kata Horowitz. "Anda hanya perlu membuat 11.000 tebakan" - tugas sepele bagi sebagian besar komputer modern dan ponsel cerdas.

Kemudian, ada port jaringan 32764, yang oleh peneliti keamanan Prancis Eloi Vanderbeken pada tahun 2013 yang ditemukan telah ditinggalkan secara diam-diam di router gateway yang dijual oleh beberapa merek utama. Menggunakan port 32764, siapa pun di jaringan lokal - yang mencakup ISP pengguna - dapat mengambil kendali administratif penuh atas router, dan bahkan melakukan reset pabrik, tanpa kata sandi.

Pelabuhan ditutup di sebagian besar perangkat yang terkena dampak setelah pengungkapan Vanderbeken, tetapi dia kemudian menemukan bahwa itu dapat dengan mudah dibuka kembali dengan paket data yang dirancang khusus yang dapat dikirim dari ISP.

"Ini sangat jelas dilakukan oleh agen mata-mata, itu luar biasa," kata Horowitz. "Itu disengaja, tidak diragukan lagi."

Cara mengunci router rumah Anda

Langkah pertama menuju keamanan router rumah, kata Horowitz, adalah memastikan router dan modem bukan satu perangkat. Banyak ISP menyewakan perangkat semacam itu kepada pelanggan, tetapi mereka tidak memiliki kendali atas jaringan mereka sendiri.

"Jika Anda diberi satu kotak, yang kebanyakan orang saya pikir sebut gateway," katanya, "Anda harus dapat menghubungi ISP dan meminta mereka untuk mematikan kotak sehingga bertindak hanya sebagai modem. Lalu Anda dapat tambahkan router Anda sendiri ke dalamnya. "

Selanjutnya, Horowitz merekomendasikan agar pelanggan membeli router Wi-Fi / Ethernet kelas komersial kelas rendah, seperti Pepwave Surf SOHO, yang dijual seharga sekitar $ 200, bukan router ramah konsumen yang harganya hanya $ 20. Router kelas komersial kemungkinan tidak mengaktifkan UPnP atau WPS. Pepwave, Horowitz mencatat, menawarkan fitur tambahan, seperti rollback firmware jika pembaruan firmware berjalan salah.

Terlepas dari apakah router adalah komersial atau kelas konsumen, ada beberapa hal, bervariasi dari yang mudah ke sulit, yang dapat dilakukan oleh administrator jaringan rumah untuk memastikan router mereka lebih aman:

Perbaikan mudah

Ubah kredensial administratif dari nama pengguna dan kata sandi default. Mereka adalah hal pertama yang akan dicoba oleh penyerang. Petunjuk instruksi router Anda harus menunjukkan kepada Anda bagaimana melakukan ini; jika tidak, maka Google itu.

Ubah nama jaringan, atau SSID, dari "Netgear," "Linksys" atau apa pun standarnya, menjadi sesuatu yang unik - tetapi jangan berikan nama yang mengidentifikasi Anda.

"Jika Anda tinggal di sebuah gedung apartemen di apartemen 3G, jangan panggil SSID Anda 'Apartment 3G,'" kata Horowitz. "Sebut saja 'Apartemen 5F.'"

Aktifkan enkripsi nirkabel WPA2 sehingga hanya pengguna yang berwenang yang dapat masuk ke jaringan Anda.

Nonaktifkan Wi-Fi Protected Setup, jika router Anda memungkinkan Anda.

Atur jaringan Wi-Fi tamu dan tawarkan penggunaannya kepada pengunjung, jika router Anda memiliki fitur semacam itu. Jika memungkinkan, setel jaringan tamu untuk mematikan sendiri setelah jangka waktu tertentu.

"Anda dapat menyalakan jaringan tamu Anda, dan mengatur pengatur waktu, dan tiga jam kemudian, ia akan mati sendiri," kata Horowitz. "Itu fitur keamanan yang sangat bagus."

Jika Anda memiliki banyak perangkat rumah pintar atau perangkat Internet of Things, kemungkinannya banyak dari mereka tidak akan sangat aman. Hubungkan mereka jaringan Wi-Fi tamu Anda sebagai ganti jaringan utama Anda untuk meminimalkan kerusakan yang diakibatkan dari kompromi potensial perangkat IoT.

Jangan gunakan manajemen router berbasis cloud jika produsen router Anda menawarkannya. Sebaliknya, cari tahu apakah Anda dapat mematikan fitur itu.

"Ini ide yang sangat buruk," kata Horowitz. "Jika router Anda menawarkan itu, saya tidak akan melakukannya, karena sekarang Anda mempercayai orang lain antara Anda dan router Anda."

Banyak sistem "router mesh" baru, seperti Google Wifi dan Eero, sepenuhnya bergantung pada cloud dan hanya dapat berinteraksi dengan pengguna melalui aplikasi smartphone berbasis cloud. Sementara model-model itu menawarkan peningkatan keamanan di area lain, seperti pembaruan firmware otomatis, mungkin layak mencari router bergaya mesh yang memungkinkan akses administratif lokal, seperti Netgear Orbi.

Cukup sulit

Instal firmware baru saat sudah tersedia. Masuk ke antarmuka administratif router Anda secara rutin untuk memeriksa. Dengan beberapa merek, Anda mungkin harus memeriksa situs web produsen untuk peningkatan firmware. Router yang lebih baru, termasuk kebanyakan router mesh, akan secara otomatis memperbarui firmware. Tetapi memiliki router cadangan di tangan jika ada masalah.

Atur router Anda untuk menggunakan band 5-GHz untuk Wi-Fi daripada band 2,4-GHz yang lebih standar, jika mungkin dan jika semua perangkat Anda kompatibel.

"Band 5-GHz tidak melakukan perjalanan sejauh band 2,4-GHz," kata Horowitz. "Jadi jika ada orang jahat di lingkungan Anda satu atau dua blok jauhnya, ia mungkin melihat jaringan 2,4-GHz Anda, tetapi ia mungkin tidak melihat jaringan 5-GHz Anda."

Nonaktifkan akses administratif jarak jauh, dan nonaktifkan akses administratif melalui Wi-Fi. Administrator harus terhubung ke router melalui kabel Ethernet saja. (Sekali lagi, ini tidak akan mungkin dengan banyak router mesh.)

Kiat lanjutan untuk lebih banyak pengguna yang memahami teknologi

Ubah pengaturan untuk antarmuka Web administrasi, jika router Anda mengizinkannya. Idealnya, antarmuka harus menegakkan koneksi HTTPS aman melalui port non-standar, sehingga URL untuk akses administratif akan menjadi sesuatu seperti, untuk menggunakan contoh Horowitz, "https://192.168.1.1:82" daripada yang lebih standar "http://192.168.1.1", yang secara default menggunakan port 80 standar internet.

Gunakan mode penyamaran atau pribadi di browser saat mengakses antarmuka administratif sehingga URL baru Anda tidak disimpan dalam riwayat browser.

Nonaktifkan PING, Telnet, SSH, UPNP dan HNAP, jika memungkinkan. Semua ini adalah protokol akses jarak jauh. Daripada mengatur port yang relevan untuk "ditutup", atur ke "stealth" agar tidak ada respons yang diberikan kepada komunikasi eksternal yang tidak diminta yang mungkin datang dari penyerang yang memeriksa jaringan Anda.

"Setiap router memiliki opsi untuk tidak menanggapi perintah PING," kata Horowitz. "Ini benar-benar sesuatu yang ingin Anda aktifkan - fitur keamanan yang hebat. Ini membantu Anda bersembunyi. Tentu saja, Anda tidak akan bersembunyi dari ISP Anda, tetapi Anda akan bersembunyi dari seorang pria di Rusia atau China."

Ubah server Domain Name System (DNS) router dari server ISP sendiri ke server yang dikelola oleh OpenDNS (208.67.220.220, 208.67.222.222) atau Google Public DNS (8.8.8.8, 8.8.4.4). Jika Anda menggunakan IPv6, alamat OpenDNS yang sesuai adalah 2620: 0: ccc :: 2 dan 2620: 0: ccd :: 2, dan yang Google adalah 2001: 4860: 4860 :: 8888 dan 2001: 4860: 4860: : 8844.

Gunakan router jaringan pribadi virtual (VPN) untuk menambah atau mengganti perute yang ada dan mengenkripsi semua lalu lintas jaringan Anda.

"Ketika saya mengatakan router VPN, maksud saya router yang bisa menjadi klien VPN," kata Horowitz. "Kemudian, Anda mendaftar dengan beberapa perusahaan VPN, dan semua yang Anda kirim melalui router itu melalui jaringan mereka. Ini adalah cara yang bagus untuk menyembunyikan apa yang Anda lakukan dari penyedia layanan internet Anda."

Banyak router Wi-Fi rumah dapat "dinyalakan" untuk menjalankan firmware open-source, seperti firmware DD-WRT, yang pada gilirannya mendukung protokol OpenVPN secara asli. Kebanyakan layanan VPN komersial mendukung OpenVPN juga dan memberikan instruksi tentang cara mengatur open-source routers hingga menggunakannya.

Akhirnya, gunakan layanan pemindaian port Shields Up milik Gibson Research Corp. di https://www.grc.com/shieldsup. Ini akan menguji router Anda untuk ratusan kerentanan umum, yang sebagian besar dapat dimitigasi oleh administrator router.

Share this post