nibiru.hu

 

 


Veritas Vincit!

Honlapom folyamatosan
építés alatt. (v 0.4.56)

Nyitóoldal, változásokInformatikaPolitika, közélet Magyar SzívvelEgészségSzabadidő, hobbiTudományEgyéb írások

Informatika - Biztonság - Vezetékes routerek beállítása lépésről lépésre              2008.04.16

Barátaim oldalai


Vezetékes routerek beállítása lépésről lépésre


Ez az oldal gyakorlatilag a WLAN routerek beállításairól szóló oldal testvére. Azért írtam meg, mert sokan kérték külön.

***

Kössük össze a gépet a routerrel, kapcsoljuk be először a routert, majd a számítógépet.
A DSL Bridge/Kábel modem ne legyen csatlakoztatva, vagy bekapcsolva, amíg legalább a tűzfalat nem aktiváltuk a routeren, (ennek ugyan alapbeállításnak kéne lennie, de sajnos  ez nem mindegyik routeren van így) vagy olyan számítógéppel csatlakozzunk a beállítás idejére, mely saját tűzfallal rendelkezik.

Keressük meg a leírásban a routerünk belső saját IP címét, (Ez általában 192.168.0.1, vagy 192.168.2.1, de akad olyan, amelyiknél paraméterezhető) és pötyögjük be a böngészőnkbe. Ha nincs kapcsolat, akkor vagy a számítógépünk nincs beállítva DHCP fogadására, és így nem kap IP címet a routertől, vagy a hálókártya drivere nincs rendesen fölinstallálva a gépre, vagy egészen egyszerűen csak hibás a kártya, vagy az UTP kábel ami a gép és a router között van. Ha megvan a kapcsolat, akkor írjuk be a gyárilag beállított alapjelszót, ami a leírásban szerepel. Egyes routerek felhasználói nevet is kérnek. Sokan szívtak már azzal, hogy a D-Link routerek leírásában "Admin" szerepel felhasználónévként, mikor pedig "admin" a felhasználó. Kis kezdőbetűvel.

Bent vagyunk!
 
  A kereskedelemben kapható routerekkel gyakran akadnak problémák, működési rendellenességek, (belassulás, fagyás, stb). Ezért még mielőtt nekikezdenénk az egésznek, töltsük le a gyártó oldaláról a legfrissebb elérhető firmware-t, és frissítsük a routerünket!
A frissebb firmware nem csak működési, de ismert biztonsági problémákat is orvosolhat. Bölcsebb dolog a frissítést előre megtenni, mert előfordulhat, hogy a frissítés során a beállítások az alapértékekre állnak vissza, sőt néha a mentést (lásd később) sem fogadja el, és kezdhetjük elölről a macerát.

   Ha készen vagyunk a frissítéssel, a legelső dolgunk még mindenek előtt az legyen, hogy változtassuk meg a gyári jelszót, nehogy később elfelejtsük! Nagyon sokan elkövetik azt a hibát, hogy változatlanul hagyják a gyári jelszót, ezzel utat nyitva mindenkinek aki a WAN-ról (tehát az internetről) érkezik. A gyári jelszó gyártónként eltérő, de mindegyik típusnál azonos, vagyis ennek ismeretében bárki bele tud túrni a routerünkbe, és átveheti az irányítást a gépeink fölött. Új jelszavunk lehetőleg minél bonyolultabb legyen, de ne felejtsük el ha lehet, különben kezdhetünk mindent elölről ha valami gubanc van. 

    Kapcsoljuk ki a Universal Plug and Play (UPnP) szolgáltatást a routerben. Ez a hanyag módon kialakított szabvány mindig is hordozott magában veszélyeket, ma már azonban hatalmas hiba bekapcsolva hagyni, ugyanis a UPnP ezen keresztül az internetről azt csinálnak a routerünk beállításaival amit akarnak. Ezen az úton nyitogatnak maguknak portokat a trójaiak. Ezek a Flash XSS-t (cross site scripting) használják a behatoláshoz, azaz ha letiltjuk a Flash animációkat, vagy szelektíven engedélyezzük őket pl. a NoScript nevű progival, akkor védekezhetünk is az ilyen fajta támadások ellen, de nem biztos, hogy ennyire meg akarjuk nehezíteni a saját dolgunkat.

Sajnos az összes gyártó összes routere érintett, tekintve, hogy a UPnP hibájáról van szó. Ha lehetséges, a későbbi firmware verziókban a gyártók minden bizonnyal majd javítani fogják, de ez nem lesz olyan egyszerű.

Ha eddig bekapcsolva használtuk, akkor könnyen lehet, hogy már fertőzöttek vagyunk.
Mivel a UPnP normális esetben csak nyitogatja a portokat a megfelelő alkalmazásoknak, de azt, hogy mi van nyitva nem mutatja meg, ezért a biztonság kedvéért a következőt kell tenni: szedd le a routerről a WAN kábelt, a router menüjében kapcsold ki a UPnP szolgáltatást, majd kapcsold ki és be a routert. Újraindítás után nézd meg, hogy csak azok a portok legyenek nyitva, amiket te állítottál be. ("rules and services" fül)

Az, hogy a UPnP-t nem szabad használni, azt jelenti, hogy azoknak, akik P2P hálózatokat használnak, vagy Torrenteznek, saját maguknak kell majd beállítani a port forwardingot, de legalább biztonságban lesznek.
 
  A router tűzfalát mindenképpen érdemes belőni. Hatékony, és praktikus védelem, mert bár a kifelé menő (pl. a spyware-ek által küldözgetett) adás ellen nem véd, de a külső támadások ellen sikeresen lehet felvenni vele a harcot.

  Ha van olyan opció a routeren, hogy "Discard ping to WAN" akkor azt kapcsoljuk be. Ez pingelhetetlenné teszi a routert az internet felől, azaz ha valakinek hackelgetni támad kedve, még véletlenül sem fog minket megtalálni. Kívülről ilyenkor gyakorlatilag úgy viselkedik, mintha nem is létezne.

  Állítsuk be a PPPOE paramétereket, azaz a szolgáltatóhoz való belépési adatokat.
Az elsődleges és másodlagos DNS beállításokkal ne bajlódjunk, ezt a szolgáltató megküldi a routernek, viszont ha fixre állítjuk, gyakoriak lehetnek a lassulások.

  Minden routeren megvan rá lehetőség, hogy a készre belőtt router beállításait
elmentsük. Ha ezt megtesszük, akkor később, ha valamiért hidegindítást kell végezni rajta, nem kell elölről szöszmötölni, elég, ha feltöltjük rá a mentést.

Nibiru

2008.04.16


 


 

                                       Copyright (c) nibiru.hu  - Minden jog fenntartva. A felhasználási feltételekről itt olvashatsz.