Следуйте этому руководству, чтобы убедиться, что сетевые устройства должным образом изолированы от Интернета. Если вы настроите все правильно, люди не смогут найти ваши устройства, выполнив поиск на Shodan.
Защитите свой маршрутизатор
В обычной домашней сети - если у вас нет других устройств, подключенных непосредственно к вашему модему - ваш маршрутизатор должен быть единственным устройством, подключенным непосредственно к Интернету. Предполагая, что ваш маршрутизатор настроен правильно, он будет единственным устройством, доступным из Интернета. Все остальные устройства подключены к вашему маршрутизатору или его сети Wi-Fi и доступны только в том случае, если маршрутизатор позволяет им быть.
Прежде всего: убедитесь, что ваш маршрутизатор защищен. Многие маршрутизаторы имеют функции «удаленного администрирования» или «удаленного управления», которые позволяют вам входить в ваш маршрутизатор из Интернета и настраивать его параметры. Подавляющее большинство людей никогда не будут использовать такую функцию, поэтому вы должны убедиться, что она отключена - если вы включили эту функцию и имеете слабый пароль, злоумышленник может удаленно войти в ваш маршрутизатор. Этот параметр вы найдете в веб-интерфейсе вашего маршрутизатора, если ваш маршрутизатор предлагает его. Если вам требуется удаленное управление, убедитесь, что вы изменили пароль по умолчанию и, если возможно, имя пользователя тоже.
Убедитесь, что ваш маршрутизатор уязвим для этой уязвимости UPnP, посетив ShieldsUP! веб-сайт и запустить «Мгновенный тест экспозиции UPnP».
Обеспечить доступ других устройств
Обеспечение того, чтобы ваши принтеры, камеры и другие устройства не были доступны через Интернет, достаточно просты. Предполагая, что эти устройства находятся за маршрутизатором и напрямую не подключены к Интернету, вы можете контролировать, доступны ли они из маршрутизатора. Если вы не перенаправляете порты на свои сетевые устройства или не размещаете их в DMZ, что полностью их раскрывает в Интернете, эти устройства будут доступны только из локальной сети.
Вы также должны убедиться, что функции переадресации портов и DMZ не отображают ваши компьютеры или сетевые устройства в Интернете. Только переадресация портов, которые вам действительно нужны, и уклоняться от функции DMZ - компьютер или устройство в DMZ получит весь входящий трафик, как если бы он был подключен непосредственно к Интернету. Это быстрый ярлык, который позволяет избежать необходимости переадресации портов, но устройство DMZ'd также теряет преимущества безопасности за маршрутизатором.
Вы также можете подумать о том, чтобы не разоблачать такие устройства в Интернете и вместо этого настраивать VPN. Вместо того, чтобы устройства напрямую подключались к Интернету, они подключены к локальной сети, и вы можете удаленно подключиться к локальной сети, войдя в VPN. Вы можете защитить один VPN-сервер более легко, чем вы можете защитить несколько разных устройств со своими встроенными веб-серверами.
Вы также можете попробовать более творческие решения. Если вам нужно только дистанционно подключиться к вашим устройствам из одного места, вы можете настроить правила брандмауэра на своем маршрутизаторе, чтобы обеспечить их доступ к удаленному доступу только с одного IP-адреса. Если вы хотите совместно использовать устройства, такие как принтеры в Интернете, вы можете попытаться настроить что-то вроде Google Cloud Print, а не подвергать их непосредственно.
Блокировать ваш Wi-Fi
Пока вы на нем, обязательно заблокируйте свои сети Wi-Fi.Новые устройства, подключенные к сети - от потокового устройства Chromecast от Google до беспроводных ламп Wi-Fi и всего прочего - обычно рассматривают вашу сеть Wi-Fi как безопасную зону. Они позволяют любому устройству на вашем Wi-Fi получать доступ, использовать и настраивать их. Они делают это по очевидной причине - более удобно использовать все устройства в сети как доверенные, чем запрашивать пользователей для аутентификации в их собственных домах. Однако это работает только в том случае, если локальная сеть Wi-Fi действительно безопасна. Если ваш Wi-Fi небезопасен, каждый может подключить и заблокировать ваши устройства. Они также могут просматривать любые файлы, которые вы поделили в сети.
Убедитесь, что на вашем домашнем маршрутизаторе установлены безопасные параметры шифрования Wi-Fi. Вы должны использовать шифрование WPA2 с довольно сильной кодовой фразой - в идеале достаточно длинную кодовую фразу с цифрами и символами в дополнение к буквам.
Когда все сводится к этому, это стандартные меры безопасности. Вам просто нужно убедиться, что ваши устройства обновлены с последними исправлениями безопасности, защищены надежными паролями и настроены безопасно.
Уделите особое внимание сети - маршрутизатор не должен быть установлен, чтобы показывать устройства в Интернете, если они не настроены безопасно. Даже тогда вы можете подключиться к ним удаленно через VPN для обеспечения дополнительной безопасности или убедиться, что они доступны только с определенных IP-адресов.