شاید تا حالا به این موضوع چندان توجه نکردهاید، اما «روتر» (router) یکی از مهمترین گجتهای موجود در منزل شما است. بدون این دستگاه، هیچگونه اتصال وای فای برای لپتاپها، گوشیها و دیگر گجتهای وابسته به اینترنت وجود نخواهد داشت. تمام ارتباطات شبکهی خانگی شما، از روتر رد میشود. دستگاه روتر را بهعنوان یک ایستگاه مرزی فرض کنید. در چنین فرضی، دادهها مانند افراد و اجناسی هستند که پیوسته میروند و میآیند. ایستگاههای مرزی نیاز به حفاظت و مراقبت دارند. نهتنها برای دور نگهداشتن مهمانهای ناخوانده، بلکه برای جلوگیری از نصب دوربینهای جاسوسی که نوع و تعداد ماشینهای وارد و خارج شده را بررسی میکنند. اگر با تشبیه ما همراه شده باشید احتمالا متوجه شدهاید که منظور ما سابقه سایتهایی است که به آنها سر میزنید.
تاریخچهی امنیت پایین روترها
از آنجا که روترها گذرگاه انواع و اقسام دادههای کاربران محسوب میشوند، احتمالا فکر میکنید که امنیت این دستگاهها در اولویت نخست سازندگان آنها قرار دارد. اما لزوما اینگونه نیست. هر روز آسیبپذیریهای جدیدی از این دستگاهها فاش میشود و به اغلب هم کسی به آنها توجه نمیکند.
بنا به گزارشی که در سال 2014 منتشر شد، 20 روتر از 25 روتر خانگی پرفروش در سایت آمازون، ضعفهای امنیتی داشتند. در یکسوم موارد، این ضعفها در اینترنت بهصورت عمومی منتشر شده بودند. در سپتامبر سال جاری، یک محقق امنیتی 10 آسیبپذیری مهم یکی از روترهای خانگی شرکت D-Link را افشا کرد. در همین ماه گذشته، مشخص شد که یک بدافزار توانسته از حدود 100 هزار مودم ZyXEL برای تشکیل شبکهی «باتنت» (botnet) استفاده کند.
علاوه بر موارد ذکرشده، باید به آسیبپذیری امنیتی مهم KRACK هم اشاره کنیم. چندی پیش دو محقق بلژیکی متوجه یک ضعف امنیتی جدی در پروتکل WPA2 شدند. باوجود چنین ضعفی، بخش اعظمی از روترها تا زمان دریافت بهروزرسانی از جانب شرکت سازنده، آسیبپذیر خواهند بود. با توجه به این مسائل، اگر میخواهید شبکهی خانگی و گجتهای متصل به آن را ایمن نگه دارید، اول از هر چیزی باید به فکر افزایش امنیت روتر باشید.
روتر چگونه کار میکند؟
از لحاظ فنی، روتر بهعنوان رابط گجتها و مودم انجام وظیفه میکند. در حقیقت این مودم است که ارتباط ما را با دنیای اینترنت برقرار میکند. هرچند این روزها، بیشتر شرکتها روتر و مودم را در یک دستگاه ادغام کردهاند. به همین دلیل وقتی در مورد روتر سخن به میان میآید، عمدتا منظور افراد همین دستگاههای تلفیقی است.
روتر با «بستههای داده» (data packets) سروکار دارد. تمام صفرها و یکهایی که عکسهای اینستاگرام یا تماسهای اسکایپ را ایجاد میکنند، در بستههای مشخصی قرار میگیرند و آمادهی مخابره میشوند. دادهها را بهعنوان انواع و اقسام اجناس در یکی از انبارهای بزرگ دیجیکالا در نظر بگیرید که پیوسته و با سرعت زیادی در حال رفتوآمد هستند. بهطور مثال اگر فرزند شما در حال تماشای آنلاین یک فیلم است و شما هم دارید یک آهنگ را بهصورت آنلاین گوش میدهید، روتر باید بتواند این دادهها را از هم جدا نگه دارد و از جاسوسی گجتها نسبت به یکدیگر گجتها جلوگیری کند.
مبانی امنیت روتر
اگر بخواهیم به سادهترین شکل ممکن توضیح دهیم، روترها از آدرس IP مشخصی بهره میبرند که میتوان آن را بهعنوان کد پستی در دنیای اینترنت در نظر گرفت. کاری که روترها انجام میدهند این است آدرسهای IP محلی و مجزای گجتها را به یک IP جهانی تبدیل میکنند. به همین خاطر اگر مثلا دزدان بخواهند از یک محله دزدی کنند، بهجای مشاهدهی تکتک خانهها، تنها با یک در اصلی مواجه میشوند. البته دزدی در چنین موقعیتی هرچند سختتر میشود، ولی باز هم امکانپذیر است.
بیشتر بخوانید: 10 روش برای تقویت شبکه Wi-Fi در خانه و محل کار
هر روتری از یک «دیوار آتشین» (firewall) ابتدایی بهره میبرد که از ورود دادههای ناخوانده جلوگیری میکند. روتر چنین کاری را با استفاده از روش NAT (مخفف Network Address Translation یا برگردان آدرس شبکه) انجام میدهد. این پروتکل همانطور که گفتیم آدرسهای IP محلی گجتها را پشت یک IP واحد مخفی میکند.
هر بستهی دادهای که به روتر راه پیدا میکند، باید مشخصا از جانب گوشی، لپتاپ یا دیگر گجتهای موجود در شبکهی خانگی شما درخواست شده باشد. در غیر این صورت، جلوی ورود چنین بستهای گرفته میشود. پروتکل NAT این کار را با بررسی مبدأ درخواستها انجام میدهد و اگر این مبدأ ارتباطی با یکی از گجتهای موجود در شبکه نداشته باشد، چنین درخواستی لغو میشود.
به زبان سادهتر، فرض کنید که یک پیک (بستهی داده) به بخش ارسال و مراسلات (روتر) یک شرکت مراجعه میکند. اگر مثلا کارمندی از آن شرکت از قبل چنین بستهای را درخواست داده باشد و روی بسته هم مشخصات کاملی درج شده باشد، مسئول بخش ارسال و مراسلات اجازه میدهد که بسته وارد شرکت شود و به فرد مورد نظر برسد. اما اگر مقصد دقیق چنین بستهای مشخص نشده باشد، مسئول بخش ارسال و مراسلات اجازهی ورود آن بسته را نخواهد داد.
فروارد کردن پورت و مشکلات امنیتی آن
سیستم امنیتی پیشفرض روتر عملکرد چندان بدی ندارد. اما در هنگام استفاده از سرویسها یا اپلیکیشنهایی که نیاز به دسترسی خاصی دارند، مشکلات این سرویس پیشفرض نمایان میشود. ازجملهی این موارد مشکلزا میتوان به اتصال به سرور بازی یا شبکههای تورنت اشاره کرد.
برای بهره بردن از چنین سرویسها و برنامههایی، روش «فروارد کردن پورت» (port forwarding) مورد استفاده قرار میگیرد. با استفاده از این روش، درخواستهای معتبر مربوط به پورتهای مختلف، تغییر مسیر میدهند و در جای درست قرار میگیرند. از لحاظ تئوری، این روش کار کاربران را راحتتر میکند و مثلا بدون نیاز به تغییر گستردهی تنظیمات روتر، میتوانند از محل کار خود به کامپیوتر خانگیشان دسترسی داشته باشند.
یکی از پروتکلهای مورد استفاده درزمینهی فروارد کردن پورت، UPnP یا Universal Plug and Play است که در بیشتر مودمهای امروزی وجود دارد. هدف اصلی این پروتکل این است که مثلا کنسولهای بازی و تلویزیونهای هوشمند و دیگر گجتها بدون نیاز به تنظیمات دستی پیچیده، دسترسی راحتتری به پورتهای باز داشته باشند. اما در بسیاری از موارد همین پورتها از جانب بدافزارها مورد سواستفاده قرار میگیرند.
بیشتر متخصصین توصیه میکنند که در صورت عدم نیاز به پروتکل UPnP، آنها را در تنظیمات روتر غیرفعال کنید. گجتهای مربوط به اینترنت اشیاء از جمله گجتهایی هستند که به کرات از این پروتکل استفاده میکنند. به همین خاطر باید به نحوهی ارتباط این گجتها با روتر توجه داشته باشید.
محافظت از شبکهی داخلی
تا اینجا به شیوههایی اشاره کردیم که روتر با استفاده از آنها شبکهی وای فای خانگی شما را از حملات خارجی محافظت میکند. اما در مورد امنیت شبکه در برابر گجتهای محلی چه کاری از دست ما برمیآید؟ همانطور که احتمالا میدانید، مانع اصلی برای دسترسی به شبکه، رمز وای فای است که اجازه نمیدهد، مهمانهای ناخوانده وارد شبکه شوند.
ایمنترین پروتکل برای رمز وای فای پروتکل WPA2 (مخفف Wireless Protected Access 2) است. اگر در حال حاضر از پروتکلهای WEP یا WPA استفاده میکنید، هرچه زودتر از آنها دست بکشید و به استفاده از WPA2 روی بیاورید. با وجود انتشار خبرهایی مبنی بر ایمن نبودن WPA2، این پروتکل همچنان ایمنترین پروتکل موجود محسوب میشود.
اصلیترین نقطه قوت WPA2، رمزنگاری دادهها است. همانطور که رمزنگاری دادههای روی گوشی موبایل اندرویدی یا آیفون شما را محافظت میکند، WPA2 چنین کاری را برای شبکه انجام میدهد تا کسی نتواند به دادههای شبکهی داخلی شما دسترسی داشته باشد. WPA2 برای رمزنگاری از استاندارد AES بهره میبرد که در سرتاسر جهان و در زمینههای مختلفی مورد استفاده قرار میگیرد.
بدون کلید رمزگشایی (رمز عبور وای فای) کسی نمیتواند به شبکه نفوذ کند و از طریق روتر شما به اینترنت وصل شود. البته با تلاش و صرف وقت زیاد امکان دستیابی به چنین رمز عبورهایی وجود دارد. بهطور مثال میتوانیم به حملهی brute force اشاره کنیم که در این روش تمام حالات ممکن تا رسیدن به رمز عبور مورد بررسی قرار میگیرد. اما چنین حملههایی آنقدر وقتگیر هستند که معمولا کمتر کسی برای حمله به شبکههای خانگی از آنها استفاده میکند.
چگونه امنیت وای فای و روتر را بالا ببریم؟
در مورد امنیت شبکه، دو راه پیش روی شما قرار دارد: یک این که بهطورکلی هیچ کاری نکنید و این مسائل را بر عهدهی روتر بگذارید. دوم این که رویکرد فعالانهای را اتخاذ کنید و امور را در دست خود بگیرید. در حقیقت، اول از همه توصیه میکنیم که به فکر تعویض روتر باشید؛ زیرا روترهایی که از جانب شرکتهای اینترنتی توزیع میشوند آنقدر همهگیر هستند که به هدف اصلی حملات هکرها بدل میشوند.
یکی دیگر از مسائل حائز اهمیت، بحث بهروزرسانی Firmware روتر است. معمولا در طول عمر روترها بهروزرسانیهای چندانی برای آنها منتشر نمیشود. ولی بهتر است که هر چند وقت یکبار سری به سایت سازندهی روتر یا شرکت اینترنتی خود بزنید تا در صورت انتشار بهروزرسانی، بتوانید آنها را دانلود و نصب کنید. یکی دیگر از مسائل مهم، تعویض نام کاربری و رمز عبور پیشفرض تنظیمات روتر است. این مورد ربطی به رمز عبور وای فای شما ندارد و برای زمانی است که میخواهید وارد بخش تنظیمات روتر شوید.
از آنجا که بخش تنظیمات بیشتر روترها نام کاربری و رمز عبوری یکسانی دارند، اگر کسی درون شبکهی شما باشد، بهراحتی میتواند تنظیمات مربوط به رمز وای فای، فوروارد کردن پورت، UPnP و دیگر موارد را تغییر دهد. البته همانطور که گفتیم کسی میتواند چنین کاری را انجام دهد که به شبکهی مذکور دسترسی داشته باشد. به همین خاطر بدون داشتن رمز وای فای یا دسترسی فیزیکی به روتر، انجام چنین مواردی امکانپذیر نیست.
علاوه بر این فکر بدی نیست که هر از گاهی رمز عبور وای فای را هم تغییر دهید. درست است که مجبور میشوید زحمت اتصال دوبارهی تمام گجتهایتان به شبکه را بپذیرید، ولی این کار کمک میکند دسترسی تمام افرادی را که به هر شکلی بدون اطلاع شما به شبکه وصل میشوند قطع کنید.
در نهایت، بهتر است گزینهی مربوط به استاندارد WPS یا Wi-Fi Protected Setup موجود در تنظیمات روتر را غیرفعال کنید. این استاندارد برای راحتتر کردن اتصال گجتها طراحی شده تا این وسایل بتوانند از طریق یک پین 8 رقمی یا فشار دکمه به روتر وصل شوند. اما از آنجا که حدس زدن این اعداد با حملات brute force کار چندان سختی نیست، این شیوه امنیت لازم را ندارد و بهتر است که این مشخصه را غیرفعال کنید.
برخی از سازندگان روترها درزمینهی WPS مشخصههای پیشگیرانهای را تعبیه کردهاند. ازجملهی این مشخصهها، میتوان به مشخص کردن حداکثر تعداد تلاش برای اتصال به روتر اشاره کرد. با وجود تمام این اقدامات، باز هم بهتر است که گزینهی دسترسی از طریق پین را غیرفعال کنید. با چنین کاری، میتوانید از طریق فشردن دکمهی WPS از این استاندارد استفاده کنید. اگر فرد غیر قابل اعتمادی در محیط خانهی شما نباشد، چنین روشی ایمن محسوب میشود.
منبع: Gizmodo
برای عضویت در خبرنامه و شرکت در قرعهکشی از اینجا ثبتنام کنید: