Keenetic aygıtlarında bağlantı kontrolü ve saldırı önleme özelliğine sahip yerleşik bir Güvenlik Duvarı ve varsayılan olarak etkinleştirilmiş bir ağ adresi çeviri (NAT) mekanizması bulunur. İnternet veya WAN arayüzünden ev ağ aygıtlarına gelen bağlantıları kısıtlarlar. Ağ aygıtlarınızı diğer kişilerden ve İnternet'ten gelen tehditlerden gizlemenizi ve korumanızı sağlar. Keenetic yönlendiricisine (web arayüzüne) İnternet'ten erişim varsayılan olarak engellenir. Yönlendiricinin ve yerel ağın güvenliğini ve yetkisiz erişime karşı korumasını garanti altına almak için uygulanır.
Wi-Fi ağındaki bilgilerin güvenliğine gelince, Keenetic yönlendiricinin kablosuz ağı varsayılan olarak IEEE 802.11i (WPA2 AES) güvenlik standardı tarafından korunmaktadır. Şifresi (güvenlik anahtarı) olmadan böyle bir ağa bağlanmak ve iletilen bilgileri okumak imkansızdır.
KeeneticOS sürüm 3.1'den başlayarak, kablosuz Wi-Fi ağı için gelişmiş koruma sağlamak amacıyla güncel güvenlik algoritmaları (WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise ve WPA3-192 Enterprise) uygulanmıştır. Ayrıntılar için ' En son Wi-Fi güvenliği: WPA3 ve OWE kurulumu ' makalesine bakın.
Keenetic cihazları ayrıca Korunan Yönetim Çerçeveleri için IEEE 802.11 serisi standartlarından IEEE 802.11w standardını da destekler. Bu işlevsellik, yönetim çerçeveleri içinde veri gizliliğini sağlayarak güvenliği artırır.
Önemli! Yönlendirici, fabrika ayarlarıyla dışarıdan gelen saldırılara ve tehditlere karşı tamamen korunmaktadır ve yönlendirici için karmaşık* bir yönetici parolası oluşturmanın dışında ek bir yapılandırma gerektirmez. Mimari olarak, yönlendiricinin hizmetleri bilgisayar korsanlarının kullanabileceği sürekli açık portlar veya arka kapılar kullanmaz.
Keenetic yönlendiricinin güvenliğini sağlamak için güncellemeleri düzenli olarak kontrol etmenizi ve zamanında yüklemenizi öneririz. Otomatik işletim sistemi güncelleme işlevini kullanın (varsayılan olarak etkindir). Cihazınızda güncel bir KeeneticOS sürümü yüklüyse, güncellemek için zaman kaybetmenize gerek kalmaz.
Bilgilerinizi güvende tutun - yönlendirici yöneticinizin parolasını yabancılarla paylaşmayın.
- — Karmaşık (güvenli) parola, tahmin edilmesi zor ve kaba kuvvet saldırısıyla bulunması uzun zaman alan bir paroladır. KeenDNS
hizmetimizi kullanırken , dijital sertifika ve HTTPS özel anahtarı doğrudan hedef cihazda (yönlendiricide) saklanır. HTTPS protokolünü kullanarak bir bulut sunucusu üzerinden erişimle, yönlendiriciye güvenli bir tünel oluşturulur; İnternet üzerinden iletilen verilerin güvenliğini ve gizliliğini sağlar. Oturum, uçtan uca şifreleme kullanılarak kurulur. Bu, HTTPS üzerinden yönlendirici ve tarayıcı arasında iletilen bilgilerin, taşıma katmanı veri iletimi sağlayan KeenDNS bulut sunucuları tarafından kullanılamayacağı anlamına gelir. HTTP üzerinden bulut erişimiyle, KeenDNS dijital sertifikası kullanılarak yönlendirici ve KeenDNS sunucusu arasında güvenli bir kanal kurulur ve bu da veri güvenliğini ve müdahaleye karşı korumayı garanti eder. Ağ cihazlarına uzaktan erişim için 4. seviye KeenDNS etki alanı adlarını kullanırken dikkatli olun. Bazı cihazlarda kimlik doğrulaması olmadan (şifre olmadan) erişimin ücretsiz olduğu genel bir web arayüzü bulunur. KeenDNS kullanarak böyle bir cihaza uzaktan erişimi açmak güvenli değildir. Yönlendirici aracılığıyla bu tür cihazlara uzaktan erişim için KeeneticOS'ta zorunlu kimlik doğrulamayı etkinleştirebilirsiniz .
Ancak kullanıcı, yönlendiriciyi kendisi yapılandırarak bir güvenlik açığı (bir açık) oluşturabilir. Bu özellikle güvenlik duvarı kurallarının ayarlanması, port yönlendirme, yönlendiriciye uzaktan bağlantı, ev ağı kaynaklarına erişim ve Wi-Fi kablosuz/misafir ağı ayarları ile ilgilidir.
Teoride, potansiyel bir saldırgan yönlendiriciye uzaktan (İnternet veya İSS ağı gibi harici bir WAN arayüzünden) veya yerel olarak (örneğin bir Wi-Fi yönlendirici ağından) erişebilir. Cihazın yetkisiz kişiler tarafından erişilememesini sağlamak kullanıcının sorumluluğundadır.
Önemli! Gerekli olmadıkça açık bir Wi-Fi ağı (korumasız) kullanmayın; güvenli değildir, çünkü ağınıza diğer istemciler serbestçe bağlanabilir ve açık ağlarda iletilen veriler şifrelenmez.
İnternete erişmek için özel bir IP adresi kullanıyorsanız , yönlendiricinizin İnternet saldırılarına karşı ekstra koruması konusunda endişelenmenize gerek kalmaz. Özel bir IP adresiyle, yönlendiriciye İnternet üzerinden doğrudan erişim sağlanamaz. Ayrıca, varsayılan olarak, güvenlik duvarı ve ağ adresi çevirisi (NAT) mekanizması tarafından harici erişim yasaklanmıştır. Yönlendiricinin yönetici hesabı (admin) için karmaşık bir parola belirlemek yeterlidir.
Genel bir IP adresi kullanırken , ek güvenlik kuralları kullanmalısınız. Bu durumda, yönlendirici İnternet üzerinde görünür olur ve ona karşı çeşitli tehditler ve saldırılar mümkündür.
Önemli! KeeneticOS 3.4.6'dan başlayarak, bulut altyapısı ve Keenetic aygıtlarındaki aygıt yazılımı imzası için dijital sertifika periyodik olarak yenilenir. Daha sonra önceki dijital sertifikalar iptal edilir. Bu, KeeneticOS güncellemelerinin ve Keenetic hizmetlerinin güvenliğini artırmak için yapılır.
Ek koruma araçları:
Yönlendirici için en az 8 karakter uzunluğunda karmaşık bir yönetici parolası belirleyin ; Rastgele parolalar oluşturun; Parolaya sayılar ve diğer karakterler ekleyin; Farklı siteler veya amaçlar için aynı parolayı kullanmaktan kaçının; Parolanın güç düzeyini buradan kontrol edin; Karmaşık parolalar oluşturmak için bir parola yöneticisi kullanın ;
Wi-Fi ağınıza bağlanmak için güçlü bir parola kullanın . Varsayılan yönlendiricinin tahmin edilmesi zor ve kaba kuvvet saldırısıyla bulunması uzun zaman alan güçlü bir parolası vardır;
Yönlendiricideki tüm cihazlarınızı kaydedin ve kayıtlı olmayan tüm cihazların erişimini engellemek için ' İnternet Yok ' erişim profili veya kayıtlı olmayan cihazlar için hız sınırı ayarlayın;
Tüm ev cihazlarınızı tehlikeli sitelerden, çevrimiçi hizmetlerden ve diğer tehditlerden korumak için güvenli İnternet erişimi için önceden yüklenmiş İnternet filtrelerinden ( SafeDNS , AdGuard DNS , Cloudflare DNS , NextDNS ) birini kullanın;
DNS trafiğini korumak için DNS isteklerini şifrelemenize olanak tanıyan DNS over TLS ve DNS over HTTPS protokollerini kullanabilirsiniz. Bu protokoller için destek KeeneticOS sürüm 3.0'dan itibaren mevcuttur. Birincil amaçları, DNS trafiğini şifrelemek, müdahaleyi önlemek ve ek gizlilik ve güvenlik sağlamaktır. ' DNS sorgularını şifrelemek için DNS-over-TLS ve DNS-over-HTTPS protokolleri ' talimatlarında daha fazla bilgi bulabilirsiniz;
'Beyaz Liste' oluşturarak Wi-Fi Erişim Kontrolü özelliğini kullanabilirsiniz . Bu durumda yönlendirici, bu listede olmayan tüm istemcilerin bağlantısını engelleyecektir;
Üçüncü taraflara geçici İnternet erişimi sağlamanız gerekiyorsa, bu amaçla Wi-Fi Misafir Ağı'nı kullanın. Bu, yalnızca İnternet erişimi olan ayrı bir ağdır. Aynı zamanda, Misafir Ağı'na bağlı cihazlar , örneğin arkadaşlarınızın cihazlarında bulunan virüslerden ve kötü amaçlı yazılımlardan korumak ve güvenliğini sağlamak için ev ağınızın kaynaklarından izole edilecektir;
Wi-Fi ağınızın güvenlik seviyesini artırmak için WPS Hızlı Kurulum özelliğini devre dışı bırakabilirsiniz ;
Yerel ağ güvenliğini artırmak için, Keenetic mobil uygulamamızı kullanarak ağa bağlanan yeni bir kayıtlı olmayan cihazın bildirimlerini e-posta adresinize, push bildirimleri (mobil cihazınızdaki Keenetic uygulamasından gelen bildirimler) veya Telegram messenger uyarısı olarak gönderebilirsiniz. Daha fazla bilgi için lütfen ' Belirli bir ev ağı cihazını açmak/kapatmak için bildirimleri ayarlama ' kılavuzuna bakın;
Üçüncü taraf bir uygulama aracılığıyla yönlendiriciye bağlanmak için, yalnızca istenen sunucuya erişime izin veren özel bir kullanıcı hesabı oluşturmanızı öneririz (örneğin yalnızca SMB USB depolama , WebDAV sunucusu veya VPN sunucusu ). Güvenlik nedeniyle, yönlendirici yönetici hesabı kullanmayın. Sınırlı haklara sahip bir kullanıcı hesabı uygulayın.
SSID'yi Gizle işlevi kablosuz ağın gizli SSID modunu etkinleştirir. Bunu kullanırsanız, Wi-Fi ağınızın adı kullanıcıların cihazlarındaki kullanılabilir kablosuz ağlar listesinde görüntülenmeyecektir (hiçbir SSID görünmeyecektir), ancak ağın varlığını ve adını bilen kullanıcılar ağa bağlanabilecektir.
Ayrıca, İnternet erişimi için genel IP adresine sahip cihazlar için:
Gerekli olmadıkça HTTP üzerinden ve özellikle TELNET üzerinden Keenetic web arayüzüne internet üzerinden uzaktan erişime izin vermeyin ;
Yönlendiricinin standart kontrol portlarını değiştirmenizi öneririz . Örneğin, HTTP üzerinden kontrol portunu 80'den 8080'e ve TELNET üzerinden kontrol portunu 23'ten 2023'e değiştirin; Yönlendirici web arayüzüne yalnızca HTTPS protokolü üzerinden uzak bağlantı kullanımını etkinleştirin (bu özellik KeeneticOS v3.1'den itibaren uygulanır);
KeeneticOS 2.12 sürümünden itibaren, yönlendirici komut satırına güvenli bir şekilde bağlanmamızı sağlayan SSH (Güvenli Kabuk) sunucusu eklendi. Cihaza İnternet'ten bağlanırken TELNET yerine SSH bağlantısı kullanmanızı öneririz. Standart SSH kontrol portunu 22'den başka bir portla, örneğin 2022 ile değiştirin;
Yerel ağa uzaktan erişim için, ağ aygıtları (örneğin, IP kamera , ağ medya oynatıcısı veya USB sürücüsü ) dahil olmak üzere, port yönlendirme kurallarını kullanarak erişimi açmak yerine Keenetic üzerinde bir VPN sunucusu (örneğin, L2TP/IPsec , WireGuard , SSTP veya PPTP ) kullanmanızı öneririz . Bu durumda, VPN'e bağlanmak için ayrı bir kullanıcı hesabı oluşturun ve karmaşık bir kullanıcı parolası kullanın. Keenetic yönlendiricilerindeki VPN türleri kılavuzunda, yönlendiricilerimizde uygulanan tüm VPN türlerinin kısa bir açıklamasını bulacaksınız;
UPnP hizmetini kullanmıyorsanız , devre dışı bırakın. Bu durumda, NAT ve güvenlik duvarı kurallarının otomatik olarak oluşturulmayacağından emin olursunuz. Örneğin, UPnP hizmeti yerel ana bilgisayardan kötü amaçlı yazılım kullanabilir;
Bazı durumlarda, belirli portları manuel olarak açmanız gerekebilir ( port yönlendirmeyi ayarlayın ). Port yönlendirmede, tüm portları ve protokolleri bir LAN ana bilgisayarına yönlendirmek yerine, yalnızca sunucunun veya ağ aygıtının çalışması için gerekli olan belirli portları ve protokolleri açmanızı öneririz;
Yönlendirme kurallarını ve güvenlik duvarını kullanırken , erişimi kısıtlamak mümkündür; örneğin, yalnızca bir IP adresinden veya belirli bir alt ağdan erişime izin verirken diğerlerinin tümünü yasaklamak mümkündür;
Gerekirse, belirli LAN ana bilgisayarları için yönlendiricinin web arayüzüne erişimi engellemek, Telnet bağlantılarını engellemek, yalnızca belirli LAN bilgisayarlarının İnternete erişmesine izin vermek ve diğer herkesin erişimini engellemek vb. için güvenlik duvarı kurallarını kullanabilirsiniz. Daha fazla bilgi için Güvenlik Duvarı kuralı örnekleri eğitimine bakın;
Güvenlik duvarında, dış ağdaki (İnternetten) tüm kullanıcılara ping isteği gönderilmesine izin vermeyin.
İpucu:
— Keenetic yönlendiriciler, tüm durumlar ve tüm bağlantılar için farklı VPN bağlantı türlerini destekler: Wireguard, IPsec, SSTP, PPTP, OpenVPN, L2TP/IPsec ve sözde IPSec Sanal Sunucusu (Xauth PSK). Daha fazla ayrıntıyı Keenetic'teki VPN Türleri makalesinde bulabilirsiniz .
— KeeneticOS sürüm 2.08'den başlayarak, yönlendiricinin parolaları arayan robotlara karşı koruması iyileştirildi (kaba kuvvet saldırısına karşı koruma). Koruma, HTTP (TCP/80) ve Telnet (TCP/23) protokolleri aracılığıyla cihazın harici arayüzleri için kullanılır. Varsayılan olarak, bu koruma yönlendiricide etkindir. Birisi yönlendiriciye 3 dakika içinde 5 kez yanlış oturum açma kimlik bilgilerini girerse, IP adresi 15 dakika boyunca engellenir.
— KeeneticOS sürüm 2.12'den başlayarak, genel arayüzler için SSH ve FTP sunucusu parolalarını arayarak izinsiz giriş girişimlerini izlemek için parametreler ayarlamak mümkündür (işlev varsayılan olarak etkindir).
— OpenSSL kütüphanesi sürekli güncellenmektedir.
— KeeneticOS 3.1 sürümünden başlayarak, PPTP VPN sunucusunun parolalarını arayarak izinsiz giriş girişimlerini izlemek için parametreler ayarlama olanağı ekledik (bu özellik varsayılan olarak etkindir).
— Keenetic'te, potansiyel olarak savunmasız tüm WPS seçenekleri devre dışıdır (Pin kodu kullanımı varsayılan olarak devre dışıdır ve Pin kodu giriş algoritması, özellikle bilgisayar korsanlığına karşı değiştirilmiştir). WPSv2 mekanizması desteği ve WPS protokolüyle ilgili bilinen tüm güvenlik açıklarına (Pixie Dust saldırıları dahil) karşı koruma kullanılır.
— KeeneticOS'te, WPA2 KRACK güvenlik açığına (KRACK anahtarı yeniden yükleme saldırısı olarak bilinen WPA2 protokol güvenlik açığı) karşı koruma iyileştirildi.
— 802.11r Fast-BSS Transition (FT) CVE-2017-13082 gibi saldırılar ise, IEEE 802.11r standardını destekleyen Keenetic yönlendiricileri etkilemez.
— Keenetic yönlendiriciler CVE-2017-7494'e (WannaCry, SambaCry) karşı savunmasız değildir.
— DoS ve SYN-flood saldırılarına karşı koruma, yönlendirici işletim sistemi tarafından kullanılan Linux çekirdeğindedir.
Hizmet Reddi (DoS) ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları, cihaza birçok bağlantı açmaya dayanır. DDoS saldırıları, yönlendirildikleri nesne açısından eşler arası ağ işlemlerinden ayırt edilemez. Özellikleri nedeniyle, DDoS saldırıları ve bunlara karşı koruma, hem ev erişim cihazları hem de SOHO segmenti için düşük öneme sahiptir. DDoS saldırıları genellikle kurumsal yapılara, halka açık sitelere, veri merkezlerine vb. yöneliktir. Dağıtılmış hizmet reddi saldırıları genellikle İSS tarafında etkili bir şekilde çözülür.
— KeeneticOS sürüm 3.1'den başlayarak, 'HTTPS Erişimi' modu uygulanır - sertifika olmadan IP adreslerine ve yönlendirici etki alanı adlarına doğrudan erişimi yasaklar.
— KeeneticOS 3.4.1 sürümünden itibaren, DNS Yeniden Bağlama gibi saldırıların engellenmesi yönlendiricilerde uygulanıyor ve varsayılan olarak etkin.
— KeeneticOS 3.6.6, FragAttacks (Parçalanma ve Toplama Saldırıları) olarak bilinen Wi-Fi ağ güvenlik açıkları için düzeltmeler ekliyor: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. Güncelleme, tüm KN dizinli modeller için geçerlidir.
— Keenetic 3.7.1 sürümünden itibaren, KeeneticOS, kullanıcı kimlik bilgilerinde değişiklik yapıldıktan sonra güvenliği artırmak için etkin yönetim oturumlarını Keenetic web arayüzü ve mobil uygulama aracılığıyla temizler.
— 3.7.1 sürümünden itibaren, kullanıcı kimlik bilgilerinde değişiklik yapılmasının ardından KeeneticOS, güvenliği artırmak için web arayüzü ve Keenetic mobil uygulaması aracılığıyla etkin yönetim oturumlarını temizler.
— KeeneticOS 3.7.1 sürümünden itibaren, bulut modunda KeenDNS etki alanı adı aracılığıyla cihaza uzaktan erişim için parola kaba kuvvet koruması uygulanır.