بقلم Tomas Foltyn، الكاتب في أمن المعلومات لدي شركة ESET
كيف تقوم بتأمين شبكتك؟ يرتبط هذا الامر في الأغلب بجهاز واحد يتحدث إلى جميع الأجهزة المتصلة بالإنترنت في منزلك: جهاز توجيه الشبكة اللاسلكي “الراوتر”. قد لا تخزن هذه الأداة المتواضعة أيًا من بياناتك الشخصية، ولكن مع كل حركة مرور تمر من خلالها تجعل العناية الجيدة بهذا الجهاز مكونًا أساسيًا لثقافة الأمان لديك. ومع ذلك، فإننا عادة ما نتجاهل المخاوف الأمنية التي تتعلق بأجهزة الراوتر الخاصة بنا.
في عصرنا المعتمد على التكنولوجيا، يعد هذا الصندوق الأسود الصغير محوريًا لأي شبكة منزلية (العديد من أجهزة الراوتر ليست سوداء أو مجرد صناديق، لكننا لن ندع ذلك يصرف انتباهنا، صحيح؟). هناك احتمال بأن جهاز الراوتر الخاص بك يتوسع كمودم، أو يمكن العكس، وخاصة إذا تم تزويدك به من قبل مزود خدمة الإنترنت (ISP). و عادةً ما يأتي جهاز الراوتر من الفئة الاستهلاكية بنقطة وصول لاسلكية مدمجة (WAP)، بحيث نستغنى عن فوضى الكابلات. وبغض النظر عن الإعدادات، فإن الراوتر جزءًا لا يتجزأ من أمان شبكتك.
ومع كل السحر الذي يمكن أن يقدمه، عادة ما ينسى جهاز الراوتر العادي بمجرد أن يبدأ في تحقيق غرضه الواضح الوحيد، وهو ربط منزلنا بالإنترنت. خالياً من بريق السحر .. مخفي في زاوية أو على الرف العلوي، يقوم هذا الجهاز بعمله بهدوء، ولا يجذب انتباهك أبدًا ما لم يحدث خطأ في اتصالك بالإنترنت. مما قد يدفع بالسؤال:
لماذا نهتم بأجهزة الراوتر؟
لأنه ببساطة، يمكن لجهاز الراوتر الغير آمن وضع جميع الأجهزة المتصلة على شبكتك تحت رحمة المهاجمين. فيمكن تشغيل عدد من تهديدات السلسلة الكاملة، ويمكن لجهاز الرواتر المخترق القيام بما يلي:
- إعادة توجيهك إلى صفحة ويب تخبرك ببيانات الاعتماد الخاصة بك.
- خداعك عبر التوجية إلى تثبيت إصدارات البرامج الضارة عبر برنامج شرعي.
- أن يتم اختطافك للقيام بهجمات في الوسط (MitM) مع إعتقادك أنها اتصالات آمنة ومشفرة.
- يتم دمجها في الروبوتات من أجل إطلاق هجمات DDoS ضد مواقع الويب أو حتى ضد جوانب البنية التحتية للإنترنت.
- يتم مشاركتها كمنصة للهجوم على الأجهزة الأخرى داخل شبكتك.
- أن تستخدم للتجسس عليك عبر أجهزة إنترنت الأشياء (IoT).
- يتم اختراقها مع البرامج الضارة مثل VPNFilter أو كتهديد آخر du jour، والذي يساء استخدامه للتعدين الخبيث السري.
وهذه ليست قائمة شاملة بأية حال.
ولتقوية جهاز الراوتر والبقاء في مأمن من عمليات الخداع التي يقوم بها القراصنة، تحتاج إلى الوصول إلى إعدادات الجهاز وتهيئتها بشكل صحيح. قد تبدو هذه مهمة شاقة، وهذا الإعتقاد بأتي فقط بسبب الخوف من المجهول. بالنسبة لمعظم المستخدمين كافية لتحسين أمان الراوتر بشكل كبير.
يمكن الوصول إلى إعدادات واجهة الموجه عادةً لاسلكيًا عن طريق كتابة عنوان IP الخاص بالموجه في أي شريط عنوان URL لمتصفح الويب (غالباً ما يكون عنوان IP 192.168.1.1 أو 192.168.0.1، ولكن تحقق من الملصق الموجود على جهازك أو ابحث عن العنوان على جوجل) . يمكن القول، إن أفضل طريقة هي ربط هذا الشيء المنسي منذ فترة طويلة والذي ربما يكون مغطى بطبقة سميكة من الغبار إلى الكمبيوتر المحمول عبر كابل Ethernet، ثم اكتب عنوان متصفح الويب فقط. في كثير من الحالات، يمكنك حتى الوصول إلى الإعدادات عبر تطبيق مخصص للهاتف الذكي.
هناك عدد قليل من الشروط اللازمة – ما عدا وجود جدار حماية قيد التشغيل، للحصول على جهاز راوتر أكثر أمان.
التخلص من الإعدادات الإفتراضية
يمكننا هنا أن نبدأ من المكان الذي توقفنا عنه في المقال الماضي: كلمات المرور تلعب دوراً ثابتاً عندما يتعلق الأمر بالحفاظ على أمان شبكتك الخاصة بشكل مضاعف، حتى عندما يتم طرح اتصالات واي-فاي في هذا المزيج. من بين جميع الإعدادات التي تمت تهيئتها مسبقًا من جهة التصنيع، فإن كلمة المرور للدخول إلى واجهة المسؤول الخاصة بالراوتر هي أول شيء يجب استبداله بكلمة مرور أو عبارة مرور قوية وفريدة. و إذا كان ذلك ممكنًا، فاختر اسم مستخدم غير عام بدلاً من الاسم الافتراضي، وهو شائع كأحد هذه الخيارات الخمسة: ” admin ” أو ” administrator ” أو ” root ” أو ” user ” أو لا يوجد اسم مستخدم على الإطلاق .
بجانب تقليل التكلفة للمصنعين، فإن هذه الإعدادات وبعض التكوينات الافتراضية الأخرى تهدف إلى تسهيل الإعداد واستكشاف الأخطاء وإصلاحها عن بُعد. ومع ذلك، فإن العامل المريح هو المتسبب في المشاكل- على سبيل المثال- تفاصيل تسجيل الدخول غالبًا ما تكون واضحة جدًا ومشتركة عبر نماذج أجهزة الراوتر. وفي الواقع، إن عمليات تسجيل الدخول يمكن لأي شخص أخذها عبر إجراء بحث دقيق على جوجل، أو حتى أسهل من ذلك: يكفي أن يجرب مجموعة واحدة من” اسم المستخدم / كلمة المرور” يسهل تخمينها على نحو سخي (في سياق “admin / كلمة المرور ‘) وقد تعمل بشكل جيد للغاية على جهاز الراوتر الضعيف التهيئة. ولقد وجد في اختبار شركة “إسيت” على 12000 جهاز راوتر منزلي في عام 2016 أن “واحدًا من كل سبعة أجهزة راوتر من هذا النوع يستخدم أسماء مستخدمين وكلمات مرور افتراضية مشتركة، بالإضافة إلى بعض التوليفات المستخدمة بشكل متكرر”.
من خلال أجهزة الرواتر التي تسمح بالاتصال اللاسلكي (وهو ما ينطبق على معظم أجهزة الراوتر للمستهلكين هذه الأيام)، قد يتم إعفاء العلامة التجارية والطراز من خلال الاسم الافتراضي للشبكة اللاسلكية. غيّر هذا الاسم – ويعرف أيضًا باسم معرف مجموعة الخدمات (SSID)- إلى شيء لا يحدد هويتك أو موقعك. و يمكنك أيضًا إيقاف بث SSID.
أيضًا تمكين ميزة “الإعداد اللاسلكي المحمي” (WPS) في الغالب بشكل افتراضي، والتي كانت تهدف في الأصل إلى مساعدة الأجهزة الجديدة على الوصول إلى الشبكة. و نظرًا لوجود خطأ في التنفيذ المعتمد على أرقام PIN الخاصة بالمُسجل وهذا يجعل الرقم سهل كشفه، ويمكن هدم WPS بسهولة. وفي نهاية المطاف سيمهد هذا الطريق للهجمات على كلمة المرور اللاسلكية، وأيضاً المعروف مسبقاً باسم المفتاح المشترك (PSK).
ميزة أخرى غالباً ما يتم تمكينها افتراضيًا على أجهزة الرواتر والتي تشكل خطرًا أمنيًا كبيرًا وهو مفهوم “وصل و شغل” Universal Plug and Play (UPnP). ما لم تكن متأكدًا من أنك تحتاج إلى UPnP، والذي يهدف إلى تمكين الاتصال بدون احتكاك بين الأجهزة المتصلة بالشبكة ولكنه يفتقر إلى أي آلية مصادقة، يجب عليك إيقاف تشغيله. أغلق أي بروتوكولات وأحظر أي منافذ غير مطلوبة، لأن ذلك سيقلل من فرص الهجوم على شبكتك.
إبقاء المتلصصون بعيداً
عندما يتعلق الأمر بكلمات مرور الواي-فاي (وبالتالي فإنك تتحكم في من يمكنه الوصول إلى شبكتك اللاسلكية)، فهذه هي فرصتك لتكون مبدعًا. يمكنك أن تصل إلى 63 حرفًا و رقماً، ولكن لا ينبغي استغلال هذا العدد حقًا. تأكد من أن كلمة المرور أو عبارة المرور الخاصة بك طويلة ومعقدة، بحيث يمكن أن تصمد أمام أي هجمات قوية والتي ستتطلب محاولات لا حصر لها للوصول إلى الأرقام و الحروف الصحيحة. يجب أن تكون مختلفة أيضًا عن جميع بيانات تسجيل الدخول الأخرى، بما في ذلك بيانات تسجيل الدخول التي تستخدمها للوصول إلى وحدة تحكم الـ admin في الراوتر.
تحتاج أيضًا إلى تحديد بروتوكول أمان للاتصال اللاسلكي الخاص بك. ولا يوجد الكثير من الخيارات هنا، والخيار الوحيد الذي يستحق التوصية هو WPA2، وهو اختصار لـ “الوصول المحمي للإتصال اللاسيلكي 2”. وبالنسبة إلى المنازل فإن أفضل طريقة للنفاذ إلى WPA2 هي وضع الضبط الشخصي (WPA2-Personal aka WPA2-PSK) ودعمه بتشفير AES، والذي لا يمكن فك تشفيره مع موارد الحوسبة اليوم. ويعمل على تشفير جميع البيانات أثناء انتقالها بين جهاز متصل بشبكة الواي-فاي وجهاز الراوتر، مما يضمن عدم تمكن المتلصصون من قراءته ببساطة حتى لو تم التقاطهم للبيانات.
هناك نوعان من أوضاع أمان لشبكة الإتصال اللاسيلكي الواي-فاي القديمة التي قد لا تزال متوفرة على جهاز الراوتر – التكرار الأول لـ WPA، والذي يُسمى ببساطة WPA، والخصوصية السلكية المكافئة WEP. ورغم ذلك لا يوجد سبب لاستخدام أي منهما، وخصوصًا WEP القابل للاختراق بسهولة، حيث أن WPA2 كان إلزاميًا على جميع الأجهزة المعتمدة من “تحالف واي-فاي” منذ عام 2006.
وبالطبع ينتظر البعض منا بفارغ الصبر وصول أجهزة شبكات WPA3 في السوق. هذا المعيار الأمني الجديد قد تم إعداده لإدخال العديد من التحسينات الرئيسية للأمن اللاسلكي، بما في ذلك الدفاع الأفضل ضد هجمات تخمين كلمة المرور، ولكن لن يكون هذا في القريب.
التحديث ، ثم التحديث!
تعتبر أجهزة الراوتر هي أجهزة كمبيوتر، لذا يجب تحديث أنظمة التشغيل الخاصة بها و المضمنة كبرامج ثابتة و للتعرف على الثغرات الأمنية. وبالفعل، فإن أجهزة الراوتر معروفة بكونها مليئة بالثغرات الأمنية، ويرجع ذلك في الأساس إلى تشغيل البرامج الثابتة التي عفا عليها الزمن، والتي عادة ما تكون بسبب عدم قيامنا نحن “أصحاب أجهزة الراوتر” بتثبيت مثل هذه التحديثات. وهذا يجعل الأمور أسهل بكثير بالنسبة للمهاجمين بحيث يتم تسهيل العديد من عمليات التوغل من خلال إجراء مسح بسيطة لأجهزة الراوتر ذات الثغرات الأمنية المعروفة.
للتحقق مما إذا كانت البرامج الثابتة لجهاز الراوتر الخاص بك محدثة، انتقل إلى لوحة إدارة الجهاز. ما لم يكن لديك راوتر حديث يقوم بتحديث نفسه تلقائيًا أو ينبهك إلى إصدارات البرامج الثابتة الجديدة، ستحتاج إلى زيارة موقع البائع على الويب والتحقق مما إذا كان هناك تحديث متوفر. إذا كان الأمر كذلك، فستعرف ما يجب فعله. هذه ليست مهمة تقوم بها لمرة واحدة فعليك التأكد و التحقق لمرات مختلفة في السنة من وجود تحديثات جديدة.
ومن المحتمل عدم وجود تحديثات متوفرة في حالة توقف صانع جهاز الراوتر عن إصدار تحديثات لجهازك. يمكن أن يحدث هذا بشكل خاص مع أجهزة الراوتر القديمة، وفي هذه الحالة يكون من الأفضل شراء جهاز أحدث.
و هناك ميزة أخرى من وراء ترقية البرنامج الثابت: بالإضافة إلى التحديثات لإصلاح الثغرات الأمنية، قد يتضمن إصدار البرنامج الثابت الجديد أيضًا تحسينات في الأداء وميزات أخرى جديدة، بما في ذلك تلك التي لها علاقة بآلياتها الأمنية.
مجموعة نصائح
ماذا يمكنك أن تفعل مع الحد الأدنى من المتاعب بالطبع؟ فيما يلي بعض النصائح السريعة:
يجب أن يمكّنك أي جهاز راوتر من إنشاء العديد من الشبكات، والتي تكون مفيدة بشكل خاص مع أجهزة إنترنت الأشياء القابلة للإختراق بسهولة. إذا كان منزلك “ذكيًا”، ففكر في عزل جميع تقنيات إنترنت الأشياء في شبكة منفصلة، بحيث لا يمكن استغلال الثغرات الأمنية للوصول إلى البيانات الموجودة على جهاز الكمبيوتر أو الهاتف الذكي أو أجهزة التخزين. يمكنك أيضًا إعداد شبكة منفصلة لأطفالك وأجهزتهم.
وبالمثل، فكر في إنشاء شبكة منفصلة للضيوف. وبهذه الطريقة، فإنك لا تشترك إلا في اتصالك بالإنترنت وليس بشبكتك وتمنع خطر اختراق البرامج الضارة من أجهزتهم إلى الأصول الرقمية الخاصة بك في ما يمكن اعتباره سيناريو ممكنًا وهو كيف يمكن للضيف أن يضر شبكتك دون قصد.
من الجيد أيضًا تعطيل الإدارة عن بُعد للراوتر لتقليل احتمالات تلاعب المهاجمين به من أي مكان في العالم مثل إستغلال ثغرة أمنية. وبهذه الطريقة سيكون الوصول المادي إلى جهاز الراوتر مطلوبًا لإجراء أي تغييرات على إعداداته.
الخلاصة
هناك الكثير من الأمور المتعلقة بأمن الراوتر أعمق من ما تطرقنا إليه في هذه المقالة. ورغم ذلك فإن تعديل بعض الإعدادات في جميع الأجهزة المزودة بخدمة الإنترنت معًا سيؤدي إلى تعزيز أمانك بشكل عام. ويمكن أن يتحول “الإهمال الحميد” الذي نتعامل معه عادةً مع أجهزة الراوتر لدينا إلى التسبب في أضرار بالغة.
