עובדים מהבית? אתם חייבים להכיר את הטיפים הבאים כדי להגן על עצמכם

המעבר לעבודה מהבית התגלה כיעיל ונוח, אבל עלול להיות לו מחיר אבטחתי כבד. הנתב הביתי, דרכו עוברת כל תעבורת המידע שלנו, סובל לא פעם מאבטחת מידע לקויה ומסוכנת ויכול להוות פירצה קלה אל הרשת הביתית והארגונית. כך תתגוננו

צילום/ תמונה: pexels

מיד עם פרוץ הקורונה לחיינו, עברנו לעבודה מהבית. חברות הייטק רבות שלחו לעובדים את עמדות העבודה שלהם או הקצו להם סכומי כסף מכובדים לארגן פינות עבודה נוחות בבתים – מהלך שהוכיח את עצמו שכן המצב הזמני הולך ומתארך. גם כעת, כאשר החלו להיכנס לתוקפן הקלות, חזרה מלאה לעבודה ממשרדים משותפים אינה חלק מהן.

הנחיות בצד, החברות – וגם העובדים עצמם – לא רוצים לקחת סיכון, ולמה להם? העבודה לא נפגעת, היעדים מושגים והעובדים בטוחים. אבל לעבודה מהבית יש בטן רכה – אבטחת המידע. האקרים ברחבי העולם מנצלים את בהלת הקורונה לניסיונות פישיניג ותקיפות סייבר וסביבת המחשוב הביתית פועלת לטובתם. כך תגנו על עצמכם.

סכנה: הנתב הביתי

לפי סייבר ישראל, מערך הסייבר הלאומי, מספר החיבורים מרחוק בישראל עלה בחודשיים האחרונים ב-300 אחוזים. חלק לא מבוטל מאיומי הסייבר בתקופה הזו נובעים מהחיבור לנתב הביתי שבמקרים רבים אינו מאובטח כמו נתבים של ארגונים וחברות. העבודה מהבית הפכה את הרשת הביתית ל׳שער כניסה׳ עבור האקרים אל הרשת הארגונית ואבטחה לקויה שלה מהווה נקודת תרופה אבטחתית.

בשיחה עם גיקטיים אומר אברהם זרוק, מנהל בכיר פיתוח ואינטגרציה במערך הסייבר הלאומי, כי על מרבית הנתבים הביתיים לא מבוצעים עידכוני תוכנה תדירים, רובם מוגנים על ידי סיסמה ראשונית שנקבעה על ידי היצרן או בעת ההתקנה ולעיתים אינם מוגנים בסיסמה כלל. ״הנתב יכול לבצע הפניה של משתמש לדף אינטרנט המאפשר ביצוע דיוג נתונים, התקנת תוכנה זדונית במסווה תוכנה לגיטימית, השתלטות על פעילות לגיטימית באמצעות מתקפת “Man in the middle”, מניעת שירות כנגד צד שלישי כגון אתר אינטרנט, השגת גישה לרשת הביתית ועוד״, מפרט זרוק.

כדי לסייע בהתמודות עם האיןמים, מפרסם השבוע מערך הסייבר הלאומי מסמך המלצות הגנה לנתב הביתי. ההמלצות מתחילות מהבסיסיות והפשוטות ביותר ועד המלצות מתקדמות ומורכבות, שהגיע הזמן שתכירו.

מהמובנים מאליהם ועד האלו שלא חשבתם עליהם

שינוי שם משתמש וסיסמה

הפעולה הראשונית והבסיסית שלעיתים מתפספסת. לא פעם יצרנים מגדירים שם משתמש וסיסמה ראשוניים קבועים כברירת מחדל על מנת לאפשר למשתמשים גישה להגדרות המכשיר. פרטים אלו זמינים בפרסומים שונים ולפיכך ידועים היטב גם לתוקפים פוטנציאלים. בשינוי סיסמת ברירת המחדל של היצרן, דאגו לבחור בסיסמה חזקה אך קלה לזכירה, כמו למשל ביטוי או שורה משיר. מומלץ שהסיסמה תהיה בעלת 16 תווים לפחות, בשילוב של אותיות קטנות וגדולות, סימנים מיוחדים (@#$%) ומספרים.

איך עושים את זה? יש להקליד את כתובת ה-IP של הנתב בדפדפן, להתחבר עם שם המשתמש וסיסמת ברירת המחדל, לבחור “שינוי סיסמת נתב”, להקליד סיסמה חדשה וללחוץ על “שמור הגדרות חדשות”.

שינוי שם זיהוי הרשת האלחוטית (SSID)

היצרנים מקצים לנתב האלחוטי שם ברירת מחדל הנקרא: “מזהה ערכת שירותים” (SSID – Service Set Identifier) או “מזהה ערכת שירות מורחב” (ESSID – extended SSID ). שם הזיהוי (SSID) חשוף ברוב המקרים בפני כל מי שיסרוק את טווח התקשורת. SSID ברירת המחדל יכול לאפשר לגורם זדוני לזהות באיזה ציוד נעשה שימוש ובהתאם לאתר חולשות ידועות בציוד ולתקוף באמצעותן. לכן חשוב להחליף את השם ולבחור בשם שלא יעיד על מאפייני הדגם, היצרן, שמו של בעליו או מיקומו של הנתב.

איך עושים את זה? יש להקליד את כתובת ה-IP של הנתב בדפדפן, להתחבר עם שם משתמש וסיסמה, לבחור בהגדרות ואז ב”הגדרות אלחוטיות”, להקליד את שם ה-SSID החדש, ללחוץ על “שמור הגדרות חדשות” ולהמתין לאתחול הנתב.

שינוי סיסמת רשת ה-Wi-Fi

גם במקרה הזה מוגדרת סיסמת ברירת מחדל של היצרן (במקרה הטוב, לעיתים הנתב מוגדר כך שהגישה לרשת ה-Wi-Fi אינה מצריכה סיסמת כניסה כלל). אם ניתן, חשוב מאוד לשנות לסיסמה חזקה, ארוכה ומורכבת. מומלץ לבחור סיסמה שניתן לזכור בקלות אך שלא ניתן לאתרה על ידי חיפוש באינטרנט ברשימות “הסיסמאות הנפוצות” (ובשום פנים לא לבחור מספר טלפון או תעודת זהות כסיסמה).

צילום/ תמונה: pexels

עדכוני קושחה (Firmware)

בדיוק כמו בעדכוני אבטחה של תוכנות במחשבים, חשוב מאוד לעדכן את הקושחה בנתב בעדכון האחרון שהפיץ היצרן. בעת בחירת נתב, טרם רכישתו, חשוב לבדוק באתר היצרן האם הוא מספק עדכונים לטיפול בבעיות אבטחה, מה שיבטיח מוצר איכותי ומאובטח.

לרוב לא נהיה מודעים לכך שקיים עדכון קושחה עבור הנתב. נתבים מסוימים מאפשרים לבצע עדכונים אוטומטיים – אם האפשרות קיימת מומלץ להפעיל אותה. במקרה שלא ניתן לבצע עדכונים אוטומטיים, יש לבצע עדכונים עיתיים באופן יזום ומומלץ להגדיר תזכורת אישית עיתית לבדיקה האם קיים עדכון.

הפעלת חומת אש (Firewall) 

חומות אש מסייעות להגן ולשמור מפני חדירה של גורמים זדוניים לרשת ומפני שימוש במכשירים המחוברים אליה. חומת האש צופה ומגנה מפני ניסיונות כניסה לרשת וחוסמת תקשורת עם מקורות שאינם מורשים. נתבים, מערכות ההפעלה או תוכנות אבטחה מגיעים לרוב עם חומת אש מותקנת מראש, כשכבת הגנה נוספת. חשוב לוודא מול היצרן או הספקית שה-FW אכן מופעל וכי המערכות מעודכנות בכל העדכונים.

הגדרת רשת אלחוטית נפרדת לאורחים

נתבים מסוימים מאפשרים להגדיר גישה לרשת חיצונית המופרדת מהרשת הראשית. רשת כזו יכולה לשמש אורחים ולאפשר להם להתחבר באמצעות סיסמה שונה שתוגדר מראש. הדבר ימנע גישה למכשירים השונים והמידע שנמצא ברשת המרכזית.

איך עושים את זה? בהגדרות יש לבחור ב”רשת אורחים” (Guest Network), לסמן את ה-Checkbox של “שידור שם ה-SSID” (להצגת שם הנתב בפני אחרים), לבחור שם SSID אותו יוכלו לראות האורחים, לבחור אפשרויות אבטחה, לשמור את השינויים.

הגדרת מנגנון לבידול משתמשים ברשת האלחוטית (AP Isolation)

בידוד כל התחנות האלחוטיות המחוברות כך שהן לא יהיו מסוגלות להתחבר זו לזו באמצעות רשת התקשורת.

איך עושים את זה? בהגדרות הנתב יש לבחור Client Isolation או Access point, לבחור enable, לבצע שמירה של ההגדרות.

הגדרת אימות והצפנה גבוהה

בהגדרת האבטחה של הרשת האלחוטית, ניתן להגדיר את רמת האבטחה של העברת המידע על ידי אימות והצפנה. טכנולוגיית הצפנה מערבלת את המידע הנשלח על גבי הרשת אלחוטית, כך שלא יהיה ניתן לפענחו בקלות. בחרו בשיטת התצורה החזקה ביותר WPA2 או WPA3. באימות הצפנת התווך יש לבחור בתקן הצפנה מתקדם AES. יש לבחור זאת ב-2.4GHz וכן ב–5GHz. מכשירים מסוימים לא מאפשרים  שימוש מלבד WEP המכיל חולשות ידועות שניתן לנצלן לרעה. אך כאשר אין ברירה – הוא עדיף מכלום.

בדיקת חיבורי מכשירים לא ידועים

ממשק הניהול של הנתב מאפשר לבדוק אילו התקנים מחוברים לרשת. לרוב, רשימת ההתקנים מזוהה עם שם וסוג המכשיר המחובר. במידה וזיהית מכשיר לא ידוע, הסר את המכשיר, החלף את סיסמת החיבור וישם סינון באמצעות בקרת גישה למדיה (MAC Address) על הנתב. חשוב לבצע את הבדיקה אחת לכמה זמן.

איך עושים את זה? בהגדרות יש להיכנס ל’רשת שלי’ (My Network) או ל”מכשירים מחוברים” (Attached Devices). שם תוצג רשימת כלל המכשירים המחוברים לנתב.

השבתת שרות (UPnP (Universal Plug and Play

שרות זה קיים במרבית הנתבים ומאפשר להתקנים ברשת (אפליקציות או מכשירים) ליצור תקשורת דרך הנתב. למרות שתכונת UPnP מקלה על תצורת רשת ראשונית, היא עלולה להוות סכנת אבטחה משמעותית כאשר תוכנות זדוניות הנמצאות כבר בתוך הרשת יכולות להשתמש בה כדי לפתוח פתח בחומת האש בנתב ולאפשר לפולשים לחדור פנימה. ניתן להגדיר מראש מכשירים מסוימים כמו קונסולת משחקי וידאו, מצלמות או שרתי מדיה על מנת לקבל תקשורת מחוץ לרשת. אם אין צורך בשרות זה מומלץ להשביתו.

השבתת שירות (WPS (Wi-Fi Protected Setup

בחלק מהנתבים קיים מנגנון פשוט או כפתור המאפשר לגורם בעל נגישות פיזית לקבלת גישה מהירה לרשת האלחוטית. המנגנון מאפשר שיטת הזדהות פחות חזקה, אשר עלולה להוביל לקבלת גישה אלחוטית באמצעות תהליך פריצה קל יחסית. לרוב השרות מופעל כברירת מחדל ומומלץ לבטלו.

איך עושים את זה? בהגדרות Wireless יש לבחור (WPS (Wi-Fi Protected Setup, ואז לבחור ב-off או Disable ולבצע שמירה (Apply Changes או Save).

גיבוי הגדרות תצורה

יש לבצע גיבוי הגדרות תצורה לאחר התקנה ראשונית ובאופן תקופתי, לשם מתן יכולת שחזור מהירה במקרה של תקלה.

איך עושים את זה? לאחר התחברות לנתב, יש לבחור בתפריט Maintenance ,Backup settings, לבחור ב-Backup, בחלונית שתיפתח יש לבחור את מיקום והתיקיה במחשב לשמירת קובץ הגיבוי.

התנתקות ממשק הניהול

בסיום השימוש בממשק הניהול של הנתב חשוב לבצע התנתקות מסודרת (Logout) מממשק הניהול.

נטרול מענה פינג (PING)

פקודת פינג משמשת בעיקר לבחינת תקינות התקשורת ברשת מחשבים בין נקודת המקור לנקודת היעד. כאשר תגובת פינג מופעלת, אפשר לבצע בקלות יחסית סריקה מבחוץ (מהאינטרנט) במטרה לגלות את הנתב. הפקודה מאפשרת לנתב להגיב לפקודות שמתקבלות מהאינטרנט ובכך עשויה לחשוף את הרשת לפולשים זדוניים. לכן מומלץ לבטל תכונה זו. אמנם ביטולה לא יגן מפני גילוי, אך הוא יגביר את הקושי לגילוי.

הקשחה וסינון כתובות MAC 

אפשרות זו מגבירה את רמת האבטחה על ידי הגדרת רשימה סגורה של מכשירים המורשים להתחבר לרשת דרך הנתב. לכל רכיב תקשורת קיימת כתובת MAC ייחודית וקבועה הצרובה בכרטיס הרשת (NIC (Network Interface Card. כל התקן המתחבר לרשת ה-Wi-Fi מזוהה בנתב על ידי כתובת ה-MAC שלו, לכן ניתן להגדיר לנתב מראש רשימה סגורה של כתובות MAC, אשר רק הן מורשות להתחבר לרשת.

איך עושים את זה? לפני הפעלת הסינון ניתן לחבר את ההתקן האלחוטי שברצוננו לחבר. לאחר החיבור, יש להיכנס להגדרות אבטחת הנתב ולפתוח את רשימת הלקוח של DHCP אשר נמצאת בדרך כלל בסטטוס או בבחירות רשת מקומית. כל מכשיר שמתחבר יציג את כתובת ה-MAC שלו, את הכתובת ניתן להעתיק ואז להדביק באזור רשימת סינון ה-MAC.

ביטול שידור שם הרשת האלחוטית (SSID) 

לטובת איתור הרשת האלחוטית, הנתב משדר את שם הרשת (SSID) אשר יכול להיות חשוף לכולם. את אפשרות שידור ה-SSID ניתן להשבית. כאשר שם הרשת מושבת, נדרש להזין באופן ידני את שם הנתב הייחודי (ה-SSID ) בעת חיבור התקן חדש לרשת.

איך עושים את זה? בהגדרות יש לבחור Enable SSID Broadcast, וללחוץ על שמירה.

שימוש בכתובות IP קבועות

רוב הנתבים הביתיים מוגדרים בברירת המחדל כשרתים המקצים כתובות IP דינאמיות (DHCP- Dynamic Host Configuration Protocol). שרת ה-DHCP הופך את ניהול הרשת לקל יותר, על ידי הקצאה אוטומטית של כתובות ה-IP, אך בה בעת הוא מאפשר גם למשתמשים לא מורשים לקבל כתובת IP ברשת. ביטול שרות ה-DHCP וחלוקה ידנית של כתובות ה-IP ללקוחות ברשת יקטין משמעותית את הסיכון לכניסתו של גורם עוין לרשת.

סגירת פורטים לא נחוצים

סגירת ממשקי ניהול שונים הפעילים בנתב (דוגמת Telnet ,RDP, SMB, SSH וכן הלאה) ואם יש צורך בניהול מרחוק, השאירו את פרוטוקול TR-069 בלבד פעיל.

נטרול ממשק עדכון וניהול מרחוק של הנתב 

ניהול מרחוק מאפשר לכל גורם הקרוב מספיק לנתב, להציג או לשנות את הגדרות הנתב. על מנת להישמר מפני פולשים זדוניים ולמנוע אפשרות התחברות עם הנתב מרחוק באמצעות רשת התקשורת המרחבית (WAN) יש לנטרל את ממשק הניהול מרחוק, כמו גם את אפשרות העדכון מרחוק שעשויה לאפשר התחברות ופגיעה בקושחה (Firmware) של הנתב. עם ביטול הניהול עדיין ניתן לשנות הגדרות נתב באמצעות כבל רשת. בנוסף, חשוב לוודא שהנתב לא ניתן  לניהול באמצעות ה-WIFI.

איך עושים את זה? לאחר התחברות לנתב, יש לבחור Advanced Settings, ובשלב Remote Management יש לבחור באפשרות של Disable.

 

מיכל קובזמן

עורכת וכותבת תוכן (ואם נשאר זמן, כותבת גם ספרים)

הגב

6 תגובות על "עובדים מהבית? אתם חייבים להכיר את הטיפים הבאים כדי להגן על עצמכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נזק
Guest

רוב העצות האלו לא ישימות בנתבים שמנוהלים ע”י הספקים.

אני
Guest

יאפ, עצה מספר 0: אל תשתמש בנתב של ספק, או לפחות – תהפוך אותו למודם.

צחי
Guest

או שפשוט תתקינו pfSense

גם אפשר לשדרג נתבים קיימים לתוכנת dd-wrt או tomato גם תסחטו מהירות יותר גבוהה מהנתב וגם תקבלו אפשרויות ניהול ואבטחה של נתבים אנטרפריז

מישהו
Guest

שניהם די Deprecated. תתקינו OpenWRT.
עצה מספר 0: אל תקנו ראוטר שאי אפשר להתקין עליו OpenWRT

חיים
Guest

אתם לא באמת מצפים שמשתמשים ביתיים או עובדים של ארגון יתחילו להתעסק בהגדרות הראוטר כן? צריכים פתרון עם מענה רחב יותר, אנחנו לא ב1999

מישהו
Guest

קנה Goolgle WiFi. ברצינות, נתב ביתי מנוהל זה הפתרון המאובטח היחיד לצרכן ביתי שלא מעוניין להתעסק באבטחה.
בדיוק כמו שעסקים שוכרים פורטינט מבזק כדי שינהלו להם אותו מרחוק. אין פתרונות קסם

wpDiscuz

תגיות לכתבה: