So schützen Sie Switches und APs im lokalen Netzwerk, um Cyberangriffe zu verhindern
Wenn wir ein Heim- oder professionelles Netzwerk mit verwaltbaren Switches haben und W-Lan Access Points ist es sehr wichtig, das Netzwerk mit der notwendigen Sicherheit zu versehen, um mögliche Angriffe von zukünftigen Clients zu vermeiden oder abzuschwächen, egal ob es sich um kabelgebundene Clients oder drahtlose Clients handelt. Heute werden wir in diesem Artikel über die Sicherheitsmaßnahmen sprechen, die Sie zum Schutz Ihres Netzwerks ergreifen können, indem Sie die Switches und auch die WLAN-Zugangspunkte auf eine bestimmte Weise konfigurieren, um das Netzwerk so sicher wie möglich zu machen.
Allgemeine Konfiguration des lokalen Netzwerks
Wenn wir über ein fortschrittliches Heimnetzwerk oder ein professionelles Netzwerk sprechen, ist es wichtig, ein korrekte Segmentierung mit VLANs . Es ist unbedingt erforderlich, einen Router / Firewall das VLANs mit dem derzeit verwendeten 802.1Q-Standard unterstützt. Dank dieser Unterstützung für VLANs können wir für jedes der VLANs ein dediziertes Subnetz konfigurieren und den Zugriff zwischen den verschiedenen VLANs, die wir haben, zulassen oder verweigern .
Eine dringend empfohlene Vorgehensweise für die bestmögliche Sicherheit in einem Netzwerk besteht darin, haben ein spezifisches Subnetz und VLAN für die Verwaltung der verschiedenen Geräte des lokalen Netzwerks, d. h. der Switches, WiFi-Access-Points, die wir haben, und des Controller-WLANs durch Software oder Hardware. Alles, was Management, Verwaltung und Überwachung der verschiedenen Netzwerkgeräte ist, sollte in diesem VLAN enthalten sein.
Dank der Router / Firewalls mit VLAN-Unterstützung könnte es so konfiguriert werden, dass der Zugriff von anderen VLANs auf dieses Management-VLAN verhindert wird, mit dem Ziel, dass niemand auf das Web-Konfigurationsmenü der verschiedenen Geräte zugreifen kann, auch der Zugriff wird nicht erlaubt. über SSH oder führen Sie den typischen Ping durch. Das heißt, die gesamte Kommunikation aus den restlichen Subnetzen wie „Marketing“, „Gäste“, „Arbeiter“ hat keinen Zugriff auf dieses spezielle VLAN.
Standardmäßig ist in allen Computern (Router, Switches und APs) die VLAN-ID 1 das Management- und Verwaltungs-VLAN, diese VLAN-ID wird empfohlen, um sie aus Sicherheitsgründen zu ändern und die entsprechenden Zugriffskontrolllisten anzuwenden, um den Zugriff zuzulassen oder zu verweigern. Wenn wir beispielsweise einen professionellen Router wie den DSR-1000AC verwenden, können wir die gewünschte VLAN-ID konfigurieren und ein bestimmtes Subnetz verwenden, der Rest der Switches muss sich in diesem speziellen Subnetz befinden.
Stellen wir uns vor, wir erstellen die VLAN-ID 10 auf dem Router / der Firewall und auch auf den Switches als Management. Im Router oder in der Firewall müssen wir diese VLAN-ID erstellen und alle VLANs im „Trunk“-Modus durch eine Schnittstelle führen, dh mit den VLANs, die so markiert sind, dass der Switch die verschiedenen VLANs „versteht“, die wir an ihn weitergeben.
Die Konfiguration eines Management-VLANs in den Switches, oder auch „Management-VLAN“ genannt, wird auf verschiedene Weise konfiguriert:
Wir haben ein spezielles Menü „Management VLAN“, in dem wir das VLAN auswählen, in dem die Verwaltung stattfinden soll. Die private IP-Adresse, die wir in den Switch eingeben, muss im Bereich des Management-VLAN 10 liegen oder den DHCP-Client verwenden, um die IP-Adresse automatisch zu beziehen.
Wenn wir einen Switch mit L3-Funktionen haben, müssen wir eine «IPv4-Schnittstelle» mit der VLAN-ID 10 erstellen und eine private IP-Adresse im Bereich des Management-VLAN 10 angeben oder den DHCP-Client verwenden, um die IP-Adresse automatisch zu beziehen.
Zum Beispiel haben wir diesmal den D-Link DGS-3130-30TS Switch verwendet, wie Sie sehen, haben wir die verschiedenen VLANs konfiguriert und die Ports 25 und 26 als «Tagged»:
Im Abschnitt „IPv4-Schnittstelle“ erstellen wir eine neue Schnittstelle mit der gewünschten VLAN-ID, geben eine IP-Adresse für die Verwaltung ein und können dieses Gerät zu diesem Zeitpunkt nur über dieses VLAN und mit dieser spezifischen IP-Adresse verwalten .
In einfacheren Switches, die „intelligent“ sind, wie denen der DGS-1210-Reihe von D-Link, haben wir diese Funktionalität auch mit ähnlichen Optionen verfügbar. In diesem Fall können wir das Standard-VLAN der Schnittstelle nicht entfernen, aber wir können die Verwaltung deaktivieren, daher befinden wir uns im gleichen Szenario. Wie Sie sehen, können wir in diesem Fall auch das gewünschte VLAN für die Verwaltung registrieren, tatsächlich können wir bis zu 4 IP-Schnittstellen in diesem Smart Switch registrieren.
Dies ist der erste Schritt, um die Netzwerksicherheit richtig zu konfigurieren, das Netzwerk richtig in Subnetze zu unterteilen, mit unterschiedlichen Berechtigungen dank der Zugriffskontrolllisten oder Regeln in der Firewall. Jetzt werden wir sehen, welche Sicherheitsmaßnahmen wir bei verwaltbaren Switches ergreifen können.
Konfigurationen auf den managebaren Switches
Managed Switches sind dafür verantwortlich, eine große Anzahl von Angriffen zu stoppen, die Netzwerke kompromittieren könnten. Es ist sehr wichtig, diese Geräte richtig und mit der besten Sicherheit zu konfigurieren, um mögliche Probleme in der Zukunft zu vermeiden. Es gibt eine Vielzahl von Angriffen, die darauf abzielen, Sicherheitsmaßnahmen zu umgehen, wir erklären die wichtigsten Angriffe und wie wir sie angemessen abwehren können.
Das erste, was Sie beachten sollten, ist die Verwendung starke Benutzeranmeldeinformationen auf dem Switch , d. h. ein Administrationskennwort, das lang und komplex genug ist, um Probleme mit Brute-Force- oder Wörterbuchangriffen zu vermeiden, jedoch, wenn es richtig gemacht wird, können Clients keine Kommunikation mit der Management-Website haben. Eine weitere wichtige Sicherheitsmaßnahme ist die Möglichkeit, Erstellen Sie andere Benutzeranmeldeinformationen mit unterschiedlichen Berechtigungsstufen , damit sich nicht alle Netzwerkadministratoren als Administration (Superuser) anmelden. Schließlich wäre es ratsam, Verwaltung über HTTPS aktivieren eine Punkt-zu-Punkt-Verschlüsselung vom Browser bis zum Switch zu haben, außerdem ist es unbedingt erforderlich, wenn Sie die Verwaltung über Befehle aufrufen möchten SSH statt Telnet aktivieren , letzteres bietet keinen Sicherheitstyp.
Ports und Trunks verwalten
Es gibt einen Angriff namens Switch-Spoofing, der darauf abzielt, Trunks automatisch auszuhandeln, um den gesamten Verkehr aller VLANs zu empfangen, die wir im Switch registriert haben. Auf diese Weise könnte ein Angreifer Zugriff auf den gesamten Verkehr der verschiedenen virtuellen Netzwerke haben ( VLANs), die wir haben. Um diesen Angriff abzuwehren, ist es wichtig:
Deaktivieren Sie Switch-Ports, die nicht verwendet werden.
Verhandeln Sie Amtsleitungen nicht automatisch.
Die Ports, die nicht als Trunks sind, legen Sie sie explizit als ACCESS fest.
Es gibt einen weiteren Angriff namens Double Tagging, der es ermöglicht, Daten an ein VLAN zu senden, auf das nicht wirklich zugegriffen werden kann. Um diesen Angriff zu vermeiden, wird Folgendes empfohlen:
Die Ports, die nicht verwendet werden, legen Sie sie explizit als ACCESS und in ein VLAN, das im Switch erstellt wurde und keine echte Verwendung hat (z. B. VLAN 999).
Mit diesen grundsätzlichen Empfehlungen vermeiden wir eine Vielzahl möglicher Angriffe.
Port-Sicherheit
Der Hafen-Sicherheit Die Sicherheitsfunktion ist für die Verwaltung der Computer verantwortlich, die mit einer bestimmten physischen Schnittstelle des Switches verbunden sind, und ermöglicht Folgendes:
Begrenzen Sie die Anzahl der MAC-Adressen, die sich mit diesem Port verbinden können.
Nur MAC-Adressen zulassen, die auf der Whitelist erscheinen.
Port-Security ist für den Schutz des Ports verantwortlich, darüber hinaus haben wir mehrere Richtlinien für Verstöße, falls die Anzahl der MAC-Adressen überschritten wird oder eine falsche MAC-Adresse angeschlossen wird:
Herunterfahren: Der Port kann automatisch heruntergefahren werden, dann muss der Administrator ihn manuell ausschalten oder eine bestimmte Zeit warten, bis er von selbst wieder hochfährt. Je nach Schalter haben wir mehr oder weniger Optionen.
Einschränken (eingeschränkt): Der Verkehr der MAC-Adresse, der gegen die angewendete Richtlinie verstoßen hat, wird blockiert, erhöht den Verletzungszähler, um zu überprüfen, was auf dem Port passiert ist.
Schützen (geschützt): Der Verkehr der MAC-Adresse, der gegen die angewendete Richtlinie verstößt, wird blockiert, der Zähler wird nicht erhöht.
Es befindet sich im Allgemeinen standardmäßig im Modus „Herunterfahren“.
Verwenden Sie Spanning-Tree in Ihren Switches?
Falls Sie das Spanning-Tree-Protokoll verwenden, um Schleifen auf L2-Ebene zu vermeiden, wird dringend empfohlen, die Ports richtig zu konfigurieren, um zu verhindern, dass ein Cyberkrimineller zum Root-Switch wird und den gesamten Netzwerkverkehr durch ihn leitet. Die spezifischen Konfigurationen, die Sie vornehmen müssen, um diese Angriffe auf uns abzuwehren, sind:
Aktivieren Sie die bpduguard-Funktion : Diese Funktion verhindert den Empfang eines STP-Frames auf einem bestimmten Port, sie blockiert die Frames automatisch. Dies muss auf Nicht-Trunk-Ports erfolgen, sonst blockieren wir den Port.
: Diese Funktion verhindert den Empfang eines STP-Frames auf einem bestimmten Port, sie blockiert die Frames automatisch. Dies muss auf Nicht-Trunk-Ports erfolgen, sonst blockieren wir den Port. Root-Guard-Funktion aktivieren : Diese Funktion verhindert, dass ein neues Gerät zum Root- oder Root-Switch des Netzwerks wird. Wenn ein Frame empfangen wird, der anzeigt, dass ein Switch Root wird, werden die Frames automatisch blockiert und ignoriert, wenn diese Funktion auf dem Port aktiviert wird.
Diese Sicherheitsmaßnahme ist sehr wichtig, aber wenn Sie Spanning-Tree (oder RSTP, MSTP) nicht verwenden, müssen Sie keine Konfiguration vornehmen.
DHCP-Snooping
Ein böswilliger Benutzer könnte in unserer Organisation einen betrügerischen DHCP-Server erstellen und verschiedenen kabelgebundenen und sogar kabellosen Clients IP-Adressierung bereitstellen. Um dies abzumildern, ist es unbedingt erforderlich, die DHCP-Snooping-Funktionalität zu aktivieren, eine der wichtigsten Sicherheitsfunktionen von Switches.
Mit DHCP-Snooping können Sie „nicht vertrauenswürdige“ DHCP-Nachrichten filtern, indem Sie eine Tabelle mit legitimen DHCP-Snooping-Zuordnungen erstellen und verwalten. Eine „nicht vertrauenswürdige“ Nachricht ist eine DHCP-Nachricht, die vom Netzwerk, von außerhalb des Netzwerks oder der Firewall empfangen wird und Teil eines Angriffs auf unser eigenes Netzwerk sein kann. Die DHCP-Snooping-Zuordnungstabelle enthält MAC-Adressen, IP-Adressen, Lease-Zeit und eingehende Schnittstelle des legitimen DHCP-Servers.
Man könnte sagen, dass DHCP-Snooping wie eine Firewall zwischen nicht vertrauenswürdigen Hosts und DHCP-Servern ist. Wenn ein nicht vertrauenswürdiger Host eine DHCP-Discovery-Nachricht sendet, wird dieser zwar zugelassen, aber die entsprechenden Nachrichten werden nicht durchgelassen . DHCP-Server wie DHCP-Angebot und DHCP-Ack. Abhängig von den Switch-Konfigurationsoptionen könnte DHCP-Snooping allgemein auf dem Switch und DHCP-Snooping auch pro VLAN konfiguriert werden. Wenn auf einem Switch aktiviert, fungiert der Switch als Layer-2-Brücke, die alle DHCP-Nachrichten abfängt, die nicht von einem Client gesendet werden sollen.
Im vorherigen Bild sehen Sie, dass es nicht vertrauenswürdige Clients im Netzwerk gibt, standardmäßig sind alle Ports „nicht vertrauenswürdig“, wenn DHCP-Snooping aktiviert ist. Wenn der Client-PC eine DHCPDISCOVER-Nachricht sendet und DHCP-Snooping aktiviert ist, sendet der Switch die DHCP-Broadcast-Nachricht nur an die „vertrauenswürdigen“ Ports und blockiert alle DHCP OFFER oder ACK auf nicht vertrauenswürdigen Ports. Wenn Sie DHCP-Snooping auf dem Switch konfigurieren, konfigurieren Sie den Switch so, dass er zwischen „nicht vertrauenswürdigen“ und „vertrauenswürdigen“ Schnittstellen unterscheidet.
Anti-ARP-Spoofing
Die Switches enthalten auch Sicherheitsmaßnahmen, um ARP-Spoofing-Angriffe oder auch als ARP-Poisoning bekannt zu verhindern. Auf diese Weise kann ein Cyberkrimineller, wenn wir die Kombination aus „IP, MAC und Port“ im Router registrieren, ein Opfer nicht mit dem Standard-Gateway (dem Router) täuschen, um den Netzwerkverkehr zu erfassen. Es ist sehr wichtig, in diesem Abschnitt alle Gateways oder kritischen Geräte, die wir im Netzwerk haben, wie Server, zu registrieren, damit sie keinen ARP-Spoofing-Angriff ausführen können.
Nachdem wir die wichtigsten Sicherheitsmaßnahmen gesehen haben, die wir bei einem überschaubaren Switch ergreifen müssen, werden wir über andere sehr interessante Maßnahmen sprechen.
Andere Sicherheitsmaßnahmen
Es gibt weitere Sicherheitsmaßnahmen in den managebaren Switches, die andere Angriffe auf die Netzwerke verhindern, im Folgenden erklären wir Ihnen kurz, woraus sie bestehen:
DoS-Angriffsprävention : Mit den Switches können Sie alle Ihre Ports konfigurieren, um mögliche DoS-Angriffe mit hohem und sehr spezifischem Datenverkehr zu erkennen. So können wir unter anderem Land Attack, TCP Xmasscan, TCP Null-Scan oder TCP SYNFIN Angriffe vermeiden. Je nach Switch haben wir einige verfügbare Angriffe oder andere, um sie zu vermeiden.
: Mit den Switches können Sie alle Ihre Ports konfigurieren, um mögliche DoS-Angriffe mit hohem und sehr spezifischem Datenverkehr zu erkennen. So können wir unter anderem Land Attack, TCP Xmasscan, TCP Null-Scan oder TCP SYNFIN Angriffe vermeiden. Je nach Switch haben wir einige verfügbare Angriffe oder andere, um sie zu vermeiden. Sturmkontrolle : Das Ziel dieser Sicherheitsmaßnahme besteht darin, zu verhindern, dass ein kabelgebundener Client viel Unicast-, Multicast- oder Broadcast-Datenverkehr sendet. Diese Art von Angriff zielt darauf ab, das Netzwerk zu blockieren oder zu kollabieren, der Switch kümmert sich darum, dies zu verhindern.
: Das Ziel dieser Sicherheitsmaßnahme besteht darin, zu verhindern, dass ein kabelgebundener Client viel Unicast-, Multicast- oder Broadcast-Datenverkehr sendet. Diese Art von Angriff zielt darauf ab, das Netzwerk zu blockieren oder zu kollabieren, der Switch kümmert sich darum, dies zu verhindern. Traffic-Segmentierung : Wir haben bereits gesagt, dass wir das Netzwerk in verschiedene VLANs mit Subnetzen segmentieren können. Wenn wir ein Gerät von einem bestimmten Port und VLAN 20 (zum Beispiel) von einem anderen Gerät auf demselben Switch isolieren möchten, der sich auch auf VLAN 20 befindet, können wir „Traffic Segmentation“ konfigurieren, um eine Kommunikation zu vermeiden.
Andere erweiterte Konfigurationen, die wir durchführen können, sind die Authentifizierung jedes einzelnen kabelgebundenen Clients in einem RADIUS- oder TACACS-Server unter Verwendung von das 802.1X-Protokoll . Dieses Protokoll ermöglicht es uns, kabelgebundene Clients zu authentifizieren, die sich mit dem Switch verbinden. Wenn sie sich nicht automatisch authentifizieren können, wird der gesamte erzeugte Datenverkehr verweigert. Dies ist eine der besten Sicherheitsmaßnahmen, die wir in einem Switch konfigurieren können, da wir damit Clients authentifizieren können.
Sobald wir die wichtigsten Sicherheitsmaßnahmen in den Switches gesehen haben, werden wir sehen, welche Sicherheitsmaßnahmen wir in die WLAN-Zugangspunkte einbauen können.
Konfiguration auf APs
Die Sicherheitskonfiguration in den WLAN-Zugangspunkten, damit Clients nicht darauf zugreifen können, ist einfach, wenn wir es richtig haben segmentiert das Netzwerk in VLANs . Im Allgemeinen werden WiFi-Controller von Software oder Hardware verwendet, um Dutzende von WiFi-Zugangspunkten zentral zu steuern, diese WiFi-Controller befinden sich immer im Verwaltungsnetzwerk, da sie für die Verwaltung der WiFi-Zugangspunkte in diesem Subnetz verantwortlich sind. .
In dem Beispiel, das Sie unten sehen werden, haben wir Nuclias Connect auf einem DNH-100 verwendet, der sich in VLAN 10 befindet, unserem Management-VLAN. Wie Sie sehen können, zeigt die VLANs-Konfiguration an, dass der «Mgmt»-Port befindet sich im VLAN 10 und ist als «Tagged» , genau wie die restlichen VLANs, die wir über den LAN-Port empfangen, damit alle WLAN-Zugangspunkte alle VLANs vom Switch korrekt empfangen.
In diesem Fall sind die den WLAN-Netzwerken entsprechenden VLANs als „Untag“ gekennzeichnet, andernfalls könnten sich die WLAN-Clients nicht richtig verbinden. Für End-Clients (WiFi-Clients, Drucker, PCs etc.) müssen alle VLANs immer „Untag“ sein, es sei denn, sie wissen, wie man 802.1Q wie NAS-Server „versteht“.
Nachdem wir die Access Points mit ihrem internen Managementnetzwerk und mit den VLANs für Kunden richtig segmentiert haben, müssen wir auch den Zugang zu den verschiedenen Zugangspunkten mit ihrem entsprechenden Benutzernamen und Passwort schützen . Im Abschnitt «Geräteeinstellungen» müssen wir einen «admin»-Benutzernamen und ein robustes Passwort festlegen. Dies ist das Passwort, mit dem Sie auf die Verwaltungswebsite aller von uns zentral verwalteten WLAN-Zugangspunkte zugreifen können.
Wir können auch Aktivieren oder deaktivieren Sie den Konsolenzugriff auf die WLAN-Zugangspunkte , falls Sie den Konsolenzugriff gar nicht nutzen, dann ist es ratsam, diesen aus Sicherheitsgründen zu deaktivieren. Nicht genutzte Dienste sollten am besten immer deaktiviert werden. Natürlich müssen Sie immer SSH und niemals Telnet auswählen, da letzteres ein unsicheres Protokoll ist.
Grundsätzlich sollten Sie außerhalb des Management-Netzwerks keinen Zugriff auf die WiFi-APs haben, daher ist es am wichtigsten, sicherzustellen, dass die Verwaltung der APs auch aus den Netzwerken des Clients weder über das Web noch über SSH erreichbar ist. . Die restlichen Konfigurationsoptionen, die wir in den Access Points vornehmen können, hängen von den Anforderungen der WLAN-Netzwerke ab, wie z verhindern, dass die WiFi-Clients miteinander kommunizieren usw.
Wie Sie gesehen haben, müssen wir sowohl in den Switches als auch in den WLAN-Zugangspunkten eine Reihe von Sicherheitsmaßnahmen ergreifen, um die Sicherheit des gesamten Netzwerks und auch der Clients zu gewährleisten.
10 Tipps fürs Heimnetzwerk: So sichern Sie Ihr WLAN ab
So werden Heimnetzwerke ohne das Wissen der Eigentümer zu Spam- und Virenschleudern, zu Kryptomining-Knotenpunkten oder zum Ausgangspunkt für Telefon- und Internetbetrug.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb einen Ratgeber für mehr Router-Sicherheit herausgebracht. Auf der Webseite "BSI für Bürger" gibt die Behörde Tipps, wie Verbraucher ihr heimisches WLAN-Netz gegen Angreifer absichern können.
Zwar gibt es keine absolute Sicherheit. Doch jeder Nutzer kann den Schutz vor dem Missbrauch seiner Internet- und Telefonanschlüsse deutlich verbessern, indem er folgende zehn Tipps beherzigt:
1. Betriebssystem aktuell halten
Auch ein Router hat ein Betriebssystem. Aktualisierungen bringen neue Funktionen und stopfen Sicherheitslücken. Deshalb sollte man – falls möglich – automatische Updates im Router-Menü aktivieren oder regelmäßig auf der Einstellungsseite des Routers nach Aktualisierungen suchen.
2. Fernzugriff ausschalten
Viele Router bieten zum Beispiel an, angeschlossene Festplatten mit dem Internet zu verbinden. Diese praktische Funktion kann ein Angriffspunkt sein und sollte im Einstellungsmenü deaktiviert werden – so wie alle ungenutzten Funktionen eines Routers. Ob und welche Fernzugriffsmöglichkeiten am Router aktiv sind, zeigt ein Sicherheitstest des Fachportals "Heise online".
3. WLAN-Router per Kabelverbindung konfigurieren
Auch wenn es per WLAN praktischer ist – zur Einrichtung vor der ersten Inbetriebnahme und für alle Wartungsarbeiten sollte man seinen Rechner per LAN- oder USB-Kabel mit dem Router verbinden.
4. WLAN-Passwort sofort ändern
Voreingestellte WLAN-Passwörter sind unsicher, sie können erraten und geknackt werden. Deshalb sollten Nutzer ein eigenes, komplexes Passwort mit mindestens 20 Zeichen vergeben.
Wird es nicht geändert, besteht die Gefahr, dass Angreifer das vom Hersteller vorgegebene Passwort auslesen, etwa mithilfe spezieller Apps. Beim Ändern sollte man zudem prüfen, ob die sichere WPA2-Verschlüsselung aktiviert ist.
5. Administrator-Passwort ändern
Das Passwort, mit dem man in das sensible Einstellungsmenü des Gerätes gelangt, ist bei vielen oder allen Routern eines Herstellers oft derselbe. Oder der Passwortschutz ist erst gar nicht aktiviert. Hier muss man unbedingt ein individuelles, sicheres Passwort setzen.
6. Netzwerknamen ändern
Nutzer sollten ihrem WLAN einen neuen Netzwerknamen (SSID) geben, weil der voreingestellte oft Herstellernamen und Gerätetyp enthält, was Angreifer bei nicht gestopften Sicherheitslücken ausnutzen könnten.
Die neue SSID sollte keinerlei Bezug zum Besitzer des Internetanschlusses haben, also keine Vor- oder Zunamen, Straßen, Ort oder Ähnliches enthalten.
7. Einstellungsmenü per https aufrufen
Das Router-Menü kann mit jedem beliebigen Browser aufgerufen werden, indem man die vom Hersteller angegebene Adresse – etwa 192.168.2.1 oder "fritz.box" – in die Adresszeile eingibt.
Allerdings sollte man dabei darauf achten, dass man das Menü über eine gesicherte Verbindung aufruft. Das ist erkennbar am Kürzel "https". Während man die Einstellungen vornimmt, sollten sicherheitshalber keine weiteren Internetseiten geöffnet sein.
8. WPS-PIN aus
"Wi-Fi Protected Setup" (WPS) ist ein Standard zum einfachen Aufbau eines verschlüsselten WLAN-Netzwerks. WPS mit einer PIN, die von einem Aufkleber oder einer Anzeige am Gerät abzulesen ist, lässt sich aber schnell knacken und sollte abgeschaltet werden.
9. WLAN nicht rund um die Uhr anlassen
Was ist Netzsicherheit?
Allgemein gesagt, bezeichnet Netzsicherheit den Schutz von Daten, Anwendungen, Geräten und Systemen, die mit dem Netz verbunden sind.
Obwohl sich Netzsicherheit und Cybersicherheit in vielerlei Hinsicht überschneiden, wird Netzsicherheit meist definiert als ein Teil der Cybersicherheit. Bei einer traditionellen „Schloss-und-Wassergraben-Analogie" oder einem perimeterbasierten Sicherheitsansatz, bei dem Ihre Organisation Ihre Burg ist und die in der Burg gespeicherten Daten Ihre Kronjuwelen sind, zielt Netzsicherheit am meisten auf den Schutz der Burgwände ab.
Bei diesem perimeterbasierten Szenario repräsentiert die Fläche innerhalb der Burgmauern die IT-Infrastruktur eines Unternehmens, einschließlich der Netzkomponenten, Hardware, Betriebssysteme, Software und Datenspeicherung. Netzsicherheit schützt diese Systeme vor Malware/Ransomware, dezentralisierten Denial-of-Service-Angriffen (DDoS), Netzintrusionen und vielem mehr. Darüber hinaus schafft sie eine sichere Plattform für Benutzer, Computer und Programme innerhalb der IT-Umgebung.
Organisationen wechseln zu hybriden und Multicloud-Umgebungen und ihre Daten, Anwendungen und Geräte sind auf unterschiedliche Standorte und Regionen verteilt. Nutzer wollen auf Unternehmenssysteme und Daten zugreifen, und zwar standortunabhängig und von jedem Gerät. Daher reicht der traditionelle perimeterbasierte Netzsicherheitsansatz nicht mehr aus. Ein Zero-Trust-Ansatz in Bezug auf Sicherheit, bei dem eine Organisation nie vertraut und Zugriffe immer prüft, wird schnell zur neuen Methode für die Stärkung der Sicherheitsposition einer Organisation.