یادداشت ویراستار: این مطلب در آبان ۹۹ توسط کارشناسان سرور و شبکه فالنیک، بررسی و تایید شده است.
مودم/روتر دستگاهی است که کامپیوتر/گوشی/شبکه خانگی شما را به شبکه شرکت ISP متصل میکند؛ یعنی همان شرکتی که به شما خدمات اینترنت ارائه میدهد. امروزه معمولا برای اشاره به این دستگاه صرفا از نام روتر استفاده میشود. مودم/روترهای کابلی دسترسی نسبتا محدودتری دارند، چون توسط کابل به کامپیوتر یا شبکه متصل شدهاند. مودم/روترهای بیسیم (وایرلس) توسط سیگنال وایفای به شبکه متصل میشوند. لذا کاربرانی که از مودم/روتر بیسیم (وایرلس) استفاده میکنند بیشتر باید مراقب باشند، چون هکرها علاوه بر اینترنت، از طریق سیگنالهای بیسیم روتر نیز میتوانند درصدد نفوذ به شبکه برآیند. در ادامه برخی از روشهای افزایش امنیت مودم/روتر بیسیم (وایرلس) و شبکه وایفای توضیح داده میشود. برای آشنایی بیشتر با مودم، مقاله “مودم چیست و چه کاربردی دارد؟” را مطالعه نمایید.
نامها و پسوردهای پیشفرض مودم/روتر و شبکه بیسیم یا وای فای را عوض کنید
کاربرانی که با مودم/روتر ADSL به اینترنت متصل میشوند، معمولا با دو نام و دو پسورد متفاوت سروکار دارند که نباید آنها را با هم اشتباه بگیرند:
- نام کاربری (user name) و پسورد (password) روتر: برای ورود به بخش تنظیمات روتر لازم است.
- نام (SSID) و پسورد (Security Key) شبکه وایفای: برای اتصال به شبکه وایفای لازم است.
باتوجه به این نکته مهم، برای ارتقای امنیت مودم/روتر وایرلس و شبکه وایفای توصیهها و راهکارهای زیر را به کار بندید.
نام کاربری و پسورد پیشفرض مودم/روتر بیسیم را عوض کنید
نام کاربری و پسورد مودم/روتر همان نام و پسوردی است که هنگام لاگین کردن در صفحه تنظیمات روتر از شما درخواست میشود.
در برخی روترها نام کاربری را User Name و در برخی دیگر Login Name میخوانند. جز کاربر مجاز، دیگران نباید به نام کاربری و پسورد روتر دسترسی داشته باشند.
شرکتهای تولیدکننده روتر در همه محصولات مشابهشان از نام و پسورد یکسانی استفاده میکنند. مثلا نام کاربری پیشفرض در اکثر روترها admin است. جای پسورد را نیز یا خالی میگذارند و یا پسوردهای سادهای مثل ۱۲۳۴۵۶ در نظر میگیرند. پیدا کردن نام و پسورد پیشفرض کارخانه، اصلا سخت نیست. هم کاربران عادی و هم هکرها میتوانند نام کاربری و پسورد پیشفرض مودم/روتر را از سایت شرکت سازنده و یا با جستجو در اینترنت پیدا کنند. پس لازم است به محض راهاندازی روتر، هم نام کاربری و هم پسورد پیشفرض آن را عوض کنید.
برای تعویض نام کاربری و پسورد پیشفرض مودم/روتر wifi:
- مرورگر وب گوشی/کامپیوترتان را باز کنید.
- در نوار آدرس مرورگر، آدرس آیپی مودم/روتر را وارد کنید و اینتر بزنید. آدرس آیپی اکثر مودم/روترها ۱۶۸.۰.۱ یا ۱۹۲.۱۶۸.۱.۱ است.
- با مراجعه به کاتالوگ، جعبه، یا سایت شرکت سازنده، نام کاربری و پسورد پیشفرض مودم/روترتان را پیدا کنید.
- پس از وارد کردن نام کاربری و پسورد پیشفرض، به بخش تنظیمات مودم/روتر مراجعه کنید و در فیلد Login Name یا Username، نام کاربری را از admin به نام دیگری تغییر دهید. بهتر است نامی انتخاب کنید که حدس زدن آن سخت باشد. از نام خود یا نام شرکت سازنده روترتان استفاده نکنید.
- در فیلد Password، گذرواژه جدید و مناسبی وارد کنید که ترکیبی از حروف کوچک و بزرگ و اعداد و کاراکترهای خاص باشد.
- گذرواژه جدید را در فیلد Confirm Password نیز تایپ کنید و سپس دکمه تایید را بزنید.
- از این پس، با نام کاربری و پسورد جدید در بخش تنظیمات روتر لاگین خواهیدکرد.
تعویض نام (SSID) و کلید امنیتی (Security Key) پیشفرض شبکه بیسیم
همانطور که در ابتدای این بخش ذکر شد، نام و پسورد روتر با نام و پسورد شبکه بیسیم تفاوت دارد. نام و پسورد شبکه بیسیم یا وایفای را بهترتیب SSID و Security Key مینامند
معمولا هم SSID و هم Security Key پیشفرض در بخش زیرین جعبه مودم/روتر بیسیم چاپ میشود. اما اگر آنجا پیدایشان نکردید، میتوانید آنها را در کاتالوگ محصول یا در سایت شرکت سازنده بیابید (SSID مخفف Service Set Identifier است.)
در بسیاری از روترها، نام شبکه (SSID) پیشفرض همان نام شرکت سازنده روتر است. مثلا روترهای شرکت Linksys ممکن است همین نام را بهعنوان نام پیشفرض روتر (SSID) به کار ببرند. تغییر ندادن چنین نامهای خالی از خطر نیست چون حداقل مشخص میکند که روترتان ساخت چه شرکتی است. هکرها با همین اطلاعات جزئی میتوانند به اطلاعات بیشتری دست یابند. مثلا وقتی بدانند روتر شما ساخت چه شرکتی است میتوانند پسورد پیشفرض آن را نیز از سایت شرکت سازنده یا از اینترنت پیدا کنند.
آموزش عوض کردن نام یا SSID پیشفرض شبکه بیسیم یا wifi:
- مرورگر وب کامپیوترتان را باز کنید.
- در نوار آدرس مرورگر، آدرس آیپی مودم/روتر را (معمولا ۱۶۸.۰.۱ یا ۱۹۲.۱۶۸.۱.۱) وارد کنید و اینتر بزنید.
- نام و پسورد مخصوص مودم/روتر را وارد کنید تا وارد بخش تنظیمات مودم/روتر شوید.
- از پنجره تنظیمات، بخش مربوط به تنظیم شبکه بیسیم (وایرلس) را انتخاب کنید. ممکن است عنوان آن Wireless Network Setting یا چیزی شبیه آن باشد.
- در بخش Wireless Network Name (SSID)، نام مناسبی تایپ کنید. بهتر است نامی انتخاب کنید که حدس زدنش برای دیگران سخت باشد. نام شبکه نباید درباره شما و شبکهتان اطلاعاتی ارائه دهد. مثلا از نام خود یا نام شرکت سازنده روتر استفاده نکنید.
نکته مهم: پیش از عوض کردن Security Key، به این نکته مهم توجه کنید:
بسیاری از مودم/روترهای جدید نرمافزار و الگوریتمهایی دارند که بهطور خودکار برایتان پسورد شبکه یا اصطلاحا Security Key تولید میکنند. برای این منظور ابتدا باید در فیلدی تحت عنوان passphrase یک یا چند عبارت دلخواه تایپ کنید. سپس یکی از الگوریتمهای رمزنگاری را انتخاب کنید تا عبارتهایی که نوشتهاید را به یک عبارت رمزی استاندارد و قوی تبدیل کند. اما اگر مودم/روترتان فاقد چنین قابلیتی است، میتوانید نام و پسورد شبکهتان را بهشیوه معمول تغییر دهید.
برای عوض کردن کلید امنیتی (Security Key) شبکه بیسیم:
- مرورگر وب را باز کنید.
- در نوار آدرس مرورگر، آدرس آیپی مودم/روتر را وارد کنید و اینتر بزنید. آدرس آیپی اکثر مودم/روترها ۱۶۸.۰.۱ یا ۱۹۲.۱۶۸.۱.۱ است.
- نام کاربری و پسورد روترتان را بنویسید و اینتر بزنید تا وارد بخش تنظیمات روتر شوید.
- در بعضی روترها SSID و Security Key جدید، هر دو از یکجا تنظیم میشوند. اما در برخی مودمها برای تعویض Security Key باید به بخش تنظیمات امنیتی مراجعه کنید که احتمالا عنوان آن Wireless Security یا چیزی شبیه آن است.
- اگر روترتان میتواند بهطور خودکار کلید امنیتی (Security Key) جدید تولید کند، گزینههایی مثل WEP، WPA، WPA2 یا WPA3 خواهدداشت. اینها الگوریتمهای رمزنگاری هستند. اگر مودم/روترتان گزینه WPA3 دارد، همان را انتخاب کنید چون قویتر از نسخههای پیشین است. در غیر اینصورت WPA2 یا دستکم WPA را انتخاب کنید. در کل، الگوریتمهای خانواده WPA از الگوریتم WEP بهترند. اما اگر بهخاطر سازگاری با تجهیزات قدیمیتر شبکه ناچارید WEP را انتخاب کنید، ایرادی ندارد.
- اگر فیلدی با عنوان passphrase مشاهده میکنید، نشانه دیگری است دال بر اینکه روتر شما میتواند بهطور خودکار برایتان کلید امنیتی استاندارد تولید کند. پس در فیلد passphrase یک یا چند عبارت دلخواه تایپ کنید. عبارتها میتوانند ترکیبی از حروف، اعداد و کاراکترهای خاص باشند. همچنین میتوانید بین عبارتها فاصله بیاندازید. برخلاف پسورد که باید ترکیب پیچیدهای داشته باشد، لازم نیست برای passphrase عبارات خیلی پیچیدهای انتخاب کنید، چون عبارتهای passphrase نهایتا با استفاده از الگوریتمهای رمزنگاری (WPA/WPA2/WPA3/…) به یک پسورد استاندارد و قوی تبدیل خواهندشد.
- دکمه Apply یا هر دکمه دیگری را که برای اعمال تنظیمات در نظر گرفته شده است، کلیک کنید.
- اکنون نرمافزار داخلی روتر، passphrase را با استفاده از الگوریتمی که برای رمزنگاری انتخاب کرده بودید، به گذرواژهای سخت و استاندارد متشکل از حروف و اعداد و کاراکترهای خاص تبدیل میکند. این همان کلید امنیتی (Security Key) یا در واقع، پسورد شبکه بیسیم شماست.
هر وسیله جدیدی که بخواهد به شبکه وایفای یا اینترنت بیسیم شما متصل شود باید این کلید امنیتی را داشته باشد.
چند توصیه کلی درباره انتخاب پسورد مناسب
برای انتخاب پسورد وایفای چند نکته را در نظر داشته باشید:
- اگر پسوردی انتخاب کردهاید که خیلی کوتاه یا حدس زدنش آسان است، آن را عوض کنید.
- برای پسوردتان از اطلاعاتی نظیر تاریخ تولد، شماره تلفن همراه و… استفاده نکنید، چون پیدا کردن چنین اطلاعاتی برای هکرها بهویژه اگر در همسایگیتان باشند، سخت نیست.
- در پسوردتان از کلمات معنادار استفاده نکنید. پسورد باید ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای ویژه (مثل علامت ضرب، تقسیم، ممیز، درصد و…) باشد.
- اگر لازم بود هر یک از پسوردهایتان را به غریبهها بدهید، در اولین فرصت آن پسورد/پسوردها را عوض کنید.
- این توصیهها برای زمانی است که خودتان دستی پسورد تعیین میکنید. گفته شد که برخی از روترها با کمک الگوریتمهای رمزنگاری، کلید امنیتی خودکار تولید میکنند.
فایروال روتر را روشن کنید
بسیاری از مودم/روترهای خانگی فایروال داخلی هم دارند که میتوانید آن را روشن کنید. با این کار، لایه امنیتی جدیدی مضاف بر دیگر لایههای امنیتی به شبکهتان اضافه میشود. بهوسیله فایروال داخلی روتر میتوانید ترافیکی ورودی از اینترنت را کنترل و حتی مسدود کنید تا نتواند به کامپیوترتان راه یابد. برخی فایروالها حتی ترافیک خروجی شبکهتان را هم کنترل میکنند. فایروالها به پنهانتر ماندن شبکه شما از دید هکرهای اینترنتی کمک میکنند. اطلاعات بیشتر در زمینه فایروال می توانید مقاله فایروال چیست را مطالعه کنید.
گزینه SSID broadcast را خاموش کنید
برای اینکه کاربر شبکه بیسیم خود را راحتتر پیدا کند، روترهای بیسیم SSID شما را برودکست میکنند. یعنی همه کسانی که در محدود و برد روتر بیسیم هستند میتوانند آن SSID را ببینند. برای اینکه هر کسی نتواند بهراحتی شبکه شما را حین جستجوی شبکههای بیسیم پیدا کند، میتواند قابلیت SSID broadcast را خاموش کنید. هرچند با خاموش کردن SSID broadcast باید بهصورت دستی SSID منحصربهفرد روترتان را وادر کنید، وقتی میخواهید دستگاه جدیدی را به شبکهتان متصل کنید.
MAC filter را روشن کنید
قابلیت Wireless MAC filter تنها زمانی به یک وسیله بیسیم اجازه میدهد به روتر شما متصل شود که آدرس مک در فهرست فیلتر وارد شده باشد. با فیلتر کردن آدرس مک اتصال تجهیزات جدید به شبکهتان سختتر میشود اما امنیت کلی شبکه بیسیم ارتقا مییابد.
همه تجهیزاتی که میتوانند به شبکه متصل شوند، از جمله مودم/روترهای خانگی، شناسه منحصربهفردی دارند که به آن آدرس فیزیکی یا آدرس مک (Mac Address) گفته میشود. مودم/روترها آدرس مک همه تجهیزاتی را که به آنها متصل هستند کنترل میکنند. بسیاری از این مودم/روترها گزینهای دارند که شبکه را ملزم میکند فقط به تجهیزاتی که آدرس مک آنها تایید شده است اجازه اتصال دهد. به این قابلیت، MAC filterمیگویند. با توجه به اینکه هکرها میتوانند بهراحتی آدرسهای مک جعلی بسازند، با فعال کردن MAC filter میتوانید آنها را محدود و لایه امنیتی جدیدی به شبکهتان اضافه کنید.
SSID Broadcast را خاموش کنید
در شبکههای وایفای، مودم/روتر بیسیم معمولا نام شبکه (SSID) را در محدود مکانی خود به همه اعلام یا اصطلاحا برودکست میکند. این ویژگی برای برخی کسبوکارها مفید اما کاربران خانگی به آن احتیاجی ندارند. روشن بودن SSID Broadcast ممکن است هکرهای احتمالی را به رخنه کردن در شبکهتان ترغیب کند. در اکثر روترهای خانگی میتوان قابلیت SSID Broadcast را خاموش کرد.
گزینه WPS را خاموش کنید
یکی از مهمترین کارها برای ارتقای امنیت مودم/روتر بیسیم، خاموش کردن گزینه WPS است. گزینه WPS (مخفف Wi-Fi Protected Setup) یکی از استانداردهای امنیت شبکه و مختص کاربرانی است که با امنیت بیسیم آشنایی چندانی ندارند و میخواهند تجهیزات جدیدی به شبکه اضافه کنند. اما با گذشت زمان مشخص شد که این استاندارد امنیتی شکافهای امنیتی خطرناکی دارد که به هکرها اجازه میدهد به برخی از اطلاعات مهم روتر دست یابند. در برخی از تجهیزات شبکه از جمله در مودم/روترهای خانگی، WPS بهطور پیشفرض روشن است. پس حتما WPS را (که در روترهای شرکت TP-Link به آن QSS نیز میگویند)، روی هر دو باند ۲.۴ گیگاهرتز و ۵ گیگاهرتز خاموش کنید.
حالت Open Network را انتخاب نکنید
هرگز در شبکه وایفای گزینه Open Network را انتخاب نکنید. با انتخاب این حالت هر کسی که در برد شبکه بیسیمتان باشد میتواند به شبکه شما متصل شود و حتی ترافیک آن را رهگیری کند. او حتی میتواند:
- دادههای شخصی شما (اسناد متنی، تصاویر و…) را از کامپیوترها و تجهیزات NAS شبکه خانگیتان ببیند و دانلود کند.
- حسابهای کاربری شما در شبکههای اجتماعی را به سرقت ببرد.
- به اطلاعات مهم بانکی و حتی اطلاعات کارتهای بانکیتان دسترسی یابد.
گزینه UPnP را خاموش کنید
تجهیزات شبکه (کامپیوترها شخصی، چاپگرها و…) با ستفاده از مجموعه پروتکل UPnP مخفف Universal Plug and Play به اجازه از حضور یکدیگر در شبکه آگاه میشوند و میتوانند برای ارتباط با یکدیگر شبکه تشکیل دهند. این گزینه در بسیاری از مدوم/روترهای خانگی بهطور پیشفرض روشن است و کمتر کسی آن را خاموش میکند. اگر UPnP روشن و حتی یکی از تجهیزات شبکه خانگیتان آلوده به بدافزار باشد، بدافزار میتواند به کل شبکه سرایت کند. قویا توصیه میشود گزینه UPnP را خاموش کنید.
قدرت سیگنالهای بیسیم مودم/روتر را کاهش دهید
در اکثر موارد لازم نیست فرستنده مودم/روتر وایفای با حداکثر قدرت خود کار کند. وقتی سیگنال بیش از حد نیاز قوی باشد، برد سیگنال افزایش مییابد و به خارج از محدوده کارتان درز میکند. اگر خانهتان کوچک است و مودم/روتر شما پاسخگوی نیازهایتان است، لازم نیست اکسسپوینتهای دیگری ایجاد کنید. حتیالامکان قدرت سیگنالهای ارسالی روتر را کاهش دهید، طوری که فقط در جاهایی که واقعا لازم است سیگنال دریافت شود. با این کار، سیگنالها در خارج از محدوده شخصیتان ضعیف میشوند و شبکه بیسیم شما از دسترس هکرهای احتمالی در آن اطراف دور میماند.
هنگام بیکاریهای طولانی، مودم/روتر بیسیم را خاموش کنید
وقتی مودم/روتر بیسیمتان را خاموش میکنید، در واقع یکی از مهمترین راههای نفوذ هکرها به شبکهتان را میبندید. پس اگر مودم/روتر بیسیم مدت زیادی بیکار خواهدماند، آن را خاموش کنید. خاموش کردن مودم/روتر هنگام بیکاریهای طولانی، نهتنها برای امنیت شبکه بلکه برای خود مودم/روتر نیز خوب است، زیرا اجازه میدهد دستگاه مدتی استراحت کند. این مورد برای مودم/روترهای کابلی هم توصیه میشود.
Admin via Wireless را خاموش کنید
گزینه Admin via Wireless به مدیر شبکه اجازه میدهد تا تنظیمات روتر و شبکه وایفای را بهصورت بیسیم تغییر دهد. اما مشکل اینجاست که هکرها یا کاربران غیرمجاز نیز اگر در برد سیگنالهای روتر شما باشند میتوانند از این طریق به روتر و شبکه شما دسترسی پیدا کنند. برای جلوگیری از این کار میتوانید قابلیت Admin via Wireless را خاموش کنید. در اینصورت فقط کسانی به قابلیتهای مدیریتی روتر دسترسی خواهندداشت که با کابل اترنت به روتر متصل شوند. این کار کمی محدودتان میکند چون خود شما نیز برای دسترسی به بخش تنظیمات روتر و مدیریت شبکه باید با کابل اترنت به روتر متصل شوید، اما در عوض راهکار بسیار امنتری است. ممکن است در برخی از مودم/روترها بهجای عبارت Admin via Wireless از عبارات دیگری مانند Remote Access یا Remote Administration یا Remote Manager استفاده شود.
سخن آخر
رعایت راهکارهای امنیتی فوق، امنیت شبکه بیسیم را صدردصد تضمین نمیکند، اما کار نفوذ به شبکه را برای هکرها سخت و بسیاری از آنها را از تلاش برای نفوذ به شبکهتان منصرف میکند. برای درک موضوع هک می توانید مقاله هک چیست را به همراه ویدئوی آن بررسی کنید.