1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.
adslNOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.
2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.
3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.
4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.
5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)
______________
BY ÇÖLGEÇEN |
