أمان الشبكة ليس فقط لمتخصصي تكنولوجيا المعلومات حتى المستخدمين المنزليين يحتاجون إلى الحفاظ على أمان شبكاتهم لمنع الأشخاص غير المصرح لهم، على سبيل المثال من استنزاف النطاق العريض الخاص بهم وتثبيت البرامج الضارة التي تحول الأجهزة المتصلة إلى روبوتات في شبكات الروبوت والتجسس على ما تفعله أنت وعائلتك.
في الماضي كانت الشبكة الداخلية تعتبر آمنة في كثير من الأحيان وكانت الحماية من التهديدات من الإنترنت هي أهم شيء، ولكن اليوم يوصي خبراء الأمن باستخدام الاتصالات المشفرة قدر الإمكان حتى داخل الشبكة المحلية.
قد يبدو الأمر معقدا ولكن مع المعرفة الأساسية والإعدادات الصحيحة في جهاز التوجيه الخاص بك ستقطع شوطا طويلا.
يبدأ أمان الشبكة بإعدادات جهاز التوجيه الصحيحة
يعتمد أمان شبكتك على حقيقة أنه يجب أن تتمكن أنت وأفراد عائلتك وزوارك فقط من الوصول إليها، بينما يتم استبعاد أي شخص آخر الشرط الأساسي لذلك هو أن يتم إعداد جهاز التوجيه روتور الخاص بك بحيث يمكنك فقط تغيير الإعدادات، وشبكتك اللاسلكية بحيث لا يمكن لأحد الاتصال بي واي فاي دون الحصول على كلمة المرور منك.
قم بتغيير كلمة المرور روتور وشبكة Wi-Fi
قبل القيام بأي شيء آخر تأكد من تغيير كلمة المرور لكل من لوحة إدارة جهاز التوجيه وشبكة Wi-Fi. تحتوي معظم أجهزة توجيه Wi-Fi اليوم على كلمات مرور عشوائية ولكن تم العثور على العديد من الشركات المصنعة لديها خوارزميات غير آمنة ولا أوصي بالوثوق بها أيضا من السهل جدا التقاط صورة بسرعة للجانب السفلي من جهاز التوجيه حيث تتم طباعة كلمة المرور الافتراضية عادة، بالنسبة لكلمة مرور Wi-Fi ، لا بأس من ثلاث إلى أربع كلمات عشوائية بدون أي أرقام أو أحرف خاصة حيث يسهل الكتابة يدويا أكثر من سلسلة أحرف غير مفهومة.
قم بإيقاف تشغيل الميزات غير الضرورية في روتور واي فاي
تحتوي العديد من أجهزة التوجيه خاصة القديمة منها على ميزتين غير آمنتين تم تمكينهما افتراضيا ويجب عليك إيقاف تشغيلهما إذا لم تكن متأكدا من حاجتك إليهما: UPnP و WPS قد تكون هناك حاجة إلى الأول من قبل بعض البرامج التي ترغب في تلقي حركة المرور الواردة ولكن من الأفضل إيقاف تشغيله وتشغيله إذا اكتشفت لاحقا أنك بحاجة إليه بدلا من تركه قيد التشغيل فقط في حالة WPS هي طريقة لتوصيل منتج بسرعة لا يحتوي على إدخال بسيط مثل لوحة المفاتيح بالشبكة اللاسلكية، ولكنه تقنية غير آمنة وغير مطلوبة اليوم تستخدم الأدوات الحديثة رموز QR وتطبيقات الأجهزة المحمولة وطرق أخرى لتوصيلها بالشبكة بشكل آمن.
إيقاف تشغيل تسجيل الدخول عن بعد لجهاز روتور
لحسن الحظ عادة ما يتم إيقاف تشغيل تسجيل الدخول إلى لوحة إدارة جهاز التوجيه من الإنترنت افتراضيا ولكن لا يزال من الأفضل التحقق منه وإيقاف تشغيله إذا كان لا يزال قيد التشغيل.
DNS أفضل من مزود خدمة الإنترنت الخاص بك
إذا لم تقم بتغيير أي إعدادات فسيرسل جهاز التوجيه الخاص بك عادة جميع استعلامات اسم المجال إلى خادم DNS الخاص بمزود خدمة الإنترنت ولكن هناك خيارات أفضل. يمكنك إما اختيار أحد خوادم DNS العادية الكبيرة والمعروفة مثل Cloudflare's 1.1.1.1 ، أو DNS المشفر إذا كان جهاز التوجيه الخاص بك يدعمه باستخدام DNS المشفر لا يمكن لموفر خدمة الإنترنت رؤية المواقع التي تتصل بها أنت وجميع أجهزتك.
مرشحات MAC عديمة الفائدة
عندما كانت الشبكات المنزلية جديدة كان من الشائع نصح المستخدمين بقصر الوصول إلى الشبكة على عناوين MAC المحددة (عناوين الأجهزة). نظرا لأنه من السهل جدا نسخ عنوان MAC لجهاز آخر ، فإن هذا لا يؤدي في الواقع إلى زيادة الأمان وهو في الغالب مشكلة حيث يتعين عليك تفويض كل جهاز جديد يدويا. إذا كان عامل تصفية عناوين MAC قيد التشغيل ، فقم بإيقاف تشغيله واتركه مغلقا.
استخدم https لإعدادات جهاز التوجيه
إذا تمكن شخص ما بطريقة ما من الوصول إلى شبكتك فيمكنه مراقبة كل حركة المرور. إذا قمت بالاتصال بلوحة إدارة جهاز التوجيه وقمت بتسجيل الدخول باستخدام اتصال غير مشفر (http://) ، فسيحصل المتسلل على تفاصيل تسجيل الدخول لذلك من الأفضل دائما الاتصال بجهاز التوجيه المشفر.
تحتوي العديد من أجهزة التوجيه الحديثة تلقائيا على شهادة SSL / TLS ذاتية الإنشاء ويمكنك الاتصال ببساطة عن طريق إضافة https:// أمام العنوان https://www.asusrouter.com:8443 على أجهزة توجيه Asus لسوء الحظ لم تقم جميع الشركات المصنعة بتمكين دعم https وإذا كنت تهتم كثيرا بالأمان فقد يكون من المفيد التفكير في الترقية إذا لم يكن لدى جهاز التوجيه الحالي لديك خيار تمكينه حتى في الإعدادات.
على أجهزة التوجيه الأكثر تطورا يمكنك أيضا تنشيط شهادة صادرة عن الخدمة المجانية Let's Encrypt يتطلب هذا أن يكون لديك اسم مجال إما اسم اشتريته أو اسم تم الحصول عليه من خلال خدمة DNS ديناميكية تعد Asus نموذجا يحتذى به هنا مع دعم مدمج للعديد من الخدمات بما في ذلك الخدمات الخاصة بها التي تمنح الشبكة مجالا من النموذج yournetworkname.asuscomm.com ثم يمكنك تمكين ميزة Let's Encrypt ، التي تحصل تلقائيا على شهادة ثم الوصول إلى إعدادات جهاز التوجيه عبر https://yournetworkname.asuscomm.com.
لا يعني وجود اسم مجال وشهادة أنه يمكن لأي شخص محاولة تسجيل الدخول من الإنترنت عادة يجب أن يكون لديك جهاز التوجيه مضبوطا لقبول الاتصالات بلوحة الإدارة عبر الشبكة المحلية فقط.
إذا كان لديك جهاز NAS أو أي خادم آخر على الشبكة بواجهة مسؤول قائمة على الويب ، فيجب عليك أيضا الاتصال به باستخدام https. بعض الشركات المصنعة مثل Asus فكرت في هذا الأمر وجعلته سهلا.
حافظ على تحديث جهاز التوجيه والأدوات الذكية
لا يقل أهمية عدم وجود "كلمة مرور" ككلمة مرور عن تحديث كل من جهاز التوجيه والأجهزة المتصلة يتم اكتشاف عيوب أمنية جديدة طوال الوقت وإذا لم تقم بالتحديث ، فإنك تترك أجهزتك مفتوحة للهجوم.
من الأفضل أن يحتوي أكبر عدد ممكن من الأجهزة على تحديثات تلقائية للنظام ولكن بالنسبة لأولئك الذين ليس لديهم مثل هذه الوظيفة قد يكون من الجيد تعيين تذكير أو نشاط تقويم متكرر للتحقق من وجود تحديثات مرة واحدة في الشهر.
جدار الحماية في جهاز التوجيه وفي كل جهاز كمبيوتر
جدار الحماية في سياق الشبكات هو برنامج يتحكم في كل حركة مرور الشبكة من وإلى الجهاز ويسمح أو يحظر حركة المرور بناء على قواعد محددة مسبقا يحتوي Windows و Mac OS ومعظم متغيرات Unix و Linux على جدار حماية مدمج في Windows يتم تضمينه في أمان Windows ضمن جدار الحماية وحماية الشبكة.
لا توجد العديد من الإعدادات هنا ولكن في الجزء السفلي ستجد قائمة بالاختصارات لميزات إضافية السماح لتطبيق على جدار الحماية هو أداة لإضافة استثناءات للبرامج الفردية أو تغيير القواعد الموجودة حدد الإعدادات المتقدمة لفتح عناصر التحكم الكاملة في جدار الحماية والتي توجد في واجهة قديمة الطراز مثل إدارة الأجهزة.
في أحدث إصدارات Windows يتم تشغيل جدار الحماية تلقائيا ونادرا ما تحتاج إلى إجراء أي إعدادات ولكن الشيء نفسه لا ينطبق على جميع أجهزة التوجيه تحقق من جهاز التوجيه الخاص بك عن طريق تسجيل الدخول إلى لوحة الإدارة والبحث عن جدار حماية أو جدار حماية ابحث عبر الإنترنت إذا لم تتمكن من العثور عليه قم بتنشيط جدار الحماية.
نصيحة إذا كان لديك Pi-hole هي حظر حركة المرور على المنفذ 53 (DNS) إلى جميع العناوين باستثناء Pi-holes سيمنع هذا الأجهزة من استخدام خوادم DNS الأخرى غير الآمنة يمكن التحايل عليه باستخدام DNS المشفر لكن إيقافه أصعب بكثير.
Pi-hole توقف الإعلان والتتبع لجميع الأجهزة
إذا كنت ترغب في نقل مقاومتك لتتبع الإعلانات إلى المستوى التالي فقم بإلقاء نظرة على Pi-hole وهو خادم DNS مزود بإمكانيات تصفية يمكنك تشغيلها على Raspberry Pi (ومن هنا جاءت تسميته) باستخدام Pi-hole على شبكتك والإعدادات الذكية على جهاز التوجيه الخاص بك يمكنك التأكد من حماية جميع الأجهزة الموجودة على شبكتك بما في ذلك أجهزة التلفزيون والأدوات المنزلية الذكية من التتبع.
يستخدم Pi-hole قوائم التصفية المستوردة ويحظر الاتصالات من خلال عدم الاستجابة بعنوان IP عندما يحاول الجهاز البحث عن اسم مجال إذا كان موقع الويب لا يعمل بشكل صحيح فقد يكون ذلك بسبب وجود مجال يستخدمه في قوائم التصفية الخاصة بك يمكنك بعد ذلك إضافة هذا النطاق إلى القائمة البيضاء للسماح به بغض النظر عما تقوله قوائم الفلاتر.
استخدم شبكات الضيف إذا كان جهاز التوجيه الخاص بك يحتوي عليها
تحتوي العديد من أجهزة التوجيه على ميزة ذكية تسمى شبكة الضيف هذه شبكة لاسلكية منفصلة بكلمة مرور خاصة بها يمكنك تقديمها للزوار المؤقتين، مما يسمح لهم بالوصول إلى الإنترنت لا يمكن لشبكة الضيف الوصول إلى الشبكة المحلية لذلك لا يمكن لأولئك المتصلين بها محاولة الاتصال بأجهزتك الأخرى أو بضيوف آخرين.
تحقق من إعدادات جهاز التوجيه الخاص بك لمعرفة ما إذا كان يدعم شبكة ضيف وقم بتمكينه إذا لم يكن قيد التشغيل بالفعل كما هو الحال مع شبكة Wi-Fi العادية يجب عليك اختيار كلمة مرور آمنة حتى يتمكن الضيوف الذين تريد الاتصال بهم فقط من ذلك.
إنشاء شبكة منفصلة للأدوات المتصلة
خلف الكواليس تستخدم شبكات الضيوف تقنية تسمى VLAN لإنشاء شبكات افتراضية منفصلة وفي بعض أجهزة التوجيه المتقدمة يمكنك إعداد شبكات إضافية من هذا القبيل بنفسك وحتى إنشاء شبكات Wi-Fi منفصلة تنتمي إلى شبكة محلية ظاهرية تحتوي الأجهزة الموجودة على شبكة محلية ظاهرية (VLAN) على عناوين IP مختلفة، إذا كانت شبكتك العادية تحتوي على عناوين بين 192.168.0.1 و 192.168.0.254 ، فيمكنك إعداد شبكة محلية ظاهرية لاستخدام 192.168.100.1-192.168.100.254.
استخدام كبير لشبكة VLAN المنزلية هو كشبكة منزلية ذكية مستقلة لا تحتاج الأدوات المتصلة مثل أجراس الباب بالفيديو والأضواء والثلاجات إلى الاتصال مباشرة بجهاز الكمبيوتر والهاتف المحمول.
لم يتم تضمين هذا في أجهزة توجيه المستهلك الأساسية وهو معقد للغاية إذا قمت بتثبيت برنامج بديل في جهاز التوجيه الخاص بك مثل OpenWRT أو Tomato فيمكنك البحث عن أدلة الخيار الأبسط هو ببساطة توصيل الأدوات الذكية بشبكة الضيف عيب هذا هو أن الأدوات التي ترغب في التواصل مع على سبيل المثال تطبيق الكي على هاتفك المحمول عبر الشبكة المحلية قد تفشل.
لماذا يجب عليك دائما إعداد شبكة Wi-Fi للضيوف في المنزل
تتبع الأجهزة المتصلة
قد يكون من الجيد التحقق من وقت لآخر ما هو متصل بالشبكة بحيث لا تدخل أي أجهزة غير مصرح بها بعد كل شيء تحتوي بعض أجهزة التوجيه على وظيفة في لوحة الإدارة لسرد جميع الأجهزة المتصلة (تسمى عادة شيئا مثل "الأجهزة المتصلة"). إذا لم يكن جهاز التوجيه الخاص بك يحتوي على قائمة فيمكنك استخدام برنامج لفحص الشبكة بحثا عن الأدوات الذكية المتصلة.
لسوء الحظ فإن بعض أجهزة التوجيه لديها عادة سرد الأجهزة التي تلقت عنوان IP الخاص بها تلقائيا عبر بروتوكول DHCP فقط وليس الأجهزة التي لها عنوان ثابت لذلك لا يزال استخدام أحد هذه البرامج فكرة جيدة.
للحصول على الفحص الأكثر اكتمالا للشبكة أوصي ببرنامج Nmap إنه أكثر تعقيدا قليلا من البرامج الأخرى ولكن يمكنه العثور على الأجهزة التي لا تستجيب ل ping يأتي إصدار Windows مزودا بواجهة رسومية تسمى Zenmap والتي لا تزال تجعلها بسيطة إلى حد ما.
بمجرد تشغيل البرنامج ، كل ما عليك فعله هو ملء نطاق العناوين الذي تريد البحث فيه. على سبيل المثال ، يمكن أن يكون 192.168.0.* للعناوين بين 192.168.0.1 و 192.168.0.254. ثم اضغط مسح وانتظر النتائج. في العمود الموجود على اليسار ، سترى الأجهزة المختلفة على الشبكة وإذا قمت بالنقر فوق تفاصيل المضيف ، يمكنك رؤية تفاصيل مثل نظام التشغيل الذي يعمل به الجهاز المميز.
إذا وجدت شيئا لا تعرفه فهذا لا يعني بالضرورة أن شخصا ما قد وصل إلى الشبكة أو اخترقك. على الأرجح ، إنها بعض الأدوات التي لم تفكر فيها. هل لديك أي أدوات منزلية ذكية أو أجهزة متصلة أو مكبرات صوت ذكية أو أجهزة تلفزيون حديثة أو وحدات تحكم في ألعاب الفيديو؟ ليس من غير المألوف أن يكون لديك عشرات الأجهزة على الشبكة.
إذا وجدت شيئا أنت متأكد تماما من أنه لا ينبغي أن يكون موجودا فقم بتغيير كلمة المرور على شبكة Wi-Fi وأعد تشغيل جهاز التوجيه بحيث يتعين على جميع الأجهزة إعادة الاتصال قد يكون تغيير كلمات المرور على بعض الأجهزة أمرا صعبا بعض الشيء ، ولكنه أفضل من وجود شخص غير معروف على الشبكة.