Skip to main content

Kullanım Kılavuzu (İngilizce)

Keenetic router güvenliği

Keenetic cihazlarda, bağlantı kontrolü ve saldırı önleme özelliğine sahip yerleşik bir Güvenlik Duvarı ve varsayılan olarak etkinleştirilmiş bir ağ adresi çevirisi (NAT) mekanizması bulunur. İnternet veya WAN arabiriminden gelen bağlantıları ev ağı aygıtlarına kısıtlarlar. Ağ cihazlarınızı diğer insanlardan ve İnternet'ten gelen tehditlerden gizlemenizi ve korumanızı sağlar. İnternet'ten Keenetic yönlendiriciye (web arayüzüne) erişim varsayılan olarak engellenir. Router cihazın, yerel ağın güvenliğini ve yetkisiz erişime karşı korumayı garanti etmek için uygulanır.

Wi-Fi ağındaki bilgilerin güvenliğine gelince, Keenetic yönlendiricinin kablosuz ağı varsayılan olarak IEEE 802.11i (WPA2 AES) güvenlik standardı ile korunmaktadır. Böyle bir ağa bağlanmak ve iletilen bilgileri şifresi (güvenlik anahtarı) olmadan okumak mümkün değildir.

KeeneticOS sürüm 3.1'den itibaren, kablosuz Wi-Fi ağı için gelişmiş koruma sağlamak üzere güncel güvenlik algoritmaları (WPA3-PSKOWEWPA/WPA2/WPA3-Enterprise ve WPA3-192 Enterprise) uygulandı. Ayrıntılar için 'En son Wi-Fi güvenliği: WPA3 ve OWE kurulumu' makalesine bakın.

Keenetic cihazlar, Protected Management Frames için IEEE 802.11 serisi standartlardan IEEE 802.11w standardını da destekler. Bu işlevsellik, yönetim çerçeveleri içinde veri gizliliği sağlayarak güvenliği artırır.

Önemli

Fabrika ayarlarıyla router cihazınız, dışarıdan gelebilecek saldırılara ve tehditlere karşı tamamen korunur ve yönlendirici için karmaşık* bir yönetici parolası oluşturmak dışında ek yapılandırma gerektirmez. Mimari olarak, router cihazdaki servisler, bilgisayar korsanlarının kullanabileceği sürekli açık bağlantı noktaları veya arka kapılar kullanmaz.

Keenetic yönlendiricinin güvenliğini sağlamak için güncellemeleri düzenli olarak kontrol etmenizi ve zamanında yüklemenizi öneririz. Otomatik işletim sistemi güncelleme işlevini kullanın (varsayılan olarak etkindir). Otomatik güncellemeler sayesinde cihazınız için KeeneticOS'un güncel bir sürümü mevcutsa, güncellemek için zaman kaybetmenize gerek kalmaz.

Bilgilerinizi güvende tutun — cihaz yönetici parolasını yabancılarla paylaşmayın.

* — Karmaşık (güvenli) bir parola, tahmin edilmesi zor ve bir saldırgan tarafından bulunması uzun zaman alan bir parola olmalıdır.

KeenDNS hizmetimizi kullanırken, dijital sertifika ve HTTPS özel anahtarı doğrudan hedef cihazda (routerda) saklanır. HTTPS protokolü kullanılarak bir bulut sunucusu üzerinden erişimle, yönlendiriciye güvenli bir tünel oluşturulur; İnternet üzerinden iletilen verilerin güvenliğini ve gizliliğini sağlar. Oturum, uçtan uca şifreleme kullanılarak kurulur. Bu, router ve tarayıcı arasında HTTPS aracılığıyla iletilen bilgilerin, taşıma katmanı veri iletimi sağlayan KeenDNS bulut sunucularında mevcut olmadığı anlamına gelir. HTTP üzerinden bulut erişimi ile, KeenDNS dijital sertifikası kullanılarak router ve KeenDNS sunucusu arasında güvenli bir kanal kurulur ve bu da veri güvenliğini ve müdahaleye karşı korumayı garanti eder.

Ağ cihazlarına uzaktan erişim için 4. seviye KeenDNS alan adlarını kullanırken dikkatli olun. Bazı cihazlarda, kimlik doğrulama olmadan (şifre olmadan) ücretsiz olarak erişilebilen genel bir web arayüzü bulunur. KeenDNS kullanarak böyle bir cihaza uzaktan erişim açmak güvenli değildir. Yönlendirici aracılığıyla bu tür cihazlara uzaktan erişim için KeeneticOS'ta zorunlu kimlik doğrulamayı etkinleştirebilirsiniz.

Ancak kullanıcı, yönlendiriciyi kendisi yapılandırarak bir güvenlik açığı (açıklık) oluşturabilir. Özellikle güvenlik duvarı kurallarının ayarlanması, bağlantı noktası yönlendirme, yönlendiriciye uzaktan bağlantı, ev ağı kaynaklarına erişim ve Wi‑Fi kablosuz/konuk ağı ayarları ile ilgilidir.

Teoride, potansiyel bir saldırgan yönlendiriciye uzaktan (İnternet veya ISP ağı gibi harici bir WAN arabiriminden) veya yerel olarak (örneğin, bir Wi-Fi yönlendirici ağından) erişebilir. Cihazın yetkisiz kişilerin erişimine kapalı olmasını sağlamak kullanıcının sorumluluğundadır.

Önemli

Gerekmedikçe açık bir Wi-Fi ağı (korumasız, şifresiz) kullanmayın; Ağınız diğer istemcilere bağlanmak için ücretsiz ve şifresiz olacağından güvenli değildir ve açık ağlarda iletilen verilerin şifrelenmesi yoktur.

İnternete erişmek için özel bir IP adresi (private IP) kullanıyorsanız, yönlendiricinizin İnternet saldırılarına karşı ek koruma konusunda endişelenmenize gerek yoktur. Özel bir IP adresiyle, yönlendiriciye doğrudan erişim için İnternet'ten erişilemez. Ayrıca, varsayılan olarak, güvenlik duvarı ve ağ adresi çevirisi (NAT) mekanizması tarafından harici erişim yasaklanmıştır. Yönlendiricinin yönetici hesabı (admin) için karmaşık bir şifre belirlemek yeterlidir.

Genel bir IP adresi (public IP) kullanırken ek güvenlik kuralları kullanmalısınız. Bu durumda yönlendirici internette görünür durumdadır ve çeşitli tehditler ve saldırılar olabilir.

Önemli

KeeneticOS 3.4.6'dan başlayarak, bulut altyapısı ve Keenetic cihazlarda ürün yazılımı imzası için dijital sertifika periyodik olarak yenilenmektedir. Önceki dijital sertifikalar daha sonra iptal edilir. Bu, KeeneticOS güncellemelerinin ve Keenetic hizmetlerinin güvenliğini artırmak için yapılır.

Ekstra koruma araçları:

  • Cihaz için en az 8 karakter uzunluğunda karmaşık bir yönetici parolası belirleyin; Rastgele şifreler oluşturun; Şifreye sayıları ve diğer karakterleri dahil edin; Aynı şifreyi farklı siteler veya amaçlar için kullanmaktan kaçının; Şifre gücünü buradan kontrol edin; Karmaşık şifreler oluşturmak için bir şifre yöneticisi kullanın;

  • Wi-Fi ağınıza bağlanmak için güçlü bir parola kullanın. Varsayılan olarak Keenetic cihazınız, tahmin edilmesi zor ve saldırı durumunda bulunması uzun süren güçlü bir parolaya sahiptir;

  • Tüm istemci cihazlarınızı Keenetic cihazınıza kaydedin.  Kayıtlı olmayan tüm cihazların erişimini reddetmek için 'İnternet Yok' erişim profilini seçin veya kayıtlı olmayan cihazlar için hız sınırı ayarlayın;

  • Tüm ev cihazlarını tehlikeli sitelerden ve diğer tehditlerden korumak için güvenli İnternet erişimi için önceden yüklenmiş İnternet filtrelerinden (SafeDNSAdGuard DNSCloudflare DNS, NextDNS) birini kullanın;

  • DNS trafiğini korumak için, DNS isteklerini şifrelemenize izin veren TLS üzerinden DNS ve HTTPS üzerinden DNS protokollerini kullanabilirsiniz. Bu protokoller için destek, KeeneticOS 3.0 sürümünden itibaren kullanılabilir. Ana amaçları, müdahaleyi önlemek ve ek gizlilik ve güvenlik sağlamak için DNS trafiğini şifrelemektir. 'DNS-over-TLS ve DNS-over-HTTPS protokolleri için DNS sorgularını şifreleme' talimatlarında daha fazla bilgi bulabilirsiniz;

  • Bir 'Beyaz Liste' oluşturarak Wi-Fi Erişim Kontrolü özelliğini kullanabilirsiniz. Bu durumda yönlendirici, bu listede olmayan tüm istemcilerin bağlantısını engeller;

  • Üçüncü taraflara geçici İnternet erişimi sağlamanız gerekiyorsa, bunun için Wi-Fi Misafir Ağını kullanın. Bu, yalnızca İnternet erişimi olan ayrı bir ağdır. Aynı zamanda, Misafir Ağına bağlı cihazlar, örneğin arkadaşlarınızın cihazlarında bulunan virüslerden ve kötü amaçlı yazılımlardan korumak ve güvenliğini sağlamak için ev ağınızın kaynaklarından izole edilecektir;

  • Wi-Fi ağınızın güvenlik seviyesini iyileştirmek için WPS Hızlı Kurulum özelliğini devre dışı bırakabilirsiniz;

  • Yerel ağ güvenliğini artırmak için, ağa bağlanan kayıtlı olmayan yeni bir cihazın bildirimlerini e-posta adresinize mail olarak, mobil uygulamadan anlık bildirim olarak veya Telegram üzerinden bildirim olarak almak için Keenetic mobil uygulamamızı kullanabilirsiniz. Daha fazla bilgi için lütfen 'Belirli bir ev ağı cihazının bağlantı durumu ile ilgili bildirimleri ayarlama' kılavuzuna bakın;

  • Keenetic'e üçüncü taraf bir uygulama aracılığıyla bağlanmak için, yalnızca istenen sunucuya (örneğin yalnızca SMB USB depolamaWebDAV sunucusu veya VPN sunucusu) erişime izin veren özel bir kullanıcı hesabı oluşturmanızı öneririz. Güvenlik nedeniyle yönlendirici yönetici (admin) hesabı kullanmaktan kaçının, sınırlı haklara sahip bir kullanıcı hesabı ayarlayın.

  • SSID'yi Gizle işlevi, kablosuz ağın gizli SSID modunu etkinleştirir. Kullanırsanız, Wi-Fi ağınızın adı, kullanıcıların cihazlarındaki mevcut kablosuz ağlar listesinde görüntülenmez (Misafir ağ SSID'si de dahil hiçbir SSID görünmez), ancak ağın varlığını bilen ve adını bilen kullanıcılar, ağa bağlanabileceklerdir.

İnternet erişimi için genel IP (public IP) adresine sahip cihazlar için ayrıca:

  • Keenetic web arayüzüne HTTP ile ve hatta gerekmedikçe TELNET ile internetten uzaktan erişime izin vermeyin;

  • Cihazın standart kontrol portlarını değiştirmenizi öneririz. Örneğin, HTTP üzerinden kontrol portunu 80'den 8080'e ve kontrol portunu TELNET üzerinden 23'ten 2023'e değiştirin; Cihaz web arayüzüne yalnızca HTTPS protokolü aracılığıyla uzaktan bağlantı kullanımını etkinleştirin (bu özellik KeeneticOS sürüm 3.1'den sonra uygulanır);

  • KeeneticOS sürüm 2.12'den itibaren, cihaz komut satırına güvenli bir şekilde bağlanmamızı sağlayan SSH (Secure Shell) sunucusu eklendi. İnternet'ten cihaza bağlanırken TELNET yerine SSH bağlantısı kullanmanızı öneririz. Standart SSH kontrol portunu 22'den diğerine değiştirin, ör., 2022;

  • Ağ cihazları (ör. IP kamera, ağ medya oynatıcı veya USB sürücü) dahil olmak üzere yerel ağa uzaktan erişim için port yönlendirme kuralı oluşturmak yerine Keenetic üzerinde bir VPN sunucusu (ör. L2TP/IPsecWireGuardSSTP veya PPTP) kullanmanızı öneririz. Bu durumda, VPN'ye bağlanmak için ayrı bir kullanıcı hesabı oluşturun ve karmaşık bir kullanıcı şifresi kullanın. 'Keenetic yönlendiricilerdeki VPN türleri' kılavuzunda, Keenetic'lerde bulunan ve desteklenen tüm VPN türlerinin kısa bir açıklamasını bulabilirsiniz;

  • UPnP hizmetini kullanmıyorsanız devre dışı bırakın. Bu durumda, NAT kurallarının ve güvenlik duvarının otomatik olarak oluşturulmayacağından emin olabilirsiniz. Örneğin, UPnP hizmeti, yerel ana bilgisayardan kötü amaçlı yazılım kullanabilir.

  • Bazı durumlarda, belirli portları manuel olarak açmanız gerekebilir (port yönlendirme ayarlama). Port yönlendirmede, tüm portları ve protokolleri bir LAN cihaza yönlendirmek yerine, yalnızca sunucunun veya ağ cihazının çalışması için gerekli olan belirli portları ve protokolleri açmanızı öneririz;

  • Yönlendirme kurallarını ve güvenlik duvarını kullanırken, örneğin yalnızca belirli bir IP adresinden veya belirli bir alt ağdan erişime izin verirken diğerlerini yasaklayarak erişimi kısıtlamak mümkündür;

  • If necessary, you can use firewall rules to block access to the router's web interface for certain LAN hosts, block Telnet connections, allow only certain LAN computers to access the Internet and block access for all others, etc. For more information, see the Firewall rule examples tutorial;

  • Harici ağdan (İnternetten) tüm kullanıcılar için güvenlik duvarında ping isteklerine izin vermeyin.

İpucu

  1. Keenetic cihazlar, farklı VPN bağlantı türlerini destekler: WireguardIPsecSSTPPPTPOpenVPNL2TP/IPsec ve IPSec Sanal Sunucusu (Xauth PSK). Daha fazla ayrıntıyı 'Keenetic'te sunulan VPN Türleri' makalesinde bulabilirsiniz.

  2. KeeneticOS 2.08 sürümünden itibaren, Keenetic cihazın parola arayan robotlara karşı koruması iyileştirildi (kaba kuvvet saldırısına karşı koruma). Koruma, HTTP (TCP/80) ve Telnet (TCP/23) protokolleri aracılığıyla cihazın harici arayüzleri için kullanılır. Varsayılan olarak, bu koruma yönlendiricide etkindir. Birisi 3 dakika içinde yönlendiriciye 5 kez yanlış giriş bilgileri girerse, IP adresi 15 dakika süreyle bloke edilir.

  3. KeeneticOS sürüm 2.12'den itibaren, genel arayüzler için SSH ve FTP sunucusu şifrelerini arayarak izinsiz giriş denemelerini izlemek için parametreler ayarlamak mümkündür (varsayılan olarak işlev etkindir).

  4. The OpenSSL library is continually updated.

  5. KeeneticOS sürüm 3.1'den başlayarak, PPTP VPN sunucusunun parolalarını arayarak izinsiz giriş denemelerini izlemek için parametreleri ayarlama özelliği eklendi (varsayılan olarak bu özellik etkindir).

  6. Keenetic'te, potansiyel olarak savunmasız tüm WPS seçenekleri devre dışı bırakılır (Pin kodu kullanımı varsayılan olarak devre dışıdır ve Pin kodu giriş algoritması, bilgisayar korsanlığına karşı özel olarak değiştirilir). WPSv2 mekanizması desteği ve WPS protokolüyle ilgili (Pixie Dust saldırıları dahil) bilinen tüm güvenlik açıklarına karşı koruma kullanılır.

  7. KeeneticOS'ta, WPA2 KRACK güvenlik açığına (KRACK anahtarı yeniden yükleme saldırısı olarak bilinen WPA2 protokolü güvenlik açığı) karşı koruma geliştirildi.

  8. 802.11r Fast-BSS Transition (FT) CVE-2017-13082 gibi saldırılar ise IEEE 802.11r standardını destekleyen Keenetic yönlendiricileri etkilemez.

  9. Keenetic yönlendiriciler, CVE-2017-7494'e (WannaCry, SambaCry) karşı savunmasız değildir.

  10. DoS ve SYN-flood saldırılarına karşı koruma, router işletim sistemi tarafından kullanılan Linux çekirdeğindedir.

    Denial of Service (DoS) ve Distributed Denial of Service (DDoS) saldırıları, cihaza çok sayıda bağlantı açılmasına dayanır. DDoS saldırıları, yönlendirildikleri nesne açısından eşler arası ağ operasyonlarından ayırt edilemez. Özellikleri nedeniyle, DDoS saldırıları ve bunlara karşı koruma, hem ev cihazları hem de KOBİ segmenti için düşük alaka düzeyine sahiptir. DDoS saldırıları genellikle kurumsal yapılara, halka açık sitelere, veri merkezlerine vb. yöneliktir. Dağıtılmış hizmet reddi saldırıları genellikle ISP tarafında etkin bir şekilde çözülür.

  11. KeeneticOS sürüm 3.1'den itibaren, IP adreslerine ve router alan adlarına sertifika olmadan doğrudan erişimi yasaklayan 'HTTPS Erişimi' modu uygulanır.

  12. KeeneticOS 3.4.1 sürümünden itibaren, DNS Rebinding gibi saldırıların engellenmesi cihazlarda uygulanmaktadır ve varsayılan olarak etkindir.

  13. KeeneticOS 3.6.6FragAttacks (Parçalanma ve Toplama Saldırıları) olarak bilinen Wi-Fi ağ güvenlik açıkları için düzeltmeler ekler: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020 -26140, CVE-2020-26146, CVE-2020-26147. Güncelleme, tüm KN endeksli modeller için geçerlidir.

  14. Keenetic 3.7.1 sürümünden itibaren KeeneticOS, kullanıcı kimlik bilgilerinin değiştirilmesinden sonra güvenliği artırmak için Keenetic web arayüzü ve mobil uygulama aracılığıyla aktif yönetim oturumlarını temizler.

  15. From KeeneticOS 3.7.1, password brute force protection is implemented for remote access to the device via the KeenDNS domain name in the cloud mode.

Bu bölümde: