路由安全,是個大話題。
路由器的後台設置項太過專業,蹭網卡風靡一時,傳說中的黑客似乎厲害的沒影......看起來家裡這台路由器根本就沒得救了。只要有位稍懂的黑客盯上,分分鐘被攻破。
宅客君(公眾號『Letshome』)之前曾從多個角度探討這個話題,包括技術分析、測試、協議規範溯源等等。但這些東西里邊,都沒有談過路由本身多年發展的安全機制。我們忽略了最重要的東西:其實通過路由本身的安全防護,已經可以做到一個非常高的安全水平。
下邊宅客君將告訴大家,如何利用這些熟悉而又陌生的路由安全設置,來打造一台99.9%的黑客都攻不破的安全路由器。
MAC白名單機制
在眾多防護機制中,MAC地址白名單絕對是一等一的標配功能。上至千元頂配,下探幾十元小mini,這個功能一定妥妥的在著。不過別因此小看它,這可是關乎路由防蹭網的殺器。
大家應該都有聽過“蹭網卡”、“Wi-Fi萬能鑰匙”這兩種東西。第一種專治Wi-Fi密碼,最強的WPA2加密有可能幾分鐘能破掉(弱密碼、強字典的特別場景);即使是一個強密碼破不掉,說不定哪天你一位訪客手機上有個類似“萬能鑰匙”的App,手一滑,這個無線密碼還是被公諸於眾了。
以上是表示,大家的無線密碼並不可靠。而MAC白名單機制卻可以保障不被蹭網,每台想上網的設備,必須曾經被你加入過白名單,新的陌生設備只能在內網流浪。
MAC白名單功能位於左側菜單“高級設置”內,如果你家裡設備較多,設置白名單得下苦功夫了。其實還有更方便的做法,大家應該記得今年兩款安全做的不錯的智能路由360、魔豆,它們可以在新用戶接入時讓你確認是否允許上網,這其實就是利用MAC白名單的機制。另外小米路由的白名單功能也還方便,只是沒有前邊兩款好使。
AP隔離
前邊說過,即使做了MAC白名單,新的陌生設備還是在內網亂逛,這可不行,有危險。要是這個陌生設備技藝高超,一個“混雜模式”監聽走起,內網信息就全被它收過去了。
AP隔離是個好東西。有它在,連入局域網的設備間都是隔離的,數據不互通。這時的陌生設備技藝再高超也沒法來監聽你上網的數據了。
不過它也有缺點,比如導致局域網軟件基本沒法使用。包括QQ的局域網速傳、飛鴿傳書等一大票功能都要廢掉,目前還不確定局域網游戲對戰、文件共享(SMB)這些功能是否能用,但目測可能性不大。
AP隔離算是稍微高級的功能,百元以上的傳統路由基本支持。但需要提醒,智能路由由於歷史不長,有些廠商可能也還未做到這一功能。宅客君稍後將檢查一批路由,並公佈結果於此。
庖丁小道
在講完無線的外網、內網安全後,其實還有些旁門小道可以聊聊。
端口
普通路由上一般可能會開放80(遠程訪問)、23(SSH)以及某些隨機端口(廠商測試用),不過按照安全準則,還是盡量不開設端口。前不久某T大廠由於在穩定版固件中未關閉測試端口,結果成了安全界大笑話。
防DDOS
這個模塊很重要,如果路由被DDOS,整個網速會下降的很厲害。防DDOS,就是保證路由遭受時用戶不受影響。
802.X
它是一個企業級的功能,每台設備需要輸入賬號密碼才能去連接,服務器驗證登陸信息並返回是否可以接入網絡、何等權限等。 802.X可以一定程度上充當MAC白名單的作用。
…..
如文章開頭所說,路由安全是個大話題。以上大部分是保證無線網絡的安全,關於有線網絡,因為在家裡,我們默認它是安全狀態的,有問題直接拔線就行。另一部分龐大復雜的VLAN機制就不講了。
知乎曾有一貼“蹭網之後,能做些什麼?”引發了廣泛討論,而依照我們以上設置:開啟白名單驗證,入侵者就沒法通過網絡上網;後台防DDOS後,暴力破解後台密碼不行了;開啟AP隔離後,所有嗅探都被廢掉。看到沒,安全等級是不是一下子提高了N倍,至少一般入侵者可不行。怎麼著也得手中肉雞多多、0day多多。
不過想做到安全,也意味著要付出代價。現在我們的“內網”算是名存實亡了,每次新設備接入也得費點心去確認。這台路由,你得費心了。
附上述知乎貼內給出的小白安全建議,知易行難,僅作科普:
引用1、路由器連接密碼要復雜一點,比如testak47521test要比ak47521好很多
2、趕緊把路由器管理後台的帳號和密碼改掉。 90% 的懶人還在 admin admin
3、不要告訴不可信人員你的Wi-Fi 密碼。
4、移動設備不要越獄不要ROOT,ROOT/越獄後的設備等於公交車隨便上
5、常登陸路由器管理後台,看看有沒有連接不認識的設備連入了Wi-Fi,有的話斷開並封掉Mac 地址。封完以後馬上修改Wi-Fi 密碼和路由器後台帳號密碼。 6、綁定IP MAC地址
7、More
本文部分技術細節來自採訪魔豆產品經理黃略。
資料來源:雷鋒網
編輯:LongYe
請按此登錄後留言。未成為會員? 立即註冊