路由安全,是個大話題。
路由器的背景設定項太過專業,蹭網卡風靡一時,傳說中的黑客似乎厲害的沒影......看起來家裡這台路由器根本就沒得救了。隻要有位稍懂的黑客盯上,分分鐘被攻破。
下邊宅客君将告訴大家,如何利用這些熟悉而又陌生的路由安全設定,來打造一台99.9%的黑客都攻不破的安全路由器。
在衆多防護機制中,mac位址白名單絕對是一等一的标配功能。上至千元頂配,下探幾十元小mini,這個功能一定妥妥的在着。不過别是以小看它,這可是關乎路由防蹭網的殺器。
大 家應該都有聽過“蹭網卡”、“wi-fi萬能鑰匙”這兩種東西。第一種專治wi-fi密碼,最強的wpa2加密有可能幾分鐘能破掉(弱密碼、強字典的特别 場景);即使是一個強密碼破不掉,說不定哪天你一位訪客手機上有個類似“萬能鑰匙”的app,手一滑,這個無線密碼還是被公諸于衆了。
以上是表示,大家的無線密碼并不可靠。而mac白名單機制卻可以保障不被蹭網,每台想上網的裝置,必須曾經被你加入過白名單,新的陌生裝置隻能在内網流浪。
mac 白名單功能位于左側菜單“進階設定”内,如果你家裡裝置較多,設定白名單得下苦功夫了。其實還有更友善的做法,大家應該記得今年兩款安全做的不錯的智能路 由360、魔豆,它們可以在新使用者接入時讓你确認是否允許上網,這其實就是利用mac白名單的機制。另外小米路由的白名單功能也還友善,隻是沒有前邊兩款 好使。
前邊說過,即使做了mac白名單,新的陌生裝置還是在内網亂逛,這可不行,有危險。要是這個陌生裝置技藝高超,一個“混雜模式”監聽走起,内網資訊就全被它收過去了。
ap隔離是個好東西。有它在,連入區域網路的裝置間都是隔離的,資料不互通。這時的陌生裝置技藝再高超也沒法來監聽你上網的資料了。
不過它也有缺點,比如導緻區域網路軟體基本沒法使用。包括qq的區域網路速傳、飛鴿傳書等一大票功能都要廢掉,目前還不确定區域網路遊戲對戰、檔案共享(smb)這些功能是否能用,但目測可能性不大。
ap隔離算是稍微進階的功能,百元以上的傳統路由基本支援。但需要提醒,智能路由由于曆史不長,有些廠商可能也還未做到這一功能。宅客君稍後将檢查一批路由,并公布結果于此。
在講完無線的外網、内網安全後,其實還有些旁門小道可以聊聊。
端口。普通路由上一般可能會開放80(遠端通路)、23(ssh)以及某些随機端口(廠商測試用),不過按照安全準則,還是盡量不開設端口。前不久某t大廠由于在穩定版固件中未關閉測試端口,結果成了安全界大笑話。
防ddos。這個子產品很重要,如果路由被ddos,整個網速會下降的很厲害。防ddos,就是保證路由遭受時使用者不受影響。
802.x。它是一個企業級的功能,每台裝置需要輸入賬号密碼才能去連接配接,伺服器驗證登陸資訊并傳回是否可以接入網絡、何等權限等。802.x可以一定程度上充當mac白名單的作用。
…..
如文章開頭所說,路由安全是個大話題。以上大部分是保證無線網絡的安全,關于有線網絡,因為在家裡,我們預設它是安全狀态的,有問題直接拔線就行。另一部分龐大複雜的vlan機制就不講了。
不過想做到安全,也意味着要付出代價。現在我們的“内網”算是名存實亡了,每次新裝置接入也得費點心去确認。這台路由,你得費心了。
附上述知乎貼内給出的小白安全建議,知易行難,僅作科普:
1、路由器連接配接密碼要複雜一點,比如testak47521test要比ak47521好很多 2、趕緊把路由器管理背景的帳号和密碼改掉。90% 的懶人還在 admin admin 3、不要告訴不可信人員你的 wi-fi 密碼。 4、移動裝置不要越獄不要 root,root/越獄後的裝置等于公共汽車随便上 5、常登陸路由器管理背景,看看有沒有連接配接不認識的裝置連入了 wi-fi,有的話斷開并封掉 mac 位址。封完以後馬上修改 wi-fi 密碼和路由器背景帳号密碼。 6、綁定ip mac位址 7、more