■曹剛
這樣設(shè)置路由99.9%的黑客都攻不破
■曹剛
路由安全,是個(gè)大話題。
路由器的后臺(tái)設(shè)置項(xiàng)太過專業(yè),蹭網(wǎng)卡風(fēng)靡一時(shí),傳說中的黑客似乎厲害的沒影......看起來家里這臺(tái)路由器根本就沒得救了。只要有位稍懂的黑客盯上,分分鐘被攻破。
其實(shí)通過路由本身的安全防護(hù),已經(jīng)可以做到一個(gè)非常高的安全水平。下面將告訴大家,如何利用這些熟悉而又陌生的路由安全設(shè)置,來打造一臺(tái)99.9%的黑客都攻不破的安全路由器。
在眾多防護(hù)機(jī)制中,MAC地址白名單絕對(duì)是一等一的標(biāo)配功能。上至千元頂配,下探幾十元小mini,這個(gè)功能一定妥妥的在著。不過別因此小看它,這可是關(guān)乎路由防蹭網(wǎng)的殺器。
大家應(yīng)該都有聽過“蹭網(wǎng)卡”、“Wi-Fi萬能鑰匙”這兩種東西。第一種專治Wi-Fi密碼,最強(qiáng)的WPA2加密有可能幾分鐘能破掉(弱密碼、強(qiáng)字典的特別場(chǎng)景);即使是一個(gè)強(qiáng)密碼破不掉,說不定哪天你一位訪客手機(jī)上有個(gè)類似“萬能鑰匙”的App,手一滑,這個(gè)無線密碼還是被公諸于眾了。
以上是表示,大家的無線密碼并不可靠。而MAC白名單機(jī)制卻可以保障不被蹭網(wǎng),每臺(tái)想上網(wǎng)的設(shè)備,必須曾經(jīng)被你加入過白名單,新的陌生設(shè)備只能在內(nèi)網(wǎng)流浪。
MAC白名單功能位于左側(cè)菜單“高級(jí)設(shè)置”內(nèi),如果你家里設(shè)備較多,設(shè)置白名單得下苦功夫了。其實(shí)還有更方便的做法,大家應(yīng)該記得今年兩款安全做的不錯(cuò)的智能路由360、魔豆,它們可以在新用戶接入時(shí)讓你確認(rèn)是否允許上網(wǎng),這其實(shí)就是利用MAC白名單的機(jī)制。另外小米路由的白名單功能也還方便,只是沒有前邊兩款好使。
前邊說過,即使做了MAC白名單,新的陌生設(shè)備還是在內(nèi)網(wǎng)亂逛,這可不行,有危險(xiǎn)。要是這個(gè)陌生設(shè)備技藝高超,一個(gè)“混雜模式”監(jiān)聽走起,內(nèi)網(wǎng)信息就全被它收過去了。
AP隔離是個(gè)好東西。有它在,連入局域網(wǎng)的設(shè)備間都是隔離的,數(shù)據(jù)不互通。這時(shí)的陌生設(shè)備技藝再高超也沒法來監(jiān)聽你上網(wǎng)的數(shù)據(jù)了。
不過它也有缺點(diǎn),比如導(dǎo)致局域網(wǎng)軟件基本沒法使用。包括QQ的局域網(wǎng)速傳、飛鴿傳書等一大票功能都要廢掉,目前還不確定局域網(wǎng)游戲?qū)?zhàn)、文件共享(SMB)這些功能是否能用,但目測(cè)可能性不大。
AP隔離算是稍微高級(jí)的功能,百元以上的傳統(tǒng)路由基本支持。但需要提醒,智能路由由于歷史不長(zhǎng),有些廠商可能也還未做到這一功能。宅客君稍后將檢查一批路由,并公布結(jié)果于此。
在講完無線的外網(wǎng)、內(nèi)網(wǎng)安全后,其實(shí)還有些旁門小道可以聊聊。
端口。普通路由上一般可能會(huì)開放80(遠(yuǎn)程訪問)、23(SSH)以及某些隨機(jī)端口(廠商測(cè)試用),不過按照安全準(zhǔn)則,還是盡量不開設(shè)端口。前不久某T大廠由于在穩(wěn)定版固件中未關(guān)閉測(cè)試端口,結(jié)果成了安全界大笑話。
防DDOS。這個(gè)模塊很重要,如果路由被DDOS,整個(gè)網(wǎng)速會(huì)下降的很厲害。防DDOS,就是保證路由遭受時(shí)用戶不受影響。
802.X。它是一個(gè)企業(yè)級(jí)的功能,每臺(tái)設(shè)備需要輸入賬號(hào)密碼才能去連接,服務(wù)器驗(yàn)證登陸信息并返回是否可以接入網(wǎng)絡(luò)、何等權(quán)限等。802.X可以一定程度上充當(dāng)MAC白名單的作用。
如文章開頭所說,路由安全是個(gè)大話題。以上大部分是保證無線網(wǎng)絡(luò)的安全,關(guān)于有線網(wǎng)絡(luò),因?yàn)樵诩依?,我們默認(rèn)它是安全狀態(tài)的,有問題直接拔線就行。另一部分龐大復(fù)雜的VLAN機(jī)制就不講了。
知乎曾有一貼“蹭網(wǎng)之后,能做些什么?”引發(fā)了廣泛討論,而依照我們以上設(shè)置:開啟白名單驗(yàn)證,入侵者就沒法通過網(wǎng)絡(luò)上網(wǎng);后臺(tái)防DDOS后,暴力破解后臺(tái)密碼不行了;開啟AP隔離后,所有嗅探都被廢掉??吹?jīng)],安全等級(jí)是不是一下子提高了N倍,至少一般入侵者可不行。怎么著也得手中肉雞多多、0day多多。
不過想做到安全,也意味著要付出代價(jià)?,F(xiàn)在我們的“內(nèi)網(wǎng)”算是名存實(shí)亡了,每次新設(shè)備接入也得費(fèi)點(diǎn)心去確認(rèn)。這臺(tái)路由,你得費(fèi)心了。
附上述知乎貼內(nèi)給出的小白安全建議,知易行難,僅作科普:
1、路由器連接密碼要復(fù)雜一點(diǎn),比如testak47521test要比ak47521好很多
2、趕緊把路由器管理后臺(tái)的帳號(hào)和密碼改掉。90%的懶人還在admin admin
3、不要告訴不可信人員你的Wi-Fi密碼。
4、移動(dòng)設(shè)備不要越獄不要ROOT,ROOT/越獄后的設(shè)備等于公交車隨便上
5、常登陸路由器管理后臺(tái),看看有沒有連接不認(rèn)識(shí)的設(shè)備連入了Wi-Fi,有的話斷開并封掉Mac地址。封完以后馬上修改Wi-Fi密碼和路由器后臺(tái)帳號(hào)密碼。
6、綁定IP MAC地址
7、More