|
如何保護(hù)你的無線路由器�����? 本文主要給大家詳細(xì)的介紹了對(duì)于無線路由器���,我們應(yīng)該如何進(jìn)行保護(hù)�,具體要進(jìn)行哪些詳細(xì)的操作呢,相信看過此文會(huì)對(duì)你有所幫助����。 路由器是局域網(wǎng)與Internet之間最重要的網(wǎng)絡(luò)互聯(lián)設(shè)備?��?梢赃@樣說����,沒有路由器就沒有互聯(lián)網(wǎng)���?����;ヂ?lián)網(wǎng)迅速發(fā)展�,使得小型無線局域網(wǎng)絡(luò)悄然興起��,用戶可以在網(wǎng)上辦公����、購物等�����,享受互聯(lián)網(wǎng)帶來的便捷和愉快�。不過�,就我們享受網(wǎng)絡(luò)所帶來的這些優(yōu)越性時(shí)�,包括黑客在內(nèi)的惡意用戶會(huì)利用各種手段竊取各種敏感信息,如銀行賬號(hào)��、口令等���。印度大學(xué)的計(jì)算機(jī)科學(xué)系的研究者們最近發(fā)布了一份調(diào)查報(bào)告�����,其中概括了黑客訪問��、篡改家庭網(wǎng)絡(luò)路由器配置的情況�����,描述了黑客怎樣用嵌入到Web頁面中的JavaScript登錄到路由器超級(jí)用戶賬戶��,并修改其DNS配置的陰險(xiǎn)伎倆�����。 一旦路由器連接了被黑客控制的DNS服務(wù)器���,此路由器就可以被用作一個(gè)各種惡意需要的跳板���,從惡意軟件感染到通過“釣魚”進(jìn)行用戶身份竊取等都會(huì)發(fā)生。印度大學(xué)的報(bào)告指出這種攻擊并不利用任何瀏覽器的漏洞��,而且��,更重要的是���,它看起來幾乎在任何路由器上都能正常工作��,不管什么牌子或型號(hào)�����。 更為有趣的是�����,這種黑客行為只有在目標(biāo)路由器的默認(rèn)管理員口令采用的仍是廠家默認(rèn)配置的情況下發(fā)生����。換句話說,只要用戶簡(jiǎn)單地改變了默認(rèn)口令���,用戶就會(huì)受到保護(hù)����,因?yàn)楣粢蕾囉谶@種大家熟知的設(shè)備廠商提供的默認(rèn)口令��。 實(shí)際上有很多路由器仍采用這種默認(rèn)口令�。其實(shí)��,許多自動(dòng)配置的路由器向?qū)Р⒉惶崾居脩粜薷哪J(rèn)的管理員口令�����,大多數(shù)路由器廠商將設(shè)置方法放在菜單中一個(gè)不為人注意的地方�����。這易于造成用戶對(duì)默認(rèn)口令疏于管理與改變�����。 這種特定的攻擊情況表明,哪怕是一種看似次要的局部的設(shè)置����,仍會(huì)對(duì)安全產(chǎn)生深遠(yuǎn)的影響。因此����,有必要檢查一些具體措施,使我們可以確信有線或無線路由器——甚至進(jìn)一步講——我們的網(wǎng)絡(luò)可以達(dá)到盡可能的安全���。 修改路由器的管理員口令 如前所述���,如果你的路由器的口令為'password'、 'admin' ����、'1234'或任何其它的默認(rèn)口令,那你簡(jiǎn)直就是在自尋煩惱�����,趕快修改吧����! 
修改默認(rèn)的SSID 正如許多用戶忽視了修改路由器的口令一樣���,許多用戶還可能保持著默認(rèn)的無線網(wǎng)絡(luò)SSID。SSID/ESSID(ServiceSet Identifier)即“服務(wù)組標(biāo)識(shí)符”����, 用來區(qū)分不同的網(wǎng)絡(luò),最多允許有32個(gè)字符�。無線網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò),SSID通常由訪問點(diǎn)廣播出來���。不過����,SSID幾乎總可以指明或預(yù)示著設(shè)備制造商的名稱����,從而可以推斷出其它信息����。請(qǐng)放棄使用默認(rèn)的SSID吧,創(chuàng)建一個(gè)自己的SSID�,不過要避免使用如家庭住址、生日或姓名等�����。 關(guān)閉SSID廣播 廣播SSID可將新的無線設(shè)備很輕松地連接到你的網(wǎng)絡(luò)中。但這會(huì)將你的網(wǎng)絡(luò)廣播給任何經(jīng)過無線通信區(qū)域的“過路人”���,這絕對(duì)不是個(gè)好主意���。關(guān)閉這個(gè)特性并不會(huì)絕對(duì)地隱藏你的存在,特別是對(duì)那些使用特殊軟件的����、堅(jiān)決的闖入者來說更是這樣。但是�����,有越少的人知道你的信息���,情況就對(duì)你越有利����。其實(shí)���,只要你知道自己的SSID�����,在設(shè)置新設(shè)備時(shí)你就不會(huì)有任何麻煩��。 使用WPA勿用WEP 近年來�,雖然WEP的脆弱性已被多種文檔廣泛記載,很多公司仍在使用它�,并且它在某些設(shè)備上還是默認(rèn)的加密方法。實(shí)際上��,至今仍有一些無線產(chǎn)品(大多數(shù)是非PC設(shè)備�,如流媒體設(shè)備)尚未支持WPA而只支持WEP。 請(qǐng)記?��。鹤罨镜囊笫且褂肳PA對(duì)你的無線網(wǎng)絡(luò)進(jìn)行加密�����,要避免購買或使用那種強(qiáng)迫你使用WEP去適應(yīng)它的設(shè)備。使用WPA�����,除了可以極大地提升 安全性之外,還會(huì)有極好的適應(yīng)性��。因?yàn)樗幌馱EP那樣需要在ASCII或HEX之間選擇���,而且加密密鑰也不需要遵守特定的長(zhǎng)度規(guī)定(WEP 數(shù)據(jù)加密可使用 64 位或128 位配置��,128位的WEP必須嚴(yán)格限制使用13或26個(gè)字符等等��。)�����。 
減少無線設(shè)備的功率 如果你的路由器支持的話��,請(qǐng)你適當(dāng)?shù)卣{(diào)低你的無線設(shè)備的功率設(shè)置����,盡力保持信號(hào)在你的辦公室或住宅的范圍之內(nèi)�����。調(diào)整過程中可能會(huì)差錯(cuò)����,那就多試驗(yàn)幾次。雖然精確控制信號(hào)的傳播范圍也許有點(diǎn)兒困難,但你卻可以將散布到大街上或鄰居家去的信號(hào)數(shù)量最小化�����。但你的WLAN可能會(huì)更加安全�,何樂而不為? 禁用或減少DHCP的使用 DHCP自動(dòng)化地分配IP地址的功能是極為方便的�����,特別是當(dāng)你有多個(gè)系統(tǒng)需要管理的時(shí)候�。但請(qǐng)記住DHCP會(huì)“愉快”地給那些要求IP地址的任何系統(tǒng)可用的IP地址。如果你只有數(shù)量有限的設(shè)備�����,那就請(qǐng)關(guān)閉DHCP功能吧����。不妨給設(shè)備分配靜態(tài)的IP地址,這樣就會(huì)給未授權(quán)的用戶在獲取你的網(wǎng)絡(luò)合法IP地址的時(shí)候增加難度�����。 另一個(gè)方法是啟用DHCP但要減少地址池的大小��。大多數(shù)路由器將幾乎所有可用的地址(一般總共要超過250個(gè))都放在地址池中���。實(shí)際上��,這些IP地址的總數(shù)大都遠(yuǎn)遠(yuǎn)超過了無線網(wǎng)絡(luò)所需要的數(shù)量�,這會(huì)為未授權(quán)用戶留下大量的地址空間�。用戶應(yīng)該將可用的DHCP地址數(shù)量限制為你所擁有的特定設(shè)備的數(shù)量,使你在使用IP地址的同時(shí)又能防止網(wǎng)絡(luò)入侵者獲得這些IP地址�����。 打開MAC過濾功能 雖然MAC地址過濾不應(yīng)該用于替代無線網(wǎng)絡(luò)的加密�����,不過MAC過濾可以作為加密的一個(gè)有益補(bǔ)充��。大多數(shù)路由器都可以支持這種特性����,這就能夠起到限制作用:只允許擁有用戶指定的MAC地址的設(shè)備可以訪問網(wǎng)絡(luò)。配置MAC地址過濾有時(shí)是一件相當(dāng)枯燥無味的工作���,不過幸運(yùn)的是有很多路由器允許你輕松地將已連接的設(shè)備加入到過濾列表中�,這就會(huì)為你節(jié)省大量時(shí)間和精力,因?yàn)槟悴槐厥謩?dòng)檢索每一個(gè)設(shè)備的MAC地址���。 確認(rèn)已關(guān)閉DMZ DMZ即“隔離區(qū)”�����,它是位于可信任的內(nèi)部網(wǎng)絡(luò)(如公司私有或?qū)S玫腖AN)與不可信任的外部網(wǎng)絡(luò)(如公共的Internet)之間的一臺(tái)計(jì)算機(jī)或一個(gè)子網(wǎng)��,是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題���,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。路由器的DMZ特性默認(rèn)情況下通常是關(guān)閉的�,不過用戶有時(shí)為了解決故障而啟用它,事后卻忘了撤消�。正因?yàn)镈MZ代表著一個(gè)對(duì)Internet開放的IP地址,因此任何不經(jīng)意放置在此的系統(tǒng)都將會(huì)完全暴露在風(fēng)險(xiǎn)之中����。 關(guān)閉PING響應(yīng) 這項(xiàng)設(shè)置允許路由器響應(yīng)來自國際互聯(lián)網(wǎng)的ping命令。默認(rèn)情況下�����,ping響應(yīng)也是關(guān)閉的��,但你該確認(rèn)一下,因?yàn)樗鼤?huì)將你網(wǎng)絡(luò)的一些狀態(tài)信息泄露給那些潛在的黑客�����,這反過來會(huì)使黑客進(jìn)一步探查你的網(wǎng)絡(luò)����。 避免使用遠(yuǎn)程管理 大多數(shù)路由器都有這個(gè)特性����,這允許用戶從網(wǎng)絡(luò)外部進(jìn)入系統(tǒng)并實(shí)施管理。大多數(shù)情況下����,這項(xiàng)功能并沒有什么作用,所以你應(yīng)該禁用它除非你真正需要�。不過,你如果真要使用遠(yuǎn)程訪問的話���,請(qǐng)將默認(rèn)的端口號(hào)(它通常是8080或8888)改為一個(gè)明顯較小的值���。 審閱安全日志 通過無線路由器內(nèi)置的防火墻功能,用戶可以查閱你的路由器記錄���,是查出安潛在兇險(xiǎn)的非常有效的方法����。利用出網(wǎng)的記錄,你還可以找出試圖建立外部連接的特洛伊木馬等惡意程序����。 毋庸置疑,對(duì)于小型LAN的無線路由器來說���,這些措施都是十分關(guān)鍵的���,而且大多數(shù)配置起來相當(dāng)簡(jiǎn)單?�!奥槿鸽m小���,五臟俱全”����,此處介紹的措施對(duì)于我們正確配置管理大型網(wǎng)絡(luò)的路由器也應(yīng)該具有一定的指導(dǎo)意義�����。
|
