如何防范路由器带来的危险?
近日,国家互联网应急中心发出了预警,“D-LINK、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起 DNS 劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全‘地雷’。”
预警发出后不久,已经有“好奇”的网友开始试验。一网友通过微信公众号晒出了自己成功破解隔壁“女神”的WiFi密码。该网友还黑进了“女神”的电脑、手机,控制了“女神”的微博等个人社交账号。而这一切的一切用时还不到5分钟!由此也诞生了一句经典名句:用路由器容易,设密码不易,路由器且用且当心!
很显然,在整个过程中,路由器扮演了一个十分“脆弱而尴尬”的角色。为了降低宽带的使用成本,增加宽带的实际使用效率,不少朋友都选择使用路由器,像以往那种一根网线一台电脑独霸的情况早已一去不复返。取而代之的是,在住宅中几个人或几台设备使用一个网络;在公司里几十号人或者几百号人共用一个宽带。上网方便、连接简单也成为路由器全面普及的重要原因。
虽然大家都在使用路由器,但是对于路由器的原理和设置却知之甚少,更别提什么安全防护措施了。而最新爆出的“路由器后门漏洞”和“网友秒破路由密码”等新闻,才引发大家更多的关注。尤其是那些喜欢在电脑和手机中放些小电影的宅男们;喜欢自拍美颜大秀恩爱的女神们更加需要密切了解和重视。那么,作为普通用户到底可以做点什么,才能不让路由器成为下一轮艳照门的始作俑者?
笔者结合自身的使用习惯和经验,为大家提供以下建议,请宅男和女神们且行且参考。
1.针对路由器自身的后门和漏洞问题,最好的办法就是升级固件。这个和给电脑系统安装补丁的道理如出一辙。因为任何产品都不是最完善的,即使像Windows这样成熟的产品,每年也会推出N多系统漏洞补丁,这些补丁大多数都能帮助系统提高安全性和稳定性。所以,路由器也是一样,检查自己的路由器型号,选择对应的漏洞补丁或者固件进行升级显得十分必要。
2.密码尽量设置的越复杂越好。简单的数字和字母的组合已经完全不能抵挡黑客们高超的技法和扫码软件的攻击。此前有文章曾专门对设置密码进行过详尽的研究,笔者的建议是在情况允许的情况下,将键盘上每个按键都充分利用上。比如如果密码设置为“123asd”就不如设置为“123*_¥asd”更安全。所以,大家可以根据自己的密码设定习惯来强化和复杂路由器的密码。
3.虽然说加强密码是个好办法,但我认为这个办法始终是治标不治本。因为“魔高一尺,道高一丈”。再强的密码,也难逃出扫码软件的瞬时计算,只不过是延缓了黑客破解的时间罢了。既然加密这种正面策略不行,那不妨试试不加密这种反面措施。你可能会问了,加强密码还防不住呢,不加密不就等于裸奔了吗?当然,既然不加密,肯定是有了更好的办法。那就是绑定MAC地址!无论电脑还是手机或是iPad,任何设备都有一个属于自己的唯一MAC地址,现在大多数路由器都提供了绑定MAC地址这个功能。用户只需要将自己被认可设备的MAC地址填入到路由器之中,即可起到“唯一保护的作用”。简而言之,就是被允许的MAC地址可以连接到路由器进而上网,所有未在允许列表范围之内的MAC地址(设备)都将被忽略或者提示“无法连接”。此举对于防止黑客入侵和蹭网起到了绝佳的防范效果。
4.在路由器中设置“禁止广播”,与上面绑定MAC地址相对应的就是这个“禁止广播”。很多路由器设置好之后,会自动生成无线网络的名称。这也就是大家到了一个地方之后,打开无线WiFi开关后看到的那一大串无线网络的名字。现在,我们要做的是让自家的无线网络不要出现在这一大串的公共列表范围之内。使用路由器中的“禁止广播”功能,可以隐藏自己的无线网络名称。也就是说除了你自己之外,别人是无法知道你这个无线网络的存在。
5.尽量不要修改DNS,使用运营商提供的标准DNS。有时候因为网络的原因,如果用户修改了DNS可以提升网页打开速度,减少网络识别时间。而因此可能要付出的代价就是牺牲安全性。所以,在非必要时刻尽量不要修改路由器的初始DNS,即使需要修改也尽可能的使用可信的和网络运营商提供的DNS地址。从而,减小因为DNS攻击而导致的路由器安全问题。
说了这么多其实只是“抛砖”,相信很多高手自有“引玉”之道。除了上文提到的,像固定内网IP地址,合理简化设置路由器内部功能等,对于提升无线网速和加强安全性都会有帮助。如果有朋友在刷新固件时遇到问题,或者不会查看和绑定MAC地址,忘记如何设置禁止广播等功能,或者与路由器相关的问题,欢迎大家关注微信:ksms2046,共同交流和探讨。
保护隐私,有你有我。别让路由器成为下一个艳照门的始作俑者!