伴隨無(wú)線終端設(shè)備的大量普及,家用級(jí)無(wú)線路由器也快速進(jìn)入千家萬(wàn)戶,可是多年來(lái)無(wú)線路由器在安全方面的防護(hù)性能一直被設(shè)備廠商們所忽略,這又是為什么呢?部分原因是由于早期的攻擊成本高昂,獲利又十分有限,令黑客們感覺(jué)攻擊家用路由器性價(jià)比低,不劃算??墒请S著IT消費(fèi)化,移動(dòng)互聯(lián)的大勢(shì)所趨,加上不法黑客在技術(shù)、裝備上的不斷提升,家用路由器已成為他們眼中的“待宰羔羊”。
家用路由器的安全漏洞引發(fā)專家擔(dān)憂
在目前召開(kāi)的世界知名計(jì)算機(jī)安全會(huì)議——黑帽大會(huì)2014美國(guó)站(Black Hat USA 2014)上,來(lái)自In-Q-Tel(IQT)的首席信息安全官Dan Geer就表達(dá)了對(duì)一些家用路由、小型企業(yè)路由已成為日益增長(zhǎng)的僵尸網(wǎng)絡(luò)威脅幫兇的極大擔(dān)憂。
在黑帽大會(huì)2014上安全專家闡述對(duì)家用路由器的安全擔(dān)憂
“現(xiàn)在市面上隨手可得各式各樣的用于家庭上網(wǎng)的廉價(jià)無(wú)線路由器,它們自身有漏洞頻出,而且鮮有固件更新比較及時(shí)的產(chǎn)品。對(duì)于黑客來(lái)說(shuō),明顯成為一個(gè)個(gè)容易攻擊的目標(biāo)”,Dan Geer說(shuō)到,“而關(guān)鍵的是,這些家用路由會(huì)為黑客架構(gòu)影響廣泛的僵尸網(wǎng)絡(luò)提供可乘之機(jī)。”
在他看來(lái),家用級(jí)別的無(wú)線路由器也必須擁有優(yōu)先的、關(guān)鍵基礎(chǔ)設(shè)施級(jí)別的安全防護(hù)。而現(xiàn)在路由器生產(chǎn)商更新固件的速度很慢,消費(fèi)者獲取固件也很麻煩,此外,路由漏洞的修復(fù)并不像其他IT產(chǎn)品那樣及時(shí)。之后他表示將參加由電子前哨基金會(huì)(Electronic Frontier Foundation)贊助的知名黑客會(huì)議——DEF CON,并發(fā)表相關(guān)的講演議題。
由于一些已知的家用路由器漏洞早就被公布出來(lái),因此攻擊者可以基于路由器的標(biāo)識(shí)通過(guò)互聯(lián)網(wǎng)進(jìn)行掃描,并迅速識(shí)別出特定型號(hào)上的漏洞,將其鎖定為目標(biāo)。“這樣他們就可以游離于運(yùn)營(yíng)商在網(wǎng)絡(luò)外圍建立僵尸網(wǎng)絡(luò)”,Dan Geer介紹到,“假設(shè)我可以基于家用路由器在外圍建一個(gè)僵尸網(wǎng)絡(luò)的話,那我就可以拿下整個(gè)互聯(lián)網(wǎng)了。”
而且面對(duì)現(xiàn)在物聯(lián)網(wǎng)的興起,這些防御不足的家用路由器無(wú)疑為智能設(shè)備的連網(wǎng)帶來(lái)了不容忽視的威脅。
如何加強(qiáng)家用路由器的安全系數(shù)?
那么如何來(lái)加強(qiáng)家用無(wú)線路由器的安全系數(shù),來(lái)減少路由器被攻擊的幾率呢?下面給出幾點(diǎn)建議:
首先,建議不要使用最常見(jiàn)的默認(rèn)管理密碼“admin”,來(lái)作為路由器的管理密碼;
修改無(wú)線路由器的默認(rèn)管理密碼
其次,將路由器管理后臺(tái)的默認(rèn)地址192.168.1.1,修改成其他的IP地址;
修改路由器的默認(rèn)地址192.168.1.1
然后,關(guān)閉WAN的管理接口,例如將路由器的WAN遠(yuǎn)程管理端口IP設(shè)置為0.0.0.0或改成可信任的IP地址;
還有,在LAN口設(shè)置中,只允許可信任的MAC地址訪問(wèn)管理界面;
最后,盡可能使用WPA2加密方式對(duì)無(wú)線網(wǎng)設(shè)置高強(qiáng)度密碼。
現(xiàn)在給出上述其中兩點(diǎn)建議的具體操作方法:
首先,手動(dòng)修改路由器的默認(rèn)管理密碼。
在IE瀏覽器的地址欄中輸入路由器默認(rèn)地址(一般可從路由器的銘牌上找到,如http://192.168.1.1) 。使用路由器的默認(rèn)用戶名進(jìn)行登錄,一般均為admin,密碼也是admin,點(diǎn)擊“確定”。
填寫正確后,進(jìn)入路由器的“系統(tǒng)管理”選項(xiàng)中找到“密碼設(shè)置”對(duì)路由器的管理密碼進(jìn)行修改,如上圖所示。
隨后,關(guān)閉“遠(yuǎn)程管理”或“遠(yuǎn)程WEB管理”功能。一些路由器提供“遠(yuǎn)程管理”或“遠(yuǎn)程WEB管理”權(quán)限,找到它們后,手動(dòng)關(guān)閉它們來(lái)確保路由器的管理安全,如下圖所示。
關(guān)閉對(duì)遠(yuǎn)程WEB管理的“啟用”狀態(tài)
綜上所述,面對(duì)日益增多的無(wú)線應(yīng)用,身邊的網(wǎng)絡(luò)安全環(huán)境卻逐漸惡化,對(duì)此,加強(qiáng)自身的網(wǎng)絡(luò)安全意識(shí),學(xué)習(xí)通過(guò)對(duì)家用路由器進(jìn)行簡(jiǎn)單的配置修改,進(jìn)行必要的網(wǎng)絡(luò)安全防護(hù),成為大家保護(hù)自己家庭網(wǎng)絡(luò)安全的重要手段。