伴隨無線終端設(shè)備的大量普及,家用級無線路由器也快速進入千家萬戶,可是多年來無線路由器在安全方面的防護性能一直被設(shè)備廠商們所忽略,這又是為什么呢?部分原因是由于早期的攻擊成本高昂,獲利又十分有限,令黑客們感覺攻擊家用路由器性價比低,不劃算??墒请S著IT消費化,移動互聯(lián)的大勢所趨,加上不法黑客在技術(shù)、裝備上的不斷提升,家用路由器已成為他們眼中的“待宰羔羊”。
家用路由器的安全漏洞引發(fā)專家擔(dān)憂
在目前召開的世界知名計算機安全會議——黑帽大會2014美國站(Black Hat USA 2014)上,來自In-Q-Tel(IQT)的首席信息安全官Dan Geer就表達了對一些家用路由、小型企業(yè)路由已成為日益增長的僵尸網(wǎng)絡(luò)威脅幫兇的極大擔(dān)憂。
在黑帽大會2014上安全專家闡述對家用路由器的安全擔(dān)憂
“現(xiàn)在市面上隨手可得各式各樣的用于家庭上網(wǎng)的廉價無線路由器,它們自身有漏洞頻出,而且鮮有固件更新比較及時的產(chǎn)品。對于黑客來說,明顯成為一個個容易攻擊的目標”,Dan Geer說到,“而關(guān)鍵的是,這些家用路由會為黑客架構(gòu)影響廣泛的僵尸網(wǎng)絡(luò)提供可乘之機。”
在他看來,家用級別的無線路由器也必須擁有優(yōu)先的、關(guān)鍵基礎(chǔ)設(shè)施級別的安全防護。而現(xiàn)在路由器生產(chǎn)商更新固件的速度很慢,消費者獲取固件也很麻煩,此外,路由漏洞的修復(fù)并不像其他IT產(chǎn)品那樣及時。之后他表示將參加由電子前哨基金會(Electronic Frontier Foundation)贊助的知名黑客會議——DEF CON,并發(fā)表相關(guān)的講演議題。
由于一些已知的家用路由器漏洞早就被公布出來,因此攻擊者可以基于路由器的標識通過互聯(lián)網(wǎng)進行掃描,并迅速識別出特定型號上的漏洞,將其鎖定為目標。“這樣他們就可以游離于運營商在網(wǎng)絡(luò)外圍建立僵尸網(wǎng)絡(luò)”,Dan Geer介紹到,“假設(shè)我可以基于家用路由器在外圍建一個僵尸網(wǎng)絡(luò)的話,那我就可以拿下整個互聯(lián)網(wǎng)了。”
而且面對現(xiàn)在物聯(lián)網(wǎng)的興起,這些防御不足的家用路由器無疑為智能設(shè)備的連網(wǎng)帶來了不容忽視的威脅。
如何加強家用路由器的安全系數(shù)?
那么如何來加強家用無線路由器的安全系數(shù),來減少路由器被攻擊的幾率呢?下面給出幾點建議:
首先,建議不要使用最常見的默認管理密碼“admin”,來作為路由器的管理密碼;
修改無線路由器的默認管理密碼
其次,將路由器管理后臺的默認地址192.168.1.1,修改成其他的IP地址;
修改路由器的默認地址192.168.1.1
然后,關(guān)閉WAN的管理接口,例如將路由器的WAN遠程管理端口IP設(shè)置為0.0.0.0或改成可信任的IP地址;
還有,在LAN口設(shè)置中,只允許可信任的MAC地址訪問管理界面;
最后,盡可能使用WPA2加密方式對無線網(wǎng)設(shè)置高強度密碼。
現(xiàn)在給出上述其中兩點建議的具體操作方法:
首先,手動修改路由器的默認管理密碼。
在IE瀏覽器的地址欄中輸入路由器默認地址(一般可從路由器的銘牌上找到,如http://192.168.1.1) 。使用路由器的默認用戶名進行登錄,一般均為admin,密碼也是admin,點擊“確定”。
填寫正確后,進入路由器的“系統(tǒng)管理”選項中找到“密碼設(shè)置”對路由器的管理密碼進行修改,如上圖所示。
隨后,關(guān)閉“遠程管理”或“遠程WEB管理”功能。一些路由器提供“遠程管理”或“遠程WEB管理”權(quán)限,找到它們后,手動關(guān)閉它們來確保路由器的管理安全,如下圖所示。
關(guān)閉對遠程WEB管理的“啟用”狀態(tài)
綜上所述,面對日益增多的無線應(yīng)用,身邊的網(wǎng)絡(luò)安全環(huán)境卻逐漸惡化,對此,加強自身的網(wǎng)絡(luò)安全意識,學(xué)習(xí)通過對家用路由器進行簡單的配置修改,進行必要的網(wǎng)絡(luò)安全防護,成為大家保護自己家庭網(wǎng)絡(luò)安全的重要手段。