路由器是局域网与 Internet之间最重要的网络互联设备。可以这样说,没有路由器就没有互联网。互联网迅速发展,使得小型无线局域网络悄然兴起,用户可以在网上办公、购物等,享受互联网带来的便捷和愉快。不过,就我们享受网络所带来的这些优越性时,包括黑客在内的恶意用户会利用各种手段窃取各种敏感信息,如银行账号、口令等。印度大学的计算机科学系的研究者们最近发布了一份调查报告,其中概括了黑客访问、篡改家庭网络路由器配置的情况,描述了黑客怎样用嵌入到Web页面中的JavaScript登录到路由器超级用户账户,并修改其DNS配置的阴险伎俩。
一旦路由器连接了被黑客控制的DNS服务器,此路由器就可以被用作一个各种恶意需要的跳板,从恶意软件感染到通过“钓鱼”进行用户身份窃取等都会发生。印度大学的报告指出这种攻击并不利用任何浏览器的漏洞,而且,更重要的是,它看起来几乎在任何路由器上都能正常工作,不管什么牌子或型号。
更为有趣的是,这种黑客行为只有在目标路由器的默认管理员口令采用的仍是厂家默认配置的情况下发生。换句话说,只要用户简单地改变了默认口令,用户就会受到保护,因为攻击依赖于这种大家熟知的设备厂商提供的默认口令。
实际上有很多路由器仍采用这种默认口令。其实,许多自动配置的路由器向导并不提示用户修改默认的管理员口令,大多数路由器厂商将设置方法放在菜单中一个不为人注意的地方。这易于造成用户对默认口令疏于管理与改变。
这种特定的攻击情况表明,哪怕是一种看似次要的局部的设置,仍会对安全产生深远的影响。因此,有必要检查一些具体措施,使我们可以确信有线或无线路由器——甚至进一步讲——我们的网络可以达到尽可能的安全。
修改路由器的管理员口令
如前所述,如果你的路由器的口令为"password"、 "admin" 、"1234"或任何其它的默认口令,那你简直就是在自寻烦恼,赶快修改吧!
修改默认的SSID
正如许多用户忽视了修改路由器的口令一样,许多用户还可能保持着默认的无线网络 SSID。SSID/ESSID(Service Set Identifier)即“服务组标识符”,用来区分不同的网络,最多允许有32个字符。无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由访问点广播出来。不过,SSID几乎总可以指明或预示着设备制造商的名称,从而可以推断出其它信息。请放弃使用默认的SSID吧,创建一个自己的SSID,不过要避免使用如家庭住址、生日或姓名等。
关闭SSID广播
广播SSID可将新的无线设备很轻松地连接到你的网络中。但这会将你的网络广播给任何经过无线通信区域的“过路人”,这绝对不是个好主意。关闭这个特性并不会绝对地隐藏你的存在,特别是对那些使用特殊软件的、坚决的闯入者来说更是这样。但是,有越少的人知道你的信息,情况就对你越有利。其实,只要你知道自己的SSID,在设置新设备时你就不会有任何麻烦。
使用WPA勿用WEP
近年来,虽然WEP的脆弱性已被多种文档广泛记载,很多公司仍在使用它,并且它在某些设备上还是默认的加密方法。实际上,至今仍有一些无线产品(大多数是非PC设备,如流媒体设备)尚未支持WPA而只支持WEP。
请记住:最基本的要求是要使用WPA对你的无线网络进行加密,要避免购买或使用那种强迫你使用WEP去适应它的设备。使用WPA,除了可以极大地提升安全性之外,还会有极好的适应性。因为它不像WEP那样需要在ASCII或HEX之间选择,而且加密密钥也不需要遵守特定的长度规定(WEP 数据加密可使用 64 位或 128 位配置,128位的WEP必须严格限制使用13或26个字符等等。)。
减少无线设备的功率
如果你的路由器支持的话,请你适当地调低你的无线设备的功率设置,尽力保持信号在你的办公室或住宅的范围之内。调整过程中可能会差错,那就多试验几次。虽然精确控制信号的传播范围也许有点儿困难,但你却可以将散布到大街上或邻居家去的信号数量最小化。但你的WLAN可能会更加安全,何乐而不为?
禁用或减少DHCP的使用
DHCP自动化地分配IP地址的功能是极为方便的,特别是当你有多个系统需要管理的时候。但请记住DHCP会“愉快”地给那些要求IP地址的任何系统可用的IP地址。如果你只有数量有限的设备,那就请关闭DHCP功能吧。不妨给设备分配静态的IP地址,这样就会给未授权的用户在获取你的网络合法IP地址的时候增加难度。
另一个方法是启用DHCP但要减少地址池的大小。大多数路由器将几乎所有可用的地址(一般总共要超过250个)都放在地址池中。实际上,这些IP地址的总数大都远远超过了无线网络所需要的数量,这会为未授权用户留下大量的地址空间。用户应该将可用的DHCP地址数量限制为你所拥有的特定设备的数量,使你在使用IP地址的同时又能防止网络入侵者获得这些IP地址。
打开MAC过滤功能
虽然MAC地址过滤不应该用于替代无线网络的加密,不过MAC过滤可以作为加密的一个有益补充。大多数路由器都可以支持这种特性,这就能够起到限制作用:只允许拥有用户指定的MAC地址的设备可以访问网络。配置MAC地址过滤有时是一件相当枯燥无味的工作,不过幸运的是有很多路由器允许你轻松地将已连接的设备加入到过滤列表中,这就会为你节省大量时间和精力,因为你不必手动检索每一个设备的MAC地址。
确认已关闭DMZ
DMZ即“隔离区”,它是位于可信任的内部网络(如公司私有或专用的LAN)与不可信任的外部网络(如公共的Internet)之间的一台计算机或一个子网,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。路由器的DMZ特性默认情况下通常是关闭的,不过用户有时为了解决故障而启用它,事后却忘了撤消。正因为DMZ代表着一个对Internet开放的IP地址,因此任何不经意放置在此的系统都将会完全暴露在风险之中。
关闭PING响应
这项设置允许路由器响应来自国际互联网的ping命令。默认情况下,ping响应也是关闭的,但你该确认一下,因为它会将你网络的一些状态信息泄露给那些潜在的黑客,这反过来会使黑客进一步探查你的网络。
避免使用远程管理
大多数路由器都有这个特性,这允许用户从网络外部进入系统并实施管理。大多数情况下,这项功能并没有什么作用,所以你应该禁用它除非你真正需要。不过,你如果真要使用远程访问的话,请将默认的端口号(它通常是8080或8888)改为一个明显较小的值。
审阅安全日志
通过无线路由器内置的防火墙功能,用户可以查阅你的路由器记录,是查出安潜在凶险的非常有效的方法。利用出网的记录,你还可以找出试图建立外部连接的特洛伊木马等恶意程序。
毋庸置疑,对于小型LAN的无线路由器来说,这些措施都是十分关键的,而且大多数配置起来相当简单。“麻雀虽小,五脏俱全”,此处介绍的措施对于我们正确配置管理大型网络的路由器也应该具有一定的指导意义。
(参考链接: http://security.ccidnet.com/art/782/20070510/1077829_1.html)
|