家庭客户使用的大多数Wi-Fi路由器和网络网关非常安全。一些安全专家在纽约希望X黑客会议上表示,有些人易受攻击攻击。
- 最好的无线路由器为你的家庭或小办公室
- 这最好的防病毒软件,以保持您的电脑清洁
- 调制解调器和路由器:它们的不同之处和作用
“如果一个路由器是在(一家有蓝黄标识的知名电子零售连锁店)出售的,你就不会想买它,”独立电脑顾问迈克尔·霍洛维茨(Michael Horowitz)对观众说。
“如果您的互联网服务提供商[ISP]给您路由器,您也不想使用它,因为它们会赠送数百万的,这使得它们成为间谍机构和坏人的主要目标,“ 他加了
Horowitz建议安全意识的消费者,而是升级到用于小企业的商业路由器,或者至少将其调制解调器和路由器分开到两个单独的设备中。(许多“网关”单位,通常由ISPS提供,可以充当两者。)由于这些选项中的任何一个,Horowitz列出了用户可以采取的预防措施。
- 一种路由器VPN.可能是在家中保护您的Wi-Fi的最佳方式
消费路由器的问题
路由器是现代计算机网络的必不可少的工作室。然而,很少有家庭用户实现路由器实际上是全面的计算机,具有自己的操作系统,软件和漏洞。
“一个受损的路由器可以窥探你,”霍洛维茨说,解释了攻击者控制下的路由器可以阶段a人在中间攻击,更改未加密的数据或将用户发送到“邪恶双胞胎”网站伪装成经常使用的网格或在线银行门户网站。
Horowitz表示,许多消费者级家用网关设备未能通知用户,即使这些更新对于修补安全漏洞是必不可少的。其他一些设备不会接受超过16个字符的密码 -密码安全的最小长度今天。
Universal Pwn and Play
全球数百万路由器拥有通用的即插即用(UPnP)网络协议,在面向互联网的端口上启用,使其暴露于外部攻击。
“UPnP是为LAN [局域网]而设计的,因此,它没有安全性。在他们本身,它并不是那么大的交易,”Horowitz说。
但是,他补充说,“互联网上的Upnp就像进入手术,让医生在错误的腿上工作。”
另一个问题是家庭网络管理协议(HNAP),在一些旧的消费者级路由器上找到的管理工具,它在http:// [路由器IP地址] / hnap1 /上传输有关路由器的敏感信息,并满满对提供管理用户名和密码的远程用户(许多用户永远不会从出厂默认值更改)。
在2014年,一个叫做themoon的路由器蠕虫使用HNAP协议来识别linksys品牌的易受攻击路由器,它可能会传播到这些路由器上。(Linksys很快发布了一个固件补丁.)
“一旦你回到家,这是你想用你所有的路由器做的事情,”Horowitz告诉Tech-Savvy人群。“去/ HNAP1 /,希望你没有回复,如果这是唯一的好事。坦率地说,如果你得到任何回应,我会扔掉路由器。”
- 设置一个虚拟路由器这是分享人脉的完美方式吗
WPS的威胁
最糟糕的是Wi-Fi保护设置(WPS),易用的功能,让用户绕过网络密码并仅通过在路由器本身上输入打印的八位数字引脚来将设备连接到Wi-Fi网络。即使更改了网络密码或网络名称,PIN仍然有效。
“这是一个巨大的咒骂安全问题,”Horowitz说。“无论如何,八位数字会让你进入[路由器]。所以一个水管工来到你的房子里,把路由器翻过来,拍摄它的底部,他现在可以永远地获得你的网络。“
霍洛维茨解释说,这个8位数的密码甚至不是真正的8位数。实际上是七个数字加上一个校验和。前4个数字被验证为一个序列,后3个数字被验证为另一个序列,结果只有11000个可能的代码,而不是1000万个。
“如果WPS处于活动状态,则可以进入路由器,”Horowitz说。“你只需要制作11,000次猜测” - 对于大多数现代计算机和智能手机来说,这是一个微不足道的任务。
然后,有网络港口32764,2013年的法国安全研究员Eloi Vanderbeken被发现在由几个主要品牌销售的网关路由器上悄然左转。
使用32764端口,本地网络(包括用户的ISP)上的任何人都可以完全控制路由器,甚至无需密码就可以进行出厂重置。
在VanderBeken的披露之后,该端口在大多数受影响的设备上关闭,但后来发现它可以很容易地重新开放,可以使用可以从ISP发送的特殊设计的数据包。
霍洛维茨说:“这显然是间谍机构干的,太不可思议了。”“毫无疑问,这是故意的。”
- 阅读更多:这最好的迪拜VPN能避开阿联酋严厉的互联网法律吗
如何锁定你的家庭路由器
Horowitz的首次迈出了Home Router Security的步骤,是确保路由器和电缆调制解调器不是单个设备。许多ISPS向客户租赁此类二用途设备,但这些客户将对自己的家庭网络进行控制。(如果您需要获取自己的调制解调器,请查看我们的建议最佳电缆调制解调器.)
“如果你有一个单一的盒子,我认为大多数人都叫一个门户,”霍洛维茨说,“你应该能够联系ISP并让他们愚蠢,让它只是一个调制解调器。然后你可以将您自己的路由器添加到它。“
接下来,Horowitz建议客户购买低端商业级Wi-Fi /以太网路由器,如Pepwave Surf Soho.这款路由器的零售价约为200美元(不过要当心那些哄骗价格的人),而不是价格低至20美元的消费者友好型路由器。
商业级路由器不可能启用UPnP或WPS。Pepwave,Horowitz指出,提供附加功能,例如固件更新出错的固件回滚。(许多高端消费者路由器,尤其是那些以玩家为目标用户的游戏。)
无论路由器是否是商业或消费者等级,都有几件事,从易于困难的情况下变化,那家庭网络管理员可以确保他们的路由器更安全。
简单的修复您的家庭无线路由器
更改管理凭据从默认的用户名和密码。他们是攻击者将尝试的第一件事。您的路由器的使用说明书应该向您展示如何执行此操作。如果没有,那么谷歌它就了。
密码要长、强、独特,不要让它与连接Wi-Fi网络的普通密码相似。
更改网络名称或SSID从“Netgear”、“Linksys”或任何默认的东西到唯一的东西——但不要给它一个能识别你的名字。
“如果您住在公寓3G的公寓大楼,请不要致电您的SSID'Apartment 3G,”霍洛维茨Quicp。“打电话给Apartment 5F。”
打开自动固件更新如果他们有空。较新的路由器(包括大多数网状路由器)将自动更新路由器固件。
使WPA2无线加密因此,只有授权用户可以跳上您的网络。如果您的路由器仅支持旧的WEP标准,则是新路由器的时间。
启用新的WPA3加密标准如果路由器支持它。然而,截至2021年中期,只有最新路由器和客户端设备(PC,移动设备,智能家居设备)。
禁用Wi-Fi保护设置如果你的路由器允许的话。
为客人安装Wi-Fi网络如果您的路由器具有这样的功能,则提供对访问者的用途。如果可能,将访客网络设置为在集合时间段后自动关闭。
霍洛维茨说:“你可以打开客户网络,设置一个计时器,三个小时后,它就自动关闭了。”“这是一个非常好的安全功能。”
如果你有很多智能家居或者物联网设备,许多人中的许多人都不会非常安全。将您的访客Wi-Fi网络连接而不是您的主要网络,以最大限度地减少IoT设备的任何潜在妥协所产生的损坏。
不要使用基于云的路由器管理如果您的路由器的制造商提供它。相反,弄清楚是否可以关闭该功能。
“这真是个糟糕的主意,”霍洛维茨说。“如果你的路由器提供了这样的功能,我不会这么做,因为现在你在你和路由器之间信任了另一个人。”
许多“网状路由器”系统,如筑巢wifi和埃罗,完全依赖于云依赖,并且只能通过基于云的智能手机应用程序与用户界面。
虽然这些模型在其他领域提供安全性改进,例如使用自动固件更新,但它可能值得寻找允许本地管理访问的网格式路由器,例如netgear orbi..
适度困难的家庭路由器修复
安装新的固件当它变得可用。这就是路由器制造商如何安装安全修补程序的方式。常规登录路由器的管理界面进行检查 - 这是提供更多信息的指南.
对于一些品牌,你可能需要查看制造商的网站来升级固件。但如果出现问题,手边有一个备用路由器。有些路由器还允许你在安装更新之前备份当前固件。
设置路由器以使用5-GHz频段对于Wi-Fi而不是更标准的2.4-GHz频段,如果可能的话 - 如果您的所有设备都兼容。
“5-GHz乐队就是2.4-GHz乐队的旅行,”Horowitz说。“所以,如果你的邻居中有一些坏人,他可能会看到你的2.4-ghz网络,但他可能看不到你的5-ghz网络。”
禁用远程管理访问, 和禁用Wi-Fi的管理访问.管理员只能通过有线以太网连接路由器。(同样,这在许多网状路由器中是不可能的。)
高级路由器安全提示技术Savvy用户
更改管理Web界面的设置,如果路由器允许的话。理想情况下,界面应该执行一个安全的HTTPS连接在一个非标准的端口,这样管理访问的URL将类似,使用霍洛维茨的例子,“https://192.168.1.1:82”而不是“http://192.168.1.1”的标准,而默认情况下使用因特网标准端口80。
使用浏览器的隐身或私有模式访问管理界面时,以便在上述步骤中设置的新URL未保存在浏览器历史记录中。
禁用ping,telnet,ssh,upnp和hnap, 如果可能的话。所有这些都是远程访问协议。而不是将相关端口设置为“关闭”,使它们设置为“隐形”,以便向未经请求的外部通信提供可能来自攻击网络的未经请求的外部通信。
“每一个路由器都有一个选项,不要响应ping命令,”霍洛维茨说。“绝对是你想要打开的东西 - 这是一个伟大的安全功能。它可以帮助你隐藏。当然,你不会从你的ISP中躲避,但你会从俄罗斯或中国躲避一些人。”
更改路由器的域名系统(DNS)从ISP自己服务器到Opendns维护的服务器(208.67.220.220,208.67.22222),Google公共DNS(8.8.8.8,8.8.4.4)或CloudFlare(1.1.1.1,1.0.0.1)。
如果你使用IPv6,相应的OpenDNS地址是260:0:ccc::2和260:0:ccd::2,谷歌地址是2001:4860:4860::8888和2001:4860:4860::8844,Cloudflare地址是260:4700::1111和260:4700:4700::1001。
使用一个虚拟专用网(VPN)路由器以补充或取代您现有的路由器和加密您的所有网络流量。
Horowitz说:“当我说VPN路由器时,我指的是可以作为VPN客户端的路由器。”然后,你与某个VPN公司签约,你通过那个路由器发送的所有东西都要经过他们的网络。这是在互联网服务提供商面前隐藏你在做什么的好方法。”
许多家庭Wi-Fi路由器可以“闪烁”以运行开源固件,如dd - wrt的固件,这又支持本地支持OpenVPN协议。大部分的最好的VPN服务支持OpenVPN,并提供有关如何设置开源路由器以使用它们的说明。
最后,使用吉布森研究公司的Shields Up端口扫描服务https://www.grc.com/shieldsup.它将测试你的路由器的数百个常见的漏洞,其中大多数可以由路由器的管理员减轻。
[这个故事最初是在2014年7月发表的,自以来有史以来一直在更新。]
