内容导航:
一、如何解决路由器安全问题
路由器安全设置的方法:
一、基本安全设置
无线路由器基本安全设置主要包括以下几个方面:
1、如果路由器默认后台设置登陆账户与密码还是admin的话,请立即更改路由器默认用户名和密码;
2、路由器无线安全设置请选择最高级别的WPA2加密方式;
3、无线Wifi密码请设置的尽量复杂一些,建议是数字、字母和符号的混合组合,密码长度最好大于8位数,例如:【m.pc841.com@0846&15@26】这样的复杂长度密码,一般的蹭网卡都很慢破解;
4、不要将无线路由器的Wifi密码告诉陌生不可信的人;
5、移动设备(智能手机.平板)不要最好不要预约或者越ROOT,ROOT或者越狱后的设备尽量不要连接陌生不可信的Wifi网络;
注:此条主要防止黑客入侵您的移动设备,被安装一些后门程序,然后移动设备连接家中的Wifi网络,就容易遭黑客窃取路由信息。
二、无线路由器高级安全设置
1、开启Mac白名单功能
在路由器众多防护机制中,MAC地址白名单绝对是路由器的高级安全功能之一,不过是几十元还是几百甚至上千元的无线路由器,绝大多数产都具有Mac白名单功能,这个功能最大的亮点在于,开启后,可以将路由器和电脑或者移动设备的mac地址绑定,实现一对一授权访问。
开启此功能后,仅限绑定的用户访问网络,其他未绑定用户,即便获取到了Wifi密码,也会因为没有授权而无法访问网络,可以很程度的保障路由器安全。
2、AP隔离
开启Mac白名单后,新的陌生设备如何获取到了wifi密码,就可以在内网乱逛,尽管无法访问互联网,但这样也可能存在风险,比如黑客高手可以监听路由内网信息。
通过开启路由AP隔离则可以解决Mac绑定不足的问题。
有它在,连入局域网的设备间都是隔离的,数据不互通。
这时的陌生设备技艺再高超也没法来监听你上网的数据了。
不过它也有缺点,比如导致局域网软件基本没法使用。
包括QQ的局域网速传、飞鸽传书等一大票功能都要废掉,目前还不确定局域网游戏对战、文件共享(SMB)这些功能是否能用,但目测可能性不大。
AP隔离算是稍微高级的功能,百元以上的传统路由基本支持,不过一些价格过低的路由器可能无此功能。
3、开启路由器防DDOS和端口控制功能
目前多数路由器高级设置中,都有防DDOS功能,默认该功能并未开启,不过这个模块很重要,如果路由被DDOS,整个网速会下降的很厉害。
防DDOS,就是保证路由遭受时用户不受影响。
同样的,端口也是路由器高级安全设置中的一个功能,普通路由上一般可能会开放80(远程访问)、23(SSH)以及某些随机端口(厂商测试用),不过按照安全准则,还是尽量不开设端口。
前不久某T大厂由于在稳定版固件中未关闭测试端口,结果成了安全界大笑话。
结合以上路由器基本安全设置和高级安全设置,对于普通用户来说,绝对可以保证高达99.9%路由器安全,对于多数对安全要求不是很高的家庭或者个人用户来说,将基本安全做好,就可以很好的保障路由器安全,如果是企业或者一些对数据安全要求比较高的地方,可以将高级安全也做上,确保路由器99.9%近乎绝对的安全。
二、怎样设置增强路由器
提示1:位置
厚壁墙是无线网络的敌人。
他们能阻止信号。
无线路由器充当收发器,在您的设备和有线路由器之间传递数据。
因此,路由器会立即向所有方向发出信号,就如连接泡泡。
然而,这种泡沫的有效范围并不是绝对的 – 墙壁,地板,家具,镜子和金属物体都可能造成干扰。
将您的wifi路由器放置在您家中最中心的房间中,因此其信号尽可能少地阻挡。
尝试将它放在尽可能高的架子上,以最大限度地提高效果。
提示2:更改频道
越来越多的人使用wifi。
这意味着电波越来越拥挤,特别是在城市地区。
这可能会导致干扰。
更改路由器上的wifi通道可以提供帮助。
在以下任一通道上设置您的路由器:1,5,9或13.这些是无线网络的最佳和最常见的通道。
如果您切换并且信号仍然很差,请尝试另一个通道(1到13),直到找到保持强连接的通道。
技巧3:升级你的路由器
你的路由器用了多久?如果你用了有一段时间,它可能需要更新或完全替换。
制造商通常会引入路由器软件更新以提高安全性和稳定性。
最好能进入官网查看他们的网站看看他们是否有最近的软件更新 – 他们应该提供关于如何升级路由器操作系统的说明。
如果失败了,可能就需要买一台新的路由器。
提示4:切断干扰
请记住,其他设备可能会干扰路由器的信号。
当放置您的路由器时,最好不要使其会与其他电子设备(如无线电话,电视机,DAB收音机,微波炉和婴儿监视器)相邻。
技巧5:使用wifi扩展器
如果您已经尝试了上述方法,并且您的无线网络仍然无法到达每个房间,请考虑使用WiFi范围扩展器或中继器。
Wifi延长器会捕获无线信号,然后重新播放它,帮助加强房屋内不同楼层路由器的信号。
三、路由器安全保护基本方法
路由器是网络系统的主要设备,也是网络安全的前沿关口。
如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。
因此在网络安全管理上,必须对路由器进行合理规划、配置 ,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
下面是一些加强路由器安全的具体措施,用以阻止对路由器本身的攻击,并防范网络信息被窃取。
1. 为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。
当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。
但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。
这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。
当路由器配置了认证方式,就会鉴别路由信息的收发方。
有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。
一旦密码泄漏,网络也就毫无安全可言。
4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。
关闭命令为:no service finger。
6. 关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。
可以用命令: no cdp running或no cdp enable关闭这个服务。
7. 阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。
关闭命令如下: no ip source-route。
8. 关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。
应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9. 管理HTTP服务。
HTTP服务提供Web管理接口。
“no ip http server”可以停止HTTP服务。
如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10. 抵御spoofing(欺骗) 类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。
在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。
11. 防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。
在不可信任的网络上不要用非加密协议登录路由器。
如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。
RPF反相路径转发的配置命令为: ip verify unicast rpf。
注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
13. 防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。
(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。
如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。
) 首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch 14. 使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。
SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。
配置命令: snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
总之,路由器的安全防范是网络安全的一个重要组成部分,还必须配合其他的安全防范措施,这样才能共同构筑起安全防范的整体工程。