关于路由器安全的一句话
在深入探讨我们建议您避免使用路由器进行的危险操作之前,我们了解在某些情况下您可能有充分的理由执行下列操作之一。
如果你知道你正在进入什么并且你有一个特定的理由这样做,那么一定要在适当谨慎的情况下这样做。但对于遵循以下建议的大多数人来说,关闭他们不需要的功能并让路由器自动管理其他一切几乎总是风险最小的最佳安全选择。
禁用自动更新
如果您是网络管理员或在家玩业余网络管理员(可能涉足 Ubiquiti 硬件等小型企业网络设备),您可能非常了解网络固件并管理您的更新以避免错误、正常运行时间问题和其他问题问题。当您亲自操作网络时,有时您会避免自动更新,以便您可以手动查看每个固件更新。
但大多数人不需要如此亲自动手,最好让他们的路由器自动处理更新,以确保尽快修补漏洞和错误。
如果您的路由器不支持自动更新或太旧以至于不再接收它们,我们强烈建议您升级它。除了自动更新之外,新的 Wi-Fi 路由器还将包括其他改进,例如升级的 Wi-Fi 安全性和更好的 Wi-Fi 覆盖范围。
托管一个开放的 Wi-Fi 网络
说到 Wi-Fi 安全性,尽管运行开放式 Wi-Fi 网络以避免输入密码很诱人,但这却是一场安全噩梦。
距离足够近以连接到您的 Wi-Fi 网络的任何人都可以随意使用您的网络,包括将其用于非法活动或自由漫游您的网络以尝试访问您的设备。
您应该在 Wi-Fi 路由器上使用强密码。我们甚至建议您跳过使用默认 Wi-Fi 密码(如果您的路由器有密码)并将其替换为您自己的密码。
转发端口
当您努力让某些服务正常运行时,很容易感到沮丧并打开范围广泛的端口,甚至打开网络上特定设备的所有端口以使远程连接正常工作。
您应该只打开您需要的确切端口,例如本地托管游戏服务器的特定端口。打开更多端口会将更多家庭网络暴露给互联网。而且,如果您设置的端口转发分配范围太宽,则在将流量路由到错误的设备时可能会导致网络问题。
现在很少需要端口转发,所以除非你有特殊需要,否则最好让路由器处理事情而不设置端口转发分配。
将设备放入 DMZ
您可能会在路由器中看到一个选项,可以将设备放入“DMZ”,即“非军事区”。这是一个无人区,您的路由器的任何安全功能都不会应用于该设备。继续军事类比,这是解决端口转发问题的核选项,因为您将设备直接推出安全区。
除非您有非常具体的边缘用例理由使用 DMZ,否则您永远不应将设备放入 DMZ。您尤其应该避免将您的计算机或其他保存个人信息的设备(如 NAS)放在 DMZ 中。
启用远程管理
默认情况下,无论称为“远程管理”、“远程访问”还是“远程管理”,路由器的管理面板都只能由本地网络上的人员访问。如果您没有通过以太网电缆或本地 Wi-Fi 连接连接到路由器,则无法访问它。
如果您启用远程访问,这意味着任何连接到您的外部公共 IP 地址的人都将能够访问您的路由器的登录信息。这使他们有机会窃取您的路由器,尝试使用默认密码、密码表和其他方法。
大多数人不在家时不需要远程访问路由器的管理面板,因此最好关闭远程访问。如果您打开它,请务必使用强密码并保持路由器固件为最新,以防止漏洞。
使用弱管理员密码
您可能不会想到路由器上的管理员密码,但它确实很重要。您的电子邮件或银行密码可能会受到更多关注并且看起来更引人注目,但如果您的路由器密码较弱或默认,其他人很容易更改设置。
与其他所有东西一样,您的路由器需要一个长而强的密码。如果您不知道路由器的当前密码,您可以使用这些提示来访问您的路由器并设置新密码。
开启通用即插即用 (UPnP)
通用即插即用 (UPnP) 是一组网络协议,允许网络上的设备相互发现并自动协同工作。
从理论上讲,这真的很棒。实际上,UPnP 多年来一直受到安全问题的困扰,我们(以及 FBI)建议关闭路由器上的 UPnP 功能。
保持 Wi-Fi 保护设置 (WPS) 开启
Wi-Fi Protected Setup (WPS)于 2006 年推出,只需按下路由器上的一个小按钮和设备上的一个小按钮,路由器和设备就会自动协商连接,而无需您进行任何进一步设置。
与 UPnP 一样,它在纸面上似乎是个好主意,应该会让每个人的生活更轻松。实际上,与 UPnP 一样,它最终也存在安全漏洞。我们建议您关闭 WPS。是的,一键设置功能可以节省您的时间,但考虑到您实际花在向网络中添加新设备的时间很少,因此不值得进行权衡。
保持未使用的功能处于活动状态
我们将此部分称为“保持未使用的功能处于活动状态”,但它也可以很容易地称为“打开不需要的功能”,因为它的总体思路相同。
我们无法检查您路由器上的所有可能设置,但安全的方法是在您不使用功能时将其关闭。如果您的路由器有文件和打印服务器,请在不使用时将其关闭。如果有您不使用的内置 VPN 客户端,请再次将其关闭。通过禁用您不使用的路由器上的服务,您可以减少路由器暴露的潜在零日攻击和漏洞的数量。
