APP下载

杜绝本地设备被远程访问

2014-11-11沈建苗

电脑爱好者 2014年19期
关键词:无线网络路由器端口

沈建苗

确保路由器安全

在普通的家庭网络上,路由器是最直接连接到互联网的设备。如果配置正确,路由器是唯一可以从互联网访问的设备。其他所有设备连接到你的路由器,路由器就有可能泄露这些设备,所以一定要确保路由器本身很安全。

不仅是智能路由器,现在很多普通路由器也有“远程管理”功能,让用户可以通过互联网登录到路由器,并配置其设置。绝大多数人根本不用这项功能,所以你应该确保该功能已禁用。如果你启用了这项功能,密码又很薄弱,攻击者就有可能远程登录到你的路由器。你可以在路由器的Web界面找到这个选项关闭,要是你需要远程管理就得确保更改默认密码,可能的话还要定期更改(图1)。

许多消费级路由器存在一个严重的安全漏洞。UPnP是一种不安全的协议,让本地网络上的设备可以通过创建防火墙规则转发路由器上的端口。不过UPnP存在一个常见的安全问题,路由器会接收来自互联网的UPnP请求,让互联网上的人都能在你的路由器上创建防火墙规则(图2)。

访问ShieldsUP网站,运行UPnP缺陷测试(https://www.grc.com/x/ne.dll?bh0bkyd2),检查你的路由器是否存在这个UPnP安全漏洞。要是你的路由器存在安全隐患,应从厂商网站下载最新版本的固件加以更新,以解决这个问题。倘若这一招不管用,可以试着禁用路由器界面中的UPnP,或者购买没有这个问题的新路由器。更新固件或禁用UPnP后,记得重新运行上述测试,确保路由器确实安全(图3)。

确保其他设备无法访问

相比路由器,确保打印机、摄像头及其他设备无法通过互联网来访问会容易一些。假设这些设备都连接了路由器,完全可以控制它们是否可以从路由器来访问。这些设备应该与互联网隔离,只能从本地网络来访问才比较安全。

一般路由器中的端口转发和DMZ功能会涉及到这些问题。解决办法也很直接,设置只转发真正需要转发的端口,并且避免使用DMZ功能。DMZ功能并非所有路由器都有,如果有的话路由器会收到所有的入站流量包括外接设备,就好像外接设备直接连接到互联网一样。换句话说,DMZ里面的设备也丧失了在路由器后面被保护起来的安全性(图4)。

如果确实想让自己的设备可以从互联网来访问,比如利用摄像头来监视自家的情况,就应该确保设备已安装设置好。转发路由器端口让设备可以从互联网来访问后,就要确保它们设置好了不容易猜中的强密码并定期更换,这是最基本并且也是最有效的方法。

如果想更安全一些,可以建立VPN。设备连接到本地网络,我们可以通过登录到VPN,远程连接到本地网络而不是设备直接连接到互联网。确保一台VPN服务器的安全性比保护几个各自内置Web服务器软件的设备的安全性来得容易。

如果只需要从一个地方远程连接到设备,可以在路由器上创建防火墙规则,确保它们只能从一个IP地址来远程访问。要是你想在网上共享打印机之类的设备,可以试着设置云打印之类的服务而不是直接暴露这些设备(图5)。

锁定无线网络

现在流媒体共享如此发达,无线网络上的任何设备都可以访问、使用和配置这些新的联网设备。不过只有本地无线网络确实安全才行,如果无线网络不安全,谁都可以连接并劫持你的设备,进一步浏览在网络上共享的任何文件也不是难事。这虽然是老生常谈但十分重要,应当使用WPA2加密和相当强的长密码,同时包括数字、符号以及字母。

我们还可以试着通过其他许多办法来确保家庭网络安全,比如使用WEP加密、启用MAC地址过滤以及隐藏无线网络,不过这些也都是建立在WPA2加密和强密码的基础上的(图6)。

确保路由器安全

在普通的家庭网络上,路由器是最直接连接到互联网的设备。如果配置正确,路由器是唯一可以从互联网访问的设备。其他所有设备连接到你的路由器,路由器就有可能泄露这些设备,所以一定要确保路由器本身很安全。

不仅是智能路由器,现在很多普通路由器也有“远程管理”功能,让用户可以通过互联网登录到路由器,并配置其设置。绝大多数人根本不用这项功能,所以你应该确保该功能已禁用。如果你启用了这项功能,密码又很薄弱,攻击者就有可能远程登录到你的路由器。你可以在路由器的Web界面找到这个选项关闭,要是你需要远程管理就得确保更改默认密码,可能的话还要定期更改(图1)。

许多消费级路由器存在一个严重的安全漏洞。UPnP是一种不安全的协议,让本地网络上的设备可以通过创建防火墙规则转发路由器上的端口。不过UPnP存在一个常见的安全问题,路由器会接收来自互联网的UPnP请求,让互联网上的人都能在你的路由器上创建防火墙规则(图2)。

访问ShieldsUP网站,运行UPnP缺陷测试(https://www.grc.com/x/ne.dll?bh0bkyd2),检查你的路由器是否存在这个UPnP安全漏洞。要是你的路由器存在安全隐患,应从厂商网站下载最新版本的固件加以更新,以解决这个问题。倘若这一招不管用,可以试着禁用路由器界面中的UPnP,或者购买没有这个问题的新路由器。更新固件或禁用UPnP后,记得重新运行上述测试,确保路由器确实安全(图3)。

确保其他设备无法访问

相比路由器,确保打印机、摄像头及其他设备无法通过互联网来访问会容易一些。假设这些设备都连接了路由器,完全可以控制它们是否可以从路由器来访问。这些设备应该与互联网隔离,只能从本地网络来访问才比较安全。

一般路由器中的端口转发和DMZ功能会涉及到这些问题。解决办法也很直接,设置只转发真正需要转发的端口,并且避免使用DMZ功能。DMZ功能并非所有路由器都有,如果有的话路由器会收到所有的入站流量包括外接设备,就好像外接设备直接连接到互联网一样。换句话说,DMZ里面的设备也丧失了在路由器后面被保护起来的安全性(图4)。

如果确实想让自己的设备可以从互联网来访问,比如利用摄像头来监视自家的情况,就应该确保设备已安装设置好。转发路由器端口让设备可以从互联网来访问后,就要确保它们设置好了不容易猜中的强密码并定期更换,这是最基本并且也是最有效的方法。

如果想更安全一些,可以建立VPN。设备连接到本地网络,我们可以通过登录到VPN,远程连接到本地网络而不是设备直接连接到互联网。确保一台VPN服务器的安全性比保护几个各自内置Web服务器软件的设备的安全性来得容易。

如果只需要从一个地方远程连接到设备,可以在路由器上创建防火墙规则,确保它们只能从一个IP地址来远程访问。要是你想在网上共享打印机之类的设备,可以试着设置云打印之类的服务而不是直接暴露这些设备(图5)。

锁定无线网络

现在流媒体共享如此发达,无线网络上的任何设备都可以访问、使用和配置这些新的联网设备。不过只有本地无线网络确实安全才行,如果无线网络不安全,谁都可以连接并劫持你的设备,进一步浏览在网络上共享的任何文件也不是难事。这虽然是老生常谈但十分重要,应当使用WPA2加密和相当强的长密码,同时包括数字、符号以及字母。

我们还可以试着通过其他许多办法来确保家庭网络安全,比如使用WEP加密、启用MAC地址过滤以及隐藏无线网络,不过这些也都是建立在WPA2加密和强密码的基础上的(图6)。

确保路由器安全

在普通的家庭网络上,路由器是最直接连接到互联网的设备。如果配置正确,路由器是唯一可以从互联网访问的设备。其他所有设备连接到你的路由器,路由器就有可能泄露这些设备,所以一定要确保路由器本身很安全。

不仅是智能路由器,现在很多普通路由器也有“远程管理”功能,让用户可以通过互联网登录到路由器,并配置其设置。绝大多数人根本不用这项功能,所以你应该确保该功能已禁用。如果你启用了这项功能,密码又很薄弱,攻击者就有可能远程登录到你的路由器。你可以在路由器的Web界面找到这个选项关闭,要是你需要远程管理就得确保更改默认密码,可能的话还要定期更改(图1)。

许多消费级路由器存在一个严重的安全漏洞。UPnP是一种不安全的协议,让本地网络上的设备可以通过创建防火墙规则转发路由器上的端口。不过UPnP存在一个常见的安全问题,路由器会接收来自互联网的UPnP请求,让互联网上的人都能在你的路由器上创建防火墙规则(图2)。

访问ShieldsUP网站,运行UPnP缺陷测试(https://www.grc.com/x/ne.dll?bh0bkyd2),检查你的路由器是否存在这个UPnP安全漏洞。要是你的路由器存在安全隐患,应从厂商网站下载最新版本的固件加以更新,以解决这个问题。倘若这一招不管用,可以试着禁用路由器界面中的UPnP,或者购买没有这个问题的新路由器。更新固件或禁用UPnP后,记得重新运行上述测试,确保路由器确实安全(图3)。

确保其他设备无法访问

相比路由器,确保打印机、摄像头及其他设备无法通过互联网来访问会容易一些。假设这些设备都连接了路由器,完全可以控制它们是否可以从路由器来访问。这些设备应该与互联网隔离,只能从本地网络来访问才比较安全。

一般路由器中的端口转发和DMZ功能会涉及到这些问题。解决办法也很直接,设置只转发真正需要转发的端口,并且避免使用DMZ功能。DMZ功能并非所有路由器都有,如果有的话路由器会收到所有的入站流量包括外接设备,就好像外接设备直接连接到互联网一样。换句话说,DMZ里面的设备也丧失了在路由器后面被保护起来的安全性(图4)。

如果确实想让自己的设备可以从互联网来访问,比如利用摄像头来监视自家的情况,就应该确保设备已安装设置好。转发路由器端口让设备可以从互联网来访问后,就要确保它们设置好了不容易猜中的强密码并定期更换,这是最基本并且也是最有效的方法。

如果想更安全一些,可以建立VPN。设备连接到本地网络,我们可以通过登录到VPN,远程连接到本地网络而不是设备直接连接到互联网。确保一台VPN服务器的安全性比保护几个各自内置Web服务器软件的设备的安全性来得容易。

如果只需要从一个地方远程连接到设备,可以在路由器上创建防火墙规则,确保它们只能从一个IP地址来远程访问。要是你想在网上共享打印机之类的设备,可以试着设置云打印之类的服务而不是直接暴露这些设备(图5)。

锁定无线网络

现在流媒体共享如此发达,无线网络上的任何设备都可以访问、使用和配置这些新的联网设备。不过只有本地无线网络确实安全才行,如果无线网络不安全,谁都可以连接并劫持你的设备,进一步浏览在网络上共享的任何文件也不是难事。这虽然是老生常谈但十分重要,应当使用WPA2加密和相当强的长密码,同时包括数字、符号以及字母。

我们还可以试着通过其他许多办法来确保家庭网络安全,比如使用WEP加密、启用MAC地址过滤以及隐藏无线网络,不过这些也都是建立在WPA2加密和强密码的基础上的(图6)。

猜你喜欢

无线网络路由器端口
买千兆路由器看接口参数
路由器每天都要关
滤波器对无线网络中干扰问题的作用探讨
无线路由器的保养方法
端口阻塞与优先级
无线网络的中间人攻击研究
初识电脑端口
8端口IO-Link参考设计套件加快开发速度
无线路由器辐射可忽略
数说无线网络:覆盖广 流量大 均衡差