路由器的安全攻略

2016-04-28 14:45活动 标签:路由器

如今支持Wi-Fi的无线设备越来越多,而网上各种蹭网的教程和软件也是层出不穷。于是,与蹭网有关的安全问题就必然要提上日程了。

00

 

蹭网背后的安全隐患

在很多人的印象中,蹭网就是一种“占便宜”或“吃亏”的行为,但这只是蹭网的表面现象。在蹭网的背后,还存在着令人惊叹的安全隐患。

 

蹭网是个“矛盾体”

 “蹭网”是一个让人又爱又恨的话题,听起来很矛盾不是吗?可惜,蹭网就是这么一种矛盾的体验:一方面,我们外出时总希望随时都能蹭到别人的网络而免费且高速地上网(图1);另一方面,却担心家里的网络被别人蹭到而吃亏。如果你也有着这种矛盾的心理,就说明你还未曾真正意识到蹭网可能带来的潜在危险。

01

 

首先,蹭网的危险是双向的。当你家里的路由器密码被黑客破解,那么所有连接该路由器的无线设备就等同于在黑客面前“裸奔”;当你在外面不巧“蹭”到了由黑客设置钓鱼无线信号,同样会遭遇“裸奔”的命运。那么,在无线设备“裸奔”的情况下,黑客可以做些什么呢?

 

重视蹭网的危害

由于无线网络的开放性和基于明文的网络协议,从最基本的TCP/IP到HTTP都是明文数据,这意味着数据很容易被“监听”,也很容易被“伪造”。其中,监听的危害主要体现在隐私的安全,你所有登录过的网站、下载的文件、输入的密码都会暴露在黑客面前(图2),从而轻松劫持你所有登录过后的帐号……

02

 

数据“伪造”的危害更可怕。当你购物的时候,黑客可以通过ARP欺骗或DNS欺骗,将网页跳转到假支付宝或假银行网站,诱导你下载病毒木马,严重威胁到我们的财产安全。

 

总之,当你家的路由器被别人蹭网时,网速被分摊导致上网变慢只是表面的现象,背后的隐私财产安全同样受到了威胁。同理,当你成功蹭到别人的无线网络不一定是占了便宜,如果对方是本着钓鱼为目的(图3),那你就祈祷没有在蹭网期间使用过支付宝和任何付款相关的操作吧。

03

 

路由器防蹭网攻略

对新兴的智能路由器,可以通过手机端的APP直观进行防蹭网相关的设置。那么,对普及度更高的传统路由器而言,如何才能关闭蹭网相关的“安全阀门”呢?

 

隐藏SSID/关闭广播

如果你不希望自家的路由器网络被蹭,而且担心忘记复杂的WPA/WPA2-PSK密码,那么选择隐藏SSID(有些路由器会称其为“关闭广播”)就是最简单有效的解决方案。

 

小提示

本章节的内容均以入门级的TP-Link路由器为例,在PC端的浏览器中输入192.168.1.1以及路由器的登陆用户名密码,进入路由器后台的管理界面后所进行的操作。

 

在“无线设置→基本设置”找到并取消“开启SSID广播”的勾选即可(图4)。此时,当无线设备在搜索周围Wi-Fi网络时将再也看不到你家的无线网络,自然也就没有了蹭网的机会。如果家里有新设备需要接入无线网络,只需进入Wi-Fi扫描界面,手动添加无线网络,输入隐藏的SSID名称和密码即可正常上网(图5)。不过,因此SSID同样有被破解的风险,如今网上就已出现了借助Wireshark或CommView等软件进行抓包获取SSID的教程。因此,我们还需掌握更进一步的防蹭网手段。

04

05

 

 

绑定指定设备的MAC地址

在“DHCP服务器→客户端列表”中,我们可以看到所有已连接该路由器的无线设备,如果经常出现陌生的客户端名,那就说明已被外人蹭网。如果你想杜绝蹭网问题, MAC地址过滤的功能比隐藏SSID还要可靠。

 

具体设置很简单,将自己和家人无线设备的MAC地址记录好,然后进入“无线设置→无线MAC地址过滤”,过滤规则选择“允许”,然后通过“添加新条目”的方式,将允许接入无线网络的MAC地址添加到列表中,最后再点击“启用过滤”按钮即可(图6)。这种方法安全性极佳,只是设置起来比较繁琐,比如当有新朋友串门时想连接Wi-Fi,需要重新登录路由器管理后台添加一次MAC地址才可以。

06

 

扩展阅读:挖掘路由器的“访客模式”

如今,一些中高端路由器都支持“访客模式”。以华硕RT-AC68U为例,在后台管理界面就直接提供了“访客模式”的选项(图7),它基本等同于常见的AP隔离功能,它可以设定供访客接入的热点和密码,访客接入后只能通过无线网络来访问Internet而不能访问局域网,从而保证了局域网用户的网络安全。

07

 

堵住路由器的“后门”

自己家的路由器,别人可以登录后台管理吗?答案是可以,凡是成功接入Wi-Fi网络的无线设备,只需根据经验输入192.168.1.1这个默认的IP地址(又称局域网IP)和用户名/口令(默认为admin,前文已介绍过修改它的方法),都可跳转到TP-Link路由器的后台管理界面。这意味着只要被蹭网,路由器的设置选项就有被恶意改动的风险。那么,如何堵住这个安全后门?

 

在“网络参数→LAN口设置”中我们可以修改路由器的默认登录IP地址(图8),比如将默认的“192.168.1.1”修改为“192.168.10.1”(必须在10.0.0.0~10.255.255.255,172.16.0.0~172.31.255.255和192.168.0.0~192.168.255.255三个地址范围之间选择,子网掩码无需修改),点击保存重启路由器即可。今后,当我们需要进入路由器管理后台进行功能设置时,必须在浏览器中输入新的局域网IP才能进入。

08

 

小提示

如果你进行了上述修改后还不放心,则可考虑手动设置静态IP并关闭DHCP。如果需要接入路由器的无线设备较多,可保留DHCP,按照MAC地址分配IP(图9)。

09

 

本章节介绍的防蹭网功能适用于几乎所有的传统路由器,只是相关设置的位置和描述名称可能略有不同,但思路和原理都是通用的。