探討無線路由器安全策略

摘 要：伴隨著各運(yùn)營商的寬帶大提速，無線已經(jīng)成為家庭組網(wǎng)的首選。然而，無線路由器應(yīng)用愈加廣泛、與我們的生活聯(lián)系愈加密切的同時(shí)，安全問題也日漸凸顯出來：網(wǎng)銀被盜、隱私暴露、數(shù)據(jù)丟失等。近日，一起關(guān)于路由器安全的漏洞問題被曝光后，在業(yè)內(nèi)激起了一層不小的浪花，隨著網(wǎng)絡(luò)安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護(hù)意識(shí)的提升，“安全”必將成為人們對于路由器的一個(gè)重要需求。

關(guān)鍵詞：無線；網(wǎng)絡(luò)；路由器；安全；策略

中圖分類號(hào)：TN915.05

1 無線路由暗藏隱患

伴隨著各運(yùn)營商的寬帶大提速，無線已經(jīng)成為家庭組網(wǎng)的首選，然而，近日中國電信發(fā)布了一則安全公告，稱中國電信網(wǎng)絡(luò)安全團(tuán)隊(duì)發(fā)現(xiàn)，有黑客利用家用無線寬帶路由器使用admin/admin作為用戶名/口令的弱點(diǎn)，在某些惡意網(wǎng)頁中嵌入修改路由器DNS（域名解析服務(wù)）配置的代碼，用戶只要瀏覽黑客控制的這些網(wǎng)頁，其IP地址就會(huì)在不知情的情況下被篡改，當(dāng)用戶訪問時(shí)，就可能造成信息泄露等危害，一些網(wǎng)絡(luò)黑客或者別有用心的人，破解或登錄無線網(wǎng)絡(luò)后，很容易控制無線路由器，然后對特定網(wǎng)絡(luò)會(huì)話實(shí)施劫持，劫持到他人的微博、微信、人人網(wǎng)、QQ號(hào)碼、手機(jī)號(hào)、照片等隱私信息，從中竊取用戶的重要賬號(hào)密碼、植入木馬病毒等，而且可以在會(huì)話的有效期內(nèi)冒充合法用戶對其所登錄的應(yīng)用進(jìn)行操作。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的報(bào)告顯示，去年國家信息安全漏洞共享平臺(tái)（CNVD）共收錄各類安全漏洞7854個(gè)，其中高危漏洞2607個(gè)，較2012年增長15.1%和6.8%。其中思科、TP-LINK、D-LINK等多個(gè)品牌廠商的路由器存在后門程序。這些后門程序其實(shí)是一種安全漏洞，攻擊者利用漏洞能完全控制路由器，輕易竊得用戶隱私，包括網(wǎng)銀賬號(hào)和密碼，對用戶構(gòu)成較為嚴(yán)重的威脅。也正是這樣的威脅，才造成路由器安全性問題在業(yè)內(nèi)“一石激起千層浪”的影響。

2 路由器安全應(yīng)對策略

隨著網(wǎng)絡(luò)安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護(hù)意識(shí)的提升，“安全”必將成為人們對于路由器的一個(gè)重要需求。無線路由安全設(shè)置，是保障無線網(wǎng)絡(luò)安全的第一步。如果在配置過程中，出現(xiàn)了問題，那么肯定不能保障網(wǎng)絡(luò)的安全。要提高無線路由器的使用安全性，可以采用以下幾點(diǎn)設(shè)置方法，將自己面臨的風(fēng)險(xiǎn)降至最低。

2.1 修改路由器默認(rèn)的管理密碼。不要再使用“admin”這樣的弱密碼，盡量使用10位以上的密碼，最好是大小寫字母、數(shù)字、特殊符號(hào)的組合，這樣可以讓純暴力破解變得很困難，另外要定期更換密碼。

2.2 設(shè)置網(wǎng)絡(luò)密鑰。采用WPA/WPA2加密方式設(shè)置無線密碼，因?yàn)檫@兩種算法，破解難度較大，基本無破解可能。不要用有缺陷的加密方式，這種加密方式是最常用的加密方式。進(jìn)入無線安全設(shè)置頁面，勾選wpa-psk/wpa2-psk，在psk密碼一欄中輸入無線密碼，務(wù)必記牢。

2.3 禁用WPS功能。WPS（Wi-Fi Protected Setup）是Wi-Fi保護(hù)設(shè)置的英文縮寫。WPS是由Wi-Fi聯(lián)盟組織實(shí)施的認(rèn)證項(xiàng)目，主要致力于簡化無線局域網(wǎng)安裝及安全性能的配置工作?，F(xiàn)有的WPS功能已經(jīng)指出存在漏洞，使路由器的接入密碼和后臺(tái)管理密碼有暴露可能，那么最好的方法就是禁用WPS功能。

2.4 禁用SSID廣播。SSID是你給自己的無線網(wǎng)絡(luò)所取的名字，需要注意的是，同一生產(chǎn)商推出的無線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網(wǎng)絡(luò)，就極易建立起一條非法的連接，從而給我們的無線網(wǎng)絡(luò)帶來威脅。因此，需將SSID重命名。無線路由器一般都會(huì)提供“允許SSID廣播”功能，如果你不想讓自己的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。你的無線網(wǎng)絡(luò)仍然可以使用，只是不會(huì)出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。自己只需重新刷新無線網(wǎng)絡(luò)列表，之后會(huì)看到一個(gè)沒有名字（空白）的無線連接，雙擊它，在彈出的窗口中輸入只有你自己知道的SSID名稱和無線密鑰即可連接。

2.5 禁用DHCP。DHCP功能可在無線局域網(wǎng)內(nèi)自動(dòng)為每臺(tái)電腦分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么別人就能很容易地使用你的無線網(wǎng)絡(luò)。一旦關(guān)閉了DHCP功能，想要連接到你無線網(wǎng)絡(luò)的非法用戶就沒法自動(dòng)分配到IP地址了，那么他就得手工輸入IP地址，而為了不讓非法用戶輕易猜到無線路由的IP地址段，我們還必須修改無線路由的默認(rèn)IP地址。此時(shí)非法用戶想要連接網(wǎng)絡(luò)就必須挨個(gè)去嘗試每個(gè)IP地址段，非常麻煩。因此，禁用DHCP功能對無線網(wǎng)絡(luò)而言很有必要，在無線路由器的“DHCP服務(wù)器”設(shè)置項(xiàng)下將DHCP服務(wù)器設(shè)定為“不啟用”即可。

2.6 打開路由器自帶的防火墻功能。路由器中內(nèi)置的防火墻能夠起到基本的防火墻功能，它能夠屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，自由設(shè)定IP地址、通信端口過濾，可以防止黑客攻擊和病毒入侵，因此，防火墻功能是家用寬帶路由器的一個(gè)重要功能。

2.7 開啟MAC地址過濾。MAC是Media Access Control介質(zhì)訪問控制地址的簡稱。MAC地址是廠商在生產(chǎn)網(wǎng)絡(luò)設(shè)備時(shí)賦予每一臺(tái)設(shè)備惟一的地址。開啟無線路由器的“MAC地址過濾”功能，在MAC地址列表中輸入允許連入網(wǎng)絡(luò)的MAC地址，綁定經(jīng)常使用的設(shè)備。這樣利用MAC地址的唯一性，可以非常有效的阻止非法用戶。經(jīng)常登錄路由器管理后臺(tái)，看看有沒有不熟悉的設(shè)備連入了WIFI，有的話斷開并封掉MAC地址。封完以后馬上修改WIFI密碼和路由器后臺(tái)賬號(hào)密碼。

2.8 平時(shí)使用要注意固件升級(jí)。路由器的固件跟系統(tǒng)一樣都需要升級(jí)，無線路由器固件升級(jí)新版本一方面可以修正舊版本固件存在的問題，路由器廠商提供路由器的升級(jí)固件往往可以起到豐富功能，改善穩(wěn)定性等好處。有漏洞的無線路由器一定要及時(shí)打補(bǔ)丁升級(jí)或換成更安全的。

2.9 利用相關(guān)安全軟件檢測。選擇相關(guān)安全軟件檢測無線安全，如可以選擇360安全衛(wèi)士自帶的“WiFi體檢”功能，定期對路由器進(jìn)行體檢，及時(shí)發(fā)現(xiàn)并修復(fù)安全隱患，有效防御黑客攻擊。

3 重要信息需數(shù)據(jù)加密防護(hù)

除了對無線路由器做以上安全設(shè)置，對計(jì)算機(jī)中的文件數(shù)據(jù)加密也是必須要跟進(jìn)的。只要系統(tǒng)中的文件安全有了保障，就不用再擔(dān)心信息會(huì)遭到泄露。加密直接作用于數(shù)據(jù)本身，在最壞的情況下，即使文件數(shù)據(jù)被竊取了，加密依然為數(shù)據(jù)起防護(hù)作用，在解密越發(fā)困難的當(dāng)下，可以保證加了密的信息不會(huì)大白天下，只有用戶自己所知。

無論面對怎樣的安全隱患，只要從最根本的癥結(jié)入手，做好全面的防護(hù)，則可從根源排除萬難，不受隱患威脅。而在現(xiàn)代化的當(dāng)下，保障信息安全則只要從數(shù)據(jù)本源著手防御，使用最有效的加密軟件保證數(shù)據(jù)的隱秘性，即可防止信息泄露！

雖然普通消費(fèi)級(jí)路由器的安全隱患很大，并且還有不斷蔓延的趨勢。但說到底它也只是信息時(shí)代眾多信息安全問題之一。面對這種嚴(yán)重的安全形勢，改變思路，除了從設(shè)備上加強(qiáng)管理外，良好的使用習(xí)慣、靈活且具有針對性的加密技術(shù)，以及用軟件進(jìn)行安全防護(hù)，仍可讓你遠(yuǎn)離大多數(shù)的安全威脅。

參考文獻(xiàn)：

[1]馬業(yè)盼.無線傳感器網(wǎng)絡(luò)中的安全技術(shù)研究[J].數(shù)字化用戶，2013（08）.

[2]朱偉龍.陳傳峰.WSN安全通信的形式化驗(yàn)證[J].信息安全與通信保密，2013（04）.

[3]曲波.淺談關(guān)于電子商務(wù)的網(wǎng)絡(luò)安全技術(shù)[J].中國電子商務(wù)，2011（05）.

[4]胡燕紅.劉紹鋒.如何保證校園網(wǎng)絡(luò)安全[J].科技廣場，2009（03）.

作者簡介：王喚（1980.10-），男，江蘇常熟人，教師，講師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。

作者單位：常熟職業(yè)教育中心校，江蘇常熟 215500