尽管越来越多的路由器制造商正在使路由器更易于设置和配置(甚至通过方便的小应用程序而不是烦人的基于网络的界面),但大多数人在购买新路由器后可能不会调整许多选项。 他们登录,更改 WiFi 网络的名称和密码,然后就到此为止了。
虽然这可以让你启动并运行(希望)快速的无线连接,但你的邻居或一些随机的邪恶互联网人很可能不会试要侵入您的路由器,您还可以采取更多措施来提高路由器(和家庭网络)的安全性。
在我们讨论技巧之前,有一个快速警告:所有无线路由器都有不同的接口、不同的设置命名方式以及您可以调整的不同设置。 在本文中,我将探讨 TP-Link Archer C7 的接口。 您需要探索路由器的基于网络的配置屏幕(或应用程序),以确保您已调整所有正确的设置,但您可能无法执行我们下面详细介绍的所有操作。
访问路由器的设置
如果您的路由器没有易于使用的应用程序来配置其设置(就像您在购买网状网络系统时通常会遇到的情况一样),您可能会通过打开网络浏览器(在具有以下功能的设备上)来访问其设置:连接到您的路由器)并输入您的路由器的 IP 地址:
在 Windows 系统上,调出命令提示符并输入
ipconfig。 列为默认网关的 IP 地址可能是您的路由器的 IP 地址。如果您使用的是 Mac,请调出“系统偏好设置”>“网络”,然后单击右下角的“高级”。 单击下一个窗口顶部的 TCP/IP 选项,然后查找路由器的 IP 地址。
如果您使用的是 iPhone,请点击“设置”,然后点击“Wi-Fi”,然后点击您所连接的 WiFi 网络旁边的“i”图标。 您的路由器的 IP 地址应该列在此处。
第一步:更新固件
有些路由器将固件更新深藏在其设置菜单中; 有些甚至可能会在您登录其应用程序或基于网络的用户界面时通知您新的固件更新。 无论您如何找到该选项,您都需要确保您的路由器正在运行最新的固件。
如果幸运的话,您的路由器将能够直接从其制造商下载新的固件更新。 您可能必须单击一个(或两个)按钮才能启动此过程,或者这可能会自动发生 - 执行后者的路由器很棒,因为大多数人并没有真正考虑“检查我最喜欢的技术装备是否有定期更新固件”(如果有的话)。
您的路由器也可能会要求您自行上传新固件。 如果是这样,您必须从路由器制造商(可能在路由器的支持页面上)下载正确的固件,并通过浏览此固件文件并自行启动更新过程来手动更新路由器。 每次想要使用新固件更新路由器时,您都必须执行此操作,这意味着您必须定期检查新固件,也许一年几次。 这是一个费力的过程,很容易被忘记,但如果您想保护您的路由器免受外部威胁,这一点也很重要。
更改您的路由器登录名和密码
如果您仍在使用“admin/admin”、“admin/password”或通用单词的某些变体来登录路由器,请更改它。 即使您的路由器制造商为您提供了一个可能每个人都不同的更奇怪的密码,但使用适合的登录名和密码也很重要。
即使您无法使用“admin”作为用户名登录,也请将密码设置为复杂的,而不是任何人都可以通过快速网络搜索找到的密码。
使用 WPA2 保护您的无线网络
这几乎是不言而喻的,但在为 WiFi 网络设置密码时不要使用 WEP。 使用 WEP 加密“保护”的密码比使用 WPA2 加密的密码更容易受到暴力攻击。 即使您可能没有人在您的街角闲逛,破坏每个人的无线网络,也没有理由不使用更强的 WPA2 协议—除非您的旧设备根本无法处理 WPA2,但这种情况不太可能发生。 无论您做什么,都不要运行开放(无密码)的 wifi 网络。我的上帝。
关闭 WPS
从纸面上看,WPS(或 Wi-Fi 保护设置)听起来很棒。 您无需在设备上输入较长且相当复杂的 WiFi 密码,只需输入较小的 PIN 码(可能直接打印在路由器上)即可。
你猜怎么了? 这些 PIN 码比更复杂的密码或密码短语更容易受到暴力攻击。 虽然许多路由器会在攻击者尝试一定次数的密码后使他们超时,但这并没有停止更巧妙的WPS攻击从表面。 防止此类恶作剧的最简单方法是完全禁用 WPS。
是的,您必须输入密码。 是的,这会很烦人。 这是你生命中额外的一分钟。 你会没事的。 或者,如果您确实无法处理此过程,请检查您的路由器是否允许您使用按钮式WPS而不是基于 PIN 码的 WPS。 这样,您就必须实际按下路由器和您想要连接的任何设备上的按钮,这将使其他人利用 WPS 并闯入您的网络变得更加棘手。
使用更好的 DNS
通过放弃 ISP 的 DNS 并使用类似的服务,可以更快地浏览网页谷歌域名系统,云耀, 或者开放DNS。 作为额外的好处,你还可以增加你实际上的可能性访问您要访问的网站没有任何中间人攻击、弹出窗口、重定向、插页式广告或您的 ISP 可能使用的烦人的“您在网址中输入错误,因此我们将把您重定向到充满垃圾邮件和广告的网页” 。
如果你想变得更狡猾,你可以在孩子的笔记本电脑上安装 OpenDNS 等服务,启用家长控制以防止他们访问 Tumblr 和 Reddit 等耗时的网站,并为自己提供不同的 DNS 提供商(如 Google DNS)来浏览没有任何限制的网络。 您的孩子会恨您,但至少他们会成为拥有 27 项发明的火箭科学家,而不是拥有 3 个关注者的 Twitch 主播。
考虑使用 MAC 过滤,虽然它可能会很烦人
虽然攻击者很容易欺骗 MAC 地址,但您至少可以通过将路由器设置为仅允许白名单上出现的设备连接来为自己提供一点额外的安全性。 这种过滤基于每个设备的 MAC 地址——一长串字母和数字,看起来像“00-11-22-33-44-55”。
虽然这意味着每当您希望购买的新设备能够连接到您的路由器时,您都需要进去添加它们,但这也意味着您未授权的设备将无法进行抢占。 但正如我所说,MAC 地址是容易被欺骗,因此,如果此提示变得比实际更烦人,请随意禁用 MAC 过滤。 你会没事的。
考虑安排您的 WiFi
如果您一周的工作安排很正常,并且没有理由远程连接到家庭设备,请考虑使用路由器的调度机制(如果有)在您不在家时关闭 WiFi。
如果您有一堆智能家居设备,这不是最实用的提示需要互联网,就像你希望能够打开和关闭灯来惹恼你的猫,或者你希望能够看到送货司机放下你订购的昂贵包裹。 如果您过着相对简单的生活(这没什么坏处),并且当您不在身边时,没有什么真正需要互联网连接,那么为什么要无缘无故地打开您的 WiFi 呢? 很难侵入不存在的网络。
禁用可能粗略的服务
当您没有主动连接到无线网络时,您可能不需要弄乱路由器的设置。 如果您的路由器有某种“远程管理”或“远程管理”选项,请确保将其禁用。
您还应该考虑在路由器上禁用 UPnP,尽管这可能会当您玩游戏或运行 BitTorrent 时,仅举两个例子。 尽管如此,当整个网站致力于各种方式时人们可以利用 UPnP 来达到邪恶目的...如果需要的话,也许是时候返回手动转发端口了。
有些路由器还允许您设置 FTP 服务器,以便您可以将文件传入和传出网络。 然而,我们生活在一个易于使用的时代- 或文件上传服务 - 共享您的文件。您可能不需要在家运行 FTP,并且完全禁用此功能会更安全(如果您的路由器支持它)。
您也可能不需要通过 SSH 或 Telnet 访问路由器(如果提供,请将其关闭),当您不在家时,也可能不需要访问任何 USB 连接的打印机或存储设备。 简而言之,如果您的路由器允许您远程执行某些操作,请考虑关闭该功能(如果可以的话)。 当您不在家庭网络中时,访问家庭网络的方式越少,其他人就越难利用漏洞访问您的路由器(或家庭网络)。
如果可以的话,请考虑禁用路由器的云功能。 虽然通过登录制造商的云服务来编辑路由器的设置可能很有用,但这只是攻击者可以用来危害您的路由器(或网络)的又一扇门。 虽然您对某些路由器(通常是网状路由器)别无选择,但从连接到家庭网络的设备手动登录路由器基于 Web 的 UI 总是更好、更安全,尽管它不太方便。
考虑为客人提供单独的无线网络和智能家居设备
我玩、测试和审查路由器已有十多年了,但我仍然没有遇到过使用路由器访客网络功能的人。 哎呀,我想我从来没有连接过朋友家里或公寓里的“访客网络”。
尽管如此,访客网络的前提还是很好的,从安全角度来看:您的路由器会自动设置第二个 SSID 供朋友使用,并且连接到它的任何设备都与主网络上的其他设备(无论是插入您的路由器)隔离开来直接或无线连接。 (如果您需要稍微自定义设置,大多数路由器都可以让您调整是希望访客看到所有内容、彼此还是什么都看不到。)
访客网络还有一个额外的好处: 你可以将其用于所有安全性较低的智能家居设备。 如果有人利用您的智能灯泡中的漏洞并闯入您的网络,您被黑客入侵的设备与台式电脑、智能手机和笔记本电脑之间仍然存在一层保护(仅举几个例子)。 虽然你也可以疯狂地分割你的网络独立的 SSID 和 VLAN,如果您的路由器支持它,这是一种更简单的方法,不会给您带来周末的麻烦(如果您不知道自己在做什么)。
