提醒:保护无线网络安全的几个措施

春节对于 Geek 们来说,除了担心走亲戚的熊孩子们以外,现在恐怕还要留心拜访亲戚的手机了。

由于各方面现实原因,您多年不见亲戚的手机或许已经变成了一个移动式的隐私漏洞挖掘机了:

  • 路边摊上 root / 解锁 / 越狱的手机系统里很可能暗藏了隐私嗅探软件,会扫描在同一局域网里里其他主机。

  • 各种奇怪的蹭网软件,比如众多版本的 WiFi 万能钥匙。

  • 名为安全卫士实则隐私窃贼的软件。

那么怎么在如此这么多的灰色产业链包围之下保护自身的隐私安全呢?以下是几个提示:

选择安全可靠的产品及固件

这点首当其冲非常重要。若是您用的是某安全卫士出品的无线路由,就不用往下看了。

这两年频频爆出的无线路由器安全漏洞,某种程度算是大浪淘沙,对于选购无线路由产品起到了参考作用,从受影响厂商的响应速度,也能看到哪些是替消费者考虑过,哪些就只打算做一锤子生意。

若是路由较早厂商不再更新,也可以查看诸如 OpenWrt 之类的第三方固件是否有针对您型号的版本。

为无线路由器使用复杂管理员密码

至今还有不少品牌的无线路由器出厂管理员密码默认为空,在为它们质检部门智商着急之余,而是应该要考虑一个健壮的密码的。

可以使用 Diceware 的方式选择健壮密码,或者使用本站介绍过的多种密码生成方法及工具。

应用安全性更高的加密方式

硬件和技术上的改良,辅以近年来的密码泄漏事故,一些较早的加密算法已经难以抵御窃贼了。对于家庭使用,推荐使用基于 WPA2/AES 的无线加密技术,且关闭被证明不安全的基于 PIN 的 WPS 自动连接。

移除 SSID 中可能暴露的硬件信息

有些品牌的无线路由器喜欢使用过于个性的 SSID ,比如将自己的品牌型号用作热点名,更有甚者干脆将自己的 MAC 地址也加上。

若是这种情况,还是建议更改为其他名字,避免暴露过多信息。一是 SSID 本身在有些加密方式中是混淆因子之一,低调些较好,二是避免图谋不轨之人发起针对特定型号路由器的漏洞攻击。

创建单独的访客访问网络

基本上 2010 年以后的出品的无线路由器都具备同时支持两个或更多无线热点的功能,完全更好的利用起来,为安全性未知的来客创建单独的热点,和自身家中其他设备隔离开。

一般这些路由器还具备无线隔离功能,最好也针对访客节点开启。在启用该功能后,不仅连接到该节点的无线设备无法看到同一路由器下的其他热点下的有线及无线设备,也阻止了该节点下无线设备的连通,从而杜绝了访客A 的手机窃取访客B 隐私的可能性。

此外,设立单独的无线热点也方便应用流量监控及限制措施,避免影响网络中其他设备的正常通信。

有一些高级无线路由器会贴心的提供 Guest 网络选项,将上述的这些设置整个起来,只需简单开启即可。

若是您的路由器固件不支持该功能,首先看看第三方固件是否支持。若依然不行,您也可以简单的将另一个无线路由器以有线方式串联起来,当作访客热点使用。

进行 MAC 地址白名单

除非您是常常入手新设备的壕,对于大多数人来说家中能无线连接的设备总是有限的,那么对于这些有限的设备,可以在路由器端设定 MAC 地址白名单,仅允许这些设备连接到主要无线热点上。

至于是否需要为这些设备固定 IP,则可以依据实际需求而定,对于安全角度没什么差别。

隐藏主访问热点

若是已经构建了适用于访客的单独热点,那么自己使用的主访问热点可以隐藏起来,避免意图不轨之人执行针对路由器的类 DoS 攻击。

总结

最后需要提醒的是,以上这些措施可以相当全面的保护您的无线网络,但是具体到实际在无线网络中传输的数据,还需要其他层面的安全措施,超出了本文的范围。

Read More: