现在无线路由器的身影可以说是无处不在,家里、公司、饭店、酒店,遍布大街小巷都是WIFI热点,现在大部分人都知道要给WIFI设置一个复杂一点的WIFI密码,但是也仅此而已了,另外一些事关网络安全的地方却往往被忽略掉,由此可能造成的安全风险却不容小视。
我曾经特意去检测过对外开放WIFI的一些营业场所的无线路由器的情况,结果令人堪忧,自从那次检测之后,我平时在外面就不再连这些免费WIFI了,因为它们真的很不安全,到底是什么事情让我这么不放心呢,下面我给大家说说。
大家应该都知道,无线路由器的WIFI密码非常重要,因为知道WIFI密码就意味着可以连接无线网络上网,但是无线路由器还有另外一个密码也是非常重要的,那就是路由器的管理员密码,我说的往往被人忽略的,指的就是管理员密码。
前几年的无线路由器,绝大部分都是出厂的时候自带了一组默认的管理员用户名和密码,一般同一个厂家的产品用户名和密码都是同一组(比如最常见的admin:admin),很多人买回来路由器以后,一般就是根据设置向导的提示,设置一下宽带拨号、WIFI名字和密码,就完事了,管理员密码就让它保持默认,这也就意味着,任何能够连上你家里网络的人,都可以轻松的登录到路由器的管理功能(想要获取某个牌子路由器的默认管理用户密码再简单不过了,网上一搜大把的结果),对于一般的家庭来说,可能问题也不大,因为你的WIFI密码一般是不会告诉家人以外的人用的,但是对于一些对外开放WIFI的营业场所来说,风险就很高了。事实上就算是家庭WIFI,也不是没有风险的,比如说你把WIFI密码告诉了其他人、或者WIFI密码设置得太简单、还有就是你家有人喜欢用WIFI共享类的工具(比如很出名的某钥匙),结果就跟对外营业场所差不多了。
使用默认的管理员密码有哪些危害呢?这个后果可轻可重,轻则人家可以随意的去路由器设置里面捣乱,比如把宽带上网设置改了造成断网、把WIFI密码改了或者把WIFI关掉造成无线无法使用,在不知情的情况下,你只会以为是路由器坏了、或者是宽带出问题了,自己不懂又得找人帮忙来看,对于营业场所来说,造成的麻烦还是不小的;除了捣乱,还有另外一种可能性,那就是被人利用进行不法的勾当,可能大家不一定听说‘DNS劫持’,也就是在路由器的管理功能里面,把默认的DNS服务器修改掉(默认是运营商分配的DNS地址),修改成为恶意构建的DNS服务器,通过这种DNS服务器上网,可以达到弹窗广告、流量劫持、木马植入等一些目的,最终当然是有人能够获取到这部分利益了,这就是DNS劫持的危害。
虽然近些年市面上的路由器,很多不再是出厂自带管理员用户密码了,而是第一次设置路由器的时候,由用户去设置一个管理密码,这也算是安全性提高的一种表现了。不过很多路由器却又画蛇添足的多加了一个选项,那就是设置WIFI密码的时候,下面有一个可选项‘把WIFI密码同时作为管理员密码’,打钩之后,管理员密码就跟WIFI密码一样了,包括一些大品牌路由器都有这样的设计,其实我可以理解,这是厂家为了照顾绝大部分家庭客户,怕他们忘记管理密码,造成使用的麻烦,但是这种设计,无意中又把安全风险打回了原形,WIFI密码被人知道了,人家很可能尝试用它去登录管理界面,有点作茧自缚的感觉。
除了WIFI密码泄露可能造成被人从本地攻击路由器,有一些路由器,默认开启了远程管理功能的(也就是可以通过web界面远程管理路由器,比如默认开放443、808、8080端口等),如果用户所用的宽带是分配公网ip地址的、又没有修改默认的管理密码,那就很有可能被人通过ip地址段批量端口扫描的方式进行攻击,然后再进行DNS劫持攻击,达到他们不法获利的目的,以前网上曝出过类似的新闻。
说了这么多,那到底怎么样才是安全的使用路由器的方式呢,我给大家总结一下:
1、一定要修改路由器的管理密码:管理密码一定不要用默认的,密码也不能跟WIFI名称、WIFI密码一样或者有关联,而且管理密码要尽量足够的复杂,以防被字典爆破。
2、关闭路由器的远程管理功能:看一下路由器的功能设置、或者说明书,如果发现路由器是默认开启远程管理的,要把它关掉,如果是因为自己有需要而主动开启远程管理,那尽量使用非常用的端口,比如21524这种非常不起眼的端口,外人也猜不到,猜不到就无从扫描探测了。
3、尽量别使用WIFI共享软件:这类软件会造成WIFI密码泄露,再复杂的WIFI密码也毫无意义,如果是家庭,那就约束家里人都别用,如果是对外营业场所,约束客人自然是不现实的,那就只能定期的修改WIFI密码了。
4、定期升级路由器固件:路由器本身也不是毫无漏洞的,以前也出现过一些路由器本身有安全漏洞的事件,所以,时不时的进入路由器管理里面,检测一下有没有新版本的固件,有的话就升级,保证路由器本身不出问题。