目录:
有时,关于房屋中的无线路由器最好的说法就是一旦设置好了,便会忘记它的存在。 只要需要Wi-Fi连接的设备都能正常工作,就可以了,对吧?
也许可以,但是我们也生活在漏洞,维基和其他漏洞的时代。 如果您担心家庭网络的安全性,并通过扩展您的个人数据(尤其是来自黑客的个人数据,这些黑客可以随便坐在外面的汽车中并访问您的系统),那么您需要在无线网络上挂锁。 您可能还想阻止其他人使用您的网络,黑客和免费下载程序。
所以你会怎么做? 遵循这些提示,您将领先于大多数家庭Wi-Fi用户。 没有什么可以让您在遭受真正的专门黑客攻击时安全地达到1000%。 狡猾的社会工程计划很难被击败。 但是不要对他们容易。 通过这些步骤保护自己。
经过时间考验的Wi-Fi(及全方位)安全性
更改您的路由器管理员用户名和密码
每个路由器都带有通用的用户名和密码(如果它们都带有密码)。 首次访问路由器时需要它。 之后,将它们都更改。 立即。 通用用户名是存在的几乎所有路由器的公共记录问题。 如果不进行更改,则对路由器进行物理访问的人将难以置信地更改设置。
如果您忘记了新的用户名/密码,则可能应该坚持使用铅笔和纸,但是您可以将路由器重置为其出厂设置,以使用原始管理员通用信息进入。
更改网络名称
服务集标识符(SSID)是从您的Wi-Fi广播到外界的名称,以便人们可以找到网络。 虽然您可能想公开SSID,但通常使用通用网络名称/ SSID可以将其公开。 例如,来自Linksys的路由器通常在名称中说“ Linksys”。 一些列出制造商和型号(“ NetgearR6700”)。 这使得其他人更容易识别您的路由器类型。 使您的网络更具个性化的绰号。
这很烦人,但是在网络上旋转SSID意味着即使有人以前有访问权限(例如嘈杂的邻居),也可以通过常规更改将其启动。 如果您已经进行了加密,通常这是一个有争议的问题,但是仅仅因为您偏执并不意味着他们不会使用带宽。 (请记住,如果您更改SSID并且不广播SSID,则必须时刻记住新名称并重新连接所有设备,包括计算机,电话,平板电脑,游戏机,会说话的机器人,照相机,智能家居设备等
激活加密
这是终极的Wi-Fi大脑。 在过去的十年中,没有路由器没有加密。 这是锁定无线网络所必须做的最重要的一件事。 导航到路由器的设置(方法如下)并查找安全选项。 每个路由器品牌可能会有所不同; 如果您感到困惑,请前往路由器制造商的支持站点。
在那里,打开WPA2 Personal(它可能显示为WPA2-PSK)。 如果不是这种选择,请使用WPA Personal(但是如果您无法获得WPA2,请当心:请使用现代路由器)。 将加密类型设置为AES(如果可以,请避免使用TKIP)。 您需要输入加密的Wi-Fi的密码,也称为网络密钥。
这与您用于路由器的密码不同,这是您通过Wi-Fi连接时在每台设备上输入的密码。 因此,将其变成一个没人能猜到的冗长的废话或短语,不过可以轻松地将其键入到您拥有的每一个使用无线的怪异设备中。 混合使用大写和小写字母,数字和特殊字符以使其真正强大,但您必须在轻松和记忆力之间取得平衡。
在防火墙上加倍
路由器内置有防火墙,可以保护您的内部网络免受外部攻击。 如果不是自动的,请激活它。 可能会说SPI(状态数据包检查)或NAT(网络地址转换),但是无论哪种方式,都将其打开是额外的保护层。
为了获得全口径保护(例如确保未经您允许,您自己的软件不会通过网络或Internet发送内容),请在PC上也安装防火墙软件。 我们的首选:Check Point ZoneAlarm PRO Firewall 2017; 有免费版和专业版$ 40,其中包括网络钓鱼和防病毒保护等功能。 至少要打开Windows 8和10随附的防火墙。
关闭访客网络
为来宾提供没有加密密码的网络非常方便,但是如果您不信任他们怎么办? 还是邻居? 还是人们停在前面? 如果它们足够接近可以使用您的Wi-Fi,那么它们应该离您足够近,您可以为他们提供密码。 (请记住,您以后随时可以更改Wi-Fi加密密码。)
使用VPN
虚拟专用网络(VPN)连接通过第三方服务器在设备和Internet之间建立了隧道,它可以帮助掩盖您的身份或使其看起来像您在另一个国家,从而防止窥探者看到您的Internet流量。 有些甚至阻止广告。 VPN是所有互联网用户的明智选择,即使您没有使用Wi-Fi也是如此。 就像有人说的那样,您需要VPN或被搞砸了。 查看我们的最佳VPN服务列表。
更新路由器固件
就像您的操作系统,浏览器和其他软件一样,人们总是在路由器中发现安全漏洞,以加以利用。 当路由器制造商了解这些漏洞时,他们通过为路由器发行称为固件的新软件来填补漏洞。 每个月左右进入路由器设置,并进行快速检查以查看是否需要更新,然后进行升级。 新固件也可能带有路由器的新功能,因此是双赢的。
如果您感觉特别技术,并且拥有支持它的正确路由器,则可以升级到自定义第三方固件,例如Tomato,DD-WRT或OpenWrt。 这些程序会完全擦除路由器上制造商的固件,但是与原始固件相比,它们可以提供一系列新功能甚至更快的速度。 除非您对网络知识感到相当安全,否则请不要执行此步骤。
关闭WPS
Wi-Fi保护设置(WPS)是一项功能,即使您打开了加密功能,也可以通过该功能轻松地将设备与路由器配对,因为您只需按一下路由器和相关设备上的按钮即可。 瞧,他们在说话。 但是,破解起来并不难,这意味着任何能快速物理访问路由器的人都可以立即将其设备与之配对。 除非您的路由器被锁紧,否则这可能会打开您可能没有考虑过的网络。
“揭穿”期权
网上流传的许多安全建议并未获得专家的认可。 这是因为拥有正确设备的人-诸如Kismet之类的无线分析仪软件或Pwnie Express Pwn Pro之类的大型工具-不会让以下提示阻止他们。 出于完成的考虑,我将它们包括在内是因为,尽管它们可能难以实施或跟进,但一个真正的偏执狂的人可能还没有考虑过NSA可能想要考虑他们的选择。 因此,尽管这些远非万无一失,但如果您担心的话,它们也不会受伤。
不要广播网络名称
这使朋友和家人更难(但并非不可能)使用Wi-Fi; 这意味着非朋友很难上网。 在SSID的路由器设置中,检查“可见性状态”或“启用SSID广播”并将其关闭。 将来,当有人要使用Wi-Fi时,您必须告诉他们要输入的SSID,因此使该网络名称变得简单到足以记住和键入。 (但是,具有无线嗅探器的任何人都可以在很短的时间内从空中挑出SSID。SSID不仅隐蔽,而且隐蔽了很多。)
禁用DHCP
路由器中的动态主机控制配置协议(DHCP)服务器是为网络上的每个设备分配的IP地址。 例如,如果路由器的IP地址为192.168.0.1,则您的路由器的DCHP范围可能为192.168.0.100至192.168.0.125,这是网络上允许的26个IP地址。 您可以限制范围,以使(理论上)DHCP所允许的设备数量不能超过一定数量,但是从设备到使用Wi-Fi的手表等所有东西都很难证明。
为了安全起见,您也可以完全禁用DHCP。 这意味着您必须进入每个设备(甚至包括电器和手表),并为其分配一个适合您路由器的IP地址。 (而且所有这些都只是按原样登录加密的Wi-Fi。)如果这听起来令人生畏,那可能是外行使用的。 再次提醒您,即使您确实禁用了DHCP服务器,只要拥有正确的Wi-Fi黑客工具并且对路由器的IP地址范围有把握的人都可能会进入网络。
过滤MAC地址
连接到网络的每个设备都有一个媒体访问控制(MAC)地址,用作唯一ID。 有些具有多个网络选项的设备(例如2.4GHz Wi-Fi,5GHz Wi-Fi和以太网)将为每种类型提供一个MAC地址。 您可以进入路由器设置,然后仅键入要在网络上允许的设备的MAC地址。 您还可以在路由器的“访问控制”部分中查看已连接设备的列表,然后仅选择要允许或阻止的设备。 如果您看到没有名称的项目,请对照您的已知产品检查其列出的MAC地址-MAC地址通常印在设备上。 任何不匹配的东西可能都是闯入者。 或可能只是您忘记了一些东西-那里有很多Wi-Fi。
降低广播功率
有一个奇妙的Wi-Fi信号到达户外,甚至到达您不漫游的区域? 这使邻居和路人都可以轻松访问。 对于大多数路由器,您可以将发送功率控制调低一点,例如降低到75%,以使其更加困难。 自然而然,闯入者所需要的只是在他们身边更好的天线来解决这个问题,但是为什么要使它们变得容易呢?