有些人的网络打印机、相机、路由器和其他硬件设备可以从Internet访问。甚至还有专门设计用来搜索此类暴露设备的搜索引擎。如果您的设备是安全的,您就不必担心这一点。
按照本指南操作,确保您的联网设备与Internet正确隔离。如果您正确配置了所有内容,人们将无法通过在Shodan上执行搜索来找到您的设备。
保护您的路由器
在典型的家庭网络上-假设您没有任何其他设备直接插入调制解调器-您的路由器应该是唯一直接连接到Internet的设备。假设您的路由器配置正确,它将是唯一可以从Internet访问的设备。所有其他设备都连接到您的路由器或其Wi-Fi网络,并且只有在路由器允许的情况下才能访问。
首先要做的是:确保您的路由器本身是安全的。许多路由器都具有“远程管理”或“远程管理”功能,允许您从Internet登录到您的路由器并配置其设置。绝大多数人永远不会使用这样的功能,因此您应该确保将其禁用-如果您启用了此功能并且密码较弱,攻击者可能会远程登录到您的路由器。如果您的路由器提供此选项,您将在路由器的Web接口中找到此选项。如果您确实需要远程管理,请确保更改默认密码,如果可能,还要更改用户名。
许多消费者路由器存在严重的安全漏洞。UPnP是一种不安全的协议,它允许本地网络上的设备通过创建防火墙规则转发路由器上的端口。但是,我们之前介绍了UPnP的一个常见安全问题-某些路由器也会接受来自Internet的UPnP请求,从而允许Internet上的任何人在您的路由器上创建防火墙规则。
通过访问ShieldsUP检查您的路由器是否易受此UPnP漏洞的攻击!网站,并运行“即时UPnP暴露测试”。
如果您的路由器易受攻击,您可以使用制造商提供的最新版本固件对其进行更新,从而修复此问题。如果这不起作用,您可以尝试禁用路由器接口中的UPnP,或者购买一个没有此问题的新路由器。请务必在更新固件或禁用UPnP后重新运行上述测试,以确保您的路由器实际上是安全的。
确保无法访问其他设备
确保您的打印机、相机和其他设备无法通过Internet访问相当简单。假设这些设备位于路由器后面,并且没有直接连接到Internet,您可以控制是否可以从路由器访问它们。如果您没有将端口转发到联网设备或将它们放在DMZ中(这会将它们完全暴露在Internet中),则只能从本地网络访问这些设备。
您还应该确保端口转发和DMZ功能不会将您的计算机或联网设备暴露在Internet上。只转发您实际需要转发的端口,避免使用DMZ功能-DMZ中的计算机或设备将接收所有传入流量,就像它直接连接到Internet一样。这是避免需要端口转发的快捷方式,但是DMZ设备也失去了位于路由器后面的安全优势。
如果你确实想让你的设备可以在线访问-也许你想远程登录到网络安全摄像头的界面,看看你家里发生了什么-你应该确保它们设置得很安全。在从路由器转发端口并使设备可以从Internet访问之后,请确保使用不易被猜到的强密码设置它们。这听起来可能很明显,但网上曝光的联网打印机和相机的数量表明,许多人没有对他们的设备进行密码保护。
您可能还想考虑不将此类设备暴露在Internet上,而是设置VPN。设备不是直接连接到Internet,而是连接到本地网络,您可以通过登录VPN远程连接到本地网络。与使用自己的内置Web服务器保护多个不同设备相比,您可以更轻松地保护单个VPN服务器。
您还可以尝试更有创意的解决方案。如果您只需要从单个位置远程连接到您的设备,则可以在路由器上设置防火墙规则,以确保只能从单个IP地址远程访问它们。如果你想在线共享打印机等设备,你可能想尝试设置一些类似Google Cloud Print的东西,而不是直接显示它们。
也一定要让您的设备保持最新的固件更新,包括安全补丁-特别是当它们直接暴露在互联网上的时候。
锁定您的Wi-Fi
在此期间,请确保锁定您的Wi-Fi网络。新的联网设备-从谷歌的Chromecast电视流媒体设备到支持Wi-Fi的灯泡以及介于两者之间的一切-通常将Wi-Fi网络视为安全区域。它们允许Wi-Fi上的任何设备访问、使用和配置它们。他们这样做的原因很明显-将网络上的所有设备视为受信任的设备比提示用户在自己的家中进行身份验证更方便用户。然而,这只有在本地Wi-Fi网络确实安全的情况下才能正常工作。如果您的Wi-Fi不安全,任何人都可以连接并劫持您的设备。他们还可以浏览您在网络上共享的任何文件。
确保您的家庭路由器上启用了安全Wi-Fi加密设置。您应该将WPA2加密与相当强的密码短语一起使用-理想情况下,密码短语应该相当长,除了字母之外还包含数字和符号。
还有许多其他方法可以尝试保护您的家庭网络-从使用WEP加密到启用MAC地址过滤和隐藏您的无线网络-但这些都不能提供太多的安全性。使用强密码的WPA2加密是可行的。
归根结底,这些都是标准的安全版本。您只需确保您的设备安装了最新的安全补丁,使用强密码进行保护,并进行了安全配置。
请特别注意网络-路由器不应设置为在Internet上暴露设备,除非这些设备已安全配置。即使这样,您也可能希望通过VPN远程连接到它们以提高安全性,或者确保它们只能从特定的IP地址访问。