杜绝本地设备被远程访问

软件先锋 2015-12-29 18:37网络整理点击: 标签:

现在的打印机、摄像头、路由器及其他硬件设备都可从连接互联网,这就存在被远程访问的可能。如何确保你的联网设备与互联网实现安全隔离?我们要做的是各方面都配置到位,彻底杜绝个人隐私被外部侵犯。

确保路由器安全

在普通的家庭网络上,路由器是最直接连接到互联网的设备。如果配置正确,路由器是唯一可以从互联网访问的设备。其他所有设备连接到你的路由器,路由器就有可能泄露这些设备,所以一定要确保路由器本身很安全。

不仅是智能路由器,现在很多普通路由器也有“远程管理”功能,让用户可以通过互联网登录到路由器,并配置其设置。绝大多数人根本不用这项功能,所以你应该确保该功能已禁用。如果你启用了这项功能密码又很薄弱,攻击者就有可能远程登录到你的路由器。可以在路由器的Web界面找到这个选项关闭,要是你需要远程管理就得确保更改默认密码,可能的话还要定期更改。

图1

很常见的D-Link路由器一样具备远程功能

许多消费级路由器存在一个严重的安全漏洞。UPnP是一种不安全的协议,让本地网络上的设备可以通过创建防火墙规则转发路由器上的端口。不过UPnP存在一个常见的安全问题,路由器会接收来自互联网的UPnP请求,让互联网上的人都能在你的路由器上创建防火墙规则。

图2

ShieldsUP网站提供专门的UPnP缺陷测试

访问ShieldsUP网站,运行UPnP缺陷测试(https://www.grc.com/x/ne.dll?bh0bkyd2),检查你的路由器是否存在这个UPnP安全漏洞。要是你的路由器存在安全隐患,应从厂商网站下载最新版本的固件加以更新,以解决这个问题。倘若这一招不管用,可以试着禁用路由器界面中的UPnP,或者购买没有这个问题的新路由器。更新固件或禁用UPnP后,记得重新运行上述测试,确保路由器确实安全。

图3

其实不断更新官方提供的新固件就是很好的防范

确保其他设备无法访问

相比路由器,确保打印机、摄像头及其他设备无法通过互联网来访问会容易一些。假设这些设备都连接了路由器,完全可以控制它们是否可以从路由器来访问。这些设备应该与互联网隔离,只能从本地网络来访问才比较安全。

一般路由器中的端口转发和DMZ功能会涉及到这些问题。解决办法也很直接,设置只转发真正需要转发的端口,并且避免使用DMZ功能。DMZ功能并非所有路由器都有,如果有的话路由器会收到所有的入站流量包括外接设备,就好像外接设备直接连接到互联网一样。换句话说,DMZ里面的设备也丧失了在路由器后面保护起来的安全性。

图4

最简单方法就是直接关闭DMZ功能

如果确实想让自己的设备可以从互联网来访问比如利用摄像头来监视自家的情况,就应该确保设备已安装设置好。转发路由器端口让设备可以从互联网来访问后,就要确保它们设置好了不容易猜中的强密码并定期更换,这是最基本并且也是最有效的方法。

如果想更安全一些,可以建立VPN。设备连接到本地网络,我们可以通过登录到VPN,远程连接到本地网络而不是设备直接连接到互联网。确保一台VPN服务器的安全性比保护几个各自内置Web服务器软件的设备的安全性来得容易。

如果只需要从一个地方远程连接到设备,可以在路由器上创建防火墙规则,确保它们只能从一个IP地址来远程访问。要是你想在网上共享打印机之类的设备,可以试着设置云打印之类的服务而不是直接暴露这些设备。

小提示:

设备直接暴露在互联网面前时,记得为设备打上含有安全补丁的最新版固件,以确保版本最新。

图5

VPN工作区的安全性要比直连互联网高

锁定无线网络

现在流媒体共享如此发达,无线网络上的任何设备都可以访问、使用和配置这些新的联网设备。不过只有本地无线网络确实安全才行,如果无线网络不安全,谁都可以连接并劫持你的设备,进一步浏览在网络上共享的任何文件也不是难事。这虽然是老生常谈但十分重要,应当使用WPA2加密和相当强的长密码,同时包括数字、符号以及字母。

我们还可以试着通过其他许多办法来确保家庭网络安全,比如使用WEP加密、启用MAC地址过滤以及隐藏无线网络,不过这些也都是建立在WPA2加密和强密码的基础上的。

图6

一定要使用比较新的密码协议