無線路由安全不容忽視

引言：伴隨著智能終端設備的不斷普及，越來越多的單位用戶開始使用無線路由器，來在局部范圍部署無線網絡。不過，無線路由器常常會因為固件BUG、設置錯誤、系統漏洞等因素，引起一些安全問題，要是這些問題被惡意用戶利用，便很有可能會造成無線路由器被非法攻擊，甚至這些惡意用戶可以通過入侵的無線路由器，威脅整個無線網絡的運行安全。

伴隨著智能終端設備的不斷普及，越來越多的單位用戶開始使用無線路由器，來在局部范圍部署無線網絡。不過，無線路由器常常會因為固件BUG、設置錯誤、系統漏洞等因素，引起一些安全問題，要是這些問題被惡意用戶利用，便很有可能會造成無線路由器被非法攻擊，甚至這些惡意用戶可以通過入侵的無線路由器，威脅整個無線網絡的運行安全。為了保證整個無線網絡安全，我們必須高度重視無線路由器的一些安全細項，避免它們成為安全“短板”。

更新固件程序

圖1 瀏覽頁面

眾所周知，與普通計算機相似，無線路由器的固件程序相當于BIOS軟件，它事先已被固化到路由器設備主板芯片上，往往用來控制和協調路由器內部集成電路的。正常來說，無線路由器工作一段時間后，固件程序自身存在的編程錯誤、軟件BUG等現象，會被逐漸發現，一旦它們被惡意用戶非法利用，那么無線路由器就會成為“肉雞”，惡意用戶利用它能輕松攻擊無線局域網中的其他計算機甚至服務器。所以，為了堵住安全漏洞，設備生產廠商都會在官方站點上，及時發布新的固件版本，來修復存在的安全問題。對于普通用戶來說，只要定期到網上下載安裝最新版本固件，及時對無線路由器后臺系統進行升級更新，就能讓設備在高效運行的同時，不會輕易遭遇惡意用戶的攻擊。

對無線路由器固件程序進行升級，實際上就是用高版本替代當前低版本的常規更新操作。在獲取高版本固件程序時，首先應該檢查無線路由器的銘牌信息，記下設備的品牌和型號內容，根據這些內容進入指定路由器設備的官方站點。比方說，當終端用戶查找到無線路由器是TP-Link品牌時，只要開啟IE瀏覽窗口，在該窗口地址欄中輸入對應品牌的官 方URL地 址“http://www.tp-link.com.cn”，進入如圖1所示的瀏覽頁面。選中并點擊該頁面中的“無線網絡產品”鏈接，在對應鏈接頁面中找到特定型號的無線路由產品，點擊該產品頁面中的“相關下載”按鈕，從下載頁面中下載得到最新版本的固件程序和有關升級程序，將它們一起存儲到本地計算機硬盤中。

之后通過雙絞線將本地計算機與無線路由器連接在一起，啟動運行計算機系統中的IE瀏覽器程序，在瀏覽窗口中輸入無線路由器默認的Web管理地址，打開路由器后臺管理登錄頁面，輸入管理員賬號，確認后登錄進入后臺系統管理頁面。從中先找到備份功能選項，指定好備份文件存儲路徑，將無線路由器當前的配置參數備份保存好，避免固件升級操作失敗引起的配置丟失現象。接著找到“固件升級”功能，打開新版本固件上傳頁面，添加并導入已經獲得的新版本固件程序，執行“升級”命令進行固件程序的更新操作。更新操作結束后，將先前已經備份好的路由器配置信息快速還原，這樣就能增強無線路由器自身的安全防范能力了。

要提醒大家的是，進行無線路由固件程序更新操作時，必須要注意一些細節事項：首先在固件程序更新過程中，千萬不能斷開電源，否則的話無線路由器可能會受到損壞。其次要將所有處于運行狀態的應用程序都退出，特別是要將屏幕保護程序和殺毒軟件退出，避免固件程序更新操作受到它們的干擾。第三盡量從無線路由器官方網站中下載固件程序和刷新升級工具，同時確保固件版本要與無線路由器的型號信息保持一致。

修改賬號密碼

不少用戶將無線路由器購買回來后，往往直接接入網絡開始使用，很少有人會主動修改無線路由器的配置參數，甚至連缺省的管理員帳號和密碼也懶得去修改，這就為惡意用戶的非法入侵帶來了機會。即使有用戶修改了無線路由器后臺系統的默認密碼，但是這些用戶在修改密碼時，為了圖方便、好記憶，往往喜歡用電話號碼、生日、紀念日或幾位連號數字、重復數字作為密碼內容，甚至經常用幾個固定的數字作為不同系統的登錄密碼，顯然這種做法是不可取的，因為這些簡單的密碼被暴力破解的成功率很高。非法用戶可以使用常見的root、guest、admin 等帳號與密碼，來進行試探性登錄，也可以使用專業工具來進行暴力破解性登錄，一旦無線路由器被入侵，那么本地無線網絡將會不可避免地成為“肉雞”。

修改無線路由器登錄密碼時，最理想的密碼內容組合是連用戶自己都不熟悉規律的密碼，密碼沒有規律可循，自然破解起來也就不那么容易了，比方說同時包含大小寫字母、阿拉伯數字以及特殊符號的密碼內容，被成功破解的機率相當低。此外，無線路由器登錄密碼最好應定期修改，千萬不能為了圖省事，將密碼信息記在無線路由器外殼身上，或者其他特別顯眼的地方。

在進行帳號密碼修改操作時，可以先進入無線路由器后臺管理頁面，將鼠標定位到“系統工具”、“修改登錄口令”節點上，在對應選項設置區域，輸入原始帳號名稱和密碼，再輸入新帳號名稱和密碼，單擊“執行”按鈕就能讓新帳號生效了。當然，有些無線路由器登錄密碼分為管理員、普通用戶等不同級別，其中管理員級別可以訪問無線網絡各種參數設置，還能對參數自由編輯修改，普通用戶級別只能訪問無線網絡的參數設置，無法對其自由編輯修改。所以，用戶必須要根據實際情況，來合理定義好不同級別的登錄密碼，確保無線路由器登錄安全。

調整遠程端口

為了便于對無線路由器的管理維護，不少用戶會在路由器的Web設置頁面，勾選遠程登錄該設備的允許選項，可是遠程Web登錄功能在缺省狀態下會使用“80”端口，這個端口號碼經常會被惡意用戶非法利用，不利于無線網絡的安全穩定運行。

要想避免無線路由器被非法遠程攻擊，我們不妨嘗試將缺省的遠程管理端口調整為一個不經常使用的號碼，日后只有熟悉新端口號碼的用戶，才能通過Web頁面遠程登錄進入無線路由器來對遠程管理維護。比方說，要將Web管理端口調整為“5633”時，只要先打開無線路由器后臺管理界面，依次展開“安全設置”、“遠端Web管理”節點，在指定節點選項設置區域，將“Web管理端口”參數調整為“5633”，再在“遠端 Web管理IP地址”設置項處，指定好能對無線路由器進行遠程管理維護的計算機IP地址，按下“保存”按鈕執行設置存儲操作，最后重啟無線路由器設備。這樣，日后只有在特定計算機上，輸入無線路由器的IP地址和新端口號碼，才能對其進行遠程管理維護操作。

當然，無線路由器還隱藏了Telnet這種遠程登錄方式，這種登錄方式常常被用戶所忽視，實際上該登錄方式大量應用在網絡的網關設備和重要主機中，它也能為網管員提供遠程維護通道。但是該遠程功能使用的是“23”端口，該端口也是一把“雙刃劍”，如果被非法用戶利用時，同樣會給無線路由器帶來安全麻煩。非法用戶只要使用專業工具對本地網絡進行掃描，要不了幾分鐘，就能掃描到無線路由器開放著的“23”網絡端口。

一旦看到該端口處于開放狀態時，我們必須想辦法將其及時關閉，或者將其修改為陌生的端口號碼。當然，有的無線路由器可以通過更新固件程序的方法，來修復這種安全問題，用戶只要及時到設備官方站點下載更新固件，就能保證遠程維護的安全。

預防網頁劫持

用戶在上網沖浪過程中，我們經常會碰到網頁劫持現象，對于這種現象，使用一些專業的反劫持插件程序，能夠避免大多數網頁劫持現象，不過對于那些來自網絡運營商的廣告劫持，反劫持插件程序就無能為力了。現在只要進入無線路由器后臺管理頁面，修改有關功能參數，就能預防網絡運營商的網頁劫持了。例如，對于TP-Link WR541G/542G無線路由器來說，可以進行如下設置操作，來拒絕網頁劫持現象：

首先在IE瀏覽窗口地址欄中，輸入無線路由器Web訪問地址，登錄進入該設備后臺管理頁面，依次展開“安全設置”、“防火墻設置”節點選項，選中對應選項設置區域中的“開啟防火墻”選項，同時將“開啟域名過濾”也勾選起來（如圖 2所示），按下“保存”按鈕執行設置保存操作。

接著將鼠標定位到“安全設置”、“域名過濾”節點選項上，按下對應選項設置區域中的“添加新條目”按鈕，將網絡運營商廣告域名填寫到“域名”位置處，比方說輸入“search.114.vnet.cn”、“114.vnet.cn”等廣告域名。再將“生效時間”定義為“00-24”，將狀態參數修改為“生效”，按下“保存”按鈕退出設置操作。要是不清楚網絡運營商的廣告域名，不妨在IE瀏覽界面中隨意輸入一個不正確的網站域名，記錄下隨后出現的劫持頁面地址，將該地址填寫在域名過濾列表中。

要想過濾特定劫持頁面IP地址時，不妨先通過ping命令測試網絡運營商的廣告域名，將回顯出來的IP地址記憶下來。再進入無線路由器IP地址過濾頁面，單擊“添加新條目”按鈕，在“廣域網IP地址”設置項處，輸入先前記錄的IP地址，同時將“生效時間”指定為“00-24”，將狀態參數調整為“生效”，將協議參數選擇為“All”，將“通過”參數設置為“禁止通過”，按下“保存”按鈕存儲好設置操作，最后重啟無線路由器設備。

圖2 設備后臺管理頁面

圖3 開啟安全設置選項

當我們再次上網訪問時，網絡運營商的廣告域名和相關IP地址都會被正確過濾了，日后IE瀏覽頁面自然就不會發生被廣告劫持現象了。如果網絡運營商修改了廣告鏈接地址，只要按照之前的操作步驟，將變化的廣告域名和IP地址輸入到過濾列表中即可。同樣地，我們可以將其他的劫持頁面域名和IP地址輸入到無線路由器過濾列表中，以達到預防惡意頁面劫持的目的。

拒絕他人蹭網

在使用無線路由器組網的環境中，蹭網現象越來越普遍。為了避免這種現象，我們可以啟用無線路由器的上網信號加密功能，來對上網傳輸信號進行非常復雜的加密計算，讓蹭網者即使竊取到上網信號，也很難將它成功破解開來。在開啟無線路由器加密功能時，不妨先以系統管理員登錄無線路由器后臺管理界面，將鼠標定位到“無線網絡”、“安全設置”節點上，在對應節點設置區域選中“開啟安全設置”選項（如圖3所示），同時將安全類型指定為“WPA-PSK”或“WPA”，再輸入好密鑰內容，確認后保存設置即可。

對于已經成功蹭網的用戶，該如何將他們揪出來呢？使用“WifiChannelMonitor”這款工具，配合無線路由器自身的MAC地址過濾功能，就能將危險的無線網絡蹭網者尋找出來，并拒絕他再次蹭網。因為“WifiChannelMonitor” 工具是利用微軟的網絡監視器來監控無線網絡流量的，在利用該工具檢測蹭網現象之前，必須先從微軟官方站點下載安裝“Microsoft Network Monitor”工具，再開啟“Wifi ChannelMonitor”程序的運行狀態，進入對應程序主操作界面。按下“Start Capture”工具欄按鈕，選擇需要監控的無線網卡設備，定義好無線網絡通道參數，確認后讓程序切換到檢測狀態。被探測到的無線網絡信號會自動顯示在對應程序列表中，將綠色圖標的無線信號選中，這時用戶能發現所有與該無線網絡相連的設備。用鼠標雙擊某個設備名稱，在其后界面中能查明設備的客戶端類型、數據字節、MAC地址、設備制造商等信息，根據設備制造商信息就能識別出當前連接的設備是否屬于自己所用的上網設備，如果不是的話，那該設備自然就是蹭網者了。

圖4 對應選項的設置界面

一旦識別出蹭網者所用設備后，重新進入“WifiChannelMonitor” 程序主界面，從中找到對應設備的MAC地址，同時將其記錄下來。

之后進入無線路由器的后臺管理界面，從中找到并啟用“MAC地址過濾”功能選項，在對應選項的設置頁面中（如圖4所示），輸入蹭網者的設備MAC地址，確認后保存設置操作，這樣就能拒絕他再次蹭網了。