路由器网络安全最佳实践

什么是路由器？

受损路由器的影响是什么？

• 从连接到您网络的任何设备中窃取个人身份信息 (PII) 并将其用于恶意目的。
• 访问用户帐户的登录凭据并使用它们来获得对网络和设备的未经授权的访问。威胁参与者可以通过更改路由器解析合法网站并将您重定向到恶意软件服务网站的能力来访问登录凭据。
• 监控、修改和拒绝进出您的组织的流量，或保持对您的网络的持久访问以应对未来的攻击。
• 利用暴露的数据或知识产权来执行高级网络攻击，例如支持间谍活动。
• 将您的路由器劫持或同化到受感染设备的网络中以创建僵尸网络。威胁参与者使用僵尸网络进行分布式拒绝服务 (DDoS) 攻击，这将使您的服务器因互联网流量而不堪重负，并破坏您提供基本业务运营和服务的能力。

如何防止您的路由器被入侵

基本措施

• 更改 Wi-Fi 网络和路由器的所有默认密码。尽可能使用密码短语或强、唯一且复杂的密码。密码短语/密码对于保护您的路由器免受暴力攻击以破解密码非常重要。
• 
  
• 打开 Wi-Fi 保护访问 (WPA)以保护互联网流量免受未经授权的访问。WPA2 或更新的 WPA3 在路由器和您的设备之间提供强大的加密。
• 
  
• 禁用服务集标识符 (SSID) 广播，这样您的无线网络名称就不会被附近扫描网络的威胁者轻易看到。
• 
  
• 更改默认无线网络 SSID 名称。这可以防止威胁参与者轻松识别路由器的品牌和型号，并可能确定该设备是否存在漏洞。
• 
  
• 禁用 WPS（Wi-Fi 保护设置）。这是一项方便的功能，可简化将设备连接到 Wi-Fi 路由器的过程。但是，范围内的威胁参与者可以暴力破解 PIN 身份验证方法。
• 
  
• 保持路由器的固件为最新。这可确保您安装了最新的安全补丁来解决已知漏洞。如果您的路由器型号具有此功能，请打开自动固件更新。
• 
  
• 设置访客网络，为您的访客和您的物联网设备启用互联网连接。这可以避免共享密码并降低威胁者访问您的主要网络设备和敏感信息的风险。
• 
  
• 物理安全。确保对设备的物理访问受到限制，并且对 Wi-Fi 接入点的访问同样受到保护。
• 
  

附加措施

• 安排例行重启以清除系统内存并刷新所有连接。重新启动路由器可能会破坏任何可能已植入的潜在恶意软件。
• 
  
• 尽可能禁用远程访问管理，以防止未经授权的人远程访问您的路由器并对其进行篡改。
• 
  
• 禁用简单网络管理协议 (SNMP)以降低威胁参与者收集有关您的网络的基本系统配置信息的风险。
• 
  
• 为每个路由器管理员设置自己的登录用户名、唯一密码和适当的权限级别。如果启用了事件日志记录，那么登录信息对于审计和事件调查目的将很重要。
• 
  
• 使用媒体访问控制 (MAC) 过滤来选择哪些受信任的设备连接到您的网络。
• 
  
• 启用端口过滤。例如，SANS 研究所建议阻止使用以下端口的出站流量，以防止不需要的流量传出到 Internet：
• 
  
• MS RPC - TCP 和 UDP 端口 135
• NetBIOS/IP - TCP 和 UDP 端口 137-139
• SMB/IP - TCP 端口 445
• 普通文件传输协议 (TFTP) - UDP 端口 69
• 系统日志 - UDP 端口 514
• 简单网络管理协议 (SNMP) - UDP 端口 161-162
• Internet 中继聊天 (IRC) - TCP 端口 6660-6669

• 
  

• 启用事件记录并定期监控活动。这将允许您检测针对路由器的攻击类型，并实施主动缓解措施。

• 
  

• 如果使用 Syslog 服务器进行监控，请将默认 UDP 端口 514 更改为使用 TCP 514 或 TCP 6514 等替代端口。

原文始发于微信公众号（网络研究院）：路由器网络安全最佳实践