关于无线路由器的安全问题已经写了好几篇文章,不过有人说,你这样写还是显得太专业了,对于不懂行的人来说不好使用......
所以这次就干脆编排了一份面向家用或小型办公室(以下简称SOHO)无线路由器网络安全的检查清单,方便读者可以直接对照检查。
| 笔者: |
国际认证信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
为了适配微信公众号的阅读排版,检查清单内容用文本方式描述。实际使用时,可以自己排版,把清单内容用表格方式组织。像下图这样:
( LibreOffice 其实挺好用的)
另一个更简单的方法是点击“阅读原文”,跳转到笔者个人网站的文章页面,在页面底部下载链接处获取检查清单的PDF或ODT格式文件。
就算读者自己并不懂如何检查和设置,也可以把这个检查清单交给懂得检查和设置的家人或朋友,来一个按图索骥即可。
| 一、清单格式 |
清单中,每一检查项目行包括7列,前4列是检查项目的信息,后3列是检查和处理的情况。
(1)检查项目名称:需要检查的项目的名称。
(2)重要程度:按高/中/低区分项目的重要程度。如果出现检查结果为不安全,且重要程度为高或中的项目,应按加固方法进行改善,实现从不安全转为安全。
(3)检查内容:该项目的具体检查内容。
(4)加固方法:该项目的安全加固设置说明。
(5)检查结果:该项目的检查结果,符合/不符合。
(6)处理结果:该项目的处理结果,不需要处理/已完成处理/条件不充分。
(7)备注说明:记录和检查项目有关的信息,例如不安全的细节情况。
| 二、检查项目说明 |
1、项目名称:无线加密方式
重要程度:高
检查内容:无线加密只使用WPA2、WPA3,不使用WEP或WPA。
加固方法:在无线路由器设置中禁用WEP和WPA加密方式。
2、项目名称:无线密钥复杂度
重要程度:高
检查内容:无线密钥是否由大小写字母、数字和符号构成,总长度不少于12位。其中字母长度不少于6位(禁止使用有意义的英文单词或汉语拼音),符号长度不少于2位。
例如像下面这样的两个典型设计:
1Ckqmvy#$3528
2ptw@4501#MCk加固方法:按检查内容的密钥复杂度设计要求,修改无线路由器的无线密钥。
说明:有些安全教程建议无线密钥用中文,虽然是个办法,但考虑到兼容性和可靠性,我是不建议用中文。
3、项目名称:无线路由器管理员账号改名
重要程度:中
检查内容:检查无线路由器的管理员账号名称是否已从默认的名称修改为其他名称。
加固方法:如果无线路由器支持管理员账号的修改功能,则修改为仅自己熟悉的其他名称或者随机字符串。
4、项目名称:路由器管理员密码复杂度
重要程度:高
检查内容:无线路由器管理员账户密码是否由大小写字母、数字和符号构成,总长度不少于9位。其中字母长度不少于6位(禁止使用有意义的英文单词或汉语拼音)。
对于不能更改管理员账号(包括登录时不需要填写管理员账号名称)的无线路由器,建议密码总长度不少于12位。
密码例子可参考上文第2项。
加固方法:按检查内容的密钥复杂度设计要求,设置管理员密码。
5、项目名称:MAC地址与IP地址绑定
重要程度:中
检查内容:是否开启了MAC地址绑定,是否已经设置了IP/MAC地址的绑定清单。
加固方法:
(1)把需要接入无线网的全部终端设备接入到无线网;
(2)在无线路由器中开启MAC地址绑定功能,把已接入的设备进行IP地址和MAC地址的绑定;
(3)设置禁止不在绑定清单中的设备接入无线网。
说明:动态IP地址分配(DHCP)和MAC地址与IP地址绑定这两者不是必然关系。
终端设备需要设置对接入的无线网络不启用随机硬件地址功能,例如在 Windows 11,需要在系统的设置功能中对接入的无线网络如下图设置:
6、项目名称:按白名单进行地址分配
重要程度:中
检查内容:对于不支持 MAC 地址绑定但提供了 MAC 地址白名单功能的无线路由器,检查是否设置了 MAC 地址白名单,仅允许白名单上的 MAC 地址接入和获得分配 IP 地址。
加固方法:
(1)把需要接入无线网的全部终端设备接入到无线网;
(2)在无线路由器的白名单功能中把已接入设备的 MAC 地址固化到白名单内;
(3)设置禁止不在白名单中的设备接入无线网。
说明:和第5项一样,终端设备需要设置对接入的无线网络不启用随机硬件地址功能。
7、项目名称:禁用不使用的登录方式
重要程度:高
检查内容:
(1)在无线路由器的设置界面中查找是否开启了不使用的登录方式,比如TELNET或SSH;
(2)有能力的可以自行用端口扫描工具扫描自己的无线路由器的外网和内网IP地址,检查是否存在开放了可用于登录的端口。
加固方法:在无线路由器设置界面中关闭所有不使用的登录方式。
说明:仅能扫描自己的路由器外网IP地址,未经许可扫描别人是违法行为。
8、项目名称:无线路由器固件版本
重要程度:高
检查内容:
(1)在无线路由器设置界面通过固件升级功能检查是否已经升级到最新版本;
(2)检查厂商网站对应自己路由器型号的最新版本固件是否与自己在用的无线路由器的固件版本一致。
加固方法:
(1)通过自动升级功能或手动升级功能,升级固件为最新版本;
(2)如果无线路由器提供了自动升级功能,确保将其开启。如果没有提供自动升级功能,务必要定期人工检查。
说明:有些情况下,厂商提供的最新版本固件不一定通过升级功能提供,此时需要详细阅读理解厂商对该最新版本的发布说明,在需要时手工完成固件版本升级。
9、项目名称:智能无线路由器的第三方插件
重要程度:低
检查内容:对于允许安装插件的智能无线路由器,检查安装的插件是否均来自原厂家。如果存在第三方插件,应确保其来源可靠,比如已经由无线路由器原厂家验证。
加固方法:删除来源或安全性不确定的插件。
说明:确保没有安装来源不可靠的第三方插件。此项既可以认为是高风险项,也可以认为是低风险项,原因在于一般情况下厂商都不会完全开放允许安装第三方插件,所以安装的插件只可能是来自于原厂。
如果是自己刷无线路由器固件安装比如OpenWRT这样的开放式固件,那才有可能安装使用第三方插件。不过有这能耐的,应该也不会关注我这份面向普通用户的安全检查清单啦。
10、项目名称:隐藏SSID广播
重要程度:低
检查内容:是否设置了隐藏 SSID 广播。
加固方法:启用隐藏 SSID 广播,然后测试各种无线网络终端设备是否能正常连接到无线网。
说明:极个别无线网络终端设备(比如某些品牌型号的打印机)不支持连接到隐藏的 SSID,所以需要进行测试。
另外,隐藏 SSID 广播的实际作用也不大,因为只要有终端连接到无线网并且在通信,SSID 就还是会被发现的,所以该项重要性低。
11、项目名称:关闭访客网络
重要程度:低
检查内容:确保访客网络是关闭状态。
加固方法:在无线路由器的无线网络设置中关闭访客网络。
12、项目名称:开启日志
重要程度:低
检查内容:检查无线路由器的日志功能是否已经开启。
加固方法:在无线路由器的设置中开启日志功能。
说明:熟悉等级保护要求的读者都会知道日志的重要性,但对于 SOHO 级别的无线路由器,其日志功能基本上都很简陋,所以实际重要程度低。
而且,SOHO 环境缺乏能长期妥善保存安全日志的手段,也导致开启日志与否的重要程度不高。
13、项目名称:正确配置其他安全设置
重要程度:高
检查内容:对于无线路由器提供了的各种和网络安全有关的功能,检查是否已经正确地启用或配置,比如启用防火墙、关闭虚拟服务器、清空 DMZ 区域等。
加固方法:启用且按真实需要配置各种安全设置。
说明:此条虽然重要,但由于比较笼统所以放在后面。
不同的无线路由器提供的安全设置都不尽相同,难以综合描述,需要有一定专业水平才能设置。
需要指出的是,如果在检查时发现安全设置被启用,应落实其启用的原因,分辨究竟是否被黑客控制了无线路由器后故意设置而实现利用的。
14、项目名称:关闭不使用的功能
重要程度:低
检查内容:检查无线路由器上开启的各种功能是否真实使用中。比如 WDS 无线桥接、QSS 快速安全连接等。
加固方法:对于不使用的功能,在无线路由器的设置界面关闭。
说明:俗话说“少个香炉少只鬼”,不用的功能就应该关闭。一般 SOHO 环境用不着 WDS,而 QSS 只用于无线网络初始化的阶段,这些都要酌情关闭。
| 三、还有个关键是定期检查 |
以上总共14项检查项,其中两项属于概括性要根据实际设备情况再分解处理。基本上这样处理完之后,除非是这台无线路由器本身有后门,否则就已经相对安全了。
最后依旧要提醒:
别忘了安全检查要定期做,以及点击“阅读原文”可以直接在笔者个人网站直接下载到检查清单文件。
有什么好的补充建议请不吝留言。
点赞和转发都是免费的↓
还可以看看这些内容:
黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来
原文始发于微信公众号(wavecn):家用或小型办公室无线路由器网络安全检查清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论