随着路由器智能化的发展,为了应对多功能物联网(IoT)设备的场景化应用,增加了、无线接入点、VPN,用户访问控制、流量控制、远程监控数据等。随着这种日益增加的复杂性,从工业路由器的操作功能和管理到其硬件和Web应用程序,在不同级别引入了更多的安全风险。路由器多年来一直存在安全问题,而工业路由器在一定程度上做了硬件防护,可以防止恶意事件的发生率。
受损的家庭路由器可以使用户面临重大后果:信息甚至身份盗用,恶意网站和广告,VoIP欺诈等,工业路由器在一定程度上有屏蔽广告,防止恶意功能的安全性。
网络犯罪分子还可以利用受损的家庭路由器进行营利性分布式拒绝服务攻击(DDoS)或作为租用僵尸网络的一部分获利。僵尸网络已经变得非常有利可图 - 根据2016年在法国地下的列表,租用每天100-150机器人的僵尸网络成本为700元左右。
将受损路由器变为僵尸程序的用户在带宽资源方面受到的影响最小。虽然有些人可能没有注意到他们的路由器被用于非法目的,但其影响是严重且普遍的。遭受DDoS攻击的服务和企业必须应对可能造成的金钱损失,声誉受损以及客户服务中断等问题。去年国际著名的Twitter网站就受此影响。
受到妥协的用户在无意识的状态下参与,但可以通过保护其家用路由器来采取一些有效措施来防止此类攻击。
而使用工业路由器作为家用,可以选择不需要在恶劣条件下的硬件保护,比如可以选择没有钣金外壳(即普通ABS塑料外壳)、对于静电防护、防浪涌等硬件防护不用太高级别,需要软件看门狗等保护联网安全性即可。例如,在工业路由器上设置好密码后,就进行远程管理功能的设置,修改路由器的出厂默认设置的功能,减少恶意攻击,避免通过默认功能或密码轻易侵入路由器设置的网络。
当然在选择路由器上也是一个技术活。为了管理这些风险,用户应该:
1、选择可靠的工业路由器。为了完全保护家用联网目标,因此最好从具有一流安全功能且没有任何恶意软件的设备开始。避免使用含有不安全或恶意配置的路由器。相反,从可靠的供应商处投资可靠的低成本工业路由器。许多工业路由器都具有内置的安全功能,如Web威胁防护和检测恶意网络流量的能力,并且可以防止后门和其他恶意软件。
2、初始联网就更改默认密码。 选择可靠的工业路由器后,下一步涉及更改默认凭据。请记住,某些路由器具有用户访问控制,允许多个登录帐户(通常标记为“admin”和“user”)与默认密码配对。更改密码,并使用长度超过20个字符的密码进行无线访问。此外,选择Wi-Fi保护访问(WPA)2-高级加密标准(AES)作为家庭路由器的无线加密方案。
恶意行为者也在不断探索并发现家庭路由器系统中的新漏洞。他们可以轻松使用在线工具查找易受攻击的路由器 - 有一个众所周知的公共搜索引擎,列出了可以利用的已知漏洞。用户可以通过以下方式保护自己免受已知漏洞:
1、保持更新。工业路由器制造商将路由器的固件与操作系统、驱动程序、服务守护程序,管理程序和默认配置打包在一起 - 所有这些都需要定期更新。强烈建议用户应用供应商提供的最新修补程序,因为未修补的漏洞是威胁的常用入口点。
2、更改管理访问页面上的设置。完全保护您的家庭路由器需要用户登录管理访问页面并执行以下步骤:
请勿在家用路由器上使用以“.1”,“。100”或“.254”结尾的IP地址。请改用随机数字。
在管理页面上实施安全套接字层(SSL)(HTTPS)。
关闭对管理页面的无线访问。仍然可以使用以太网电缆访问它。
禁用任何远程管理功能,包括从WAN访问Telnet和Web管理页面。
如果不使用,请禁用通用即插即用(UPnP)功能。
为您的客人配置“访客网络”。不要让它们连接到家庭/商业设备的同一网络。
禁用Wi-Fi保护设置(WPS)
检查DNS设置。定期检查工业路由器的DNS设置有助于降低安全风险。为此,请登录路由器的管理页面并搜索DNS设置。用户可以发现路由器将查询转发到的DNS服务器的IP地址。有了这些信息,像WHOIS这样的网站可以帮助用户确定IP地址是否是恶意的。遗憾的是,一旦家庭路由器遭到入侵,基于网站的测试可能不可靠。