所以我發現我可以輕鬆地從我的工作中獲取我的公共 IP 位址。我可以 ping 它,甚至可以在工作時登入我的路由器。我該如何保護自己免受這種侵害?有人可以透過哪些方式進入我的家庭網絡?有人能為我解釋一下嗎?
答案1
所以我發現我可以輕鬆地從我的工作中獲取我的公共 IP 位址。我可以 ping 它,甚至可以在工作時登入我的路由器。我該如何保護自己免受這種侵害?
首先,您應該檢查以確保您的家庭路由器僅接受通過 HTTPS 的連接,並且不是 HTTP。通常您可以在路由器的“管理”部分找到這樣的設置,但它實際上取決於該選項的確切位置的製造商和型號。
其次,您的路由器可能支援停用無線和 WAN 介面登入。同樣,這取決於各個路由器,因此您必須檢查您的路由器是否支援此功能。最糟的情況是,透過 WAN 介面上的防火牆會停用 HTTP/HTTPS 存取。
您可能還需要考慮將路由器防火牆設定為在 X 次失敗嘗試後斷開連線。這可以透過 GUI 完成,或者如果您使用類似 dd-wrt 的東西你可以使用iptables。請注意,正如連結所提到的,自 2011 年以來,dd-wrt 預設情況下在大多數圖像中都有此規則。
有人可以透過哪些方式進入我的家庭網絡?
我將透過稍微不同的方式來回答這個問題,僅列出您可以採取的措施來強化系統以及為什麼這些措施有幫助:
- 他們可以攻擊 ssh、telnet、http 等常用服務的預設連接埠。這就是為什麼始終更改運行 ssh 等服務的連接埠並製定防火牆規則以在 X 次嘗試失敗後斷開連接的原因非常重要。
- 停用您不使用的任何服務。路由器上執行的程式越少,就越難被擁有。也請務必禁用 telnet 和純 HTTP 等服務的登入訪問因為他們不使用任何形式的加密,並且您的憑證以明文形式發送。如果攻擊者要嗅探 WAN 外部的連接,並且您下班登錄,他們就可以看到您的使用者名稱和密碼以及您在路由器上執行的操作。
- 定期修補/更新路由器也很重要!如果您使用 dd-wrt,您應該經常更新以確保您不會暴露自己。很多人忘記這樣做,設備製造商發布所有這些設備但從不為它們提供更新也無濟於事。如果您不這樣做,攻擊者可能會利用眾所周知的漏洞來存取您的路由器。
- 對於家庭網路來說這可能有點大材小用,但您也可以時不時地使用掃描您的路由器開放瓦斯查看存在哪些問題。這可以幫助您主動採取行動,防止攻擊者利用路由器的漏洞。