我的 ASUS RT-AC68U 路由器有一个启用“访客网络”的选项。我很好奇这有多“安全”。配置页面声称它只允许流量通过互联网,所以我假设它物理阻止了从访客网络到任何 LAN 端口的流量,只允许它流过 WAN 端口?
请注意,我的意思是一个开放的访客网络,无需身份验证。
有人知道这方面的信息吗?它有多安全/不安全?
答案1
罗恩说得对,这是一个基于观点的问题,取决于你对风险的厌恶程度,但这里有一些因素需要考虑:
- 您多久会手动检查一次路由器固件是否为最新,如果不是,会修补它?根据我的经验,自动更新程序并不可靠,仅供参考。如果您启用访客网络,这可能是您面临的最大风险:漏洞被发现并修补,这会提醒恶意行为者注意漏洞,因此他们会将其纳入他们的工具包,但您尚未更新固件,因此您仍然容易受到攻击,而您附近的脚本小子会进入您的网络。
- 您是否为每个路由器管理员帐户设置了安全密码?理想情况下,密码管理软件会随机生成一个密码,但至少在谷歌搜索时不会返回任何结果?您的访客网络上的某个人可能会尝试登录路由器的控制面板,而一个安全密码的差别就在于他们在一天内猜对还是在一千年后猜对。
- 您的家庭网络有多大价值?您始终在线的台式机上是否存有 100 个比特币?您是否经常忽略当前页面是否为 http(而实际上应该是 https)?您的医疗和财务文件是否在网络上共享?您需要诚实地评估,如果他们逃离访客网络并进入您的常规网络,并能够查看您的文件并监视/修改您的未加密流量,情况会有多糟糕。
- 启用访客网络能为您带来哪些好处?您是否希望在盗版电影和音乐时可以合理地推诿?您是否不愿意与访客分享您的 WiFi 密码?或者您的访客很懒,他们讨厌使用任何类型的安全 WiFi?您是否希望通过为邻居和路人提供免费 WiFi 来做一件“好事”?权衡这些好处与风险。
如果华硕能够完美实施,那么它就是安全的,但计算机安全中实际上没有什么是完美无缺的。
答案2
就其本身而言,“访客”网络只是许多路由器或 ISR 的共同特征,它们只会创建另一个子网,并额外创建一个单独的 WLAN,其相应的 ESSID 会限制广播域,并且不会将任何流量从该网络路由到主网络;这意味着您无法ssh 192.168.1.1从任何主机(例如 192.168.0.0(“访客”网络)访问主网络或 DMZ。但值得注意的是,在适当的条件下,它不会阻止“访客”网络中的计算机通过 WAN(即使用 NAT 公共地址)访问主网络或 DMZ,甚至在防火墙打开的情况下从互联网访问主网络或 DMZ,等等。
简单来说,它只是在 LAN 端口上将主网络与访客网络隔离,因此可以说它是安全的,并且能够发挥其应有的用途。
来源:思科 NetAcad 培训页面
答案3
小心。我的 Assus 正在桥接模式下运行。
当我通过配置为访客网络的 SSID 连接时,我仍然可以访问我的内部网络。
因此,首先要对此进行适当的测试。
路由器在桥接模式下不过滤,因此最好不要提供配置访客网络的选项。仅在配置为路由器时才提供。
答案4
除了考虑其他答案(它们确实很有帮助)之外,我会告诉你不是无需身份验证即可离开访客网络。
如果您的目标是易于使用,请为访客网络打印一个二维码并将其贴在墙上。