我的公共 IP 地址

Question

所以我发现我可以轻松从我的工作地点获取我的公共 IP 地址。我可以 ping 它，甚至可以从工作地点登录我的路由器。我该如何防范这种情况？

首先，你应该检查你的家用路由器只接受通过 HTTPS 的连接，并且非 HTTP通常你可以在你的路由器的“管理”部分找到这样的设置，但是该选项的具体位置实际上取决于制造商和型号。

其次，您的路由器可能支持禁用通过无线和 WAN 接口登录。同样，这取决于各个路由器，因此您必须检查您的路由器是否支持此功能。最坏的情况是，禁用通过 WAN 接口上的防火墙进行的 HTTP/HTTPS 访问。

您可能还想研究如何配置路由器防火墙，使其在尝试失败 X 次后断开连接。这可以通过 GUI 完成，或者您可以使用类似 dd-wrt您可以使用 iptables。请注意，正如链接所提到的，自 2011 年以来，dd-wrt 在大多数图像中默认都有此规则。

人们可以通过哪些方式进入我的家庭网络？

我将以稍微不同的方式回答这个问题，仅列出你可以做的事情来强化系统以及这些措施为什么有帮助：

他们可以攻击常用服务（如 ssh、telnet、http 等）的默认端口。如果幸运的话，他们将能够使用常用凭据进行漏洞利用或暴力破解。这就是为什么始终更改运行 ssh 等服务的端口以及在 X 次尝试失败后断开连接的防火墙规则很重要的原因。
禁用任何您不使用的服务。路由器上运行的程序越少，就越难被控制。另外一定要禁用 telnet 和纯 HTTP 等服务的登录访问因为它们不使用任何形式的加密，并且您的凭据以明文形式发送。如果攻击者嗅探到您的 WAN 之外的连接，并且您从工作中登录，他们就可以看到您的用户名和密码以及您在路由器上所做的事情。
定期修补/更新您的路由器也很重要！如果您使用 dd-wrt，则应经常更新，以确保不会暴露自己的安全。很多人都忘记这样做，而设备制造商会发布所有这些设备，但从不为它们提供更新，这无济于事。如果您不这样做，攻击者可能会利用众所周知的漏洞访问您的路由器。
对于家庭网络来说，这可能有点过头了，但你也可以时不时地使用以下方法扫描路由器：openvas查看存在哪些问题。这可以帮助您采取主动措施并防止攻击者利用路由器的漏洞。

Answer 1

所以我发现我可以轻松从我的工作地点获取我的公共 IP 地址。我可以 ping 它，甚至可以从工作地点登录我的路由器。我该如何防范这种情况？

首先，你应该检查你的家用路由器只接受通过 HTTPS 的连接，并且非 HTTP通常你可以在你的路由器的“管理”部分找到这样的设置，但是该选项的具体位置实际上取决于制造商和型号。

其次，您的路由器可能支持禁用通过无线和 WAN 接口登录。同样，这取决于各个路由器，因此您必须检查您的路由器是否支持此功能。最坏的情况是，禁用通过 WAN 接口上的防火墙进行的 HTTP/HTTPS 访问。

您可能还想研究如何配置路由器防火墙，使其在尝试失败 X 次后断开连接。这可以通过 GUI 完成，或者您可以使用类似 dd-wrt您可以使用 iptables。请注意，正如链接所提到的，自 2011 年以来，dd-wrt 在大多数图像中默认都有此规则。

人们可以通过哪些方式进入我的家庭网络？

我将以稍微不同的方式回答这个问题，仅列出你可以做的事情来强化系统以及这些措施为什么有帮助：

他们可以攻击常用服务（如 ssh、telnet、http 等）的默认端口。如果幸运的话，他们将能够使用常用凭据进行漏洞利用或暴力破解。这就是为什么始终更改运行 ssh 等服务的端口以及在 X 次尝试失败后断开连接的防火墙规则很重要的原因。
禁用任何您不使用的服务。路由器上运行的程序越少，就越难被控制。另外一定要禁用 telnet 和纯 HTTP 等服务的登录访问因为它们不使用任何形式的加密，并且您的凭据以明文形式发送。如果攻击者嗅探到您的 WAN 之外的连接，并且您从工作中登录，他们就可以看到您的用户名和密码以及您在路由器上所做的事情。
定期修补/更新您的路由器也很重要！如果您使用 dd-wrt，则应经常更新，以确保不会暴露自己的安全。很多人都忘记这样做，而设备制造商会发布所有这些设备，但从不为它们提供更新，这无济于事。如果您不这样做，攻击者可能会利用众所周知的漏洞访问您的路由器。
对于家庭网络来说，这可能有点过头了，但你也可以时不时地使用以下方法扫描路由器：openvas查看存在哪些问题。这可以帮助您采取主动措施并防止攻击者利用路由器的漏洞。

相关内容