所以我发现我可以轻松从我的工作地点获取我的公共 IP 地址。我可以 ping 它,甚至可以从工作地点登录我的路由器。我该如何防范这种情况?有人可以通过哪些方式进入我的家庭网络?有人能为我解释一下吗?
答案1
所以我发现我可以轻松从我的工作地点获取我的公共 IP 地址。我可以 ping 它,甚至可以从工作地点登录我的路由器。我该如何防范这种情况?
首先,你应该检查你的家用路由器只接受通过 HTTPS 的连接,并且非 HTTP通常你可以在你的路由器的“管理”部分找到这样的设置,但是该选项的具体位置实际上取决于制造商和型号。
其次,您的路由器可能支持禁用通过无线和 WAN 接口登录。同样,这取决于各个路由器,因此您必须检查您的路由器是否支持此功能。最坏的情况是,禁用通过 WAN 接口上的防火墙进行的 HTTP/HTTPS 访问。
您可能还想研究如何配置路由器防火墙,使其在尝试失败 X 次后断开连接。这可以通过 GUI 完成,或者您可以使用类似 dd-wrt您可以使用 iptables。请注意,正如链接所提到的,自 2011 年以来,dd-wrt 在大多数图像中默认都有此规则。
人们可以通过哪些方式进入我的家庭网络?
我将以稍微不同的方式回答这个问题,仅列出你可以做的事情来强化系统以及这些措施为什么有帮助:
- 他们可以攻击常用服务(如 ssh、telnet、http 等)的默认端口。如果幸运的话,他们将能够使用常用凭据进行漏洞利用或暴力破解。这就是为什么始终更改运行 ssh 等服务的端口以及在 X 次尝试失败后断开连接的防火墙规则很重要的原因。
- 禁用任何您不使用的服务。路由器上运行的程序越少,就越难被控制。另外一定要禁用 telnet 和纯 HTTP 等服务的登录访问因为它们不使用任何形式的加密,并且您的凭据以明文形式发送。如果攻击者嗅探到您的 WAN 之外的连接,并且您从工作中登录,他们就可以看到您的用户名和密码以及您在路由器上所做的事情。
- 定期修补/更新您的路由器也很重要!如果您使用 dd-wrt,则应经常更新,以确保不会暴露自己的安全。很多人都忘记这样做,而设备制造商会发布所有这些设备,但从不为它们提供更新,这无济于事。如果您不这样做,攻击者可能会利用众所周知的漏洞访问您的路由器。
- 对于家庭网络来说,这可能有点过头了,但你也可以时不时地使用以下方法扫描路由器:openvas查看存在哪些问题。这可以帮助您采取主动措施并防止攻击者利用路由器的漏洞。