无线路由安全不容忽视

引言：伴随着智能终端设备的不断普及，越来越多的单位用户开始使用无线路由器，来在局部范围部署无线网络。不过，无线路由器常常会因为固件BUG、设置错误、系统漏洞等因素，引起一些安全问题，要是这些问题被恶意用户利用，便很有可能会造成无线路由器被非法攻击，甚至这些恶意用户可以通过入侵的无线路由器，威胁整个无线网络的运行安全。

伴随着智能终端设备的不断普及，越来越多的单位用户开始使用无线路由器，来在局部范围部署无线网络。不过，无线路由器常常会因为固件BUG、设置错误、系统漏洞等因素，引起一些安全问题，要是这些问题被恶意用户利用，便很有可能会造成无线路由器被非法攻击，甚至这些恶意用户可以通过入侵的无线路由器，威胁整个无线网络的运行安全。为了保证整个无线网络安全，我们必须高度重视无线路由器的一些安全细项，避免它们成为安全“短板”。

更新固件程序

图1 浏览页面

众所周知，与普通计算机相似，无线路由器的固件程序相当于BIOS软件，它事先已被固化到路由器设备主板芯片上，往往用来控制和协调路由器内部集成电路的。正常来说，无线路由器工作一段时间后，固件程序自身存在的编程错误、软件BUG等现象，会被逐渐发现，一旦它们被恶意用户非法利用，那么无线路由器就会成为“肉鸡”，恶意用户利用它能轻松攻击无线局域网中的其他计算机甚至服务器。所以，为了堵住安全漏洞，设备生产厂商都会在官方站点上，及时发布新的固件版本，来修复存在的安全问题。对于普通用户来说，只要定期到网上下载安装最新版本固件，及时对无线路由器后台系统进行升级更新，就能让设备在高效运行的同时，不会轻易遭遇恶意用户的攻击。

对无线路由器固件程序进行升级，实际上就是用高版本替代当前低版本的常规更新操作。在获取高版本固件程序时，首先应该检查无线路由器的铭牌信息，记下设备的品牌和型号内容，根据这些内容进入指定路由器设备的官方站点。比方说，当终端用户查找到无线路由器是TP-Link品牌时，只要开启IE浏览窗口，在该窗口地址栏中输入对应品牌的官 方URL地 址“http://www.tp-link.com.cn”，进入如图1所示的浏览页面。选中并点击该页面中的“无线网络产品”链接，在对应链接页面中找到特定型号的无线路由产品，点击该产品页面中的“相关下载”按钮，从下载页面中下载得到最新版本的固件程序和有关升级程序，将它们一起存储到本地计算机硬盘中。

之后通过双绞线将本地计算机与无线路由器连接在一起，启动运行计算机系统中的IE浏览器程序，在浏览窗口中输入无线路由器默认的Web管理地址，打开路由器后台管理登录页面，输入管理员账号，确认后登录进入后台系统管理页面。从中先找到备份功能选项，指定好备份文件存储路径，将无线路由器当前的配置参数备份保存好，避免固件升级操作失败引起的配置丢失现象。接着找到“固件升级”功能，打开新版本固件上传页面，添加并导入已经获得的新版本固件程序，执行“升级”命令进行固件程序的更新操作。更新操作结束后，将先前已经备份好的路由器配置信息快速还原，这样就能增强无线路由器自身的安全防范能力了。

要提醒大家的是，进行无线路由固件程序更新操作时，必须要注意一些细节事项：首先在固件程序更新过程中，千万不能断开电源，否则的话无线路由器可能会受到损坏。其次要将所有处于运行状态的应用程序都退出，特别是要将屏幕保护程序和杀毒软件退出，避免固件程序更新操作受到它们的干扰。第三尽量从无线路由器官方网站中下载固件程序和刷新升级工具，同时确保固件版本要与无线路由器的型号信息保持一致。

修改账号密码

不少用户将无线路由器购买回来后，往往直接接入网络开始使用，很少有人会主动修改无线路由器的配置参数，甚至连缺省的管理员帐号和密码也懒得去修改，这就为恶意用户的非法入侵带来了机会。即使有用户修改了无线路由器后台系统的默认密码，但是这些用户在修改密码时，为了图方便、好记忆，往往喜欢用电话号码、生日、纪念日或几位连号数字、重复数字作为密码内容，甚至经常用几个固定的数字作为不同系统的登录密码，显然这种做法是不可取的，因为这些简单的密码被暴力破解的成功率很高。非法用户可以使用常见的root、guest、admin 等帐号与密码，来进行试探性登录，也可以使用专业工具来进行暴力破解性登录，一旦无线路由器被入侵，那么本地无线网络将会不可避免地成为“肉鸡”。

修改无线路由器登录密码时，最理想的密码内容组合是连用户自己都不熟悉规律的密码，密码没有规律可循，自然破解起来也就不那么容易了，比方说同时包含大小写字母、阿拉伯数字以及特殊符号的密码内容，被成功破解的机率相当低。此外，无线路由器登录密码最好应定期修改，千万不能为了图省事，将密码信息记在无线路由器外壳身上，或者其他特别显眼的地方。

在进行帐号密码修改操作时，可以先进入无线路由器后台管理页面，将鼠标定位到“系统工具”、“修改登录口令”节点上，在对应选项设置区域，输入原始帐号名称和密码，再输入新帐号名称和密码，单击“执行”按钮就能让新帐号生效了。当然，有些无线路由器登录密码分为管理员、普通用户等不同级别，其中管理员级别可以访问无线网络各种参数设置，还能对参数自由编辑修改，普通用户级别只能访问无线网络的参数设置，无法对其自由编辑修改。所以，用户必须要根据实际情况，来合理定义好不同级别的登录密码，确保无线路由器登录安全。

调整远程端口

为了便于对无线路由器的管理维护，不少用户会在路由器的Web设置页面，勾选远程登录该设备的允许选项，可是远程Web登录功能在缺省状态下会使用“80”端口，这个端口号码经常会被恶意用户非法利用，不利于无线网络的安全稳定运行。

要想避免无线路由器被非法远程攻击，我们不妨尝试将缺省的远程管理端口调整为一个不经常使用的号码，日后只有熟悉新端口号码的用户，才能通过Web页面远程登录进入无线路由器来对远程管理维护。比方说，要将Web管理端口调整为“5633”时，只要先打开无线路由器后台管理界面，依次展开“安全设置”、“远端Web管理”节点，在指定节点选项设置区域，将“Web管理端口”参数调整为“5633”，再在“远端 Web管理IP地址”设置项处，指定好能对无线路由器进行远程管理维护的计算机IP地址，按下“保存”按钮执行设置存储操作，最后重启无线路由器设备。这样，日后只有在特定计算机上，输入无线路由器的IP地址和新端口号码，才能对其进行远程管理维护操作。

当然，无线路由器还隐藏了Telnet这种远程登录方式，这种登录方式常常被用户所忽视，实际上该登录方式大量应用在网络的网关设备和重要主机中，它也能为网管员提供远程维护通道。但是该远程功能使用的是“23”端口，该端口也是一把“双刃剑”，如果被非法用户利用时，同样会给无线路由器带来安全麻烦。非法用户只要使用专业工具对本地网络进行扫描，要不了几分钟，就能扫描到无线路由器开放着的“23”网络端口。

一旦看到该端口处于开放状态时，我们必须想办法将其及时关闭，或者将其修改为陌生的端口号码。当然，有的无线路由器可以通过更新固件程序的方法，来修复这种安全问题，用户只要及时到设备官方站点下载更新固件，就能保证远程维护的安全。

预防网页劫持

用户在上网冲浪过程中，我们经常会碰到网页劫持现象，对于这种现象，使用一些专业的反劫持插件程序，能够避免大多数网页劫持现象，不过对于那些来自网络运营商的广告劫持，反劫持插件程序就无能为力了。现在只要进入无线路由器后台管理页面，修改有关功能参数，就能预防网络运营商的网页劫持了。例如，对于TP-Link WR541G/542G无线路由器来说，可以进行如下设置操作，来拒绝网页劫持现象：

首先在IE浏览窗口地址栏中，输入无线路由器Web访问地址，登录进入该设备后台管理页面，依次展开“安全设置”、“防火墙设置”节点选项，选中对应选项设置区域中的“开启防火墙”选项，同时将“开启域名过滤”也勾选起来（如图 2所示），按下“保存”按钮执行设置保存操作。

接着将鼠标定位到“安全设置”、“域名过滤”节点选项上，按下对应选项设置区域中的“添加新条目”按钮，将网络运营商广告域名填写到“域名”位置处，比方说输入“search.114.vnet.cn”、“114.vnet.cn”等广告域名。再将“生效时间”定义为“00-24”，将状态参数修改为“生效”，按下“保存”按钮退出设置操作。要是不清楚网络运营商的广告域名，不妨在IE浏览界面中随意输入一个不正确的网站域名，记录下随后出现的劫持页面地址，将该地址填写在域名过滤列表中。

要想过滤特定劫持页面IP地址时，不妨先通过ping命令测试网络运营商的广告域名，将回显出来的IP地址记忆下来。再进入无线路由器IP地址过滤页面，单击“添加新条目”按钮，在“广域网IP地址”设置项处，输入先前记录的IP地址，同时将“生效时间”指定为“00-24”，将状态参数调整为“生效”，将协议参数选择为“All”，将“通过”参数设置为“禁止通过”，按下“保存”按钮存储好设置操作，最后重启无线路由器设备。

图2 设备后台管理页面

图3 开启安全设置选项

当我们再次上网访问时，网络运营商的广告域名和相关IP地址都会被正确过滤了，日后IE浏览页面自然就不会发生被广告劫持现象了。如果网络运营商修改了广告链接地址，只要按照之前的操作步骤，将变化的广告域名和IP地址输入到过滤列表中即可。同样地，我们可以将其他的劫持页面域名和IP地址输入到无线路由器过滤列表中，以达到预防恶意页面劫持的目的。

拒绝他人蹭网

在使用无线路由器组网的环境中，蹭网现象越来越普遍。为了避免这种现象，我们可以启用无线路由器的上网信号加密功能，来对上网传输信号进行非常复杂的加密计算，让蹭网者即使窃取到上网信号，也很难将它成功破解开来。在开启无线路由器加密功能时，不妨先以系统管理员登录无线路由器后台管理界面，将鼠标定位到“无线网络”、“安全设置”节点上，在对应节点设置区域选中“开启安全设置”选项（如图3所示），同时将安全类型指定为“WPA-PSK”或“WPA”，再输入好密钥内容，确认后保存设置即可。

对于已经成功蹭网的用户，该如何将他们揪出来呢？使用“WifiChannelMonitor”这款工具，配合无线路由器自身的MAC地址过滤功能，就能将危险的无线网络蹭网者寻找出来，并拒绝他再次蹭网。因为“WifiChannelMonitor” 工具是利用微软的网络监视器来监控无线网络流量的，在利用该工具检测蹭网现象之前，必须先从微软官方站点下载安装“Microsoft Network Monitor”工具，再开启“Wifi ChannelMonitor”程序的运行状态，进入对应程序主操作界面。按下“Start Capture”工具栏按钮，选择需要监控的无线网卡设备，定义好无线网络通道参数，确认后让程序切换到检测状态。被探测到的无线网络信号会自动显示在对应程序列表中，将绿色图标的无线信号选中，这时用户能发现所有与该无线网络相连的设备。用鼠标双击某个设备名称，在其后界面中能查明设备的客户端类型、数据字节、MAC地址、设备制造商等信息，根据设备制造商信息就能识别出当前连接的设备是否属于自己所用的上网设备，如果不是的话，那该设备自然就是蹭网者了。

图4 对应选项的设置界面

一旦识别出蹭网者所用设备后，重新进入“WifiChannelMonitor” 程序主界面，从中找到对应设备的MAC地址，同时将其记录下来。

之后进入无线路由器的后台管理界面，从中找到并启用“MAC地址过滤”功能选项，在对应选项的设置页面中（如图4所示），输入蹭网者的设备MAC地址，确认后保存设置操作，这样就能拒绝他再次蹭网了。