家庭 Wi-Fi 仅仅「能连上」并不代表安全
家里的 Wi-Fi 能连上,密码也设置了,所以就觉得安全了吗?实际上,保持出厂设置不变的路由器对攻击者来说是绝佳的目标。
2023 年 NICT(日本信息通信研究机构)观测到的网络攻击中,针对 IoT 设备和路由器的通信约占总量的 3 成。攻击者会逐一扫描互联网上的 IP 地址,自动发现脆弱的路由器。在 IP 确认酱显示的你的全局 IP 就是路由器外侧的地址。
公共 Wi-Fi 的风险经常被提及,但系统性地审视家庭 Wi-Fi 安全的机会却意外地少。本文将介绍需要确认的要点和具体的加固步骤。
确认加密方式 - WEP/WPA/WPA2/WPA3 的区别
Wi-Fi 的加密方式是防止通信内容被第三方窃听的最基本防御。以下比较当前使用的主要方式:
| 加密方式 | 加密算法 | 安全性 | 备注 |
|---|---|---|---|
| WEP | RC4 | 危险 | 数分钟即可破解。2004 年已被弃用 |
| WPA (TKIP) | RC4 + TKIP | 不推荐 | WEP 的临时补丁。存在已知漏洞 |
| WPA2 (AES) | AES-CCMP | 标准 | 2004 年制定。目前仍被广泛使用 |
| WPA3 | AES-GCMP / SAE | 最佳 | 2018 年制定。采用抗字典攻击的 SAE 握手 |
确认方法
Windows 中,右键点击任务栏的 Wi-Fi 图标 →「属性」可查看「安全类型」。macOS 中,按住 Option 键点击 Wi-Fi 图标,「安全性」栏会显示加密方式。
如果显示 WEP 或 WPA (TKIP),请立即更改为 WPA2 (AES) 以上。如果路由器支持 WPA3,迁移到 WPA3 是理想选择,但如果旧设备无法连接,可以选择 WPA2/WPA3 混合模式(Transition Mode)。
路由器管理界面的安全
路由器的管理界面是 Wi-Fi 安全的「指挥中心」。一旦被突破,攻击者就能更改加密方式、篡改 DNS 设置、改写固件等,实施各种攻击。
访问管理界面的方法
在浏览器地址栏输入 192.168.1.1 或 192.168.0.1(因厂商而异)。Buffalo 的默认值是 192.168.11.1,NEC Aterm 是 192.168.10.1。路由器底部或侧面标注了访问地址。
必须更改的设置
- 管理员密码:默认密码(admin/password、admin/admin 等)已被收录在攻击者的数据库中。请更改为包含英文字母、数字和符号的 12 位以上密码
- 禁用远程管理:禁用从 WAN 侧(互联网侧)访问管理界面。如果启用,全世界都可以尝试访问管理界面
- 禁用 UPnP:UPnP(Universal Plug and Play)是局域网内设备自动开放路由器端口的机制。存在被恶意软件利用的风险,如无必要请禁用
固件更新 - 容易被忽视的最重要事项
路由器的固件相当于路由器内部运行的操作系统。发现漏洞后厂商会发布修复版本,但不支持自动更新的型号需要手动应用。
2023 年报告的 TP-Link Archer 系列漏洞(CVE-2023-1389)导致未更新固件的路由器被纳入 Mirai 僵尸网络。该漏洞已在修复版固件中得到解决,但未更新的用户遭受了损害。
更新步骤基础
- 登录路由器管理界面
- 找到「固件更新」「系统更新」等菜单
- 支持「在线更新」的型号只需点击按钮即可更新
- 手动更新时,从厂商官网下载最新固件,通过管理界面上传
更新过程中绝对不要断电。固件写入过程中断电可能导致路由器无法启动(变砖)。
选择支持自动更新的型号(如 Buffalo 最新型号、部分 ASUS 型号等)可以大幅降低忘记更新的风险。
SSID 设置与访客网络
SSID 命名
SSID(网络名称)对 Wi-Fi 信号覆盖范围内的所有人可见。请不要在 SSID 中包含可识别个人的信息(姓名、房间号、公寓名等)。像「Tanaka-Home」「301 号室」这样的 SSID 会给攻击者提供确定物理位置的线索。
SSID 隐藏设置(不广播)作为安全措施是无效的。即使隐藏了 SSID,也可以从已连接设备发出的探测请求中检测到 SSID。反而可能导致部分设备连接不稳定。
利用访客网络
避免将主 Wi-Fi 密码告诉来访客人。使用访客网络功能可以提供与主网络隔离的独立 Wi-Fi。
- 从访客网络无法访问主网络上的 NAS 或打印机
- 定期更改访客密码不会影响主密码
- 将 IoT 设备(智能音箱、监控摄像头等)也隔离到访客网络,即使 IoT 设备被入侵也能防止对主网络的损害。也请一并确认智能家居的隐私风险,有助于 IoT 设备的安全运营
结合Wi-Fi 信道设置,适当分离访客网络的信道,可以在抑制电波干扰的同时加强安全性。
总结 - 家庭 Wi-Fi 安全检查清单
家庭 Wi-Fi 的安全不是设置一次就完事。需要定期审视。请参考以下检查清单确认当前状态:
- 加密方式是否为 WPA2 (AES) 以上
- 路由器管理员密码是否已从默认值更改
- 远程管理(WAN 侧访问)是否已禁用
- 固件是否已更新到最新版本
- SSID 中是否包含个人信息
- 是否为来客设置了访客网络
- UPnP 是否已禁用(除非必要)
使用 VPN 加密通信也是有效的,但 VPN 只是保护通信路径,无法防御路由器本身的漏洞。即使了解免费 Wi-Fi 的风险的人,也容易忽视家庭路由器的设置。
想系统学习 Wi-Fi 安全的读者,可以参考Wi-Fi 路由器相关书籍。