前言
路由器作為家中所有設備和網際網路的中繼站,安全性是非常重要的,絕對不是「插上能用」就好。安全的設定可以讓路由器成為家中的「門衛」,不安全的設定則可能讓路由器成為駭客入侵家中的「跳板」。
今天為大家整理可以快速進行的路由器安全設定,
因為本身就是 Synology NAS 近三年的用戶,這次也會以 Synology RT6600ax 這台機器做示範,不過大多數的廠牌的路由器都有類似的安全選項可設定。
目錄
- A. 基本中的基本 — 你一定要做的安全設定
- 更改 SSID / WiFi 密碼、協定 / 管理介面密碼
- 小知識:我該隱藏 SSID 嗎?
- 隨時常保更新
- B. 讓安全更上一層樓 — 你可以做的安全設定
- 建立訪客網路
- 啟用自動封鎖
- C. 給身為專家的你 — 你還可以做的安全設定
- MAC 位址白名單
- 設定防火牆規則
- 設定網路隔離
- D. 特色功能 — SRM 套件
- Safe Access 輕鬆實現家長監護
- Threat Prevention 拒收惡意封包
- VPN Plus Server 遠距辦公高效又安全
- E. 小結
A. 基本中的基本 — 你一定要做的安全設定
A1. 更改 SSID / WiFi 密碼、協定 / 管理介面帳密
首先,拿到路由器後,第一個可以更改的就是 SSID 的名稱,也就是連接 WiFi 時用來識別的名稱。更改名稱的好處除了方便識別,也能避免他人一眼就看出你的路由器是什麼品牌、型號,進而從網路上查到預設密碼、預設後台位址與後台密碼等(等於整台路由器都送人啦🫣)
再來,WiFi 密碼也是一定要改的,隨意讓陌生人連上自家 WiFi 不是只有網路頻寬被佔用這個缺點,惡意人士還有可能透過連進家中 WiFi 進而攻擊家中的其他設備,或是借用家中網路對其他人進行攻擊。就算陌生人沒有惡意,只是借用網路下載一些 BT 上的盜版電影,當網路警察查獲的時候,也是可能被找上門追究責任的哦!
最後,管理介面的密碼是很多人會忘記更改的。許多廠牌的路由器若不主動更改,預設帳密都是 admin/password、admin/admin。這能夠已經連上 WiFi 的用戶隨意更改路由器上的設定,無論改掉你的 WiFi 名稱密碼、調降你的網速、安裝惡意韌體監聽流量,都是可能發生的事。
因此,以上三個步驟可說是缺一不可!完全就是基礎中的基礎
A2. 小知識:我該隱藏 SSID 嗎?
許多路由器也會有「隱藏 SSID」這個功能,就是讓手機、電腦等設備在掃描 WiFi 的時候看不到路由器的 SSID,彷彿路由器隱形了一樣,首次使用必須「手動加入 SSID」,設備才能連接上 WiFi。
許多人以為這樣可以增加 WiFi 的安全性與隱私,其實不然。因為當路由器的 SSID 被隱藏了,你的手機反而會一直向外發出尋找 SSID 的訊號,詢問已經儲存的路由器 OOO 有沒有在附近,在隱私上反而有適得其反的效果哦!
💡冷知識:若使用隱藏 SSID,iPhone 等蘋果裝置上也會跳出相關的隱私警告,告知隱藏 SSID 可能暴露相關隱私。
A3. 隨時常保更新
路由器的韌體漏洞時有耳聞。因此定期確保路由器的韌體保持在最新狀態也很重要。(建議在選購路由器時也要將韌體往後的支援納入考量,通常越高階或新推出的路由器會有較長的更新支援。)
B. 讓安全更上一層樓 — 你可以做的安全設定
若你想讓家中的網路更加安全,或是你的 WiFi 路由器是架設在店面的話,以下是兩項你可以進行的設定:
B1. 建立訪客網路
若 WiFi 經常會給不特定的人隨時取用,非常建議開啟「訪客網路」的功能。這不僅能夠將家用、訪客用的 WiFi 名稱分為兩個不同的名稱,也能實質上切開兩個獨立的區域網路。尤其當家中有些 WiFi 音箱、智慧家電、NAS,甚至 WiFi 監視器等網通設備時,把訪客區隔開來就很重要,你可不希望隨意的訪客,都能連上內網觀看 WiFi 監視器的畫面對吧?
B2. 啟用自動封鎖
WiFi 存取點也可能不時收到來自惡意人士(或是鄰居小屁孩?)嘗試登入管理介面。這時,開啟「自動封鎖」功能就很實用。不僅可以自動封殺一直亂試密碼的設備,某些廠牌的路由器也可能具有自動通報、紀錄惡意設備的 IP 與 MAC 等功能,方面進行後續的處理與調查。
C. 給身為專家的你 — 你還可以做的安全設定
C1. MAC 位址白名單
若你是對資訊安全極度敏感的人,或許可以考慮開啟 MAC 位址白名單,也就是光有 WiFi 密碼還不能使用網路,得要你「親手批准」此設備的 MAC 位址,此設備才有上網的權利。這樣設定的代價就是首度加入新設備時麻煩一些,但如果後續設備不會頻繁的變動,也不用一再進入白名單設定。
C2. 設定防火牆規則
對於很了解網通設備的用戶而言,在某些高階路由器上也會有防火牆規則可以手動設定。將一些不必要的 Port 全部封死,能在遇到外網的惡意掃描時,最大幅度的降低駭客的攻擊面積。
C3. 設定網路隔離 VLAN
不僅只有「訪客網路」可以達到多重 SSID 及網路隔離的效果,許多路由器也會有「網路隔離」的功能。
適合家裡有很多 IoT 裝置、智慧家電的使用者。例如家中的主要網路,就可以與「智慧家電專用網路」、「店面監視器專用網路」區隔開來,不用擔心有天脆弱的 IoT 裝置成為網路破口、讓駭客有機可趁,且使用網路隔離也可以有效保護主要網路不受干擾。
不過可能還是要較高階的處理器搭配,使用上才不會卡卡。且可以隔離出的網路數量和路由器的高階程度也有關係。以 RT6600ax 來說,可以切割出 5 個 VLAN(虛擬區域網路),每個隔離網路可以有 3 個 SSID,所以總共可以開 15 個 WiFi 連接點。
D. 特色功能 — SRM 套件
由於「安全」算是當今選購路由器的重要指標,許多廠牌也在路由器上推出專屬的特色功能。以 Synology RT6600ax 為例,由於是高階的路由器,搭載的運算功能強,也得以實現一些較為進階的特色功能:D1. Safe Access 輕鬆實現家長監護
不知道有多少人記得中華電信曾推出的「色情守門員」有多麽暢銷,又保護
現在若要防止小孩連上內容不當的網站,控制上網時間的話,只要在路由器的管理介面點幾下就能輕鬆設定。
也能防止家中長者連上一些惡意的詐騙網站。
D2. Threat Prevention 拒收惡意封包
這算是較為進階、細緻的「威脅監控」與「智慧防火牆」的功能,
開始使用後短短幾天就累積了 201 則來自世界各地的攔截封包紀錄,
這才意識到原來家中的路由器每天都在接受這些大大小小的封包攻擊。
雖然大多可能只是來自 botnet 的嘗試且沒有成功入侵,
但希望不要有天讓哪個封包給鑽進漏洞呀 ><
另外,這些統計圖表給人一種網路流量盡在掌握中的控制感,
尤其是用地圖視覺化顯示發往自己的路由器的可疑流量大多是來自哪些國家,真的是超帥氣的XD
往後可更容易針對這些地區的網段進行封鎖!
D3. VPN Plus Server 遠距辦公高效又安全
許多人會使用 VPN 的方式連入家中 NAS 或是連入公司內網工作,
但架設 VPN 的過程不僅有些複雜,也時常需要搭配 24/7 不關機的閒置電腦、樹莓派來當作 Server,
如果可以把 24/7 幾乎不關機的路由器拿來當路由器,不是再好不過了嗎?(註:不過也要路由器的算力足夠)
個人覺得這個套件蠻實用的,最大的優點在於設定簡單、快速,沒三兩下就架設好一個可以用的 VPN。
(以 RT6600ax 來說,可以啟用最多 40 個免費的 VPN 存取授權)
