当前位置: 网站首页 技术文章 正文

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

来源:互联网 发布时间:2024-09-05 16:04:58

在前两期文章中介绍了 LEDE/OPENWRT 固件路由器如何配置 DDNS 绑定自定义域名实现公网远程访问。

同时还可以为自定义域名绑定受信任的证书实现 HTTPS 访问 ,  后续还将介绍如何配置IPv6实现公网访问。

不过由于测试进度问题暂时我们还没有搞定 IPv6 的端口转发问题 ,所以在这里我们先插播番外篇介绍安全增强。

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

实现公网访问的危害:

实现路由器公网访问对部分用户来说是有必要的,因为有时候确实需要公网访问例如局域网换新以及访问服务器。

如果你不需要的话强烈建议你禁用公网访问,因为一旦配置公网访问意味着你的路由器将暴露在互联网上。

网上有各类脚本和机器人无时无刻不在探测设备寻找潜在漏洞,一旦发现漏洞或弱密码这些机器人就会趁虚而入。

如果路由器被黑客拿下那局域网里的设备也会变得非常危险,包括但不限于利用漏洞安装勒索软件或挖矿软件等。

所以除非必要否则绝不推荐大家开启公网访问,如果真的需要使用公网访问,建议按照以下策略进行配置。

的一些安全建议:

1.必须使用高强度密码:由于默认用户名root已经暴露,所以如果你继续使用弱密码的话很容易遭到机器人入侵。

推荐用户使用 20 位以上大写字母+小写字母+数字+特殊符号组成的密码,若使用密码管理器的话可以自动生成。

例如这样的密码:CECL3&9i-cGF6@FRmRGj2*bkk

2.必须及时升级固件:OPENWRT项目团队每天都会发布各类更新,多数是已知问题修复但有时也有安全性问题。

建议用户定期升级路由器固件以修复潜在的安全弱点,因为一旦有严重漏洞没有及时修复可能很快就会遭到攻击。

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

3.禁用SSH公网访问:通过DDNS和端口转发可以实现SSH公网访问路由 ,但若开启此功能同样会降低路由安全。

如果确实使用SSH公网访问请在系统的管理权里进行配置,配置公私钥访问同时禁用root账户直接使用密码登录。

另外也请修改SSH端口不要使用默认的22端口号 ,不用默认端口+禁止密码登录+私钥登录可以显著提高安全性。

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

4.关闭路由器PING功能:部分脚本和机器人会预先检测 IP 是否回应,如果有回应的话才会继续使用脚本去探测。

LEDE固件默认情况下是开启IPv4-icmp 的,也就是允许PING,建议用户关闭毕竟这个功能多数用户完全用不上。

操作路径:网络、防火墙、通行规则、Allow-Ping、将规则的启用去掉。 去掉后PING路由时会直接无任何回应。

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

相关教程