V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kimwang
V2EX  ›  问与答

我这种情况该如何做好无线路由的安全工作?

  •  
  •   kimwang · 2018-02-28 23:37:54 +08:00 · 640 次点击
    这是一个创建于 2445 天前的主题,其中的信息可能已经有所发展或是发生改变。
    连接光纤猫的是一部极路由 3S,然后有一部普联的 TL-WDR6500 进行桥接以便户内全覆盖。

    今晚发现 2.4G 极不稳定,进极路由 3S 发现“设置频宽模式”是选的自动,而这个时候系统自动采用的是“抗干扰模式 HT20 ”,我把它设置成“均衡模式 HT40 ”,问题基本解决。

    然后我在“在线设备”名单中,发现最起码三部不属于我或我家人的设备进行了连接,并且“实时速率”显示连接是活动的,可以肯定有人在使用,至于通过什么方法连到我的路由不清楚,但非常担心会在安全方面的隐患。

    现在想请教一下,关于路由的安全设置,各位有什么建议?
    另外我好像没有发现极路由的关闭 WIFI 信号广播的功能。

    我的目的是,尽量杜绝陌生设备连接,甚至是侦测或攻击我的路由,保证我的路由安全;其次是,到我家的亲戚朋友可以比较方便地使用就可以了(有客人来就开访客网络好像不太方便?)。

    麻烦各位不吝指教,谢谢。

    被不知名的设备连入,心里总是不踏实,有块疙瘩。
    6 条回复    2018-03-02 04:59:50 +08:00
    datocp
        1
    datocp  
       2018-03-01 06:17:16 +08:00 via Android   ❤️ 1
    wifi 安全总是和麻烦连接在一起,建议使用 wpa2 aes 加密,只是这种加密至少在 2012 年时就可以通过抓包撞密码字典来获得密码。不要使用常见的 12345678 之类的弱密码,也不要使用手机之类的都可以简单的获得。后来还有 pin 之类的方式。
    datocp
        2
    datocp  
       2018-03-01 06:29:23 +08:00 via Android   ❤️ 1
    对付密码破解可能有点用的就是采用 web 验证登录或者 radius 验证更高级的基于 EAP 的认证,但这些在家里折腾起来有点麻烦。

    如果对方已经获得密码,又不想对方探测网络中的设备,可以开启 tplink 的 AP 隔离选项,openwrt 的 isolate。mac 过滤无效的,在 Windows 系统可以仿造 mac。

    对于无线共享我愿意共享,但最大的问题在于无线弱信号水桶原理,这些蹭网者距离太远会拉低 AP 的流量导致延迟增加,在家里我也是不欢迎这些蹭网者的。其它方法就是采用过滤 mac 或者防火墙禁止上网,或者采用弱信号踢除让网络连接异常。

    config wifi-iface
    option device 'radio0'
    option mode 'ap'
    option encryption 'none'
    option wmm '0'
    option ssid 'FreeAP'
    option macfilter 'deny'
    option network 'Guests'
    option isolate '1'
    yingfengi
        3
    yingfengi  
       2018-03-01 08:23:40 +08:00 via Android   ❤️ 1
    开启 AP 隔离,但是这样子你接入的设备就没法互访了。
    主要还是密码复杂点,卸载万能钥匙等 APP
    realsteve
        4
    realsteve  
       2018-03-01 09:44:20 +08:00   ❤️ 1
    WPA2 企业版,开启 RADIUS 认证,可以根绝此类烦恼。
    kimwang
        5
    kimwang  
    OP
       2018-03-01 14:42:47 +08:00
    @datocp 对,你说得很清楚了,拉黑了未经允许的那几台设备,网络速度会正常一点,估计就是你说的水桶原理造成。
    另外问一下,如果 MAC 过滤还不完全有效,那么关闭 WIFI 信号广播如何?极路由方面有个功能,就是没有成功访问过路由的一律拒绝,这或许算 MAC 过滤的补充。
    @yingfengi 谢谢介绍。

    @realsteve 明白,你和 datocp 兄都提及了 RADIUS 认证,还有 web 验证登录,要继续做做功课先。
    davidyin
        6
    davidyin  
       2018-03-02 04:59:50 +08:00
    路由器开启访客模式。
    或者搞一台差一点的路由器接在后面,给访客用,平时关掉,有客人,就开一下。
    自己用的还是开启 mac 名单方式最简单。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1250 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:59 · PVG 01:59 · LAX 09:59 · JFK 12:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.