在前两期文章中蓝点网介绍了 LEDE/OPENWRT 固件路由器如何配置 DDNS 绑定自定义域名实现公网远程访问。
同时还可以为自定义域名绑定受信任的证书实现 HTTPS 访问 , 后续蓝点网还将介绍如何配置IPv6实现公网访问。
不过由于测试进度问题暂时我们还没有搞定 IPv6 的端口转发问题 ,所以在这里我们先插播番外篇介绍安全增强。
实现路由器公网访问对部分用户来说是有必要的,因为有时候确实需要公网访问例如局域网换新以及访问服务器。
如果你不需要的话蓝点网强烈建议你禁用公网访问,因为一旦配置公网访问意味着你的路由器将暴露在互联网上。
网上有各类脚本和机器人无时无刻不在探测设备寻找潜在漏洞,一旦发现漏洞或弱密码这些机器人就会趁虚而入。
如果路由器被黑客拿下那局域网里的设备也会变得非常危险,包括但不限于利用漏洞安装勒索软件或挖矿软件等。
所以除非必要否则蓝点网绝不推荐大家开启公网访问,如果真的需要使用公网访问,建议按照以下策略进行配置。
1.必须使用高强度密码:由于默认用户名root已经暴露,所以如果你继续使用弱密码的话很容易遭到机器人入侵。
推荐用户使用 20 位以上大写字母+小写字母+数字+特殊符号组成的密码,若使用密码管理器的话可以自动生成。
例如这样的密码:CECL3&9i-cGF6@FRmRGj2*bkk
2.必须及时升级固件:OPENWRT项目团队每天都会发布各类更新,多数是已知问题修复但有时也有安全性问题。
建议用户定期升级路由器固件以修复潜在的安全弱点,因为一旦有严重漏洞没有及时修复可能很快就会遭到攻击。
3.禁用SSH公网访问:通过DDNS和端口转发可以实现SSH公网访问路由 ,但若开启此功能同样会降低路由安全。
如果确实使用SSH公网访问请在系统的管理权里进行配置,配置公私钥访问同时禁用root账户直接使用密码登录。
另外也请修改SSH端口不要使用默认的22端口号 ,不用默认端口+禁止密码登录+私钥登录可以显著提高安全性。
4.关闭路由器PING功能:部分脚本和机器人会预先检测 IP 是否回应,如果有回应的话才会继续使用脚本去探测。
LEDE固件默认情况下是开启IPv4-icmp 的,也就是允许PING,建议用户关闭毕竟这个功能多数用户完全用不上。
操作路径:网络、防火墙、通行规则、Allow-Ping、将规则的启用去掉。 去掉后PING路由时会直接无任何回应。
原文链接:https://www.landiannews.com/archives/90797.html