Linux中國

你的路由器有多不安全?

我一直對寫在 T 恤上的「127.0.0.1 是獨一無二的地方」 這句話持有異議。我知道你可能會認為應該將它看作是「家」,但是對於我來說,我認為應該是「本地主機是獨一無二的地方」,就像世界上沒有完全相同的二個戒指一樣。在本文中,我想去討論一些寬泛的問題:家庭網路的入口,對大多數人來說它是線纜或寬頻路由器 1 英國和美國政府剛公布了「俄羅斯」 2 攻擊路由器的通告。我估計這次的攻擊主要針對的是機構,而不是家庭,(看我以前的文章 「國家行為者是什麼,我們應該注意些什麼?」),但這對我們所有人都是一個警示。

路由器有什麼用?

路由器很重要。它用於將一個網路(在本文中,是我們的家庭網路)與另外一個網路(在本文中,是指互聯網,通過我們的互聯網服務提供商的網路)連接。事實上,對於大多數人來說,我們所謂的「路由器」 3 這個小盒子能夠做的事情遠比我們想到的要多。「路由」 一個比特就就如其聽起來的意思一樣:它讓網路中的計算機能夠找到一條向外部網路中計算機發送數據的路徑 —— 當你接收數據時,反之。

在路由器的其它功能中,大多數時候也作為一台數據機來使用。我們中的大部分人 4 到互聯網的連接是通過電話線來實現的 —— 無論是電纜還是標準電話線 —— 儘管現在的最新趨勢是通過移動互聯網連接到家庭中。當你通過電話線連接時,我們所使用的互聯網信號必須轉換成其它的一些東西,(從另一端來的)返回信號也是如此。對於那些還記得過去的「撥號上網」時代的人來說,它就是你的電腦邊上那個用於上網的發出刺耳聲音的小盒子。

但是路由器能做的事情很多,有時候很多的事情,包括流量記錄、作為一個無線接入點、提供 VPN 功能以便於從外部訪問你的內網、兒童上網控制、防火牆等等。

現在的家用路由器越來越複雜;雖然國家行為者也行不會想著攻破它,但是其它人也許會。

你會問,這很重要嗎?如果其它人可以進入你的系統,他們可以很容易地攻擊你的筆記本電腦、電話、網路設備等等。他們可以訪問和刪除未被保護的個人數據。他們可以假裝是你。他們使用你的網路去寄存非法數據或者用於攻擊其它人。基本上所有的壞事都可以做。

幸運的是,現在的路由器趨向於由互聯網提供商來做設置,言外之意是你可以忘了它的存在,他們將保證它是運行良好和安全的。

因此,我們是安全的嗎?

不幸的是,事實並非如此。

第一個問題是,互聯網提供商是在有限的預算範圍內做這些事情,而使用便宜的設備來做這些事可以讓他們的利益最大化。互聯網提供商的路由器質量越來越差。它是惡意攻擊者的首選目標:如果他們知道特定型號的路由器被安裝在幾百萬個家庭使用,那麼很容易找到攻擊的動機,因為攻擊那個型號的路由器對他們來說是非常有價值的。

產生的其它問題還包括:

  • 修復 bug 或者漏洞的過程很緩慢。升級固件可能會讓互聯網提供商產生較高的成本,因此,修復過程可能非常緩慢(如果他們打算修復的話)。
  • 非常容易獲得或者默認的管理員密碼,這意味著攻擊者甚至都不需要去找到真實的漏洞 —— 他們就可以登入到路由器中。

對策

對於進入互聯網第一跳的路由器,如何才能提升它的安全性,這裡給你提供一個快速應對的清單。我是按從簡單到複雜的順序來列出它們的。在你對路由器做任何改變之前,需要先保存配置數據,以便於你需要的時候回滾它們。

  1. 密碼: 一定,一定,一定要改變你的路由器的管理員密碼。你可能很少會用到它,所以你一定要把密碼記錄在某個地方。它用的次數很少,你可以考慮將密碼粘貼到路由器上,因為路由器一般都放置在僅供授權的人(你和你的家人 5 )才可以接觸到的地方。
  2. 僅允許管理員從內部進行訪問: 除非你有足夠好的理由和你知道如何去做,否則不要允許任何機器從外部的互聯網上管理你的路由器。在你的路由器上有一個這樣的設置。
  3. WiFi 密碼: 一旦你做到了第 2 點,也要確保在你的網路上的那個 WiFi 密碼 —— 無論是設置為你的路由器管理密碼還是別的 —— 一定要是強密碼。為了簡單,為連接你的網路的訪客設置一個「友好的」簡單密碼,但是,如果附近一個惡意的人猜到了密碼,他做的第一件事情就是查找網路中的路由器。由於他在內部網路,他是可以訪問路由器的(因此,第 1 點很重要)。
  4. 僅打開你知道的並且是你需要的功能: 正如我在上面所提到的,現代的路由器有各種很酷的選項。不要使用它們。除非你真的需要它們,並且你真正理解了它們是做什麼的,以及打開它們後有什麼危險。否則,將增加你的路由器被攻擊的風險。
  5. 購買你自己的路由器: 用一個更好的路由器替換掉互聯網提供商給你的路由器。去到你本地的電腦商店,讓他們給你一些建議。你可能會花很多錢,但是也可能會遇到一些非常便宜的設備,而且比你現在擁有的更好、性能更強、更安全。你也可以只買一個數據機。一般設置數據機和路由器都很簡單,並且,你可以從你的互聯網提供商給你的設備中複製配置,它一般就能「正常工作」。
  6. 更新固件: 我喜歡使用最新的功能,但是通常這並不容易。有時,你的路由器上會出現固件更新的提示。大多數的路由器會自動檢查並且提示你在下次登入的時候去更新它。問題是如果更新失敗則會產生災難性後果 6 或者丟失配置數據,那就需要你重新輸入。但是你真的需要考慮去持續關注修復安全問題的固件更新,並更新它們。
  7. 轉向開源: 有一些非常好的開源路由器項目,可以讓你用在現有的路由器上,用開源的軟體去替換它的固件/軟體。你可以在 Wikipedia 上找到許多這樣的項目,以及在 Opensource.com 上搜索 「router」,你將看到很多非常好的東西。對於謹慎的人來說要小心,這將會讓你的路由器失去保修,但是如果你想真正控制你的路由器,開源永遠是最好的選擇。

其它問題

一旦你提升了你的路由器的安全性,你的家庭網路將變的很好——這是假像,事實並不是如此。你家裡的物聯網設備(Alexa、Nest、門鈴、智能燈泡、等等)安全性如何?連接到其它網路的 VPN 安全性如何?通過 WiFi 的惡意主機、你的孩子手機上的惡意應用程序 …?

不,你永遠不會有絕對的安全。但是正如我們前面討論的,雖然沒有絕對的「安全」這種事情,但是並不意味著我們不需要去提升安全標準,以讓壞人幹壞事更困難。

腳註

  1. 我寫的很簡單 — 但請繼續讀下去,我們將達到目的。
  2. 「俄羅斯政府贊助的信息技術國家行為者」
  3. 或者,以我父母的例子來說,我猜叫做 「互聯網盒子」。
  4. 這裡還有一種這樣的情況,我不希望在評論區告訴我,你是直接以 1TB/s 的帶寬連接到本地骨幹網路的。非常感謝!
  5. 或許並沒有包含整個家庭。
  6. 你的路由器現在是一塊「磚」,並且你不能訪問互聯網了。

這篇文章最初發表在 Alice, Eve, 和 Bob – 安全博客 並授權重發布。

via: https://opensource.com/article/18/5/how-insecure-your-router

作者:Mike Bursell 選題:lujun9972 譯者:qhwdw 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國