你的路由器有多不安全？

你的路由器是你與網際網路之間的第一個聯絡點。它給你帶來了多少風險？

我一直對寫在 T 恤上的“127.0.0.1 是獨一無二的地方” 這句話持有異議。我知道你可能會認為應該將它看作是“家”，但是對於我來說，我認為應該是“本地主機是獨一無二的地方”，就像世界上沒有完全相同的二個戒指一樣。在本文中，我想去討論一些寬泛的問題：家庭網路的入口，對大多數人來說它是線纜或寬頻路由器。¹ 英國和美國政府剛公佈了“俄羅斯” ² 攻擊路由器的通告。我估計這次的攻擊主要針對的是機構，而不是家庭，（看我以前的文章 “國家行為者是什麼，我們應該注意些什麼？”），但這對我們所有人都是一個警示。

路由器有什麼用？

路由器很重要。它用於將一個網路（在本文中，是我們的家庭網路）與另外一個網路（在本文中，是指網際網路，透過我們的網際網路服務提供商的網路）連線。事實上，對於大多數人來說，我們所謂的“路由器” ³ 這個小盒子能夠做的事情遠比我們想到的要多。“路由” 一個位元就就如其聽起來的意思一樣：它讓網路中的計算機能夠找到一條向外部網路中計算機傳送資料的路徑 —— 當你接收資料時，反之。

在路由器的其它功能中，大多數時候也作為一臺調變解調器來使用。我們中的大部分人 ⁴ 到網際網路的連線是透過電話線來實現的 —— 無論是電纜還是標準電話線 —— 儘管現在的最新趨勢是透過移動網際網路連線到家庭中。當你透過電話線連線時，我們所使用的網際網路訊號必須轉換成其它的一些東西，（從另一端來的）返回訊號也是如此。對於那些還記得過去的“撥號上網”時代的人來說，它就是你的電腦邊上那個用於上網的發出刺耳聲音的小盒子。

但是路由器能做的事情很多，有時候很多的事情，包括流量記錄、作為一個無線接入點、提供 VPN 功能以便於從外部訪問你的內網、兒童上網控制、防火牆等等。

現在的家用路由器越來越複雜；雖然國家行為者也行不會想著攻破它，但是其它人也許會。

你會問，這很重要嗎？如果其它人可以進入你的系統，他們可以很容易地攻擊你的膝上型電腦、電話、網路裝置等等。他們可以訪問和刪除未被保護的個人資料。他們可以假裝是你。他們使用你的網路去寄存非法資料或者用於攻擊其它人。基本上所有的壞事都可以做。

幸運的是，現在的路由器趨向於由網際網路提供商來做設定，言外之意是你可以忘了它的存在，他們將保證它是執行良好和安全的。

因此，我們是安全的嗎？

不幸的是，事實並非如此。

第一個問題是，網際網路提供商是在有限的預算範圍內做這些事情，而使用便宜的裝置來做這些事可以讓他們的利益最大化。網際網路提供商的路由器質量越來越差。它是惡意攻擊者的首選目標：如果他們知道特定型號的路由器被安裝在幾百萬個家庭使用，那麼很容易找到攻擊的動機，因為攻擊那個型號的路由器對他們來說是非常有價值的。

產生的其它問題還包括：

• 修復 bug 或者漏洞的過程很緩慢。升級韌體可能會讓網際網路提供商產生較高的成本，因此，修復過程可能非常緩慢（如果他們打算修復的話）。
• 非常容易獲得或者預設的管理員密碼，這意味著攻擊者甚至都不需要去找到真實的漏洞 —— 他們就可以登入到路由器中。

對策

對於進入網際網路第一跳的路由器，如何才能提升它的安全性，這裡給你提供一個快速應對的清單。我是按從簡單到複雜的順序來列出它們的。在你對路由器做任何改變之前，需要先儲存配置資料，以便於你需要的時候回滾它們。

1. 密碼： 一定，一定，一定要改變你的路由器的管理員密碼。你可能很少會用到它，所以你一定要把密碼記錄在某個地方。它用的次數很少，你可以考慮將密碼貼上到路由器上，因為路由器一般都放置在僅供授權的人（你和你的家人 ⁵ ）才可以接觸到的地方。
2. 僅允許管理員從內部進行訪問： 除非你有足夠好的理由和你知道如何去做，否則不要允許任何機器從外部的網際網路上管理你的路由器。在你的路由器上有一個這樣的設定。
3. WiFi 密碼： 一旦你做到了第 2 點，也要確保在你的網路上的那個 WiFi 密碼 —— 無論是設定為你的路由器管理密碼還是別的 —— 一定要是強密碼。為了簡單，為連線你的網路的訪客設定一個“友好的”簡單密碼，但是，如果附近一個惡意的人猜到了密碼，他做的第一件事情就是查詢網路中的路由器。由於他在內部網路，他是可以訪問路由器的（因此，第 1 點很重要）。
4. 僅開啟你知道的並且是你需要的功能： 正如我在上面所提到的，現代的路由器有各種很酷的選項。不要使用它們。除非你真的需要它們，並且你真正理解了它們是做什麼的，以及開啟它們後有什麼危險。否則，將增加你的路由器被攻擊的風險。
5. 購買你自己的路由器： 用一個更好的路由器替換掉網際網路提供商給你的路由器。去到你本地的電腦商店，讓他們給你一些建議。你可能會花很多錢，但是也可能會遇到一些非常便宜的裝置，而且比你現在擁有的更好、效能更強、更安全。你也可以只買一個調變解調器。一般設定調變解調器和路由器都很簡單，並且，你可以從你的網際網路提供商給你的裝置中複製配置，它一般就能“正常工作”。
6. 更新韌體： 我喜歡使用最新的功能，但是通常這並不容易。有時，你的路由器上會出現韌體更新的提示。大多數的路由器會自動檢查並且提示你在下次登入的時候去更新它。問題是如果更新失敗則會產生災難性後果 ⁶ 或者丟失配置資料，那就需要你重新輸入。但是你真的需要考慮去持續關注修復安全問題的韌體更新，並更新它們。
7. 轉向開源： 有一些非常好的開源路由器專案，可以讓你用在現有的路由器上，用開源的軟體去替換它的韌體/軟體。你可以在 Wikipedia 上找到許多這樣的專案，以及在 Opensource.com 上搜尋 “router”，你將看到很多非常好的東西。對於謹慎的人來說要小心，這將會讓你的路由器失去保修，但是如果你想真正控制你的路由器，開源永遠是最好的選擇。

其它問題

一旦你提升了你的路由器的安全性，你的家庭網路將變的很好——這是假像，事實並不是如此。你家裡的物聯網裝置（Alexa、Nest、門鈴、智慧燈泡、等等）安全性如何？連線到其它網路的 VPN 安全性如何？透過 WiFi 的惡意主機、你的孩子手機上的惡意應用程式 …？

不，你永遠不會有絕對的安全。但是正如我們前面討論的，雖然沒有絕對的“安全”這種事情，但是並不意味著我們不需要去提升安全標準，以讓壞人幹壞事更困難。

腳註

1. 我寫的很簡單 — 但請繼續讀下去，我們將達到目的。
2. “俄羅斯政府贊助的資訊科技國家行為者”
3. 或者，以我父母的例子來說，我猜叫做 “網際網路盒子”。
4. 這裡還有一種這樣的情況，我不希望在評論區告訴我，你是直接以 1TB/s 的頻寬連線到本地骨幹網路的。非常感謝！
5. 或許並沒有包含整個家庭。
6. 你的路由器現在是一塊“磚”，並且你不能訪問網際網路了。

這篇文章最初發表在 Alice, Eve, 和 Bob – 安全部落格 並授權重發布。

---

via: https://opensource.com/article/18/5/how-insecure-your-router

作者：Mike Bursell 選題：lujun9972 譯者：qhwdw 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出