独立计算机顾问迈克尔•霍洛维茨(Michael Horowitz)在一次演讲中表示:“如果路由器(在电子产品连锁店)出售,你肯定不想买。”“如果你的路由器是由你的互联网服务提供商(ISP)提供给你的,你也不想使用它,因为他们会泄露数以百万计的路由器,这使得它们成为间谍机构和坏人的首要目标。”
霍洛维茨建议有安全意识的消费者升级到面向小企业的商用路由器,或者至少将他们的调制解调器和路由器分成两个独立的设备。(许多“网关”单元通常由isp提供,两者兼而有之。)如果这两种选择都失败了,Horowitz给出了用户可以采取的预防措施。
消费者路由器的问题
路由器是现代计算机网络中必不可少但却默默无闻的主力,然而很少有家庭用户意识到他们是计算机,拥有自己的操作系统、软件和漏洞。
Horowitz解释说,在攻击者控制下的路由器可以发起中间人攻击,改变未加密的数据,或者把用户发送到伪装成经常使用的电子邮件或网上银行门户网站的“邪恶孪生”网站。
Horowitz指出,许多消费者级的家庭网关设备在固件更新可用时无法通知用户,即使这些更新对于修补安全漏洞至关重要。其他一些设备不接受超过16个字符的密码。
全世界数百万路由器在面向internet的端口上启用了通用即插即用(Universal Plug - and - Play,简称UPnP)网络协议,这使它们容易受到外部攻击。
“通用即插即用是为局域网设计的,因此没有安全性。就其本身而言,这并不是什么大问题。但是,他补充说,“通用即插即用”在互联网上就像去做外科手术,却让医生在错误的腿上工作。
另一个问题是家庭网络管理协议(HNAP),管理工具上发现一些家用路由器,它传输的敏感信息的路由器在http:// Web路由器IP地址/ HNAP1 /,和赠款完全控制远程用户提供管理用户名和密码(许多用户永远不会改变从工厂默认值)。
2014年,一种名为TheMoon的路由器蠕虫利用HNAP协议来识别其可能传播的易受攻击的链路品牌路由器。(Linksys很快发布了一个固件补丁。)
Horowitz对精通技术的人群说:“你一回家,就想用所有的路由器做这件事。”“用/HNAP1/,如果这是唯一的好事,希望你不会得到任何回复。”坦率地说,如果你得到任何回应,我会把路由器扔出去。
WPS的威胁
最糟糕的是Wi-Fi保护设置(WPS),这是一种易于使用的功能,用户只需输入一个打印在路由器上的8位PIN码,就可以绕过网络密码,将设备连接到Wi-Fi网络。即使更改了网络密码或网络名称,PIN仍然有效。
Horowitz说:“这是一个巨大的删除了脏话的安全问题。”“无论如何,这个8位数的号码都能让你进入(路由器)。”所以一个管道工来到你家,把路由器翻过来,拍下路由器底部的照片,然后他就可以永远进入你的网络了。
Horowitz解释说,八位数的大头针甚至都不是八位数。实际上是7位,加上最后一个校验和。前4位被验证为一个序列,后3位被验证为另一个序列,结果只有11,000个可能的代码,而不是1,000万个。
“如果WPS是活动的,你可以进入路由器,”Horowitz说。“你只需要做11000次猜测”——对于大多数现代电脑和智能手机来说,这是一项微不足道的任务。
2013年,法国安全研究人员埃洛伊范德贝肯(Eloi Vanderbeken)发现,在几大品牌销售的网关路由器上,32764端口被悄悄打开。使用端口32764,本地网络(包括用户的ISP)上的任何人都可以对路由器进行完全的管理控制,甚至可以在没有密码的情况下执行工厂重置。
在Vanderbeken的披露之后,大多数受影响的设备上的端口都被关闭了,但是他后来发现,通过一个可以从ISP发送的专门设计的数据包,端口可以很容易地重新打开。
Horowitz说:“很明显,这是一个间谍机构干的,太不可思议了。”“毫无疑问,这是故意的。”
如何锁定你的家庭路由器
Horowitz说,家庭路由器安全的第一步是确保路由器和调制解调器不是单一的设备。许多ISP将这些设备出租给客户,但它们对自己的网络几乎没有控制权。
他说:“如果给你一个盒子,我想大多数人都把它叫做网关,你应该能够联系ISP,让他们把盒子的声音调低,让它像调制解调器一样工作。”然后你可以添加你自己的路由器。
接下来,Horowitz建议消费者购买低端商用Wi-Fi/以太网路由器,比如零售价约为200美元的Pepwave Surf SOHO,而不是售价仅为20美元的消费者友好型路由器。商业级路由器不太可能启用UPnP或WPS。Horowitz指出,Pepwave提供了额外的功能,比如固件更新出错时的回滚。
无论路由器是商用的还是消费级的,家庭网络管理员都可以做一些事情,从简单到困难,来确保他们的路由器更安全:
容易修复
从默认用户名和密码更改管理凭据。它们是攻击者首先尝试的东西。你的路由器的操作手册应该告诉你怎么做;如果不是,那么谷歌。
将网络名称(SSID)从“Netgear”、“Linksys”或其他默认名称改为独特的名称——但不要给它起一个能识别你的名称。
“如果你住在公寓3G的公寓楼里,不要把你的SSID叫做‘公寓3G’,”Horowitz打趣道。“就叫它‘5F公寓’吧。”
启用WPA2无线加密,这样只有授权用户才能在您的网络上进行跳转。
如果路由器允许,禁用Wi-Fi保护设置。
设置一个客人Wi-Fi网络,如果你的路由器有这样的功能,就把它提供给访客使用。如果可能的话,设置客户网络在一段时间后自动关闭。
“你可以打开你的客户网络,设置一个计时器,三个小时后,它就会自动关闭,”Horowitz说。“这是一个非常好的安全功能。”
如果你有很多智能家居或物联网设备,其中很多可能并不十分安全。将它们连接到您的客户Wi-Fi网络,而不是您的主网络,从而将物联网设备的任何潜在危害所造成的损害降到最低。
如果你的路由器制造商提供基于云的路由器管理,不要使用它。相反,你要弄清楚你是否可以关闭这个功能。
“这真是个坏主意,”Horowitz说。“如果你的路由器能做到这一点,我不会这么做,因为现在你和路由器之间有了另一个人的信任。”
许多“网状路由器”系统,如谷歌Wifi和Eero,完全依赖于云,只能通过基于云的智能手机应用程序与用户交互。虽然这些模型在其他领域提供了安全性改进,比如自动固件更新,但可能值得寻找一种允许本地管理访问的网状路由器,比如Netgear Orbi。
比较困难的
当新的固件可用时,安装它-这是路由器制造商安装安全补丁的方式。定期登录路由器的管理界面进行检查。对于某些品牌,您可能需要检查制造商的网站以获得固件升级。更新的路由器,包括大多数网格路由器,会自动更新固件。但如果出了问题,手边要有备用路由器。
如果可能的话,设置你的路由器使用5-GHz的Wi-Fi频段,而不是更标准的2.4-GHz频段——如果你所有的设备都兼容的话。
Horowitz说:“5-GHz频段的传输距离不如2.4-GHz频段。”“所以,如果你的邻居住在一两个街区以外,他可能会看到你的2.4 ghz网络,但他可能看不到你的5 ghz网络。”
禁用远程管理访问,并禁用Wi-Fi上的管理访问。管理员应该只通过有线以太网连接路由器。(同样,这在许多网格路由器中是不可能的。)
为更多精通技术的用户提供的高级提示
如果路由器允许更改管理Web界面的设置。理想情况下,接口应该在非标准端口上强制安全HTTPS连接,以便管理访问的URL类似于,用Horowitz的例子来说,“https://192.168.1.1:82”,而不是更标准的“http://192.168.1.1”,后者默认使用internet标准端口80。
在访问管理界面时,使用浏览器的隐身模式或私有模式,这样您的新URL就不会保存在浏览器历史记录中。
如果可能,禁用PING、Telnet、SSH、UPnP和HNAP。所有这些都是远程访问协议。与其将相关端口设置为“关闭”,不如将其设置为“隐身”,这样就不会对攻击者可能来自您的网络的非请求外部通信作出响应。
“每个路由器都有不响应PING命令的选项,”Horowitz说。“这绝对是你想要开启的东西——一个很棒的安全功能。它帮助你隐藏。当然,你不会躲着ISP,但你会躲着俄罗斯或中国的某个家伙。
将路由器的域名系统(DNS)服务器从ISP自己的服务器改为OpenDNS(208.67.220.220, 208.67.222.222)、谷歌公共DNS(8.8.8.8, 8.8.4.4)或Cloudflare(1.1.1.1, 1.0.0.1)维护的服务器。如果你使用IPv6,对应的OpenDNS地址是2620:0:ccc::2和2620:0:ccd::2,谷歌地址是2001:4860::8888和2001:4860::4860::8844,Cloudflare地址是2606:47:4700::1111和2606:47:4700::1001。
使用虚拟专用网路由器来补充或替换现有路由器,并加密所有网络流量。
“当我说VPN路由器的时候,我指的是可以作为VPN客户端的路由器,”Horowitz说。然后,你和某个VPN公司签约,你通过该路由器发送的所有东西都要经过他们的网络。这是向你的互联网服务提供商隐瞒你在做什么的好方法。
许多家庭Wi-Fi路由器可以“闪”来运行开源固件,比如DD-WRT固件,该固件反过来又支持OpenVPN协议。大多数商业VPN服务也支持OpenVPN,并提供如何设置开源路由器来使用它们的说明。
最后,使用Gibson Research Corp.的shield Up端口扫描服务,网址https://www.grc.com/shield dsup。它将测试您的路由器的数百个常见漏洞,其中大多数可以由路由器的管理员减轻。
