你的路由器有多不安全？

内容导航：

你的路由器有多不安全？

如何解决路由器安全问题

路由器会中毒吗？WIFI设备会中毒吗？

自己家的wifi显示不安全网络是什么原因？

一、你的路由器有多不安全？

编译自： https://opensource.com/article/18/5/how-insecure-your-router

作者： Mike Bursell

译者： qhwdw

你的路由器是你与互联网之间的第一个联系点。它给你带来了多少风险？

我一直对写在 T 恤上的“127.0.0.1 是独一无二的地方” 这句话持有异议。我知道你可能会认为应该将它看作是“家”，但是对于我来说，我认为应该是“本地主机是独一无二的地方”，就像世界上没有完全相同的二个戒指一样。在本文中，我想去讨论一些宽泛的问题：家庭网络的入口，对大多数人来说它是线缆或宽带路由器。1 英国和美国政府刚公布了“俄罗斯” 2 攻击路由器的通告。我估计这次的攻击主要针对的是机构，而不是家庭，（看我以前的文章 “ 国家行为者是什么，我们应该注意些什么？ ”），但这对我们所有人都是一个警示。

路由器有什么用？

路由器很重要。它用于将一个网络（在本文中，是我们的家庭网络）与另外一个网络（在本文中，是指互联网，通过我们的互联网服务提供商的网络）连接。事实上，对于大多数人来说，我们所谓的“路由器” 3 这个小盒子能够做的事情远比我们想到的要多。“路由” 一个比特就就如其听起来的意思一样：它让网络中的计算机能够找到一条向外部网络中计算机发送数据的路径 —— 当你接收数据时，反之。

在路由器的其它功能中，大多数时候也作为一台调制解调器来使用。我们中的大部分人 4 到互联网的连接是通过电话线来实现的 —— 无论是电缆还是标准电话线 —— 尽管现在的最新趋势是通过移动互联网连接到家庭中。当你通过电话线连接时，我们所使用的互联网信号必须转换成其它的一些东西，（从另一端来的）返回信号也是如此。对于那些还记得过去的“拨号上网”时代的人来说，它就是你的电脑边上那个用于上网的发出刺耳声音的小盒子。

但是路由器能做的事情很多，有时候很多的事情，包括流量记录、作为一个无线接入点、提供 VPN 功能以便于从外部访问你的内网、儿童上网控制、防火墙等等。

现在的家用路由器越来越复杂；虽然国家行为者也行不会想着攻破它，但是其它人也许会。

你会问，这很重要吗？如果其它人可以进入你的系统，他们可以很容易地攻击你的笔记本电脑、电话、网络设备等等。他们可以访问和删除未被保护的个人数据。他们可以假装是你。他们使用你的网络去寄存非法数据或者用于攻击其它人。基本上所有的坏事都可以做。

幸运的是，现在的路由器趋向于由互联网提供商来做设置，言外之意是你可以忘了它的存在，他们将保证它是运行良好和安全的。

因此，我们是安全的吗？

不幸的是，事实并非如此。

第一个问题是，互联网提供商是在有限的预算范围内做这些事情，而使用便宜的设备来做这些事可以让他们的利益最大化。互联网提供商的路由器质量越来越差。它是恶意攻击者的首选目标：如果他们知道特定型号的路由器被安装在几百万个家庭使用，那么很容易找到攻击的动机，因为攻击那个型号的路由器对他们来说是非常有价值的。

产生的其它问题还包括：

修复 bug 或者漏洞的过程很缓慢。升级固件可能会让互联网提供商产生较高的成本，因此，修复过程可能非常缓慢（如果他们打算修复的话）。非常容易获得或者默认的管理员密码，这意味着攻击者甚至都不需要去找到真实的漏洞 —— 他们就可以登入到路由器中。对策

对于进入互联网第一跳的路由器，如何才能提升它的安全性，这里给你提供一个快速应对的清单。我是按从简单到复杂的顺序来列出它们的。在你对路由器做任何改变之前，需要先保存配置数据，以便于你需要的时候回滚它们。

密码： 一定，一定，一定要改变你的路由器的管理员密码。你可能很少会用到它，所以你一定要把密码记录在某个地方。它用的次数很少，你可以考虑将密码粘贴到路由器上，因为路由器一般都放置在仅供授权的人（你和你的家人 5 ）才可以接触到的地方。仅允许管理员从内部进行访问： 除非你有足够好的理由和你知道如何去做，否则不要允许任何机器从外部的互联网上管理你的路由器。在你的路由器上有一个这样的设置。WiFi 密码： 一旦你做到了第 2 点，也要确保在你的网络上的那个 WiFi 密码 —— 无论是设置为你的路由器管理密码还是别的 —— 一定要是强密码。为了简单，为连接你的网络的访客设置一个“友好的”简单密码，但是，如果附近一个恶意的人猜到了密码，他做的第一件事情就是查找网络中的路由器。由于他在内部网络，他是可以访问路由器的（因此，第 1 点很重要）。仅打开你知道的并且是你需要的功能： 正如我在上面所提到的，现代的路由器有各种很酷的选项。不要使用它们。除非你真的需要它们，并且你真正理解了它们是做什么的，以及打开它们后有什么危险。否则，将增加你的路由器被攻击的风险。购买你自己的路由器： 用一个更好的路由器替换掉互联网提供商给你的路由器。去到你本地的电脑商店，让他们给你一些建议。你可能会花很多钱，但是也可能会遇到一些非常便宜的设备，而且比你现在拥有的更好、性能更强、更安全。你也可以只买一个调制解调器。一般设置调制解调器和路由器都很简单，并且，你可以从你的互联网提供商给你的设备中复制配置，它一般就能“正常工作”。更新固件： 我喜欢使用最新的功能，但是通常这并不容易。有时，你的路由器上会出现固件更新的提示。大多数的路由器会自动检查并且提示你在下次登入的时候去更新它。问题是如果更新失败则会产生灾难性后果 6 或者丢失配置数据，那就需要你重新输入。但是你真的需要考虑去持续关注修复安全问题的固件更新，并更新它们。转向开源： 有一些非常好的开源路由器项目，可以让你用在现有的路由器上，用开源的软件去替换它的固件/软件。你可以在 Wikipedia 上找到许多这样的项目，以及在 Opensource.com 上搜索 “router” ，你将看到很多非常好的东西。对于谨慎的人来说要小心，这将会让你的路由器失去保修，但是如果你想真正控制你的路由器，开源永远是最好的选择。其它问题

一旦你提升了你的路由器的安全性，你的家庭网络将变的很好——这是假像，事实并不是如此。你家里的物联网设备（Alexa、Nest、门铃、智能灯泡、等等）安全性如何？连接到其它网络的 VPN 安全性如何？通过 WiFi 的恶意主机、你的孩子手机上的恶意应用程序 …？

不，你永远不会有绝对的安全。但是正如我们前面讨论的，虽然没有绝对的“安全”这种事情，但是并不意味着我们不需要去提升安全标准，以让坏人干坏事更困难。

脚注我写的很简单 — 但请继续读下去，我们将达到目的。“俄罗斯政府赞助的信息技术国家行为者”或者，以我父母的例子来说，我猜叫做 “互联网盒子”。这里还有一种这样的情况，我不希望在评论区告诉我，你是直接以 1TB/s 的带宽连接到本地骨干网络的。非常感谢！或许并没有包含整个家庭。你的路由器现在是一块“砖”，并且你不能访问互联网了。

这篇文章最初发表在 Alice, Eve, 和 Bob – 安全博客 并授权重发布。

---

via: https://opensource.com/article/18/5/how-insecure-your-router

作者： Mike Bursell 选题： lujun9972 译者： qhwdw 校对： wxy

本文由 LCTT 原创编译， Linux中国 荣誉推出

点击“了解更多”可访问文内链接

一、如何解决路由器安全问题

　路由器安全设置的方法：

一、基本安全设置

　　无线路由器基本安全设置主要包括以下几个方面：

　　1、如果路由器默认后台设置登陆账户与密码还是admin的话，请立即更改路由器默认用户名和密码;

　　2、路由器无线安全设置请选择最高级别的WPA2加密方式;

　　3、无线Wifi密码请设置的尽量复杂一些，建议是数字、字母和符号的混合组合，密码长度最好大于8位数，例如：【m.pc841.com@0846&15@26】这样的复杂长度密码，一般的蹭网卡都很慢破解;

　　4、不要将无线路由器的Wifi密码告诉陌生不可信的人;

　　5、移动设备(智能手机.平板)不要最好不要预约或者越ROOT，ROOT或者越狱后的设备尽量不要连接陌生不可信的Wifi网络;

　　注：此条主要防止黑客入侵您的移动设备，被安装一些后门程序，然后移动设备连接家中的Wifi网络，就容易遭黑客窃取路由信息。

　　二、无线路由器高级安全设置

　　1、开启Mac白名单功能

　　在路由器众多防护机制中，MAC地址白名单绝对是路由器的高级安全功能之一，不过是几十元还是几百甚至上千元的无线路由器，绝大多数产都具有Mac白名单功能，这个功能最大的亮点在于，开启后，可以将路由器和电脑或者移动设备的mac地址绑定，实现一对一授权访问。

开启此功能后，仅限绑定的用户访问网络，其他未绑定用户，即便获取到了Wifi密码，也会因为没有授权而无法访问网络，可以很程度的保障路由器安全。

　　2、AP隔离

　　开启Mac白名单后，新的陌生设备如何获取到了wifi密码，就可以在内网乱逛，尽管无法访问互联网，但这样也可能存在风险，比如黑客高手可以监听路由内网信息。通过开启路由AP隔离则可以解决Mac绑定不足的问题。

　　有它在，连入局域网的设备间都是隔离的，数据不互通。这时的陌生设备技艺再高超也没法来监听你上网的数据了。不过它也有缺点，比如导致局域网软件基本没法使用。包括QQ的局域网速传、飞鸽传书等一大票功能都要废掉，目前还不确定局域网游戏对战、文件共享(SMB)这些功能是否能用，但目测可能性不大。

　　AP隔离算是稍微高级的功能，百元以上的传统路由基本支持，不过一些价格过低的路由器可能无此功能。

　　3、开启路由器防DDOS和端口控制功能

　　目前多数路由器高级设置中，都有防DDOS功能，默认该功能并未开启，不过这个模块很重要，如果路由被DDOS，整个网速会下降的很厉害。防DDOS，就是保证路由遭受时用户不受影响。

　　同样的，端口也是路由器高级安全设置中的一个功能，普通路由上一般可能会开放80(远程访问)、23(SSH)以及某些随机端口(厂商测试用)，不过按照安全准则，还是尽量不开设端口。前不久某T大厂由于在稳定版固件中未关闭测试端口，结果成了安全界大笑话。

结合以上路由器基本安全设置和高级安全设置，对于普通用户来说，绝对可以保证高达99.9%路由器安全，对于多数对安全要求不是很高的家庭或者个人用户来说，将基本安全做好，就可以很好的保障路由器安全，如果是企业或者一些对数据安全要求比较高的地方，可以将高级安全也做上，确保路由器99.9%近乎绝对的安全。

二、路由器会中毒吗？WIFI设备会中毒吗？

路由器和手机电脑一样，都有自己的系统，理论上有可能会中毒，实际上大部分路由器，只能根据用户的设置执行预定的程序，并不能执行外部代码，就像电磁炉一样，你可以设定温度或功率，设定延迟时间，但不能任意更改设置。
有一些智能路由器是可以执行用户代码的，如果程序有bug出现漏洞，有可能会被利用。
一些第三方固件比如openwrt，用户具有极大的权限，可以自己定制，并修改代码，如果被利用是有可能造成路由器中毒的。
曾经腾达路由器的某个型号被曝出了漏洞，升级固件后可以修复。
作为普通用户不用担心，中毒的概率极低

三、自己家的wifi显示不安全网络是什么原因？

提示wifi不安全的网络往往是因为该无线网络没有设置无线密码，可以随意连接，安全没有保障，很多黑客可以通过网络进入连接设备，因此在连接时也需要注意一下，需要增加网络的安全性。

更新路由器固件：打开路由器的防火墙功能，然后及时更新路由器的固件。路由器固件可以在路由器官方网站上下载。

添加MAC地址：在设置路由器时，可以通过添加标识来控制连接上网的设备, 在无线网络M AC地址过滤设置中，添加MAC地址，再点击保存即可。设置完Mac地址后，有经过同意的设备是无法接入的。

wifi网络注意事项

不要自动连接Wi-Fi网络。用户的智能手机、平板电脑及笔记本电脑自动连接家里或工作网络确实方便，但当用户在外使用公共Wi-Fi时自动连接Wi-Fi网络可能会导致一些麻烦，甚至可能遭到黑客的攻击。

在移动银行及购物方面用户须保持精明。用户最好在家时才进行与网上银行或购物相关的事项。如果用户确实需要进行一项紧急资产转移，或者立刻购买能够节省一大笔费用，那么使用手机网络连接也比Wi-Fi更安全。