您的路由器有多不安全？

我一直对那件写着“There's no place like 127.0.0.1.”的 T 恤衫有意见。我知道你应该把它理解为“家”，但在我看来，它说的是“There's no place like localhost”，但这听起来就不一样了。在这篇文章中，我想谈论更广泛的东西：您家庭网络的入口点，对于大多数人来说，这将是有线或宽带路由器。¹ 英国和美国政府刚刚发布建议，“俄罗斯”² 正在攻击路由器。我怀疑，这次攻击主要针对组织（请参阅我之前的文章“什么是国家行为者，我应该关心吗？”），而不是家庭，但这对我们所有人来说都是一个有用的警钟。

路由器是做什么的？

路由器非常重要。它们提供了网络（在本例中，是我们的家庭网络）和另一个网络（在本例中，是通过我们的 ISP 网络连接的互联网）之间的链接。事实上，对于我们大多数人来说，我们认为的“路由器”³ 不仅仅是做“路由”这件事。“路由”部分正如其名称所示；它帮助您网络上的计算机找到将数据发送到网络外部计算机的路径——反之亦然，当您接收数据返回时也是如此。

在路由器的其他功能中，许多路由器还充当调制解调器。我们大多数人⁴ 通过电话线（无论是电缆还是标准固定电话线）连接到互联网——尽管移动互联网接入家庭的趋势正在增长。当您通过电话线连接时，我们用于互联网的信号必须转换为其他信号，然后在另一端再次转换回来。对于我们这些年纪足够大，记得旧“拨号”时代的人来说，这就是您计算机旁边的吱吱作响的盒子过去所做的事情。

但是路由器通常会做更多的事情，有时甚至更多，包括流量日志记录、充当 WiFi 接入点、为外部访问您的内部网络提供 VPN、儿童访问、防火墙以及所有其他功能。

如今，家用路由器是非常复杂的东西；尽管国家行为者可能不会试图进入它们，但其他人可能会。

这重要吗，您问？嗯，如果其他人可以进入您的系统，他们就可以轻松访问并攻击您的笔记本电脑、手机、网络驱动器等。他们可以访问和删除未受保护的个人数据。他们可以冒充您。他们可以使用您的网络来托管非法数据或对他人发起攻击。基本上，所有坏事都可能发生。

幸运的是，路由器通常由您的 ISP 设置，这意味着您可以不必管它们，它们会很好并且安全。

那么我们安全了吗？

不幸的是，我们真的不安全。

第一个问题是 ISP 在预算内工作，提供廉价的套件来完成工作符合他们的最佳利益。ISP 提供的路由器的质量往往很差。这也是恶意行为者试图攻击的首要目标之一：如果他们知道特定型号的路由器安装在数百万家庭中，那么找到攻击方法的动机就很大，因为对该型号的攻击对他们来说将非常有价值。

出现的其他问题包括

• 修复已知错误或漏洞的速度缓慢。更新固件对您的 ISP 来说可能成本很高，因此修复程序可能很慢才能到来（如果它们真的会到来）。
• 容易推导或默认的管理员密码，这意味着攻击者甚至不需要找到真正的漏洞——他们可以直接登录。

可以采取的措施

这是一个您可以采取的快速步骤列表，以尝试提高您互联网第一跳的安全性。我已尝试按易于程度对它们进行排序——最简单的优先。但是在执行任何这些操作之前，请保存配置数据，以便您在需要时可以恢复它。

1. 密码： 始终、始终、始终更改路由器的管理员密码。它可能是您很少使用的密码，因此您需要将其记录在某处。这是您可能需要考虑将其粘贴到路由器本身的少数情况之一，只要路由器位于只有授权人员（您和您的家人⁵）可以访问的安全位置。
2. 仅限内部管理员访问： 除非您有非常好的理由并且您知道自己在做什么，否则不要允许除非在您家庭网络上的计算机才能管理路由器。您的路由器上应该有一个用于此的设置。
3. WiFi 密码： 完成第 2 项后，还要确保您网络上的 WiFi 密码（无论是在路由器上还是在其他地方设置）是强密码。很容易设置一个“友好的”密码，以便访客轻松连接到您的网络，但如果附近恰好有一个恶意人员猜到了密码，那么该人员要做的第一件事就是查找网络上的路由器。由于他们位于内部网络上，因此他们将有权访问它（因此第 1 项很重要）。
4. 仅打开您理解和需要的功能： 正如我在上面指出的，现代路由器有各种很酷的选项。忽略它们。除非您真的需要它们，并且您实际上了解它们的作用以及打开它们的危险，否则请关闭它们。否则，您只是在增加您的攻击面。
5. 购买您自己的路由器： 用更好的路由器替换您的 ISP 提供的路由器。去您当地的电脑商店寻求建议。您可以花很多钱，但您也可以买到相当便宜的东西，它既能完成工作，又比您目前拥有的路由器更强大、性能更高且更易于保护。您可能还想购买单独的调制解调器。通常，设置您的调制解调器或路由器很简单，您可以从 ISP 提供的路由器复制设置，它就会“正常工作”。
6. 固件更新： 我很想将此项移到列表的更靠前位置，但这并不总是那么容易。您的路由器会不时出现固件更新。大多数路由器将自动检查，并可能在您下次登录时提示您更新。问题是，未能正确更新可能会导致灾难性结果⁶ 或丢失您需要重新输入的配置数据。但是您确实需要考虑关注修复严重安全问题的固件更新并实施它们。
7. 使用开源： 有一些很棒的开源路由器项目，允许您使用现有路由器并将其所有固件/软件替换为开源替代方案。您可以在 维基百科 上找到许多这些项目，并且在 Opensource.com 上搜索 “路由器” 将让您大开眼界，了解一系列令人着迷的机会。对于胆小的人来说，这不是一个步骤，因为您肯定会使路由器的保修失效，但如果您想拥有真正的控制权，开源始终是最佳选择。

其他问题

我很想假装一旦您提高了路由器的安全性，您家庭网络上的一切都会安然无恙，但事实并非如此。您家中的物联网设备（Alexa、Nest、Ring 门铃、智能灯泡等）呢？连接到其他网络的 VPN 呢？通过 WiFi 连接的恶意主机、您孩子手机上的恶意应用呢……？

不，您不会安全的。但是，正如我们之前讨论过的，尽管没有“安全”这种东西，但这并不意味着我们不应该提高门槛，让坏人™更难得逞。

1. 我正在简化——但请继续阅读，我们会讲到那里的。
2. “俄罗斯国家支持的网络行为者”
3. 或者，我怀疑，在我父母的情况下，是“互联网盒子”。
4. 这是我不想收到评论告诉我您如何拥有直接连接到本地骨干网的 1TB/s 连接的情况之一，非常感谢。
5. 也许不是整个家庭。
6. 您的路由器现在变成砖头了，您无法访问互联网。

本文最初出现在 Alice, Eve, and Bob – 安全博客 上，并已获得许可转载。