不少家用无线路由器使用上的隐忧在于,没有管理也没有维护更新,容易造成无法适时处理设备安全漏洞的情况。
图片来源:iThome
在行动应用当道的现在,我们只要手机、平板或笔电开启Wi-Fi功能,就能看到清单上列出邻近的无线网路,不论它是属于家庭、商家、公共或企业,这幺便利的无线网路环境,为使用者带来极大的连网便利性。
只是,在便利性之余,你是否曾经想过,自从你家或企业的Wi-Fi无线路由器买来设定好后,已经有多久没检查或没更新?或是知道你的机型是多久之前的产品?原厂是否还提供维护?还是只有在Wi-Fi无线网路出问题时,你才会想到将它的电源重开,仅此而已。
过去你可能已经看到一些资安新闻事件,像是有骇客利用网路设备所存在的漏洞,修改你路由器的DNS设置,对你的网路流量进行监控,或是取得IoT装置的控制权,从监视摄影机等网路通讯设备,任意窥探隐私,窃取资料等,甚至是植入恶意程式将无线路由器等IoT连网设备,变成殭尸网路帮兇,再利用它们针对特定对象发动大规模DDoS攻击。又或者是家用路由器被感染可变更DNS的恶意软体,将用户重新导到第三方网站的伪造页面。
如果你还是没有什幺感觉,过去其实也有监控摄影机让私生活变实境秀的事件,你可能就会有印象,民众透过网站就可以看到各商家、办公室或住家内等各式场景,这种被入侵的感觉,相信一点都不舒服。
也许你该看着你的无线路由器设备,好好想想,你真的知道你所架设的无线路由器在做些什幺吗?尤其它可是一直都连在网路上的呢!
另外,除了自己的无线路由器设备安全,一般我们也会使用Wi-Fi,连接他人提供的无线网路服务,这方面同样也有安全问题要顾虑,像是免费公共Wi-Fi高风险这样的议题,也谈论一阵子了,最后我们也会针对这一部份加以介绍。
根据OpenWrt开源组织在2016年9月的调查报告显示,使用者对于保护家庭网路安全的作为,相当不足。而且只有1成7的人採取了更多防护措施,像是有去修改设备管理介面的密码,甚至启用Mac过滤、建立访客连线或是禁用UPnP等。
自己安全自己救,为无线网路採取更多防护措施
关于无线网路的管理问题,谈论已久,一般企业也都有专人负责管理,或是请厂商协助,建置安全的企业无线网路环境。
但更大的问题在于,现在人人家中或小企业内,几乎都有无线Wi-Fi网路设备,要一般人也能做到专业性地管理,并不容易,很多进阶管理功能的设定,其实也难以让普遍使用者能理解。更让人担忧的是,很多其实连无线路由器基本的防护,都没有採取行动。
我们这次询问了一些设备厂商,请他们提供一些家用与企业无线Wi-Fi的管理方式与建议,并从中整理出,你现在就能够改善无线网路安全的事项。
1.需妥善设定SSID
为了保护无线网路不被未经授权的使用者侵入,最基本且简单的无线网路安全设定,就是设定SSID与修改密码。但要注意的是,可别依赖设备提供的预设值,就开始提供网路服务,这样虽然方便,但安全疑虑其实也相对较高。
像是有些Wi-Fi网路的名称取名是厂牌、型号,很可能就是没变更过SSID与密码,就直接启用了。儘管一些厂商的说明书中有提及,要将出厂预设网路名称(SSID)变更为独特、不重複的名称,但有些用户可能不太注意这样的问题,至少不要让人一眼就察觉,这个Wi-Fi网路设备可能都没修改过设定。
同时,也建议最好不要取具有识别性、隐私性的网路名称,更不要带有挑衅的名称,很容易被针对。
2.请将无线网路设定为WPA2加密
将无线网路设定为加密,任何装置想要连上都必须输入密码,这算是确保无线网路安全很基本的作法。若是无线网路不设密码,让任何人都能够连上使用,等于是完全不设防。
但别以为设定了加密就完全没问题,一般Wi-Fi网路设定的加密方式分成WEP、WPA与WPA2,而你目前在家、公司所用的Wi-Fi是用哪一种?如果不知道表示你根本没概念,基本上,近五、六年来,多数厂商都会建议的加密机制,就只有WPA2,因为这对于破解密码的人来说难度更高。
如果用户仍旧使用WEP、WPA加密机制,最好也都改用安全性相对高的WPA2。因为像是WEP这样的加密机制,即便没有相关资讯专业知识的人,其实也能用一台不怎幺高阶的笔电,在几分钟内用工具轻易破解。
3.切记Wi-Fi密码设定不可过于简单
除了选择较安全的WPA2加密方式之外,同时也需要设定一组密码来保护无线网路的存取,但要注意的是,可别只想到无线网路带来的方便,就想设定一组简单的密码,而忽略了对于密码强度的要求。
基本上,与一般密码设定原则相同,内容组成越複杂、强度越高,也就越不容易被破解,一样要以大小写英文字母、阿拉伯数字、特殊符号等,来做组合,密码越长越好。最好不要使用12345678、123456789、987654321、8个0、password之类的简单规则,避免被别人猜中密码。
谈到密码管理,用键盘位置帮助记忆是一种方式,像是!234%tGB这组密码,利用键盘横排、直排与大小写切换的逻辑拼凑而成,就是一个例子,用户可以自行变化,如要更複杂一点,还可在结尾增加参数,像是一个字母或单字;或者是用中文输入位置帮助记忆,像是以注音拼打「密码防护」,对应出的英文密码字串将是au4a83z;6cj4。
附带一题的是,如果要将自己的手机作为Wi-Fi热点使用,同样也要注意密码设置不要太过简单。
4.管理介面的密码修改也很重要
在无线网路与密码的设定之外,一般Wi-Fi路由器本身的网页式后台管理介面,也都设有登入机制,像是一些设备可能预设的帐号密码都是Admin,或是帐号为Admin、密码为0000或空白,用户应该要意识到这是风险疑虑所在,千万记得要更改密码。
如果你没有设定密码,或是直接使用预设的密码,这将让有心人士轻易更改你的无线路由器设定,之后,可能导致自己的网路、电脑遭到攻击,以及窃取资料等等。
不论如何,无线路由器本身的出厂预设值,是为了让用户取得新机、还原系统时,可以方便登入管理,但真正要开始用、部署前,都应落实管理介面帐号密码的修改。就像拿到一张新的金融卡时,银行行员会提供一张防窥视的纸张,里面印了一组你不熟悉的密码,并且要求使用者儘速到ATM变更密码,而修改密码这件事,一直都是使用者该注意的。
5.注意韧体更新,减少设备漏洞威胁
做好设备的维护更新,听起来是件稀鬆平常的事,只是对于无线路由器使用上的隐忧在于,像是家中无线路由器的管理容易被忽略,企业虽然通常有专属的MIS人员负责,但也可能设置之后就没有管它,或是抱持着多一事不如少一事,尽量不更新韧体的心态,怕产生更多问题。
就像我们常用的Windows、Mac电脑常遇到系统更新的情况,由于存在许多未知的漏洞,可能成为系统安全性的死角,系统厂商会不断释出更新修补漏洞。同样的,无线路由器设备也面临各种安全漏洞,是资安疑虑与风险所在,也需经常注意,并即时更新修补有漏洞的韧体。
一般而言,用户应该意识到,透过韧体更新、升级的方式,将能减少因安全漏洞带来的危害,也有可能获得更多的防护功能。当有重大漏洞问题要修补时,厂商更是会强烈建议用户,尽快下载并更新无线路由器的韧体版本,增强设备的安全性。
基本上,你可以在设备厂商的官方网站,下载无线网路设备的最新韧体版本,并透过手动更新方式进行,或是利用一些设备本身提供的自动更新功能,简化韧体升级程序。无论如何,做好设备的维护与更新其实还是需要的,不论是手动或自动更新,同时也要记得检查既有设定是否遭到变动或窜改。
6.藉助其他工具或服务
另外,如果使用者想要检查自己的路由器设定是否被窜改,其实欧盟网路与资讯安全局ENISA,也有一些提供给使用者的建议,像是可以利用F-Secure Router Checker这个网站类型工具,(https://campaigns.f-secure.com/router-checker/en_global/),可帮助使用者一键检查,像是设备是否被倒导向恶意的DNS伺服器,目前这样的工具并不多,但也算是一种对于使用者较为简单的作法。
7.利用更多进阶管理功能
如果你本身有更多网路设备管理概念,想要做出更多进阶防护,也可以利用接下来介绍的几个进阶作法。
像是利用网路实体位置过滤的功能,限制设备提供的无线区域网路中,特定网路卡实体位址(MAC Address)的存取,也就是特定的装置才能Wi-Fi连线。而隐藏SSID的功能也多少有点帮助,但只算是防君子不防小人的作法。
另外一些专家也建议可以关闭设备本身的WPS PIN码与UPnP机制,如果没有使用需要的话,其中WPS用于简化装置与无线网路设备的Wi-Fi连线,而UPnP的主要功能是让家中的设备(像是PlayStation游戏机),可以自动的连结到网路并完成网路相关设定。这两种方便地机制,安全疑虑也较高,因此不用最好也就关闭。
建立专门的访客网路,也是一种方式,也就是另开一组SSID让访客使用,且无法连至设备管理介面,或是启用AP隔离(AP Isolation)这样的功能,让同一无线网路下的不同设备,无法进行资料交换,加强连线安全。
其他还有像是,可以调整设备发射功率的强度,降低无线讯号覆盖範围,可不要好几公尺外的别人家里,也都能收到你家Wi-Fi的讯号,或是利用设备的排程功能,来设定无线路由器关闭与开启的时间,而不要让设备在无人使用时间也一直开着。
最后要提醒的是,由于各使用者选择的设备功能不尽相同,因此可能不一定有对应功能可以使用,但这也是你可以多认识的部分。
在OpenWrt的调查报告中,我们也看到使用者对于家用路求器的韧体更新动作,相当不确实。有5成7的用户一年至少定期检查一次,但也有2成用户从来没做过,甚至也有2成3的用户根本不知道可以这样做!
如果是网路服务业者提供的无线网路设备呢?如何强化安全性
如果你的家中或公司的无线路由器是宽频业者所提供,使用者又该如何应对呢?基本上,像是之前提到的SSID设定、WPA2加密,以及无线网路与管理介面的密码修改,同样也是要注意。
至于设备韧体维护,一般服务商应能利用TR069与SNMP协定,为用户进行远端设备硬体维护与更新,但使用者多半不清楚业者与设备厂商,是否经常性地进行远端更新与维护,因此,这部分有赖业者主动揭露这些检查作业进行的相关资料,还是有点疑虑。
用户如要强化自身对于无线网路设备的掌控性,其实可以新选择一台无线路由器,连接于业者所提供设备的WAN埠上,并停用原本设备内建的Wi-Fi。
至于如何为自己挑选资安保障高的无线路由器,首先最好到设备厂商的官方网站上,检查一下产品推出时间,如果是太旧的产品,后续支援力度可能有疑虑;并要检视该厂商对于安全维护的揭露资讯,像是有没有经常性的定期修补漏洞,每次修补的内容揭露,甚至是详尽的第三方检测报告,才能确保厂商对于资安问题的积极性,以确保产品是否有较高的保障。保固内容也要注意,不清楚都可以打电话去客服询问。
如果是比较了解网路设备管理的使用者,也可选择一些对于安全防护提供较多进阶功能的产品。
对于使用者来说,有一个简单的小技巧就是,使用者可以上网查询该无线路由器的型号,了解该款设备是多久之前的产品,如果是多年前的早期产品,由于担心设备韧体维护不力,这时你可以联繫服务商,表示网路出问题无法使用,通常业者都可以免费帮你换一台新的设备。但这种作法的缺点很多,无法经常这幺做。
附带一提的是,不要以为自己会接无线网路,就可以擅自将这类设备拿到办公室中随插即用,因为这可能会为企业带来网路安全问题。就像别人不经你的同意,擅自将带来的电脑接在你家的网路环境上,你也会感到一些疑虑。
另外,还有像是使用者PC、笔电接在公司的有线网路上,同时开启Windows内建的行动热点功能,也会带来同样的问题。
一般来说,在大型企业中,可能有各式手段可以因应防堵,例如端点周边控管及Wi-Fi网路管理系统,但中小企业普遍不容易导入,因此更要教育用户基本资安的概念才是。
打开手机Wi-Fi后,看到无密码的免费Wi-Fi网路你敢连吗?甚至,如果有心人士提供一个名字与商家相同或类似的Wi-Fi名称,有些还不用输入密码,使用者可能连上了钓鱼AP而不自知。像是我们在手机上开启Wi-Fi功能,就会看到一大堆的网路名称,单纯依靠名称,用户根本无法分辨周遭是否有恶意AP存在。
更多Wi-Fi使用上的问题,用户必须要了解其风险
在自身无线路由器的设备管理之外,平时还有一些使用Wi-Fi的注意事项必须知道,因为看似方便的Wi-Fi网路其实也隐藏着不少风险:
1.提防免费Wi-Fi服务带来的风险
随着智慧型手机的普及,现在许多商家都会提供免费Wi-Fi服务,密码可能写在墙上,或是询问店员就能取得,这提供了用户不少方便性,但也让有心人士有机可趁。
像是我们在饭店、咖啡厅、机场、餐厅与零售店家,看到各类业者或公家提供的Wi-Fi免费服务时,但你真的能确认看到的网路名称,就一定是对方所提供的吗?
因为你要知道,有骇客可能提供名字与商家类似的Wi-Fi名称,且无须密码就能连线存取,一般使用者无法分辨其差异,而连到非商家的无线网路环境,就可能不自觉而中招。如此一来,用户上网的传输封包,就等于是经过骇客的无线网路设备转发,过程中存取的所有资料均有可能被查看,或是经过侧录下来被分析。
或者是,骇客可能在无线网路讯号覆盖区域外,提供一个相同的Wi-Fi名称,并设定了相同的认证加密方式,用户连网装置在扫描到相同SSID时,就会以系统先前储存的密码尝试连线,就算连不上,这时对方也能因为这项输入而取得密码。
如果使用者真的还是需要使用免费Wi-Fi服务,一般建议不要浏览需进行使用者登入程序的网站,并且关掉手机上的同步设定,更好的方式则是使用VPN连线(这里的VPN并非由不明人士所提供的VPN服务),不要只仰赖无线网路或App的防护。
附带一提的是,若使用者在连接公用Wi-Fi后,也可以把连线过的Wi-Fi纪录做一个清除的动作。
2.使用破解Wi-Fi密码的App也有风险
打开手机Wi-Fi设定,你会看到现在大部分的Wi-Fi网路,都是经过加密的,也就是会看到带有锁头的图示,因此,往往许多人拿起手机的第一件事,就是询问密码。
在这样的需求之下,市面上也看到诸多像是「Wi-Fi万能钥匙」这样的App应用,可以让使用者解决询问密码的麻烦,快速连上不知道密码的公用网路,甚至也号称能在连上Wi-Fi前,提供预判安全风险的协助。但是,这样的工具背后是否隐藏着其他风险呢?
像是该类App可能获取手机相关Wi-Fi资讯,将手机已经连过的公用Wi-Fi网路名称与密码,分享到云端成为比对的资料库。如此一来,是否也等于将家中或企业的无线路由器的大门钥匙公开,失去对于私用网路密码保护的意义。
无线路由器基本的设定方式,可以用设备随附的网路线连接设备与电脑(或是用手机开启Wi-Fi连接至该设备),之后开启浏览器,依照说明书输入网址,以登入管理介面。你还可以进行进阶防护设定,像是网路实体位置过滤、AP隔离,以及关闭设备本身的WPS PIN码与UPnP等。
?
?相关报导?「无线路由器安全问题浮上台面,该是面对的时候!」