不少家用無線路由器使用上的隱憂在於,沒有管理也沒有維護更新,容易造成無法適時處理設備安全漏洞的情況。

圖片來源: 

iThome

在行動應用當道的現在,我們只要手機、平板或筆電開啟Wi-Fi功能,就能看到清單上列出鄰近的無線網路,不論它是屬於家庭、商家、公共或企業,這麼便利的無線網路環境,為使用者帶來極大的連網便利性。

只是,在便利性之餘,你是否曾經想過,自從你家或企業的Wi-Fi無線路由器買來設定好後,已經有多久沒檢查或沒更新?或是知道你的機型是多久之前的產品?原廠是否還提供維護?還是只有在Wi-Fi無線網路出問題時,你才會想到將它的電源重開,僅此而已。

過去你可能已經看到一些資安新聞事件,像是有駭客利用網路設備所存在的漏洞,修改你路由器的DNS設置,對你的網路流量進行監控,或是取得IoT裝置的控制權,從監視攝影機等網路通訊設備,任意窺探隱私,竊取資料等,甚至是植入惡意程式將無線路由器等IoT連網設備,變成殭屍網路幫兇,再利用它們針對特定對象發動大規模DDoS攻擊。又或者是家用路由器被感染可變更DNS的惡意軟體,將用戶重新導到第三方網站的偽造頁面。

如果你還是沒有什麼感覺,過去其實也有監控攝影機讓私生活變實境秀的事件,你可能就會有印象,民眾透過網站就可以看到各商家、辦公室或住家內等各式場景,這種被入侵的感覺,相信一點都不舒服。

也許你該看著你的無線路由器設備,好好想想,你真的知道你所架設的無線路由器在做些什麼嗎?尤其它可是一直都連在網路上的呢!

另外,除了自己的無線路由器設備安全,一般我們也會使用Wi-Fi,連接他人提供的無線網路服務,這方面同樣也有安全問題要顧慮,像是免費公共Wi-Fi高風險這樣的議題,也談論一陣子了,最後我們也會針對這一部份加以介紹。

根據OpenWrt開源組織在2016年9月的調查報告顯示,使用者對於保護家庭網路安全的作為,相當不足。而且只有1成7的人採取了更多防護措施,像是有去修改設備管理介面的密碼,甚至啟用Mac過濾、建立訪客連線或是禁用UPnP等。

自己安全自己救,為無線網路採取更多防護措施

關於無線網路的管理問題,談論已久,一般企業也都有專人負責管理,或是請廠商協助,建置安全的企業無線網路環境。

但更大的問題在於,現在人人家中或小企業內,幾乎都有無線Wi-Fi網路設備,要一般人也能做到專業性地管理,並不容易,很多進階管理功能的設定,其實也難以讓普遍使用者能理解。更讓人擔憂的是,很多其實連無線路由器基本的防護,都沒有採取行動。

我們這次詢問了一些設備廠商,請他們提供一些家用與企業無線Wi-Fi的管理方式與建議,並從中整理出,你現在就能夠改善無線網路安全的事項。

1.需妥善設定SSID

為了保護無線網路不被未經授權的使用者侵入,最基本且簡單的無線網路安全設定,就是設定SSID與修改密碼。但要注意的是,可別依賴設備提供的預設值,就開始提供網路服務,這樣雖然方便,但安全疑慮其實也相對較高。

像是有些Wi-Fi網路的名稱取名是廠牌、型號,很可能就是沒變更過SSID與密碼,就直接啟用了。儘管一些廠商的說明書中有提及,要將出廠預設網路名稱(SSID)變更為獨特、不重複的名稱,但有些用戶可能不太注意這樣的問題,至少不要讓人一眼就察覺,這個Wi-Fi網路設備可能都沒修改過設定。

同時,也建議最好不要取具有識別性、隱私性的網路名稱,更不要帶有挑釁的名稱,很容易被針對。

2.請將無線網路設定為WPA2加密

將無線網路設定為加密,任何裝置想要連上都必須輸入密碼,這算是確保無線網路安全很基本的作法。若是無線網路不設密碼,讓任何人都能夠連上使用,等於是完全不設防。

但別以為設定了加密就完全沒問題,一般Wi-Fi網路設定的加密方式分成WEP、WPA與WPA2,而你目前在家、公司所用的Wi-Fi是用哪一種?如果不知道表示你根本沒概念,基本上,近五、六年來,多數廠商都會建議的加密機制,就只有WPA2,因為這對於破解密碼的人來說難度更高。

如果用戶仍舊使用WEP、WPA加密機制,最好也都改用安全性相對高的WPA2。因為像是WEP這樣的加密機制,即便沒有相關資訊專業知識的人,其實也能用一臺不怎麼高階的筆電,在幾分鐘內用工具輕易破解。

3.切記Wi-Fi密碼設定不可過於簡單

除了選擇較安全的WPA2加密方式之外,同時也需要設定一組密碼來保護無線網路的存取,但要注意的是,可別只想到無線網路帶來的方便,就想設定一組簡單的密碼,而忽略了對於密碼強度的要求。

基本上,與一般密碼設定原則相同,內容組成越複雜、強度越高,也就越不容易被破解,一樣要以大小寫英文字母、阿拉伯數字、特殊符號等,來做組合,密碼越長越好。最好不要使用12345678、123456789、987654321、8個0、password之類的簡單規則,避免被別人猜中密碼。

談到密碼管理,用鍵盤位置幫助記憶是一種方式,像是!234%tGB這組密碼,利用鍵盤橫排、直排與大小寫切換的邏輯拼湊而成,就是一個例子,用戶可以自行變化,如要更複雜一點,還可在結尾增加參數,像是一個字母或單字;或者是用中文輸入位置幫助記憶,像是以注音拼打「密碼防護」,對應出的英文密碼字串將是au4a83z;6cj4。

附帶一題的是,如果要將自己的手機作為Wi-Fi熱點使用,同樣也要注意密碼設置不要太過簡單。

4.管理介面的密碼修改也很重要

在無線網路與密碼的設定之外,一般Wi-Fi路由器本身的網頁式後臺管理介面,也都設有登入機制,像是一些設備可能預設的帳號密碼都是Admin,或是帳號為Admin、密碼為0000或空白,用戶應該要意識到這是風險疑慮所在,千萬記得要更改密碼。

如果你沒有設定密碼,或是直接使用預設的密碼,這將讓有心人士輕易更改你的無線路由器設定,之後,可能導致自己的網路、電腦遭到攻擊,以及竊取資料等等。

不論如何,無線路由器本身的出廠預設值,是為了讓用戶取得新機、還原系統時,可以方便登入管理,但真正要開始用、部署前,都應落實管理介面帳號密碼的修改。就像拿到一張新的金融卡時,銀行行員會提供一張防窺視的紙張,裡面印了一組你不熟悉的密碼,並且要求使用者儘速到ATM變更密碼,而修改密碼這件事,一直都是使用者該注意的。

5.注意韌體更新,減少設備漏洞威脅

做好設備的維護更新,聽起來是件稀鬆平常的事,只是對於無線路由器使用上的隱憂在於,像是家中無線路由器的管理容易被忽略,企業雖然通常有專屬的MIS人員負責,但也可能設置之後就沒有管它,或是抱持著多一事不如少一事,盡量不更新韌體的心態,怕產生更多問題。

就像我們常用的Windows、Mac電腦常遇到系統更新的情況,由於存在許多未知的漏洞,可能成為系統安全性的死角,系統廠商會不斷釋出更新修補漏洞。同樣的,無線路由器設備也面臨各種安全漏洞,是資安疑慮與風險所在,也需經常注意,並即時更新修補有漏洞的韌體。

一般而言,用戶應該意識到,透過韌體更新、升級的方式,將能減少因安全漏洞帶來的危害,也有可能獲得更多的防護功能。當有重大漏洞問題要修補時,廠商更是會強烈建議用戶,盡快下載並更新無線路由器的韌體版本,增強設備的安全性。

基本上,你可以在設備廠商的官方網站,下載無線網路設備的最新韌體版本,並透過手動更新方式進行,或是利用一些設備本身提供的自動更新功能,簡化韌體升級程序。無論如何,做好設備的維護與更新其實還是需要的,不論是手動或自動更新,同時也要記得檢查既有設定是否遭到變動或竄改。

6.藉助其他工具或服務

另外,如果使用者想要檢查自己的路由器設定是否被竄改,其實歐盟網路與資訊安全局ENISA,也有一些提供給使用者的建議,像是可以利用F-Secure Router Checker這個網站類型工具,(https://campaigns.f-secure.com/router-checker/en_global/),可幫助使用者一鍵檢查,像是設備是否被倒導向惡意的DNS伺服器,目前這樣的工具並不多,但也算是一種對於使用者較為簡單的作法。

7.利用更多進階管理功能

如果你本身有更多網路設備管理概念,想要做出更多進階防護,也可以利用接下來介紹的幾個進階作法。

像是利用網路實體位置過濾的功能,限制設備提供的無線區域網路中,特定網路卡實體位址(MAC Address)的存取,也就是特定的裝置才能Wi-Fi連線。而隱藏SSID的功能也多少有點幫助,但只算是防君子不防小人的作法。

另外一些專家也建議可以關閉設備本身的WPS PIN碼與UPnP機制,如果沒有使用需要的話,其中WPS用於簡化裝置與無線網路設備的Wi-Fi連線,而UPnP的主要功能是讓家中的設備(像是PlayStation遊戲機),可以自動的連結到網路並完成網路相關設定。這兩種方便地機制,安全疑慮也較高,因此不用最好也就關閉。

建立專門的訪客網路,也是一種方式,也就是另開一組SSID讓訪客使用,且無法連至設備管理介面,或是啟用AP隔離(AP Isolation)這樣的功能,讓同一無線網路下的不同設備,無法進行資料交換,加強連線安全。

其他還有像是,可以調整設備發射功率的強度,降低無線訊號覆蓋範圍,可不要好幾公尺外的別人家裡,也都能收到你家Wi-Fi的訊號,或是利用設備的排程功能,來設定無線路由器關閉與開啟的時間,而不要讓設備在無人使用時間也一直開著。

最後要提醒的是,由於各使用者選擇的設備功能不盡相同,因此可能不一定有對應功能可以使用,但這也是你可以多認識的部分。

在OpenWrt的調查報告中,我們也看到使用者對於家用路求器的韌體更新動作,相當不確實。有5成7的用戶一年至少定期檢查一次,但也有2成用戶從來沒做過,甚至也有2成3的用戶根本不知道可以這樣做!

如果是網路服務業者提供的無線網路設備呢?如何強化安全性

如果你的家中或公司的無線路由器是寬頻業者所提供,使用者又該如何應對呢?基本上,像是之前提到的SSID設定、WPA2加密,以及無線網路與管理介面的密碼修改,同樣也是要注意。

至於設備韌體維護,一般服務商應能利用TR069與SNMP協定,為用戶進行遠端設備硬體維護與更新,但使用者多半不清楚業者與設備廠商,是否經常性地進行遠端更新與維護,因此,這部分有賴業者主動揭露這些檢查作業進行的相關資料,還是有點疑慮。

用戶如要強化自身對於無線網路設備的掌控性,其實可以新選擇一臺無線路由器,連接於業者所提供設備的WAN埠上,並停用原本設備內建的Wi-Fi。

至於如何為自己挑選資安保障高的無線路由器,首先最好到設備廠商的官方網站上,檢查一下產品推出時間,如果是太舊的產品,後續支援力度可能有疑慮;並要檢視該廠商對於安全維護的揭露資訊,像是有沒有經常性的定期修補漏洞,每次修補的內容揭露,甚至是詳盡的第三方檢測報告,才能確保廠商對於資安問題的積極性,以確保產品是否有較高的保障。保固內容也要注意,不清楚都可以打電話去客服詢問。

如果是比較瞭解網路設備管理的使用者,也可選擇一些對於安全防護提供較多進階功能的產品。

對於使用者來說,有一個簡單的小技巧就是,使用者可以上網查詢該無線路由器的型號,瞭解該款設備是多久之前的產品,如果是多年前的早期產品,由於擔心設備韌體維護不力,這時你可以聯繫服務商,表示網路出問題無法使用,通常業者都可以免費幫你換一臺新的設備。但這種作法的缺點很多,無法經常這麼做。

附帶一提的是,不要以為自己會接無線網路,就可以擅自將這類設備拿到辦公室中隨插即用,因為這可能會為企業帶來網路安全問題。就像別人不經你的同意,擅自將帶來的電腦接在你家的網路環境上,你也會感到一些疑慮。

另外,還有像是使用者PC、筆電接在公司的有線網路上,同時開啟Windows內建的行動熱點功能,也會帶來同樣的問題。

一般來說,在大型企業中,可能有各式手段可以因應防堵,例如端點周邊控管及Wi-Fi網路管理系統,但中小企業普遍不容易導入,因此更要教育用戶基本資安的概念才是。

打開手機Wi-Fi後,看到無密碼的免費Wi-Fi網路你敢連嗎?甚至,如果有心人士提供一個名字與商家相同或類似的Wi-Fi名稱,有些還不用輸入密碼,使用者可能連上了釣魚AP而不自知。像是我們在手機上開啟Wi-Fi功能,就會看到一大堆的網路名稱,單純依靠名稱,用戶根本無法分辨周遭是否有惡意AP存在。

更多Wi-Fi使用上的問題,用戶必須要瞭解其風險

在自身無線路由器的設備管理之外,平時還有一些使用Wi-Fi的注意事項必須知道,因為看似方便的Wi-Fi網路其實也隱藏著不少風險:

1.提防免費Wi-Fi服務帶來的風險

隨著智慧型手機的普及,現在許多商家都會提供免費Wi-Fi服務,密碼可能寫在牆上,或是詢問店員就能取得,這提供了用戶不少方便性,但也讓有心人士有機可趁。

像是我們在飯店、咖啡廳、機場、餐廳與零售店家,看到各類業者或公家提供的Wi-Fi免費服務時,但你真的能確認看到的網路名稱,就一定是對方所提供的嗎?

因為你要知道,有駭客可能提供名字與商家類似的Wi-Fi名稱,且無須密碼就能連線存取,一般使用者無法分辨其差異,而連到非商家的無線網路環境,就可能不自覺而中招。如此一來,用戶上網的傳輸封包,就等於是經過駭客的無線網路設備轉發,過程中存取的所有資料均有可能被查看,或是經過側錄下來被分析。

或者是,駭客可能在無線網路訊號覆蓋區域外,提供一個相同的Wi-Fi名稱,並設定了相同的認證加密方式,用戶連網裝置在掃描到相同SSID時,就會以系統先前儲存的密碼嘗試連線,就算連不上,這時對方也能因為這項輸入而取得密碼。

如果使用者真的還是需要使用免費Wi-Fi服務,一般建議不要瀏覽需進行使用者登入程序的網站,並且關掉手機上的同步設定,更好的方式則是使用VPN連線(這裡的VPN並非由不明人士所提供的VPN服務),不要只仰賴無線網路或App的防護。

附帶一提的是,若使用者在連接公用Wi-Fi後,也可以把連線過的Wi-Fi紀錄做一個清除的動作。

2.使用破解Wi-Fi密碼的App也有風險

打開手機Wi-Fi設定,你會看到現在大部分的Wi-Fi網路,都是經過加密的,也就是會看到帶有鎖頭的圖示,因此,往往許多人拿起手機的第一件事,就是詢問密碼。

在這樣的需求之下,市面上也看到諸多像是「Wi-Fi萬能鑰匙」這樣的App應用,可以讓使用者解決詢問密碼的麻煩,快速連上不知道密碼的公用網路,甚至也號稱能在連上Wi-Fi前,提供預判安全風險的協助。但是,這樣的工具背後是否隱藏著其他風險呢?

像是該類App可能獲取手機相關Wi-Fi資訊,將手機已經連過的公用Wi-Fi網路名稱與密碼,分享到雲端成為比對的資料庫。如此一來,是否也等於將家中或企業的無線路由器的大門鑰匙公開,失去對於私用網路密碼保護的意義。

無線路由器基本的設定方式,可以用設備隨附的網路線連接設備與電腦(或是用手機開啟Wi-Fi連接至該設備),之後開啟瀏覽器,依照說明書輸入網址,以登入管理介面。你還可以進行進階防護設定,像是網路實體位置過濾、AP隔離,以及關閉設備本身的WPS PIN碼與UPnP等。

 

 相關報導 無線路由器安全問題浮上臺面,該是面對的時候!


Advertisement

更多 iThome相關內容