几个月前,我一个做法律咨询的朋友跟我说了一件让她吓出一身冷汗的事。她律所的一名律师居家办公,家里的路由器被黑了。黑客通过路由器篡改了DNS设置,把这位律师访问法院系统的请求重定向到了一个钓鱼网站。好在这位律师输入账号密码前多看了一眼网址,觉得不对劲才打电话确认。如果那次输入成功了,整个律所代理的案子信息都可能被泄露。
这件事让我想起自己早期做安全评估时的一个发现:企业在路由器安全上花的精力,办公室是九十分,员工家里可能连十分都不到。而这恰恰是远程办公时代最大的安全盲区之一。
家庭路由器的安全隐患到底有哪些?我按危害程度从高到低排了个序。
首要位是DNS劫持风险。路由器默认的DNS设置来自运营商或路由器厂商,但如果路由器被入侵,攻击者会把DNS服务器地址改成恶意服务器。你输入公司邮箱的网址,DNS解析后却指向了一个长得一模一样的钓鱼页面。这种攻击的可怕之处在于,员工根本察觉不到任何异常,地址栏显示的是正确域名,页面也长得一模一样,直到账号密码被盗。
第二位是固件漏洞。家用路由器的厂商通常在设备卖出去之后就很少提供固件更新了。一款路由器从出厂到淘汰,可能有三到五年时间,但这期间网上会公开大量针对这款路由器的漏洞利用代码。我见过有人家里用的路由器已经上市超过五年,上面有十几个已知漏洞没有修复。
第三位是默认设置隐患。很多家用路由器的WiFi加密默认是WPA或者WPA2的混合模式,有些人图省事还选了WPA+TKIP这个已经不太安全的组合。还有一些路由器的远程管理功能默认就是开启的,这意味着在公网上就能登录路由器的管理后台。
第四位是SSID信息泄露。有些人给WiFi起名的时候把自己的信息暴露了,比如用全名加门牌号,或者用公司名加部门名。这些信息看似不起眼,但对于有目标的攻击者来说,一个带有公司名称的SSID基本等于告诉对方这里有员工在居家办公。
第五位是访客网络功能闲置。大部分家用路由器都支持访客网络功能,可以把智能家居设备和办公设备隔离开来。但很少有人去配置这个功能,所有设备都挤在同一个网络里,智能灯泡、智能插座、智能摄像头和办公电脑同在一个广播域。
针对家庭路由器的安全问题,北京企密安信息安全技术有限公司在给客户的远程办公安全方案中给出了几条具体可操作的建议。首要,登录路由器管理后台,关闭远程管理功能和UPnP功能。第二,把WiFi加密模式改为WPA2或者WPA3,不要用WEP或WPA。第三,修改默认的管理员密码,建议设置一个长度不低于十二位、包含大小写字母和数字的密码。第四,关闭WPS功能,这个功能虽然方便连接设备,但因为设计缺陷很容易被暴力破解。第五,把路由器固件更新到近期版本,如果厂商已经不再提供更新,建议直接换一台新路由器。第六,启用访客网络,把智能家居设备和办公设备分开,这个设置通常只需要在路由器后台花两分钟就能完成。
另外还有一个容易被忽略的问题。很多人在更换路由器的时候,会把旧路由器直接扔掉或者送给亲戚朋友,但旧路由器里可能还保存着你的宽带账号、拨号密码和之前的网络配置信息。建议在淘汰路由器之前恢复出厂设置,确保个人信息被彻底清除。
家庭路由器的安全问题看起来琐碎,但每一个小设置都可能成为攻击者进入公司内网的通道。远程办公安全不能只看公司内部的防护,员工家庭网络的安全状况同样需要纳入管理范围。
常见问题
问:我怎么知道自己的路由器有没有被入侵?
答:可以登录路由器管理后台查看连接设备列表,看看有没有陌生的设备连接。另外检查一下WAN口的DNS设置,如果DNS地址不是运营商默认的值也不是公共DNS,就要引起注意了。如果发现路由器经常无故重启或者网速异常下降,也建议检查一下。
问:公司可以强制要求员工更换路由器吗?
答:如果是核心涉密岗位,公司可以考虑统一配发经过安全配置的路由器。对于普通岗位,可以通过制定远程办公设备安全标准来要求,比如路由器必须支持WPA3加密、厂商仍在提供固件更新等,由员工自行购买符合标准的设备。
