我很担心它可能会被最后使用的人修改。
场景中的主要风险是什么?
在设置新路由器之前和期间,别人可能曾经使用过的路由器应该采取哪些具体步骤?
更新:设备型号是TP-Link AC4500(阿彻)路由器。
#1 楼
简短的答案:恢复出厂设置,更新固件,一切都很好。风险非常低,几乎为零。先前的所有者可能已经安装了自定义固件或更改了其配置,但是固件升级和出厂重置足以解决几乎所有更改。
先前的所有者有篡改路由器和路由器的风险。即使固件升级且恢复出厂设置也可以忽略不计,他的更改仍然可以保留。一个大企业。但是,当您购买二手路由器时,我敢打赌您是一个普通人,并且不会成为这些攻击的目标。
评论
大多数不是在stackoverflow / serverfault上的人是感兴趣的人吗?他们制作可以在很多地方部署的软件,或者为公司管理系统。即使这样,我也同意您的回答,即“风险非常低,几乎为零”,但是“具有特殊利益的人”类别比人们通常意识到的范围广。众所周知,情报机构特别针对系统管理员。作为一名安全顾问,他在修复漏洞之前就知道这些漏洞,我可以想象我可能会吸引什么样的兴趣,与这个网站上有趣的人相比,我觉得自己很普通。
–吕克
19年2月19日在21:20
邪恶组织必须预测我何时购买路由器,预测要购买的品牌/型号,购买地点,去过的地方,在该地点购买所有路由器,在每个路由器上都放一个后门,返回每一个,等我来购买受损的路由器。我认为这是不合理的...
–ThoriumBR
19年2月19日在21:27
可能,是的,但是不可能,因此可以忽略。在我目前拥有的路由器上利用零日漏洞要容易几个数量级...
–ThoriumBR
19年2月19日在21:29
相信我,你没那么有趣。
–hft
19年2月19日在23:16
@Nelson您的意思是xkcd.com/538?
–巴尔德里克
19年2月20日在9:41
#2 楼
主要风险是固件已被恶意版本代替,这可能使您可以拦截网络上的所有流量。密码,注入恶意软件,将您重定向到恶意网站等。这是最坏的情况,但对于某些人来说很容易。您想恢复出厂设置以尝试清除以前版本中的所有内容。所有者可能已经在工厂设置了固件。
,但更重要的是,您想通过查看机箱是否已打开或被篡改以及是否已打开机箱来查看固件是否已更改。路由器的操作系统已更改。但这可能还不够。在路由器上模拟操作系统和网站很容易。
您可以做的一件事情是用自己的固件替换固件。那应该清除设备上的所有恶意固件。您可以使用开放源代码的售后固件。
评论
从路由器的支持站点(而不是openWRT)下载新固件怎么办?
–丹达维斯
19年2月19日在17:35
如果路由器制造商提供了一种,则应该是首选!
–CyberDude
19年2月19日在18:04
当然可以,如果有的话。
– schroeder♦
19年2月19日在18:08
考虑到路由器中常见的经过身份验证的命令注入/代码执行(例如,通过固件更新或仅错误的编码执行)攻击,我不确定检查硬件篡改是否足够。而且,如果攻击者篡改了固件,则他们应该能够伪造任何固件更新,或在任何新安装的固件中放置后门。对于通过路由器的Web界面进行的更新,这应该是微不足道的;对于通过串行接口进行的更新或固件重置,可能要困难一些(尽管我不确定还有多少;如果可以添加更多有关此的信息,那会很好)。
–蒂姆
19年2月19日在20:57
如果您使用的是软件更新功能,那么@FreeMan就是这样,如果该功能受到威胁,则不是最安全的途径。如果直接访问了硬件,则应该有标志。
– schroeder♦
19年2月20日在14:51
#3 楼
到目前为止,购买“开箱式”路由器的主要风险是,路由器会受到制造商未发现的细微损坏,但这最终会缩短设备的使用寿命。这就是它们经常减少保修的原因之一。从安全角度考虑,如果您恢复出厂设置并重新刷新固件,则风险可以忽略不计。这应该将所有内容重新写入可编程存储器中,并擦除以前用户可能已加载的任何恶意软件。实际上,即使对于新路由器,这也是最佳实践。我多次购买了新路由器,只是得知它们仍在为工厂测试网络编程,这是一件很真实的事情,但是不必担心太多关于。毕竟,“全新”路由器可能已经在工厂加载了持久性恶意软件,因此这并不是您可以完全缓解的风险。
#4 楼
简而言之:如果您真的很在乎这样的东西,请进入零售商店并购买有现货的新路由器。风险很小,但是您却无法轻易减轻它。我可以想象有些人会蠕动地购买大量路由器,将它们退还,然后监视只是为了购买它们的人。或者当然是一些邪恶的组织。当然,这种风险很小。
但是我想怀疑其他答案关于“只是”重置路由器的说法。当然,重新刷新固件应该可以清除几乎所有可能发生的不良情况。但是你会怎么做呢?您不能使用Web界面(这将是某人禁用/伪造的第一件事),并且物理按钮可能也只是向当前固件发送信号,它应该自行重置。串行传输也由我期望的当前固件处理。
除非您打算使用可能存在或可能不存在(或等效的东西)的JTAG接口重新刷新固件,否则当然,重设并不仅仅是相信设备可以正常使用(当然,无论如何都应重设设置以摆脱以前的所有者的设置)。
我还不够了解关于JTAG以评估其安全性,我唯一能确定的是,与Web界面/按钮相比,假冒的琐事要少得多。
评论
“一个物理按钮可能也只是向当前固件发送信号”-通常有一个复位按钮可以进入引导加载程序模式,然后加载新的固件。如果在这样的预安装后GUI显示了新系统,则可以假定它已升级。然后,您可以进行第二次重新安装。要准备可以在闪存时修补任何可能的备用固件并使它既运行又准备修复/破解下一个更新的特殊固件将太难了。
– i486
19年2月21日在14:13
#5 楼
这种情况下的主要风险是什么?
我知道这不是您提出问题的意图,但我认为主要的风险不是您,而是以前的所有者。可能是以前所有者的凭据仍在设备上。您可以通过这种方式访问以前的所有者的帐户。转售的设备通常根本无法清除,从而在其上留下敏感信息。
评论
您的意思是网站登录名和密码?保存的Cookie?路由器如何以及在哪里保存这些信息?
– Xen2050
19年2月21日,下午3:05
我的意思是以前在路由器Web界面中配置的dyndns,SMTP和ISP帐户。
– Sjoerd
19年2月21日在7:09
IPSEC VPN机密或有关设备以前部署的站点的设计知识,例如IP范围和网关,以及寻址时间服务器或打印机的位置,或可能在站点上配置了哪些VLAN。
–松脆
19年2月22日在3:41
#6 楼
如果攻击者以某种中等复杂的方式修改了固件,那么要完全确定擦除该固件的唯一方法是通过jtag或直接闪存写入进行更新。如果您依赖于基于软件的固件更新,那么这将在受感染固件的控制下进行。在线上有关于如何在威胁模型下执行该操作的教程。无需更新,您可以仅使用jtag / spi或任何其他工具提取固件,然后将其与显示的已安装固件版本进行比较。当然,通过对硬件的修改,甚至可以有更多的固件。可能会幸免的隐患更改,但是届时您将进入TLA领域。
#7 楼
请注意,某些公司设备已配置为禁用密码恢复。对于电信公司提供的CPE,例如Cisco路由器,这种情况并不罕见。您可能正在购买镇纸或零件供体。注意那些暗示它是big-local-telco提供的客户现场设备的贴纸,也许避免列出这些列表。
#8 楼
据我了解,我们讨论的模型是一种非昂贵的模型。然后,您最好担心出厂默认固件中的现有漏洞(硬编码密码,在自定义端口上打开telnet等)。因此,如果可能的话,只需将固件更新为DD-WRT或任何其他开源解决方案即可。评论
同意由于大多数路由器在发现其CVE或工厂后门时都无法获取更新,因此,即使将其保存在密封的盒子中,任何较旧的路由器也可能是不安全的。
–user185953
19年9月6日于10:32
#9 楼
并不是说这是一件平常的事,但是我将再添加一个答案,我很惊讶地看到没有其他人正确地提及我。使用路由器之前,需要先打开路由器。
如果看到类似这样的内容...
...那么,很可能有人可以使用以下其中一种来轻松嗅探您的以太网数据包:
这不是一件好事。这意味着所有非安全流量将对第三方可见。他们也可以轻松嗅探WiFi数据包。
如果发现路由器包装内隐藏有任何奇怪的布线,建议不要使用它。您最好立即将其丢弃。
我并不是说这很常见,但是通过这样简单的检查,您就可以避免被监视。您永远都不知道路由器的来源。
评论
在没有硬件植入的情况下危害路由器将非常容易。
–森林
19年2月24日在5:56
评论
@R ..购买二手商品并不一定只是省钱答案主要是关于固件。可能存在有害的自定义固件,但可以通过恢复出厂设置或从制造商处安装最新固件来解决。但是,如何确定没有硬件更改呢?我认为读取或修改流量不需要太多。另外,如果您要下载并安装新固件,则必须首先连接它,这是否已经受到威胁?除了不变的路由器,我永远不会买任何东西。
有时您甚至不能信任新路由器:NSA“升级”工厂的照片显示思科路由器正在植入。
@ user2390246对于路由器,您还有什么其他可能的原因?我的意思是,也许如果您想要一个不再制造的特定模型,但这似乎是一个非常极端和不寻常的用例,您仍然可能会在某个地方找到它。
@only_pro减少浪费