我的问题分为三个部分:
一旦 WiFi 路由器到了不再提供官方固件更新的年龄,它到底有多不安全?我主要考虑的是一些黑客从 WAN 端接触到我们 LAN 上相对不安全的设备的风险。
与 1 相同的问题 - 但已禁用路由器上所有可从互联网访问的服务,即远程管理、SSH、AiCloud 服务器等。
与 1 相同的问题 - 但是在路由器上安装的是 DD-WRT 而不是官方固件?
答案1
通俗地说,“旧” WiFi /路由器有两种可能的攻击媒介:
对于第一次攻击,重要的是路由器仍然得到维护并且安全更新及时分发。
通过切换到安全协议可以避免第二种攻击媒介。
因此,最终路由器有多旧并不重要,只要路由器仍得到维护并且为您提供使用安全协议的选项。
如果您使用的路由器不再维护,漏洞将不会再发布。无论您关闭哪些服务都不再重要,剩余服务中总有可能存在漏洞。您可以通过使用开源固件并自行维护来降低风险,但这非常耗时,通常不值得仅为一台设备这样做。
如果您不能冒未经授权访问的风险,请不要使用过时的路由器!否则,您必须事先进行风险评估,但在这里以超级用户身份执行此操作对您来说太复杂了。您需要直接咨询专家。
答案2
大多数消费级路由器从一开始就不是那么安全,即使是全新的路由器也是如此。新上市的路由器的出厂固件通常基于已有多年历史且充满旧漏洞的 Linux 内核或发行版。通常,公司(或他们从其购买设计的无名外国 OEM/ODM)会曾经分叉旧发行版进行内部开发,并且从那时起就一直使用同一版本,从不费心将内核或任何其他子系统更新为带有最新安全补丁的最新开源版本,除非他们被特别指出仍然存在一些早已在所有最新发行版中修补的旧漏洞。
当您使用售后 Linux 路由器固件发行版时,至少您可以看到您得到了什么,并且您可以查找该发行版中使用的所有开源组件的所有 CVE,但您最终可能会花费大量时间。
最后,如果您希望对网络的安全性感到满意,而又不必亲自成为 Linux 路由器安全专家,那么您应该选择一家以安全为荣的公司生产的产品。
答案3
尝试给出一个一般性的答案:
即使是“新”东西也可能存在漏洞。
我想说固件的年龄是一个因素,看来更新是必须的。
另一个因素是固件内容以及您实际激活的功能部分 - 以及这些功能是否在外部“可见”(即可从外部访问)。
固件越复杂,其中的功能越多(启用!),风险就越高。
总体而言:与实际包含的代码相比,DD-WRT 可能更安全,也更容易受到攻击 - 很大程度上取决于内容。
我可以想象人们可能会通过谷歌搜索 MTBF / MTTF 计算获得一些见解......