我的 ISP 提供了一个组合框(ONT + 路由器 + 交换机 + Wi-Fi),他们可以远程管理,可能使用 TR-069。它们会自动将默认配置推送到设备。在我恢复出厂设置并更改 root 帐户密码后,他们甚至可以在插入光纤电缆后用他们的密码覆盖密码。不过,此后用户的更改仍然存在。
他们能完全控制设备吗?如果是这种情况,如果我在生产环境中使用该盒子,很可能存在安全风险。
TR-069 是否存在安全风险?
网络工程
安全
2021-07-13 11:17:57
1个回答
潜在地,对路由器的任何访问都存在安全风险,对于公司以外的人来说更是如此。
大多数 TR-069 实现允许 ISP 做任何事情。如果您基本上不信任它们(我不会),您需要将路由器与您的网络隔离 - 在两者之间放置您自己的路由器/防火墙。大多数情况下,最好的选择是让 ISP 路由器处于“公共路由”配置 - 在 Internet 访问和您分配的公共子网之间的简单路由 - 并将其连接到您自己的路由器/NAT/防火墙盒。