多个路由器会增加安全性吗?

信息安全 路由器 固件
2021-08-15 07:19:30

我的流量依次通过 6 个路由器。

+----------+                       +----------+
|          |           192.168.3.2 |          |
| Internet |           +---------->+ Router 4 |
|          |           |           |          |
+-+--------+           |           +-+--------+
  ^                    |             ^  192.168.4.1
  |                    |             |
  v  203.0.113.74      |             v  192.168.4.2
+-+--------+           |           +-+--------+
|          |           |           |          |
| Router 1 |           |           | Router 5 |
|          |           |           |          |
+-+--------+           |           +-+--------+
  ^  192.168.1.1       |             ^  192.168.5.1
  |                    |             |
  v  192.168.1.2       |             v  192.168.5.2
+-+--------+           |           +-+--------+
|          |           |           |          |
| Router 2 |           |           | Router 6 |
|          |           |           |          |
+-+--------+           |           +-+--------+
  ^  192.168.2.1       |             ^  192.168.6.1
  |                    |             |
  v  192.168.2.2       |             v  192.168.6.2
+-+--------+           |           +-+--------+
|          |           |           |          |
| Router 3 +<----------+           | Computer |
|          | 192.168.3.1           |          |
+----------+                       +----------+

每个路由器都有不同的固件(德国、美国、中国、瑞典......)

如果在路由器上发现故障,或安装了后门,或者出于任何原因,一个 RouterLvl1 受到威胁,攻击者应该破解从 lvl2 到 lvl6 的所有其他路由器以访问我的 PC。

我这样做是因为我有很多旧的未使用的小而便宜的路由器。是否有意义?在您看来,每个路由器的安全性是否增加了全球安全性?

4个回答

它在纸上可能看起来不错,但这是一个糟糕的主意。

您假设进入您的 PC 的唯一方法是从第一跳,即离您较近的路由器,并且要入侵一个设备,前一个设备也应该被入侵。这种假设是不正确的。

进一步扩展您的网络,有几个企业级路由器,由经验丰富的系统管理员团队管理,如果您的假设是正确的,要入侵您的 PC,这些路由器也应该被入侵,对吧?但我们知道这不是它的工作原理。

现在,回到现实世界。一个攻击者不需要入侵他们的计算机和您的计算机之间的每一台设备,只需一个(甚至没有)就足够了。如果攻击者想对你进行中间人攻击,现在他有 6 个路由器要攻击,只需要实现一个。当他们被锁住时,MitM 一方面意味着大部分流量都在他的控制之下。SSL 将在这里保护您,但非 SSL 协议(SMTP、IMAP、DNS、FTP)都容易受到攻击。

因此,攻击者可以拥有六个目标,而不是只有一个目标。您将需要多六倍的工作来保持这些路由器的更新和安全。一台路由器中出现一个 0 日的可能性低于六台路由器中的任何一台中出现一个 0 日的可能性。

如果攻击者似乎不太可能针对链中的一个内部路由器,请记住,用户可能会被引导到向内部 IP 子网(10.0.0.0/8、192.168.0.0/24、192.168.0.1)发出请求的页面/24 等),而他则在观看猫视频。如果任何路由器响应,它就可能受到来自用户 PC 的攻击。

如果攻击者可以在用户 PC 上执行代码,它就可以运行traceroute并获取每个路由器的地址,并使用用户 PC 作为代理从内部直接攻击每个路由器。NAT 根本不保护它们。

我们过去常说,任何链条都与其最薄弱的环节一样强大,而您在链条上添加了许多不必要的环节。

这取决于安全性从何而来?

如果一个典型的单个路由器被入侵,那么入侵会做什么?

通常,这使其可以用作僵尸攻击平台,归咎于您而不是攻击者。它允许流量重定向。它可能被用作在网络内部进行攻击的平台,但希望您的计算机即使在您的网络内也不会对未经请求的访问开放。物联网(物联网)是一个完全不同的讨论。

因此,在您使用多个路由器的情况下(假设它们并非全部启用 WiFi),第一个路由器 LVL1 受到完全相同的攻击空间和盗用。

那么问题就变成了后续的路由器是帮助还是伤害?

是的,它们可能会抑制活动的内部网络扫描,但仅此而已。LVL1 已被破坏,您已经遇到了严重的问题。

它们还将影响有效的 MTU 值,略微降低吞吐量。

一些实时双向音频和视频应用程序可能会遇到多级 NAT 的问题。

您可能需要多个路由器的一些原因。

您的 ISP 保持对其提供的路由器的无限制访问。您可能希望从您的第一个路由器桥接第二个路由器,以使它们远离您的网络。

您可能需要二级甚至三级 WiFi 接入点来控制朋友和邻居的网络访问。

如果所有路由器都在同一个子网中,那么您只会增加攻击面并降低安全性。

如果所有路由器都使用 NAT 来路由 IPv4 流量,那么您只是略微提高了安全性。只是略微因为对路由器固件的攻击并不常见。

如果您允许 IPv6 流量,如果它们充当防火墙,则会略微提高安全性。但是,如果它们对 IPv6 流量是透明的,那么它们只是更多的目标,都可以从 Internet 访问。一旦受到攻击,这样的路由器就可以用作中间人攻击的平台。

我曾经在幻灯片中看到过这种设计,以防止政府级后门,但它是开玩笑的,只有 3 层。更一般地说,直观地同时使用华为和思科路由器,以便分别防止美国和中国的后门

问题在于链接(正如其他人所展示的那样,它使设计变得更糟)和路由器可以提供的保护。

我认为这里的主要问题是入侵您的 PC 的概念。hacking或正确破解这个词是如此广泛,以至于它在这里并不完全适用。

虽然问题是措辞getting to my pc,但我解释说,在安全范围内,OP 的问题可能是hacking into the pc.

恶意路由器可以随时中断、转移或产生流量。正如其他人所说明的那样,拥有 6 台路由器的菊花链不仅扩大了攻击面(通过恶意使一台路由器脱机,您就处于脱机状态)。不仅如此:如果6个路由器的其中一个电源线出现故障,您也将处于离线状态!!!

为了从网络入侵您的 PC,攻击者必须利用您 PC(硬件、操作系统或应用程序)中的漏洞并从 LAN 中利用它。单个 NAT 可防止从外部访问您的 PC。但是如果将路由器用作 6 个 NAT,每个添加一层 IP 重写,则您将选择最后一个节点作为攻击目标。如果有一个后门允许攻击者从您的 LAN 中获得控制权并发送流量,则路由器必须受到攻击。根据链接路由器的顺序,您有 1/6 的概率选择恶意的。

此外,正如其他人所解释的,流量可以被任何路由器转移(MitM)让我们使用“Among us”游戏的数学:如果一个路由器是冒名顶替者,而您随机选择谁来路由您的流量,那么您有 1/6 的几率选择冒名顶替者如果您选择全部,您的网络中将有一个冒名顶替者可以破坏。

请注意,普通路由器无法防止攻击。您需要一个能够分析流量并检测异常模式入侵检测器一些企业设备采用了这种技术。

总之,我认为这个问题没有被正确地问到,因为你没有正确地问自己关于攻击范围的问题。但我知道这个问题是出于好奇而提出的。

其它你可能感兴趣的问题
上一篇为什么带有电话验证的应用会向用户发送消息,而不是让用户向他们发送消息? 下一篇像 Virtualbox 这样的虚拟机会是我工作时日常安全的最佳选择吗?