专访 Daniil Baturin – VyOS

发布于 2022 年 11 月 29 日 由

采访了 VyOS 的联合创始人兼首席架构师
Daniil Baturin，谈到了网路安全、开源软体的网路安全优势，并提供了一些保护家庭或工作路由器的建议。

私人网路接入：VyOS 是如何开始的？它希望填补什么市场空缺？

Daniil Baturin ：有趣的是，VyOS 其实并不算新：它是旧项目 Vyatta Core 的一个分支。Vyatta公司是一家位于美国的初创企业。我曾是它的用户，然后成为了贡献者，接著成为员工，最后因为想要进行分支而离开了公司。最初，Vyatta采用了开放核心模型：开源且免费的 Vyatta Core 和包含专有附加功能的 Vyatta 订阅版本。在被 Brocade收购之前的最后几个月，Vyatta 公司悄悄地停用了开源版本，删除了论坛中所有内容的「黑客」部分（包括许多从未合并的社群制作的补丁），最终还下架了其源代码的
git 仓库。

我在自己的家庭路由器和实验室中使用 Vyatta，很多我的社群朋友也是如此，我无法想像它会消失，因此我们几位社群成员一起使用了最后一个公开的源代码，并接手了
Vyatta 公司留下的工作。这就是 VyOS 中「Vy」字母的来源。

VyOS 与其他专案的不同之处在于它支持各种用例，从小型办公室（网页代理、DNS 转发）到企业和服务提供商（动态路由），其出色的 CLI以及全系统配置验证，以及其开源许可证和可扩展性。

我们正在将这一愿景推向新的高度。
我们的口号是「普遍路由器」，我们特意关注那些被忽视的群体：例如，我们支持所有主要的云平台和虚拟化技术，而专有替代品通常聚焦于最大的几个。我们是首批支持
WireGuard 的产品之一，至今仍然是少数将站对站 OpenVPN 作为第一级网路协议支持的产品。

最重要的是，VyOS 不仅仅是在源代码上是开源的——我们的构建脚本是公开且易于使用的，我们用于向配置/CLI 添加新功能的 API也是公开且稳定的，并且我们接受社群的贡献。我们正在建立一个我们自己也想要使用的网路操作系统。

PIA：你们主要与企业还是个人合作，你们的旗舰产品是什么？

DB： 这取决于「合作」的定义。我们的大多数 LTS 版本用户——我们的付费客户——是企业。我们的商业模式是收取对预制 LTS影像和支持的访问费用，这与 RedHat 的模式类似，主要面向企业用户。

许多个人也使用 VyOS——网路爱好者在家庭路由器上运行它或建立家庭实验室，或是学习网路的人。他们要么使用滚动版本，要么如果他们为 VyOS作出贡献，可以免费获得 LTS 影像，或在 OpenCollective 上进行小额捐款。VyOS作为一个网路操作系统平台，是我们主要的，至今唯一的产品。大多数客户喜欢它的灵活性和各种功能，让他们能够用于不同的角色。不过，我们的独特之处在于可以将
VyOS用作自定义解决方案的基础，并根据自定义硬体或环境进行调整，或将新组件集成进去，仿佛它们一直都是它的一部分。虽然这尚不太受欢迎，但我们相信未来会有更多公司希望以这种方式使用
VyOS。

我们还计划推出额外的软体，帮助人们管理基于 VyOS 和其他网路设备的大型网路。

PIA：在改变我们访问网路的方式时，您面临哪些网路安全挑战？

DB： 从一开始，我们就处于远程工作和分布式团队的前沿，因为所有最终加入 VyOS团队的社群成员都分散在不同地方。我们访问网路的方式并没有真的改变，因为我们从未拥有过一个有明确边界的经典网路。当「内部」和「外部」之间没有明确划分时，就很难保持保护边界就是一切的错觉。所有网路一直需要全面的方法，只是最近几年才变得不可能再以旧的方式进行。

PIA：从网上安全的角度来看，开源软体相比于闭源软体的优势是什么？

DB： 至少，您可以亲自验证没有故意后门。当然，对于漏洞来说，情况更加复杂——如果开源足够，像 Heartbleed 或 Log4Shell这样的错误就不会发生。尽管如此，在专有软体中发现故意后门的案例要更常见。

不过，从长远来看，能够修改软体并从源代码构建是更重要的。使用开源软体，可以进行内部修复或应用补丁，而无需等待供应商提供正式版本的二进位档。如果原供应商搁置了该专案，也可以进行分支，就像
VyOS 的情况一样。当然，分支是一种最终手段，但即使在最糟糕的情况下，保持前进的路径也很重要。

PIA：您认为 VPN 是否应该成为企业和个人网路安全工具的组成部分？

DB： 难道它们不是已经如此吗？好吧，也许还没像应该的那么普遍。重要的是要记住，这只是解决方案的一部分，「我有一个 VPN隧道开启」并不保证隐私或安全。同样，了解您想要防止的具体威胁也很重要。例如，拆分隧道对于性能和带宽节省是一个很大优势，但如果攻击者实际上在监听您的所有流量，那么这也可能是一个严重弱点。使用来自恶意路由器的
DNS 伺服器的笔记本电脑对更多威胁也很脆弱——如果攻击者能欺骗您将流量发送到一个恶意伺服器，那么即使与该伺服器的连接安全，也没有帮助。VPN是一个很好的工具，但就像每个工具一样，必须正确使用，并作为全面安全策略的一部分。

PIA：有哪些网路威胁会威胁到个人路由器？您有什么建议或提示来保护您的网路？

DB：
通常的威胁并没有消失！许多人仍然认为，除非他们的家庭网路足够显眼，否则路由器并不是有吸引力的目标。其实，对于僵尸网路运营者来说，它们是非常有价值的资产，也是针对内部网路中更有价值的目标进行自动化攻击的良好入口。另一个攻击路由器的原因是，最终用户很少与其互动，内部内容通常故意隐藏在网页界面后面，因此比起被攻击的
PC，容易发现被攻陷的路由器更难，这样人们可能会发现攻击者已经拦截他们的流量并窃取数据数月甚至数年。

不过，由于个人路由器通常是独立设备，攻击者受限于经典攻击方式：远程可利用的漏洞、凭证盗窃和密码猜测。对这些问题的防护也很常见：保持软体更新、使用强大且独特的密码或其他身份验证方法，以及通过流量过滤或速率限制来减少暴力破解攻击的可能性。

不幸的是，软体更新的问题常常说得容易做得难。企业路由器的生命周期很长，并会持续接收多年的更新，然而消费者路由器却仍然被视为一次性设备——许多公司从未发布任何更新，也有许多情况是因为疏忽编程而产生了意外后门。即使供应商确实进行更新，通常也不会很好地告知用户：在哪里获得这些更新、如何应用它们以及为什么它们很重要。此外，许多
ISP 仍然阻止人们使用自己的路由器，数百万家庭路由器在用户更换 ISP 时成为了电子垃圾。

随著硬体变得越来越昂贵，我们相信可持续和安全的方法将成为唯一经济上可行的方法，家庭路由器将成为长期使用的设备，由客户选择和控制。教育客户网路安全仍将非常重要，但至少他们将拥有遵循建议的手段，而现在他们常常只能依赖路由器制造商和
ISP 的命运。