想確保通過寬帶連接的小型網絡的安全,家庭和小型辦公室路由器必不可少;不過直到最近,還是很少有人談起此類路由器可能會帶來安全漏洞。除了告訴人們使用無線加密技術外,它們實際上被忽視了。
事實上,需要注意的絕不止這點。與此同時,攻擊數量越來越多。現在外頭有好多路由器安全方面的建議/忠告,但并非所有建議/忠告都是普遍用戶易于遵循的。為此我們采訪了Tripwire公司的Craig Young,試著不但厘清最佳建議/忠告,還試著厘清背后的思路。如果你確實應該關閉路由器上的易受攻擊服務以阻止遠程黑客,那么這么做有沒有任何弊端?
下面的所有建議/忠告可以通過任何家庭路由器上的管理界面來獲得(通常只要在Web瀏覽器的地址欄里面輸入192.168.1.0),不過每項設置的修改方式因具體型號而異。
問:請問家庭路由器及其安全存在的核心問題是什么?
Craig Young:家庭辦公室(SOHO)路由器安全是個不可忽視的問題,可能會給我們所知道的互聯網帶來重大破壞。據美國人口普查局聲稱,2013年,73.4%的家庭聲稱擁有高速網絡連接。我們的調查表明,五分之四的暢銷家庭路由器很容易遭到攻擊;只要借助隨處可見的報告漏洞,就能攻陷其中近一半的路由器。我大致估算了一下,25%至30%的美國家庭使用的路由器很容易遭到已知/公布的漏洞的攻擊――至于使用存在易于發現的漏洞的路由器的家庭,那更是多了去了。可以利用所有這些高危設備的累積帶寬,對任何目標發動災難性的分布式拒絕服務(DDoS)攻擊。黑客組織Lizard Squad等一些威脅者已經在開始出售從被劫持的家庭路由器盜用帶寬的DDoS服務。
問:您建議禁用通過互聯網遠程管理的功能。這項功能過去在默認情況下被許多家庭路由器啟用,而最近路由器禁用了這個設置――如今只好啟用這個設置,而不是關閉這個設置。
Craig Young:沒錯,通常而言,遠程管理在許多最新一代的SOHO路由器上默認情況下沒有被啟用。我一直在與路由器廠商打交道,并大力宣傳提高路由器安全;我發現了一種常見的想法:只有本地網絡上的人才能攻擊基于HTTP的路由器漏洞,除非遠程管理被啟用。這真是一大誤解,因為不法分子完全可以借助網絡釣魚活動、惡意廣告或者其他社會工程學伎倆,實施跨站攻擊。
問:您認為有必要也要關閉UPnP支持嗎?
Craig Young:UPnP 是我會關閉的諸多功能/特性之一。不僅事實已證明流行的UPnP庫存在無數的重大安全漏洞;就其本質上而言,通用即插即用(Universal Plug and Play)還是一項通過犧牲安全來換取便利的技術。就個人而言,我認為,讓未經授權的軟件或設備可以伺機試探邊界防火墻的漏洞這一想法很可笑。
問:人們被告知別使用默認的IP地址范圍,比如192.168.1.1。人們對于這個范圍之外的專用地址范圍還有很多困惑。您建議使用10.9.8.7或之類的地址,以防范跨站請求偽造(CSRF)攻擊,但是為什么這一招如此有效?這對中小企業或家庭用戶來說有沒有任何弊端?
Craig Young:互聯網任務工程組(IETF)在1996年發布的RFC1918中定義了專用地址范圍。該文檔劃定了三個將不通過互聯網來路由的互聯網地址范圍,那樣它們可以留給專用的IPv4網絡,比如家庭局域網。預留地址中最大一部分擁有10/8前綴,這意味著以“10”開頭的1600多萬個地址中的任何一個地址都可以用于專用網絡。總共有近1800萬個地址可供專用網絡使用,但是只有4個或5個地址往往被用作SOSH路由器的默認地址。
跨站請求偽造(CSRF)是這樣一種攻擊:受害者的Web瀏覽器被濫用,連接至因身份驗證或防火墻機制而并不提供給攻擊者的服務。傳統上,CSRF被不法分子用來利用Web瀏覽器與Web應用程序的信任關系。這通常意味著,受害者在訪問惡意內容時勢必登錄進入到易受攻擊的應用程序。然而我發現,幾款非常流行的路由器存在驗證機制很薄弱的問題,因而有人有可能利用CSRF篡改路由器設置,或者通過可以從連接至本地網絡的任何系統發送出去的簡單Web請求,達到執行代碼這一目的。
在這兩種情況下,攻擊者必須知道或正確準中路由器的地址。如果使用默認的路由器設置,攻擊網站可以輕而易舉知道路由器地址。這是由于,SOHO路由器廠商們只使用近1800萬個可用專用地址中的四五個地址。若使用這些默認地址中的一個地址(比如192.168.0.1、192.168.1.1、192.168.2.1或10.0.0.1等),大大減少了CSRF攻擊得逞需要猜測的工作量。
遺憾的是,一些路由器廠商為某個品牌的所有路由器提供了寫死(hardcoded)的DNS條目(比如routerlogin.net、tplinklogin.net或dlinkrouter.local等),此舉無異于進一步為CSRF提供了便利。即便采用非標準的IP地址,這些主機名稱對CSRF攻擊來說仍然很有用。然而,可以通過更改網絡上設備的配置,避免這種基于主機名稱的CSRF。其基本思想就是,給任何本地計算機添加主機記錄,那樣它們根本不會發送獲取路由器的寫死主機名稱的DNS請求(大多數操作系統有一個“hosts”文件或類似的文件,允許本地執行主機名稱查詢,而不是從DNS來執行查詢)。
在我看來,家庭用戶更改路由器的IP地址分配方案基本上沒有什么弊端。唯一要擔心的問題就是,如果設備主人需要訪問路由器界面,但是又不記得新的IP地址。只需將路由器的IP地址記下來,完全可以避免這個問題;或者查看網絡上任何設備的網絡設置,就能化解這個問題。
問:您還建議開啟WPA無線加密功能,關閉用來連接新設備的WPS Wi-Fi setup。大多數人為無線網絡開啟了WPA2加密,卻忽視了WPS功能,無論他們有沒有使用該功能。攻擊者必須挨近路由器才能得逞,那么為什么這還存在很大的風險?
Craig Young:這些建議旨在防止不速之客訪問你的專用網絡或者使用你的互聯網連接從事犯罪活動。這在城市地區顯得尤其重要;因為在城市,許多無線網絡可以從某人家里不受干擾的情況下接入。雖然擁有強口令短語的WPA2在阻止鄰居接入你的無線局域網方面很奏效,但是當鄰近設備提供正確的8位數PIN后,WPS被設計成可以共享這個口令短語。
由于協議本身存在設計缺陷,攻擊者沒必要試遍所有的100000000種組合,而是頂多猜測11000次。雪上加霜的是,眾多路由器上存在廠商實施方面的缺陷,因而攻擊者就有可能只要猜測一下,然后根據收到的回應計算一番,就有可能查明WPS PIN。
一旦攻擊者進入你的網絡,他們就會進而攻擊路由器、本地計算機或其他聯網設備。當然,另一種可怕的場景就是,執法人員破門而入,原因是你家的互聯網連接被用來從事犯罪活動。說到底,在一些情況下,附近的攻擊者可能企圖接入你的網絡,無論其目的僅僅是‘蹭網’還是更居心叵測,而WPS在某種程度上就像一張名片,告訴別人“先來試試我”。
問:您建議,人們在配置路由器后應退出。一些路由器卻不會自動退出,但是為什么這至關重要?
Craig Young:這又要回到驗證CSRF這個問題了。登錄進入到任何網站(包括路由器管理頁面)后,瀏覽器必須含有每次請求方面的驗證信息,那樣目標服務器才能知道它是已通過驗證的請求。退出系統的目的是讓驗證信息無效,指令瀏覽器別將該信息連同隨后的請求一起發送。如果沒有執行這個退出過程(路由器自動退出或用戶有意退出),任何網頁就有可能向路由器發出請求,作為已通過驗證的命令加以處理。驗證CSRF在SOHO路由器當中幾乎普遍存在,通常被用來執行一些動作,比如重新配置路由器,以便從攻擊者控制的DNS執行域名查詢。
問:密碼很重要。但密碼應該有多強?您會建議頻繁更改密碼,連同用戶名一起更改嗎?
Craig Young:當務之急應該是更改默認密碼。如果有可能的話,一同更改用戶名有助于挫敗自動執行的密碼攻擊。雖然我肯定會建議人們比較頻繁地更改密碼,但在大多數情況下,只要設置一次強密碼不用管它,應該足夠安全。然而,如果遠程管理功能被啟用,頻繁更改密碼確實變得更為重要。首先是由于遠程管理會招致遠程蠻力密碼猜測,其次是由于一旦路由器被人從外面訪問,路由器密碼遭到危及的可能性就要大得多。許多設備并不使用SSL協議;一些設備就算使用SSL,也帶有所謂的自簽名證書。這樣一來,管理連接不僅暴露在主動的中間人攻擊面前,還暴露在被動監聽行為面前。
問:讓路由器固件確保版本最新很重要,但是說起來容易做起來難――許多廠商從不在第一年后發布路由器的固件更新版。不是選擇一款價格更高的路由器品牌,就是選擇一款為小企業用戶設計的高端產品,果真只能這樣嗎?
Craig Young:很遺憾,說到固件更新,廠商確實經常把最終用戶晾在一邊。這個領域的許多廠商不愿投入另外的時間來修復現有產品系列存在的安全漏洞,覺得這么做不劃算。雖然這在一些情況下可能與利潤很薄有關,但我們的研究并沒有表明路由器的銷售價與相對安全性之間有著任何緊密關系。同樣,根據我的經驗,花更多的錢購買一款路由器并不意味著這家廠商會更加迅即地處理報告的漏洞。實際上,就在準備參加DEF CON 22 SOHOpelessly Broken路由器破解大賽期間,我發現一款價格較低的路由器很迅速地獲得了更新版,而這次比賽中最昂貴的路由器卻仍在等待各個修正版。
如果你想花錢換取一種更安全的體驗,最好應該完全撇開SOHO市場,直接購置企業級設備。真正銷售企業級產品的廠商通常擁有資源豐富的安全團隊,以評估和響應威脅。在企業領域,廠商們非常注重維護良好安全的聲譽,因為企業用戶面臨的風險通常要高得多。出人意料的是,由于家庭路由器上的功能特性越來越多,企業級路由器和SOHO路由器之間的價格差異卻在縮小。當然了,在SOHO環境下使用企業級IT設備存在的問題是,大多數SOHO并沒有一支企業IT團隊來配置和管理網絡。
問:使用替代的路由器固件怎么樣?如果您使用一款家庭路由器,您認為有沒有必要關注DD-WRT之類的路由器固件,還是說這最好交給技術人員去做?想避免安全漏洞,最好的辦法之一就是,使用攻擊者可能不太熟悉的軟件,或者是更新較為頻繁的軟件。
Craig Young:對高級用戶們來說,使用替代的開放固件肯定有其優點,但是它未必就比商用路由器固件來得更安全,或者甚至來得更頻繁地更新。早在2012年,我在測試一款運行DD-WRT v24-sp2的D-Link設備期間,向DD-WRT報告了一處缺陷。兩年半過后,報告的這個缺陷依然沒有修復。對高級用戶而言的優點包括:能夠在消費級硬件上享有企業級功能特性,另外還能自行修復缺陷、刪除不需要的服務,以及真正做到對路由器嚴加保護。然而對于不懂技術的用戶來說,好處要小得多,配置系統起來卻困難得多。
問:您是否贊賞出現在一些高端家庭路由器上的高端安全功能/特性?如今這些常常包括“路由器安全評估”、惡意網站阻擋和漏洞防護等安全功能。比如說,華碩公司已開始在路由器里面采用趨勢科技公司的安全技術。這就可以解決路由器配置不當這整個問題嗎?
Craig Young:互聯網聲譽引擎對于檢測及挫敗基于互聯網的攻擊(比如惡意廣告和攻擊軟件套件)確實很有效。像內置趨勢科技技術的華碩路由器或ITUS Networks的Shield家庭互聯網安全解決方案這些技術,甚至可以檢測并阻止一些針對路由器的攻擊,或者識別不安全的配置。不過擁有這些類型功能的任何SOHO產品還有待我去評估一下,但我認為研究會繼續表明SOHO路由器是互聯網安全的一個薄弱環節。
京公網安備 11010502049343號