路由器安全:9個(gè)設(shè)置將不法分子拒之門外
譯文想確保通過寬帶連接的小型網(wǎng)絡(luò)的安全,家庭和小型辦公室路由器必不可少;不過直到最近,還是很少有人談起此類路由器可能會帶來安全漏洞。除了告訴人們使用無線加密技術(shù)外,它們實(shí)際上被忽視了。
事實(shí)上,需要注意的絕不止這點(diǎn)。與此同時(shí),攻擊數(shù)量越來越多。現(xiàn)在外頭有好多路由器安全方面的建議/忠告,但并非所有建議/忠告都是普遍用戶易于遵循的。為此我們采訪了Tripwire公司的Craig Young,試著不但厘清最佳建議/忠告,還試著厘清背后的思路。如果你確實(shí)應(yīng)該關(guān)閉路由器上的易受攻擊服務(wù)以阻止遠(yuǎn)程黑客,那么這么做有沒有任何弊端?
下面的所有建議/忠告可以通過任何家庭路由器上的管理界面來獲得(通常只要在Web瀏覽器的地址欄里面輸入192.168.1.0),不過每項(xiàng)設(shè)置的修改方式因具體型號而異。
問:請問家庭路由器及其安全存在的核心問題是什么?
Craig Young:家庭辦公室(SOHO)路由器安全是個(gè)不可忽視的問題,可能會給我們所知道的互聯(lián)網(wǎng)帶來重大破壞。據(jù)美國人口普查局聲稱,2013年,73.4%的家庭聲稱擁有高速網(wǎng)絡(luò)連接。我們的調(diào)查表明,五分之四的暢銷家庭路由器很容易遭到攻擊;只要借助隨處可見的報(bào)告漏洞,就能攻陷其中近一半的路由器。我大致估算了一下,25%至30%的美國家庭使用的路由器很容易遭到已知/公布的漏洞的攻擊――至于使用存在易于發(fā)現(xiàn)的漏洞的路由器的家庭,那更是多了去了。可以利用所有這些高危設(shè)備的累積帶寬,對任何目標(biāo)發(fā)動災(zāi)難性的分布式拒絕服務(wù)(DDoS)攻擊。黑客組織Lizard Squad等一些威脅者已經(jīng)在開始出售從被劫持的家庭路由器盜用帶寬的DDoS服務(wù)。
問:您建議禁用通過互聯(lián)網(wǎng)遠(yuǎn)程管理的功能。這項(xiàng)功能過去在默認(rèn)情況下被許多家庭路由器啟用,而最近路由器禁用了這個(gè)設(shè)置――如今只好啟用這個(gè)設(shè)置,而不是關(guān)閉這個(gè)設(shè)置。
Craig Young:沒錯,通常而言,遠(yuǎn)程管理在許多最新一代的SOHO路由器上默認(rèn)情況下沒有被啟用。我一直在與路由器廠商打交道,并大力宣傳提高路由器安全;我發(fā)現(xiàn)了一種常見的想法:只有本地網(wǎng)絡(luò)上的人才能攻擊基于HTTP的路由器漏洞,除非遠(yuǎn)程管理被啟用。這真是一大誤解,因?yàn)椴环ǚ肿油耆梢越柚W(wǎng)絡(luò)釣魚活動、惡意廣告或者其他社會工程學(xué)伎倆,實(shí)施跨站攻擊。
問:您認(rèn)為有必要也要關(guān)閉UPnP支持嗎?
Craig Young:UPnP 是我會關(guān)閉的諸多功能/特性之一。不僅事實(shí)已證明流行的UPnP庫存在無數(shù)的重大安全漏洞;就其本質(zhì)上而言,通用即插即用(Universal Plug and Play)還是一項(xiàng)通過犧牲安全來換取便利的技術(shù)。就個(gè)人而言,我認(rèn)為,讓未經(jīng)授權(quán)的軟件或設(shè)備可以伺機(jī)試探邊界防火墻的漏洞這一想法很可笑。
問:人們被告知別使用默認(rèn)的IP地址范圍,比如192.168.1.1。人們對于這個(gè)范圍之外的專用地址范圍還有很多困惑。您建議使用10.9.8.7或之類的地址,以防范跨站請求偽造(CSRF)攻擊,但是為什么這一招如此有效?這對中小企業(yè)或家庭用戶來說有沒有任何弊端?
Craig Young:互聯(lián)網(wǎng)任務(wù)工程組(IETF)在1996年發(fā)布的RFC1918中定義了專用地址范圍。該文檔劃定了三個(gè)將不通過互聯(lián)網(wǎng)來路由的互聯(lián)網(wǎng)地址范圍,那樣它們可以留給專用的IPv4網(wǎng)絡(luò),比如家庭局域網(wǎng)。預(yù)留地址中最大一部分擁有10/8前綴,這意味著以“10”開頭的1600多萬個(gè)地址中的任何一個(gè)地址都可以用于專用網(wǎng)絡(luò)。總共有近1800萬個(gè)地址可供專用網(wǎng)絡(luò)使用,但是只有4個(gè)或5個(gè)地址往往被用作SOSH路由器的默認(rèn)地址。
跨站請求偽造(CSRF)是這樣一種攻擊:受害者的Web瀏覽器被濫用,連接至因身份驗(yàn)證或防火墻機(jī)制而并不提供給攻擊者的服務(wù)。傳統(tǒng)上,CSRF被不法分子用來利用Web瀏覽器與Web應(yīng)用程序的信任關(guān)系。這通常意味著,受害者在訪問惡意內(nèi)容時(shí)勢必登錄進(jìn)入到易受攻擊的應(yīng)用程序。然而我發(fā)現(xiàn),幾款非常流行的路由器存在驗(yàn)證機(jī)制很薄弱的問題,因而有人有可能利用CSRF篡改路由器設(shè)置,或者通過可以從連接至本地網(wǎng)絡(luò)的任何系統(tǒng)發(fā)送出去的簡單Web請求,達(dá)到執(zhí)行代碼這一目的。
在這兩種情況下,攻擊者必須知道或正確準(zhǔn)中路由器的地址。如果使用默認(rèn)的路由器設(shè)置,攻擊網(wǎng)站可以輕而易舉知道路由器地址。這是由于,SOHO路由器廠商們只使用近1800萬個(gè)可用專用地址中的四五個(gè)地址。若使用這些默認(rèn)地址中的一個(gè)地址(比如192.168.0.1、192.168.1.1、192.168.2.1或10.0.0.1等),大大減少了CSRF攻擊得逞需要猜測的工作量。
遺憾的是,一些路由器廠商為某個(gè)品牌的所有路由器提供了寫死(hardcoded)的DNS條目(比如routerlogin.net、tplinklogin.net或dlinkrouter.local等),此舉無異于進(jìn)一步為CSRF提供了便利。即便采用非標(biāo)準(zhǔn)的IP地址,這些主機(jī)名稱對CSRF攻擊來說仍然很有用。然而,可以通過更改網(wǎng)絡(luò)上設(shè)備的配置,避免這種基于主機(jī)名稱的CSRF。其基本思想就是,給任何本地計(jì)算機(jī)添加主機(jī)記錄,那樣它們根本不會發(fā)送獲取路由器的寫死主機(jī)名稱的DNS請求(大多數(shù)操作系統(tǒng)有一個(gè)“hosts”文件或類似的文件,允許本地執(zhí)行主機(jī)名稱查詢,而不是從DNS來執(zhí)行查詢)。
在我看來,家庭用戶更改路由器的IP地址分配方案基本上沒有什么弊端。唯一要擔(dān)心的問題就是,如果設(shè)備主人需要訪問路由器界面,但是又不記得新的IP地址。只需將路由器的IP地址記下來,完全可以避免這個(gè)問題;或者查看網(wǎng)絡(luò)上任何設(shè)備的網(wǎng)絡(luò)設(shè)置,就能化解這個(gè)問題。#p#
問:您還建議開啟WPA無線加密功能,關(guān)閉用來連接新設(shè)備的WPS Wi-Fi setup。大多數(shù)人為無線網(wǎng)絡(luò)開啟了WPA2加密,卻忽視了WPS功能,無論他們有沒有使用該功能。攻擊者必須挨近路由器才能得逞,那么為什么這還存在很大的風(fēng)險(xiǎn)?
Craig Young:這些建議旨在防止不速之客訪問你的專用網(wǎng)絡(luò)或者使用你的互聯(lián)網(wǎng)連接從事犯罪活動。這在城市地區(qū)顯得尤其重要;因?yàn)樵诔鞘校S多無線網(wǎng)絡(luò)可以從某人家里不受干擾的情況下接入。雖然擁有強(qiáng)口令短語的WPA2在阻止鄰居接入你的無線局域網(wǎng)方面很奏效,但是當(dāng)鄰近設(shè)備提供正確的8位數(shù)PIN后,WPS被設(shè)計(jì)成可以共享這個(gè)口令短語。
由于協(xié)議本身存在設(shè)計(jì)缺陷,攻擊者沒必要試遍所有的100000000種組合,而是頂多猜測11000次。雪上加霜的是,眾多路由器上存在廠商實(shí)施方面的缺陷,因而攻擊者就有可能只要猜測一下,然后根據(jù)收到的回應(yīng)計(jì)算一番,就有可能查明WPS PIN。
一旦攻擊者進(jìn)入你的網(wǎng)絡(luò),他們就會進(jìn)而攻擊路由器、本地計(jì)算機(jī)或其他聯(lián)網(wǎng)設(shè)備。當(dāng)然,另一種可怕的場景就是,執(zhí)法人員破門而入,原因是你家的互聯(lián)網(wǎng)連接被用來從事犯罪活動。說到底,在一些情況下,附近的攻擊者可能企圖接入你的網(wǎng)絡(luò),無論其目的僅僅是‘蹭網(wǎng)’還是更居心叵測,而WPS在某種程度上就像一張名片,告訴別人“先來試試我”。
問:您建議,人們在配置路由器后應(yīng)退出。一些路由器卻不會自動退出,但是為什么這至關(guān)重要?
Craig Young:這又要回到驗(yàn)證CSRF這個(gè)問題了。登錄進(jìn)入到任何網(wǎng)站(包括路由器管理頁面)后,瀏覽器必須含有每次請求方面的驗(yàn)證信息,那樣目標(biāo)服務(wù)器才能知道它是已通過驗(yàn)證的請求。退出系統(tǒng)的目的是讓驗(yàn)證信息無效,指令瀏覽器別將該信息連同隨后的請求一起發(fā)送。如果沒有執(zhí)行這個(gè)退出過程(路由器自動退出或用戶有意退出),任何網(wǎng)頁就有可能向路由器發(fā)出請求,作為已通過驗(yàn)證的命令加以處理。驗(yàn)證CSRF在SOHO路由器當(dāng)中幾乎普遍存在,通常被用來執(zhí)行一些動作,比如重新配置路由器,以便從攻擊者控制的DNS執(zhí)行域名查詢。
問:密碼很重要。但密碼應(yīng)該有多強(qiáng)?您會建議頻繁更改密碼,連同用戶名一起更改嗎?
Craig Young:當(dāng)務(wù)之急應(yīng)該是更改默認(rèn)密碼。如果有可能的話,一同更改用戶名有助于挫敗自動執(zhí)行的密碼攻擊。雖然我肯定會建議人們比較頻繁地更改密碼,但在大多數(shù)情況下,只要設(shè)置一次強(qiáng)密碼不用管它,應(yīng)該足夠安全。然而,如果遠(yuǎn)程管理功能被啟用,頻繁更改密碼確實(shí)變得更為重要。首先是由于遠(yuǎn)程管理會招致遠(yuǎn)程蠻力密碼猜測,其次是由于一旦路由器被人從外面訪問,路由器密碼遭到危及的可能性就要大得多。許多設(shè)備并不使用SSL協(xié)議;一些設(shè)備就算使用SSL,也帶有所謂的自簽名證書。這樣一來,管理連接不僅暴露在主動的中間人攻擊面前,還暴露在被動監(jiān)聽行為面前。
問:讓路由器固件確保版本最新很重要,但是說起來容易做起來難――許多廠商從不在第一年后發(fā)布路由器的固件更新版。不是選擇一款價(jià)格更高的路由器品牌,就是選擇一款為小企業(yè)用戶設(shè)計(jì)的高端產(chǎn)品,果真只能這樣嗎?
Craig Young:很遺憾,說到固件更新,廠商確實(shí)經(jīng)常把最終用戶晾在一邊。這個(gè)領(lǐng)域的許多廠商不愿投入另外的時(shí)間來修復(fù)現(xiàn)有產(chǎn)品系列存在的安全漏洞,覺得這么做不劃算。雖然這在一些情況下可能與利潤很薄有關(guān),但我們的研究并沒有表明路由器的銷售價(jià)與相對安全性之間有著任何緊密關(guān)系。同樣,根據(jù)我的經(jīng)驗(yàn),花更多的錢購買一款路由器并不意味著這家廠商會更加迅即地處理報(bào)告的漏洞。實(shí)際上,就在準(zhǔn)備參加DEF CON 22 SOHOpelessly Broken路由器破解大賽期間,我發(fā)現(xiàn)一款價(jià)格較低的路由器很迅速地獲得了更新版,而這次比賽中最昂貴的路由器卻仍在等待各個(gè)修正版。
如果你想花錢換取一種更安全的體驗(yàn),最好應(yīng)該完全撇開SOHO市場,直接購置企業(yè)級設(shè)備。真正銷售企業(yè)級產(chǎn)品的廠商通常擁有資源豐富的安全團(tuán)隊(duì),以評估和響應(yīng)威脅。在企業(yè)領(lǐng)域,廠商們非常注重維護(hù)良好安全的聲譽(yù),因?yàn)槠髽I(yè)用戶面臨的風(fēng)險(xiǎn)通常要高得多。出人意料的是,由于家庭路由器上的功能特性越來越多,企業(yè)級路由器和SOHO路由器之間的價(jià)格差異卻在縮小。當(dāng)然了,在SOHO環(huán)境下使用企業(yè)級IT設(shè)備存在的問題是,大多數(shù)SOHO并沒有一支企業(yè)IT團(tuán)隊(duì)來配置和管理網(wǎng)絡(luò)。
問:使用替代的路由器固件怎么樣?如果您使用一款家庭路由器,您認(rèn)為有沒有必要關(guān)注DD-WRT之類的路由器固件,還是說這最好交給技術(shù)人員去做?想避免安全漏洞,最好的辦法之一就是,使用攻擊者可能不太熟悉的軟件,或者是更新較為頻繁的軟件。
Craig Young:對高級用戶們來說,使用替代的開放固件肯定有其優(yōu)點(diǎn),但是它未必就比商用路由器固件來得更安全,或者甚至來得更頻繁地更新。早在2012年,我在測試一款運(yùn)行DD-WRT v24-sp2的D-Link設(shè)備期間,向DD-WRT報(bào)告了一處缺陷。兩年半過后,報(bào)告的這個(gè)缺陷依然沒有修復(fù)。對高級用戶而言的優(yōu)點(diǎn)包括:能夠在消費(fèi)級硬件上享有企業(yè)級功能特性,另外還能自行修復(fù)缺陷、刪除不需要的服務(wù),以及真正做到對路由器嚴(yán)加保護(hù)。然而對于不懂技術(shù)的用戶來說,好處要小得多,配置系統(tǒng)起來卻困難得多。
問:您是否贊賞出現(xiàn)在一些高端家庭路由器上的高端安全功能/特性?如今這些常常包括“路由器安全評估”、惡意網(wǎng)站阻擋和漏洞防護(hù)等安全功能。比如說,華碩公司已開始在路由器里面采用趨勢科技公司的安全技術(shù)。這就可以解決路由器配置不當(dāng)這整個(gè)問題嗎?
Craig Young:互聯(lián)網(wǎng)聲譽(yù)引擎對于檢測及挫敗基于互聯(lián)網(wǎng)的攻擊(比如惡意廣告和攻擊軟件套件)確實(shí)很有效。像內(nèi)置趨勢科技技術(shù)的華碩路由器或ITUS Networks的Shield家庭互聯(lián)網(wǎng)安全解決方案這些技術(shù),甚至可以檢測并阻止一些針對路由器的攻擊,或者識別不安全的配置。不過擁有這些類型功能的任何SOHO產(chǎn)品還有待我去評估一下,但我認(rèn)為研究會繼續(xù)表明SOHO路由器是互聯(lián)網(wǎng)安全的一個(gè)薄弱環(huán)節(jié)。
英文:Home router security 2015 - 9 settings that will keep the bad guys out
