路由器安全問題正越來越多地受到業內關注,這對小型和大型企業的安全性都構成威脅。
僅在今年,我們就看到幾個高關注度的路由器安全問題。例如,dsl和無線路由器被發現包含多個漏洞。在dsl路由器的情況中,據稱,通過ausa和digicom等知名公司的路由器中telnet可訪問經過硬編碼的管理員級別的登入憑證。而在無線路由器的情況中,belkin系統被發現存在dns漏洞利用、明文傳輸韌體更新以及web使用者會話相關的漏洞。
有人可能會認為這種漏洞與最小型的企業沒什麼關係,但事實並非如此。現在很多較大型企業仍然使用dsl連線用於分支機構、專用製造裝置,特別是訪客無線網路,而很多被視為「關鍵基礎設施」部分的網路都可以通過這種連線被訪問以及被利用。很多調查都表明大部分it專業人士不知道其企業敏感資訊所在位置,由此,筆者可以肯定的是,很多這些路由器都沒有被視為重要資產——基於其基礎性和有限的可見性。
其他訊息方面,思科企業網路路由器可能受到synful knock惡意軟體的「感染」。最近有人發現某些思科企業路由器安裝了修改後的ios映象,這可能導致隨後遭遇攻擊。但由於在大多數企業都需要物理訪問和管理員身份憑證,這種風險可能不是很高,不過,這仍然會帶來風險。一款被稱為synful knock scanner的工具可以用於發現企業中可能已經被感染的路由器。
正如最近這些漏洞所證明的那樣,企業不能再對這些核心網路系統的安全性掉以輕心。
不過,這些路由器安全問題並不是新聞,幾十年以來,它們一直在給企業帶來基本安全挑戰。值得慶幸的是,現在我們有安全研究人員在發現和報告這些問題,使企業能夠相應地規劃和調整自己的安全戰略以阻止攻擊。對於路由器安全問題,企業面臨的的挑戰是,對這些系統的測試通常與對其他看似更關鍵的系統(例如伺服器、web應用和資料庫)的安全評估不一致。我們經常看到企業路由器完全不在外部或內部滲透測試的範圍內。在很多情況下,企業只有對路由器進行簡單的漏洞掃瞄,而沒有手動分析網路架構、系統配置等。畢竟,「這只是路由器」。
為了緩解路由器安全問題,並確保路由器最終不會成為最薄弱的網路環節,下面是網路和安全管理人員要採取的三個步驟:
1. 盤點所有路由器
你無法保護你不知道的東西。你知道你網路中的每個路由器嗎?你應該將這些系統登記到系統庫存中,以便你可以讓特定的**商來幫助你應對漏洞問題。
2. 掃瞄漏洞
使用nexpose或qualys等傳統漏洞掃瞄器掃瞄漏洞,但不要只是走馬觀花;應更加深入掃瞄正在執行的路由器服務,特別是web介面。筆者經常通過使用web漏洞掃瞄器(例如低成本而高效的netsparker或acunetix web漏洞掃瞄器)發現路由器中相對嚴重的安全漏洞(例如跨站指令碼和開放http**伺服器)。企業還可以使用netscantools pro和kali linux(例如思科global exploiter)等工具對路由器進行更有針對性的測試。同樣重要的是,企業應該持續監控路由器攻擊和異常行為,最好的方法是由專門的團隊或外包**商執行主動的全天候監控。
3. 修復、更新或者緩解
企業應將路由器新增到企業的整體補丁管理程式。路由器補丁往往較慢推向市場,並且,鑑於正常執行時間要求,這些補丁通常很難部署。如有必要,企業可以更換不再受到製造商關注的過時路由器,了解清楚如何進行更換,如果沒有其他選擇,企業可以使用安全控制(例如防火牆的阻止埠/服務)來盡量減小風險。
隨著時間的推移,我們會發現良好執行的資訊保安計畫不只是規定可接受計算機使用、高強度密碼、軟體修復的書面政策,網路的方方面面最終都必須進行檢查和鎖定。無論是網路中心的核心路由器還是遠端裝置的唯一dsl路由器,都可能受到攻擊,因此,網路和安全管理人員必須保持警覺,檢查所有系統,甚至是那些老舊的路由器。
原文發布時間為:2015-11-26
路由器安全
使用擴充套件訪問列表 擴充套件訪問列表是防止 dos攻擊的有效工具。它既可以用來探測 dos攻擊的型別,也可以阻止 dos攻擊。既可以限制源目的位址 tcp udp埠,還可以限制埠速率 show ip access list 命令能夠顯示每個擴充套件訪問列表的匹配資料報,根據資料報的型別,使用者就可...
雲安全問題與預防措施盤點
雲安全所面對的問題 第一,是虛擬化環境下的技術及管理問題。傳統的基於物理安全邊界的防護機制難以有效保護基於共享虛擬化環境下的使用者應用及資訊保安。另外就是,雲計算的系統如此之大,而且主要是通過虛擬機器進行計算,一旦出現故障,如何快速定位問題所在也是乙個重大挑戰。第二,是雲計算的服務模式將資源的所有權...
原創 路由器安全隨想
一些想法先記下來。問題 1.無線密碼顯示明碼,管理密碼顯示星號,明碼不安全。2.白名單,mac繫結,是寫死的值,也不安全,你不用別人可以用。3.手機聯網的手機號,明碼不安全。5.沒有限制聯上網次數 黑名單,因為windows有登陸次數限制,聯想到的。6.沒有把管理介面和非管理員使用者分離,只要聯網的...