想確保通過(guò)寬帶連接的小型網(wǎng)絡(luò)的安全，家庭和小型辦公室路由器必不可少;不過(guò)直到最近，還是很少有人談起此類路由器可能會(huì)帶來(lái)安全漏洞。除了告訴人們使用無(wú)線加密技術(shù)外，它們實(shí)際上被忽視了。

[[133418]]

事實(shí)上，需要注意的絕不止這點(diǎn)。與此同時(shí)，攻擊數(shù)量越來(lái)越多。現(xiàn)在外頭有好多路由器安全方面的建議/忠告，但并非所有建議/忠告都是普遍用戶易于遵循的。為此我們采訪了Tripwire公司的Craig Young，試著不但厘清最佳建議/忠告，還試著厘清背后的思路。如果你確實(shí)應(yīng)該關(guān)閉路由器上的易受攻擊服務(wù)以阻止遠(yuǎn)程黑客，那么這么做有沒(méi)有任何弊端?

下面的所有建議/忠告可以通過(guò)任何家庭路由器上的管理界面來(lái)獲得(通常只要在Web瀏覽器的地址欄里面輸入192.168.1.0)，不過(guò)每項(xiàng)設(shè)置的修改方式因具體型號(hào)而異。

問(wèn)：請(qǐng)問(wèn)家庭路由器及其安全存在的核心問(wèn)題是什么?

Craig Young：家庭辦公室(SOHO)路由器安全是個(gè)不可忽視的問(wèn)題，可能會(huì)給我們所知道的互聯(lián)網(wǎng)帶來(lái)重大破壞。據(jù)美國(guó)人口普查局聲稱，2013年，73.4%的家庭聲稱擁有高速網(wǎng)絡(luò)連接。我們的調(diào)查表明，五分之四的暢銷家庭路由器很容易遭到攻擊;只要借助隨處可見(jiàn)的報(bào)告漏洞，就能攻陷其中近一半的路由器。我大致估算了一下，25%至30%的美國(guó)家庭使用的路由器很容易遭到已知/公布的漏洞的攻擊――至于使用存在易于發(fā)現(xiàn)的漏洞的路由器的家庭，那更是多了去了?？梢岳盟羞@些高危設(shè)備的累積帶寬，對(duì)任何目標(biāo)發(fā)動(dòng)災(zāi)難性的分布式拒絕服務(wù)(DDoS)攻擊。黑客組織Lizard Squad等一些威脅者已經(jīng)在開(kāi)始出售從被劫持的家庭路由器盜用帶寬的DDoS服務(wù)。

問(wèn)：您建議禁用通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程管理的功能。這項(xiàng)功能過(guò)去在默認(rèn)情況下被許多家庭路由器啟用，而最近路由器禁用了這個(gè)設(shè)置――如今只好啟用這個(gè)設(shè)置，而不是關(guān)閉這個(gè)設(shè)置。

Craig Young：沒(méi)錯(cuò)，通常而言，遠(yuǎn)程管理在許多最新一代的SOHO路由器上默認(rèn)情況下沒(méi)有被啟用。我一直在與路由器廠商打交道，并大力宣傳提高路由器安全;我發(fā)現(xiàn)了一種常見(jiàn)的想法：只有本地網(wǎng)絡(luò)上的人才能攻擊基于HTTP的路由器漏洞，除非遠(yuǎn)程管理被啟用。這真是一大誤解，因?yàn)椴环ǚ肿油耆梢越柚W(wǎng)絡(luò)釣魚(yú)活動(dòng)、惡意廣告或者其他社會(huì)工程學(xué)伎倆，實(shí)施跨站攻擊。

問(wèn)：您認(rèn)為有必要也要關(guān)閉UPnP支持嗎?

Craig Young：UPnP 是我會(huì)關(guān)閉的諸多功能/特性之一。不僅事實(shí)已證明流行的UPnP庫(kù)存在無(wú)數(shù)的重大安全漏洞;就其本質(zhì)上而言，通用即插即用(Universal Plug and Play)還是一項(xiàng)通過(guò)犧牲安全來(lái)?yè)Q取便利的技術(shù)。就個(gè)人而言，我認(rèn)為，讓未經(jīng)授權(quán)的軟件或設(shè)備可以伺機(jī)試探邊界防火墻的漏洞這一想法很可笑。

問(wèn)：人們被告知?jiǎng)e使用默認(rèn)的IP地址范圍，比如192.168.1.1。人們對(duì)于這個(gè)范圍之外的專用地址范圍還有很多困惑。您建議使用10.9.8.7或之類的地址，以防范跨站請(qǐng)求偽造(CSRF)攻擊，但是為什么這一招如此有效?這對(duì)中小企業(yè)或家庭用戶來(lái)說(shuō)有沒(méi)有任何弊端?

Craig Young：互聯(lián)網(wǎng)任務(wù)工程組(IETF)在1996年發(fā)布的RFC1918中定義了專用地址范圍。該文檔劃定了三個(gè)將不通過(guò)互聯(lián)網(wǎng)來(lái)路由的互聯(lián)網(wǎng)地址范圍，那樣它們可以留給專用的IPv4網(wǎng)絡(luò)，比如家庭局域網(wǎng)。預(yù)留地址中最大一部分擁有10/8前綴，這意味著以“10”開(kāi)頭的1600多萬(wàn)個(gè)地址中的任何一個(gè)地址都可以用于專用網(wǎng)絡(luò)?？偣灿薪?800萬(wàn)個(gè)地址可供專用網(wǎng)絡(luò)使用，但是只有4個(gè)或5個(gè)地址往往被用作SOSH路由器的默認(rèn)地址。

跨站請(qǐng)求偽造(CSRF)是這樣一種攻擊：受害者的Web瀏覽器被濫用，連接至因身份驗(yàn)證或防火墻機(jī)制而并不提供給攻擊者的服務(wù)。傳統(tǒng)上，CSRF被不法分子用來(lái)利用Web瀏覽器與Web應(yīng)用程序的信任關(guān)系。這通常意味著，受害者在訪問(wèn)惡意內(nèi)容時(shí)勢(shì)必登錄進(jìn)入到易受攻擊的應(yīng)用程序。然而我發(fā)現(xiàn)，幾款非常流行的路由器存在驗(yàn)證機(jī)制很薄弱的問(wèn)題，因而有人有可能利用CSRF篡改路由器設(shè)置，或者通過(guò)可以從連接至本地網(wǎng)絡(luò)的任何系統(tǒng)發(fā)送出去的簡(jiǎn)單Web請(qǐng)求，達(dá)到執(zhí)行代碼這一目的。

在這兩種情況下，攻擊者必須知道或正確準(zhǔn)中路由器的地址。如果使用默認(rèn)的路由器設(shè)置，攻擊網(wǎng)站可以輕而易舉知道路由器地址。這是由于，SOHO路由器廠商們只使用近1800萬(wàn)個(gè)可用專用地址中的四五個(gè)地址。若使用這些默認(rèn)地址中的一個(gè)地址(比如192.168.0.1、192.168.1.1、192.168.2.1或10.0.0.1等)，大大減少了CSRF攻擊得逞需要猜測(cè)的工作量。

遺憾的是，一些路由器廠商為某個(gè)品牌的所有路由器提供了寫(xiě)死(hardcoded)的DNS條目(比如routerlogin.net、tplinklogin.net或dlinkrouter.local等)，此舉無(wú)異于進(jìn)一步為CSRF提供了便利。即便采用非標(biāo)準(zhǔn)的IP地址，這些主機(jī)名稱對(duì)CSRF攻擊來(lái)說(shuō)仍然很有用。然而，可以通過(guò)更改網(wǎng)絡(luò)上設(shè)備的配置，避免這種基于主機(jī)名稱的CSRF。其基本思想就是，給任何本地計(jì)算機(jī)添加主機(jī)記錄，那樣它們根本不會(huì)發(fā)送獲取路由器的寫(xiě)死主機(jī)名稱的DNS請(qǐng)求(大多數(shù)操作系統(tǒng)有一個(gè)“hosts”文件或類似的文件，允許本地執(zhí)行主機(jī)名稱查詢，而不是從DNS來(lái)執(zhí)行查詢)。

在我看來(lái)，家庭用戶更改路由器的IP地址分配方案基本上沒(méi)有什么弊端。唯一要擔(dān)心的問(wèn)題就是，如果設(shè)備主人需要訪問(wèn)路由器界面，但是又不記得新的IP地址。只需將路由器的IP地址記下來(lái)，完全可以避免這個(gè)問(wèn)題;或者查看網(wǎng)絡(luò)上任何設(shè)備的網(wǎng)絡(luò)設(shè)置，就能化解這個(gè)問(wèn)題。#p#

問(wèn)：您還建議開(kāi)啟WPA無(wú)線加密功能，關(guān)閉用來(lái)連接新設(shè)備的WPS Wi-Fi setup。大多數(shù)人為無(wú)線網(wǎng)絡(luò)開(kāi)啟了WPA2加密，卻忽視了WPS功能，無(wú)論他們有沒(méi)有使用該功能。攻擊者必須挨近路由器才能得逞，那么為什么這還存在很大的風(fēng)險(xiǎn)?

Craig Young：這些建議旨在防止不速之客訪問(wèn)你的專用網(wǎng)絡(luò)或者使用你的互聯(lián)網(wǎng)連接從事犯罪活動(dòng)。這在城市地區(qū)顯得尤其重要;因?yàn)樵诔鞘校S多無(wú)線網(wǎng)絡(luò)可以從某人家里不受干擾的情況下接入。雖然擁有強(qiáng)口令短語(yǔ)的WPA2在阻止鄰居接入你的無(wú)線局域網(wǎng)方面很奏效，但是當(dāng)鄰近設(shè)備提供正確的8位數(shù)PIN后，WPS被設(shè)計(jì)成可以共享這個(gè)口令短語(yǔ)。

由于協(xié)議本身存在設(shè)計(jì)缺陷，攻擊者沒(méi)必要試遍所有的100000000種組合，而是頂多猜測(cè)11000次。雪上加霜的是，眾多路由器上存在廠商實(shí)施方面的缺陷，因而攻擊者就有可能只要猜測(cè)一下，然后根據(jù)收到的回應(yīng)計(jì)算一番，就有可能查明WPS PIN。

一旦攻擊者進(jìn)入你的網(wǎng)絡(luò)，他們就會(huì)進(jìn)而攻擊路由器、本地計(jì)算機(jī)或其他聯(lián)網(wǎng)設(shè)備。當(dāng)然，另一種可怕的場(chǎng)景就是，執(zhí)法人員破門(mén)而入，原因是你家的互聯(lián)網(wǎng)連接被用來(lái)從事犯罪活動(dòng)。說(shuō)到底，在一些情況下，附近的攻擊者可能企圖接入你的網(wǎng)絡(luò)，無(wú)論其目的僅僅是‘蹭網(wǎng)’還是更居心叵測(cè)，而WPS在某種程度上就像一張名片，告訴別人“先來(lái)試試我”。

問(wèn)：您建議，人們?cè)谂渲寐酚善骱髴?yīng)退出。一些路由器卻不會(huì)自動(dòng)退出，但是為什么這至關(guān)重要?

Craig Young：這又要回到驗(yàn)證CSRF這個(gè)問(wèn)題了。登錄進(jìn)入到任何網(wǎng)站(包括路由器管理頁(yè)面)后，瀏覽器必須含有每次請(qǐng)求方面的驗(yàn)證信息，那樣目標(biāo)服務(wù)器才能知道它是已通過(guò)驗(yàn)證的請(qǐng)求。退出系統(tǒng)的目的是讓驗(yàn)證信息無(wú)效，指令瀏覽器別將該信息連同隨后的請(qǐng)求一起發(fā)送。如果沒(méi)有執(zhí)行這個(gè)退出過(guò)程(路由器自動(dòng)退出或用戶有意退出)，任何網(wǎng)頁(yè)就有可能向路由器發(fā)出請(qǐng)求，作為已通過(guò)驗(yàn)證的命令加以處理。驗(yàn)證CSRF在SOHO路由器當(dāng)中幾乎普遍存在，通常被用來(lái)執(zhí)行一些動(dòng)作，比如重新配置路由器，以便從攻擊者控制的DNS執(zhí)行域名查詢。

問(wèn)：密碼很重要。但密碼應(yīng)該有多強(qiáng)?您會(huì)建議頻繁更改密碼，連同用戶名一起更改嗎?

Craig Young：當(dāng)務(wù)之急應(yīng)該是更改默認(rèn)密碼。如果有可能的話，一同更改用戶名有助于挫敗自動(dòng)執(zhí)行的密碼攻擊。雖然我肯定會(huì)建議人們比較頻繁地更改密碼，但在大多數(shù)情況下，只要設(shè)置一次強(qiáng)密碼不用管它，應(yīng)該足夠安全。然而，如果遠(yuǎn)程管理功能被啟用，頻繁更改密碼確實(shí)變得更為重要。首先是由于遠(yuǎn)程管理會(huì)招致遠(yuǎn)程蠻力密碼猜測(cè)，其次是由于一旦路由器被人從外面訪問(wèn)，路由器密碼遭到危及的可能性就要大得多。許多設(shè)備并不使用SSL協(xié)議;一些設(shè)備就算使用SSL，也帶有所謂的自簽名證書(shū)。這樣一來(lái)，管理連接不僅暴露在主動(dòng)的中間人攻擊面前，還暴露在被動(dòng)監(jiān)聽(tīng)行為面前。

問(wèn)：讓路由器固件確保版本最新很重要，但是說(shuō)起來(lái)容易做起來(lái)難――許多廠商從不在第一年后發(fā)布路由器的固件更新版。不是選擇一款價(jià)格更高的路由器品牌，就是選擇一款為小企業(yè)用戶設(shè)計(jì)的高端產(chǎn)品，果真只能這樣嗎?

Craig Young：很遺憾，說(shuō)到固件更新，廠商確實(shí)經(jīng)常把最終用戶晾在一邊。這個(gè)領(lǐng)域的許多廠商不愿投入另外的時(shí)間來(lái)修復(fù)現(xiàn)有產(chǎn)品系列存在的安全漏洞，覺(jué)得這么做不劃算。雖然這在一些情況下可能與利潤(rùn)很薄有關(guān)，但我們的研究并沒(méi)有表明路由器的銷售價(jià)與相對(duì)安全性之間有著任何緊密關(guān)系。同樣，根據(jù)我的經(jīng)驗(yàn)，花更多的錢(qián)購(gòu)買(mǎi)一款路由器并不意味著這家廠商會(huì)更加迅即地處理報(bào)告的漏洞。實(shí)際上，就在準(zhǔn)備參加DEF CON 22 SOHOpelessly Broken路由器破解大賽期間，我發(fā)現(xiàn)一款價(jià)格較低的路由器很迅速地獲得了更新版，而這次比賽中最昂貴的路由器卻仍在等待各個(gè)修正版。

如果你想花錢(qián)換取一種更安全的體驗(yàn)，最好應(yīng)該完全撇開(kāi)SOHO市場(chǎng)，直接購(gòu)置企業(yè)級(jí)設(shè)備。真正銷售企業(yè)級(jí)產(chǎn)品的廠商通常擁有資源豐富的安全團(tuán)隊(duì)，以評(píng)估和響應(yīng)威脅。在企業(yè)領(lǐng)域，廠商們非常注重維護(hù)良好安全的聲譽(yù)，因?yàn)槠髽I(yè)用戶面臨的風(fēng)險(xiǎn)通常要高得多。出人意料的是，由于家庭路由器上的功能特性越來(lái)越多，企業(yè)級(jí)路由器和SOHO路由器之間的價(jià)格差異卻在縮小。當(dāng)然了，在SOHO環(huán)境下使用企業(yè)級(jí)IT設(shè)備存在的問(wèn)題是，大多數(shù)SOHO并沒(méi)有一支企業(yè)IT團(tuán)隊(duì)來(lái)配置和管理網(wǎng)絡(luò)。

問(wèn)：使用替代的路由器固件怎么樣?如果您使用一款家庭路由器，您認(rèn)為有沒(méi)有必要關(guān)注DD-WRT之類的路由器固件，還是說(shuō)這最好交給技術(shù)人員去做?想避免安全漏洞，最好的辦法之一就是，使用攻擊者可能不太熟悉的軟件，或者是更新較為頻繁的軟件。

Craig Young：對(duì)高級(jí)用戶們來(lái)說(shuō)，使用替代的開(kāi)放固件肯定有其優(yōu)點(diǎn)，但是它未必就比商用路由器固件來(lái)得更安全，或者甚至來(lái)得更頻繁地更新。早在2012年，我在測(cè)試一款運(yùn)行DD-WRT v24-sp2的D-Link設(shè)備期間，向DD-WRT報(bào)告了一處缺陷。兩年半過(guò)后，報(bào)告的這個(gè)缺陷依然沒(méi)有修復(fù)。對(duì)高級(jí)用戶而言的優(yōu)點(diǎn)包括：能夠在消費(fèi)級(jí)硬件上享有企業(yè)級(jí)功能特性，另外還能自行修復(fù)缺陷、刪除不需要的服務(wù)，以及真正做到對(duì)路由器嚴(yán)加保護(hù)。然而對(duì)于不懂技術(shù)的用戶來(lái)說(shuō)，好處要小得多，配置系統(tǒng)起來(lái)卻困難得多。

問(wèn)：您是否贊賞出現(xiàn)在一些高端家庭路由器上的高端安全功能/特性?如今這些常常包括“路由器安全評(píng)估”、惡意網(wǎng)站阻擋和漏洞防護(hù)等安全功能。比如說(shuō)，華碩公司已開(kāi)始在路由器里面采用趨勢(shì)科技公司的安全技術(shù)。這就可以解決路由器配置不當(dāng)這整個(gè)問(wèn)題嗎?

Craig Young：互聯(lián)網(wǎng)聲譽(yù)引擎對(duì)于檢測(cè)及挫敗基于互聯(lián)網(wǎng)的攻擊(比如惡意廣告和攻擊軟件套件)確實(shí)很有效。像內(nèi)置趨勢(shì)科技技術(shù)的華碩路由器或ITUS Networks的Shield家庭互聯(lián)網(wǎng)安全解決方案這些技術(shù)，甚至可以檢測(cè)并阻止一些針對(duì)路由器的攻擊，或者識(shí)別不安全的配置。不過(guò)擁有這些類型功能的任何SOHO產(chǎn)品還有待我去評(píng)估一下，但我認(rèn)為研究會(huì)繼續(xù)表明SOHO路由器是互聯(lián)網(wǎng)安全的一個(gè)薄弱環(huán)節(jié)。

英文：Home router security 2015 - 9 settings that will keep the bad guys out