路由器安全問題正越來越多地受到業(yè)內(nèi)關(guān)注,這對小型和大型企業(yè)的安全性都構(gòu)成威脅。
僅在今年,我們就看到幾個高關(guān)注度的路由器安全問題。例如,DSL和無線路由器被發(fā)現(xiàn)包含多個漏洞。在DSL路由器的情況中,據(jù)稱,通過AUSA和DIGICOM等知名公司的路由器中Telnet可訪問經(jīng)過硬編碼的管理員級別的登錄憑證。而在無線路由器的情況中,Belkin系統(tǒng)被發(fā)現(xiàn)存在DNS漏洞利用、明文傳輸固件更新以及Web用戶會話相關(guān)的漏洞。
有人可能會認(rèn)為這種漏洞與最小型的企業(yè)沒什么關(guān)系,但事實并非如此?,F(xiàn)在很多較大型企業(yè)仍然使用DSL連接用于分支機構(gòu)、專用制造設(shè)備,特別是訪客無線網(wǎng)絡(luò),而很多被視為“關(guān)鍵基礎(chǔ)設(shè)施”部分的網(wǎng)絡(luò)都可以通過這種連接被訪問以及被利用。很多調(diào)查都表明大部分IT專業(yè)人士不知道其企業(yè)敏感信息所在位置,由此,筆者可以肯定的是,很多這些路由器都沒有被視為重要資產(chǎn)——基于其基礎(chǔ)性和有限的可見性。
其他消息方面,思科企業(yè)網(wǎng)絡(luò)路由器可能受到SYNful Knock惡意軟件的“感染”。最近有人發(fā)現(xiàn)某些思科企業(yè)路由器安裝了修改后的IOS鏡像,這可能導(dǎo)致隨后遭遇攻擊。但由于在大多數(shù)企業(yè)都需要物理訪問和管理員身份憑證,這種風(fēng)險可能不是很高,不過,這仍然會帶來風(fēng)險。一款被稱為Synful Knock Scanner的工具可以用于發(fā)現(xiàn)企業(yè)中可能已經(jīng)被感染的路由器。
正如最近這些漏洞所證明的那樣,企業(yè)不能再對這些核心網(wǎng)絡(luò)系統(tǒng)的安全性掉以輕心。
不過,這些路由器安全問題并不是新聞,幾十年以來,它們一直在給企業(yè)帶來基本安全挑戰(zhàn)。值得慶幸的是,現(xiàn)在我們有安全研究人員在發(fā)現(xiàn)和報告這些問題,使企業(yè)能夠相應(yīng)地規(guī)劃和調(diào)整自己的安全戰(zhàn)略以阻止攻擊。對于路由器安全問題,企業(yè)面臨的的挑戰(zhàn)是,對這些系統(tǒng)的測試通常與對其他看似更關(guān)鍵的系統(tǒng)(例如服務(wù)器、Web應(yīng)用和數(shù)據(jù)庫)的安全評估不一致。我們經(jīng)常看到企業(yè)路由器完全不在外部或內(nèi)部滲透測試的范圍內(nèi)。在很多情況下,企業(yè)只有對路由器進(jìn)行簡單的漏洞掃描,而沒有手動分析網(wǎng)絡(luò)架構(gòu)、系統(tǒng)配置等。畢竟,“這只是路由器”。
為了緩解路由器安全問題,并確保路由器最終不會成為最薄弱的網(wǎng)絡(luò)環(huán)節(jié),下面是網(wǎng)絡(luò)和安全管理人員要采取的三個步驟:
1. 盤點所有路由器
你無法保護(hù)你不知道的東西。你知道你網(wǎng)絡(luò)中的每個路由器嗎?你應(yīng)該將這些系統(tǒng)登記到系統(tǒng)庫存中,以便你可以讓特定的供應(yīng)商來幫助你應(yīng)對漏洞問題。
2. 掃描漏洞
使用Nexpose或Qualys等傳統(tǒng)漏洞掃描儀掃描漏洞,但不要只是走馬觀花;應(yīng)更加深入掃描正在運行的路由器服務(wù),特別是Web接口。筆者經(jīng)常通過使用Web漏洞掃描儀(例如低成本而高效的Netsparker或Acunetix Web漏洞掃描儀)發(fā)現(xiàn)路由器中相對嚴(yán)重的安全漏洞(例如跨站腳本和開放HTTP代理服務(wù)器)。企業(yè)還可以使用NetScanTools Pro和Kali Linux(例如思科Global Exploiter)等工具對路由器進(jìn)行更有針對性的測試。同樣重要的是,企業(yè)應(yīng)該持續(xù)監(jiān)控路由器攻擊和異常行為,最好的方法是由專門的團(tuán)隊或外包供應(yīng)商執(zhí)行主動的全天候監(jiān)控。
3. 修復(fù)、更新或者緩解
企業(yè)應(yīng)將路由器添加到企業(yè)的整體補丁管理程序。路由器補丁往往較慢推向市場,并且,鑒于正常運行時間要求,這些補丁通常很難部署。如有必要,企業(yè)可以更換不再受到制造商關(guān)注的過時路由器,了解清楚如何進(jìn)行更換,如果沒有其他選擇,企業(yè)可以使用安全控制(例如防火墻的阻止端口/服務(wù))來盡量減小風(fēng)險。
隨著時間的推移,我們會發(fā)現(xiàn)良好運行的信息安全計劃不只是規(guī)定可接受計算機使用、高強度密碼、軟件修復(fù)的書面政策,網(wǎng)絡(luò)的方方面面最終都必須進(jìn)行檢查和鎖定。無論是網(wǎng)絡(luò)中心的核心路由器還是遠(yuǎn)程設(shè)備的唯一DSL路由器,都可能受到攻擊,因此,網(wǎng)絡(luò)和安全管理人員必須保持警覺,檢查所有系統(tǒng),甚至是那些老舊的路由器。