想确保通过宽带连接的小型网络的安全,家庭和小型办公室路由器必不可少;不过直到最近,还是很少有人谈起此类路由器可能会带来安全漏洞。除了告诉人们使用无线加密技术外,它们实际上被忽视了。
事实上,需要注意的绝不止这点。与此同时,攻击数量越来越多。现在外头有好多路由器安全方面的建议/忠告,但并非所有建议/忠告都是普遍用户易于遵循的。为此我们采访了Tripwire公司的Craig Young,试着不但厘清最佳建议/忠告,还试着厘清背后的思路。如果你确实应该关闭路由器上的易受攻击服务以阻止远程黑客,那么这么做有没有任何弊端?
下面的所有建议/忠告可以通过任何家庭路由器上的管理界面来获得(通常只要在Web浏览器的地址栏里面输入192.168.1.0),不过每项设置的修改方式因具体型号而异。
问:请问家庭路由器及其安全存在的核心问题是什么?
Craig Young:家庭办公室(SOHO)路由器安全是个不可忽视的问题,可能会给我们所知道的互联网带来重大破坏。据美国人口普查局声称,2013年,73.4%的家庭声称拥有高速网络连接。我们的调查表明,五分之四的畅销家庭路由器很容易遭到攻击;只要借助随处可见的报告漏洞,就能攻陷其中近一半的路由器。我大致估算了一下,25%至30%的美国家庭使用的路由器很容易遭到已知/公布的漏洞的攻击――至于使用存在易于发现的漏洞的路由器的家庭,那更是多了去了。可以利用所有这些高危设备的累积带宽,对任何目标发动灾难性的分布式拒绝服务(DDoS)攻击。黑客组织Lizard Squad等一些威胁者已经在开始出售从被劫持的家庭路由器盗用带宽的DDoS服务。
问:您建议禁用通过互联网远程管理的功能。这项功能过去在默认情况下被许多家庭路由器启用,而最近路由器禁用了这个设置――如今只好启用这个设置,而不是关闭这个设置。
Craig Young:没错,通常而言,远程管理在许多最新一代的SOHO路由器上默认情况下没有被启用。我一直在与路由器厂商打交道,并大力宣传提高路由器安全;我发现了一种常见的想法:只有本地网络上的人才能攻击基于HTTP的路由器漏洞,除非远程管理被启用。这真是一大误解,因为不法分子完全可以借助网络钓鱼活动、恶意广告或者其他社会工程学伎俩,实施跨站攻击。
问:您认为有必要也要关闭UPnP支持吗?
Craig Young:UPnP 是我会关闭的诸多功能/特性之一。不仅事实已证明流行的UPnP库存在无数的重大安全漏洞;就其本质上而言,通用即插即用(Universal Plug and Play)还是一项通过牺牲安全来换取便利的技术。就个人而言,我认为,让未经授权的软件或设备可以伺机试探边界防火墙的漏洞这一想法很可笑。
问:人们被告知别使用默认的IP地址范围,比如192.168.1.1。人们对于这个范围之外的专用地址范围还有很多困惑。您建议使用10.9.8.7或之类的地址,以防范跨站请求伪造(CSRF)攻击,但是为什么这一招如此有效?这对中小企业或家庭用户来说有没有任何弊端?
Craig Young:互联网任务工程组(IETF)在1996年发布的RFC1918中定义了专用地址范围。该文档划定了三个将不通过互联网来路由的互联网地址范围,那样它们可以留给专用的IPv4网络,比如家庭局域网。预留地址中最大一部分拥有10/8前缀,这意味着以“10”开头的1600多万个地址中的任何一个地址都可以用于专用网络。总共有近1800万个地址可供专用网络使用,但是只有4个或5个地址往往被用作SOSH路由器的默认地址。
跨站请求伪造(CSRF)是这样一种攻击:受害者的Web浏览器被滥用,连接至因身份验证或防火墙机制而并不提供给攻击者的服务。传统上,CSRF被不法分子用来利用Web浏览器与Web应用程序的信任关系。这通常意味着,受害者在访问恶意内容时势必登录进入到易受攻击的应用程序。然而我发现,几款非常流行的路由器存在验证机制很薄弱的问题,因而有人有可能利用CSRF篡改路由器设置,或者通过可以从连接至本地网络的任何系统发送出去的简单Web请求,达到执行代码这一目的。
在这两种情况下,攻击者必须知道或正确准中路由器的地址。如果使用默认的路由器设置,攻击网站可以轻而易举知道路由器地址。这是由于,SOHO路由器厂商们只使用近1800万个可用专用地址中的四五个地址。若使用这些默认地址中的一个地址(比如192.168.0.1、192.168.1.1、192.168.2.1或10.0.0.1等),大大减少了CSRF攻击得逞需要猜测的工作量。
遗憾的是,一些路由器厂商为某个品牌的所有路由器提供了写死(hardcoded)的DNS条目(比如routerlogin.net、tplinklogin.net或dlinkrouter.local等),此举无异于进一步为CSRF提供了便利。即便采用非标准的IP地址,这些主机名称对CSRF攻击来说仍然很有用。然而,可以通过更改网络上设备的配置,避免这种基于主机名称的CSRF。其基本思想就是,给任何本地计算机添加主机记录,那样它们根本不会发送获取路由器的写死主机名称的DNS请求(大多数操作系统有一个“hosts”文件或类似的文件,允许本地执行主机名称查询,而不是从DNS来执行查询)。
在我看来,家庭用户更改路由器的IP地址分配方案基本上没有什么弊端。唯一要担心的问题就是,如果设备主人需要访问路由器界面,但是又不记得新的IP地址。只需将路由器的IP地址记下来,完全可以避免这个问题;或者查看网络上任何设备的网络设置,就能化解这个问题。
问:您还建议开启WPA无线加密功能,关闭用来连接新设备的WPS Wi-Fi setup。大多数人为无线网络开启了WPA2加密,却忽视了WPS功能,无论他们有没有使用该功能。攻击者必须挨近路由器才能得逞,那么为什么这还存在很大的风险?
Craig Young:这些建议旨在防止不速之客访问你的专用网络或者使用你的互联网连接从事犯罪活动。这在城市地区显得尤其重要;因为在城市,许多无线网络可以从某人家里不受干扰的情况下接入。虽然拥有强口令短语的WPA2在阻止邻居接入你的无线局域网方面很奏效,但是当邻近设备提供正确的8位数PIN后,WPS被设计成可以共享这个口令短语。
由于协议本身存在设计缺陷,攻击者没必要试遍所有的100000000种组合,而是顶多猜测11000次。雪上加霜的是,众多路由器上存在厂商实施方面的缺陷,因而攻击者就有可能只要猜测一下,然后根据收到的回应计算一番,就有可能查明WPS PIN。
一旦攻击者进入你的网络,他们就会进而攻击路由器、本地计算机或其他联网设备。当然,另一种可怕的场景就是,执法人员破门而入,原因是你家的互联网连接被用来从事犯罪活动。说到底,在一些情况下,附近的攻击者可能企图接入你的网络,无论其目的仅仅是‘蹭网’还是更居心叵测,而WPS在某种程度上就像一张名片,告诉别人“先来试试我”。
问:您建议,人们在配置路由器后应退出。一些路由器却不会自动退出,但是为什么这至关重要?
Craig Young:这又要回到验证CSRF这个问题了。登录进入到任何网站(包括路由器管理页面)后,浏览器必须含有每次请求方面的验证信息,那样目标服务器才能知道它是已通过验证的请求。退出系统的目的是让验证信息无效,指令浏览器别将该信息连同随后的请求一起发送。如果没有执行这个退出过程(路由器自动退出或用户有意退出),任何网页就有可能向路由器发出请求,作为已通过验证的命令加以处理。验证CSRF在SOHO路由器当中几乎普遍存在,通常被用来执行一些动作,比如重新配置路由器,以便从攻击者控制的DNS执行域名查询。
问:密码很重要。但密码应该有多强?您会建议频繁更改密码,连同用户名一起更改吗?
Craig Young:当务之急应该是更改默认密码。如果有可能的话,一同更改用户名有助于挫败自动执行的密码攻击。虽然我肯定会建议人们比较频繁地更改密码,但在大多数情况下,只要设置一次强密码不用管它,应该足够安全。然而,如果远程管理功能被启用,频繁更改密码确实变得更为重要。首先是由于远程管理会招致远程蛮力密码猜测,其次是由于一旦路由器被人从外面访问,路由器密码遭到危及的可能性就要大得多。许多设备并不使用SSL协议;一些设备就算使用SSL,也带有所谓的自签名证书。这样一来,管理连接不仅暴露在主动的中间人攻击面前,还暴露在被动监听行为面前。
问:让路由器固件确保版本最新很重要,但是说起来容易做起来难――许多厂商从不在第一年后发布路由器的固件更新版。不是选择一款价格更高的路由器品牌,就是选择一款为小企业用户设计的高端产品,果真只能这样吗?
Craig Young:很遗憾,说到固件更新,厂商确实经常把最终用户晾在一边。这个领域的许多厂商不愿投入另外的时间来修复现有产品系列存在的安全漏洞,觉得这么做不划算。虽然这在一些情况下可能与利润很薄有关,但我们的研究并没有表明路由器的销售价与相对安全性之间有着任何紧密关系。同样,根据我的经验,花更多的钱购买一款路由器并不意味着这家厂商会更加迅即地处理报告的漏洞。实际上,就在准备参加DEF CON 22 SOHOpelessly Broken路由器破解大赛期间,我发现一款价格较低的路由器很迅速地获得了更新版,而这次比赛中最昂贵的路由器却仍在等待各个修正版。
如果你想花钱换取一种更安全的体验,最好应该完全撇开SOHO市场,直接购置企业级设备。真正销售企业级产品的厂商通常拥有资源丰富的安全团队,以评估和响应威胁。在企业领域,厂商们非常注重维护良好安全的声誉,因为企业用户面临的风险通常要高得多。出人意料的是,由于家庭路由器上的功能特性越来越多,企业级路由器和SOHO路由器之间的价格差异却在缩小。当然了,在SOHO环境下使用企业级IT设备存在的问题是,大多数SOHO并没有一支企业IT团队来配置和管理网络。
问:使用替代的路由器固件怎么样?如果您使用一款家庭路由器,您认为有没有必要关注DD-WRT之类的路由器固件,还是说这最好交给技术人员去做?想避免安全漏洞,最好的办法之一就是,使用攻击者可能不太熟悉的软件,或者是更新较为频繁的软件。
Craig Young:对高级用户们来说,使用替代的开放固件肯定有其优点,但是它未必就比商用路由器固件来得更安全,或者甚至来得更频繁地更新。早在2012年,我在测试一款运行DD-WRT v24-sp2的D-Link设备期间,向DD-WRT报告了一处缺陷。两年半过后,报告的这个缺陷依然没有修复。对高级用户而言的优点包括:能够在消费级硬件上享有企业级功能特性,另外还能自行修复缺陷、删除不需要的服务,以及真正做到对路由器严加保护。然而对于不懂技术的用户来说,好处要小得多,配置系统起来却困难得多。
问:您是否赞赏出现在一些高端家庭路由器上的高端安全功能/特性?如今这些常常包括“路由器安全评估”、恶意网站阻挡和漏洞防护等安全功能。比如说,华硕公司已开始在路由器里面采用趋势科技公司的安全技术。这就可以解决路由器配置不当这整个问题吗?
Craig Young:互联网声誉引擎对于检测及挫败基于互联网的攻击(比如恶意广告和攻击软件套件)确实很有效。像内置趋势科技技术的华硕路由器或ITUS Networks的Shield家庭互联网安全解决方案这些技术,甚至可以检测并阻止一些针对路由器的攻击,或者识别不安全的配置。不过拥有这些类型功能的任何SOHO产品还有待我去评估一下,但我认为研究会继续表明SOHO路由器是互联网安全的一个薄弱环节。