從路由器入手改善網(wǎng)絡(luò )安全性

路由器往往有不同的角色。例如，一般情況下，一個(gè)以太網(wǎng)端口連接到外部網(wǎng)絡(luò )，四個(gè)端口提供到達局域網(wǎng)有線(xiàn)設備的互聯(lián)網(wǎng)連接，無(wú)線(xiàn)發(fā)射裝置向無(wú)線(xiàn)客戶(hù)端提供訪(fǎng)問(wèn)。無(wú)線(xiàn)接口甚至可能提供多種SSID。

　　路由器通常都將其特性的諸多方面分離來(lái)，但在今年的黑帽大會(huì )上，黑客展示了攻擊大量路由器的方法及破解路由器的可能性。要理解這個(gè)問(wèn)題，就得從IP地址說(shuō)起。

　　多數IP地址都位于公網(wǎng)，但是有些IP地址僅保留給內部網(wǎng)絡(luò )使用。即，任何人都可在其局域網(wǎng)上使用且僅能用于內部的IP地址。這些特定的IP地址是不允許用在公網(wǎng)上的。

　　最常用的內部IP地址以192.168或10開(kāi)頭。例如，一臺連接到路由器內部端口的計算機會(huì )將路由器的IP地址看成是192.168.0.1。如今，局域網(wǎng)上的大量路由器都可以使用這個(gè)IP地址，因為它可以保證這個(gè)地址不會(huì )通過(guò)路由器傳到互聯(lián)網(wǎng)上。路由器都有一個(gè)默認的內部IP地址，路由器的管理員可以將這個(gè)地址改為僅能用于內部的任何IP地址。

　　在將路由器用于互聯(lián)網(wǎng)上的通信時(shí)，它還使用另外一個(gè)不同的IP地址，即公網(wǎng)IP地址。路由器的管理員無(wú)法控制公網(wǎng)IP地址，它是由把路由器連接到互聯(lián)網(wǎng)的ISP提供的。

　　局域網(wǎng)上的所有計算機看似都擁有同一個(gè)IP地址?？梢哉J為路由器是所有局域網(wǎng)計算機的“公共發(fā)言人”。

　　這樣就出現了安全問(wèn)題，即路由器無(wú)法將公網(wǎng)和私有的特性完全地分離開(kāi)并保持其獨特性。

　　公網(wǎng)IP地址僅能被互聯(lián)網(wǎng)上的計算機“看見(jiàn)”，而私有IP地址僅能被局域網(wǎng)上的計算機看到，無(wú)論是有線(xiàn)網(wǎng)，還是無(wú)線(xiàn)網(wǎng)都應當如此。

　　如果這道屏障無(wú)法得以維持，那么，互聯(lián)網(wǎng)上的黑手就有可能登錄進(jìn)入路由器，從而導致整個(gè)局域網(wǎng)中的全部設備都遭殃。

　　為修改路由器的配置，局域網(wǎng)的計算機可以通過(guò)IP地址來(lái)訪(fǎng)問(wèn)。例如，可以鍵入“http:// 192.168.0.1”，然后鍵入用戶(hù)名和口令來(lái)訪(fǎng)問(wèn)路由器的配置界面。

　　通常情況下，僅能根據內部IP地址才能訪(fǎng)問(wèn)路由器。這就確保了僅有局域網(wǎng)上的計算機才能更改其配置。

　　用戶(hù)訪(fǎng)問(wèn)的每個(gè)網(wǎng)站都知道用戶(hù)路由器的公網(wǎng)IP地址。當然，用戶(hù)的ISP也知道。但是，有很多措施可以阻止外部人員登錄進(jìn)入到路由器。

　　首先，路由器中有一個(gè)防火墻，它通常會(huì )阻止未經(jīng)請求的進(jìn)入通信。此外，路由器有一個(gè)遠程管理選項，當然，此選項一般是禁用的。

　　現在，我們就可以理解克雷格.黑夫納在黑帽大會(huì )上所公布的問(wèn)題了。簡(jiǎn)言之，他所發(fā)現的漏洞準許惡意網(wǎng)頁(yè)通過(guò)公網(wǎng)IP地址訪(fǎng)問(wèn)路由器。

　　應當對基于局域網(wǎng)的計算機進(jìn)行限制，使其僅能根據內部地址才能訪(fǎng)問(wèn)路由器。由于遠程網(wǎng)站可以輕松地知道你的公網(wǎng)IP地址，這個(gè)漏洞準許惡意的黑客登錄到你的路由器。

　　更糟的是，許多人并沒(méi)有修改其路由器的默認口令。有不少人甚至并不知道路由器還有口令。惡意的黑客隨時(shí)準備訪(fǎng)問(wèn)路由器的默認口令，并還可以在一定程度上檢測你使用的路由器的類(lèi)型等信息。

　　在對最初的30臺路由器的測試中，克雷格.黑夫納發(fā)現有17臺路由器易遭受這種攻擊。判斷自己是否易受攻擊

　　測試自己的路由器是否易受攻擊并不麻煩。在此，筆者向您介紹兩個(gè)網(wǎng)站，用戶(hù)可以通過(guò)ipchicken.com 或 checkip.dyndns.com知道自己的IP地址。在打開(kāi)這兩個(gè)網(wǎng)站后，就會(huì )得到一個(gè)IP地址。如2.3.4.5，然后再用瀏覽器打開(kāi)它，看看有什么發(fā)生。如果你得到提示，要求輸入用戶(hù)名和口令，就說(shuō)明你的路由器易受攻擊。如果你得到出現錯誤的網(wǎng)頁(yè)，則表明你不易受到這種攻擊。

　　在技術(shù)層面上，這種攻擊是DNS重新綁定問(wèn)題的新伎倆。它依賴(lài)于這樣一個(gè)事實(shí)，即單個(gè)網(wǎng)站可以擁有多個(gè)IP地址。在你第一次訪(fǎng)問(wèn)一個(gè)惡意網(wǎng)站時(shí)，你的計算機得到了此惡意網(wǎng)站的兩個(gè)IP地址。第一個(gè)是合法的，而第二個(gè)是非法的，它就是你的公網(wǎng)IP地址。此后，通過(guò)高速緩存伎倆和惡意生成的錯誤，惡意網(wǎng)頁(yè)會(huì )欺騙你的計算機訪(fǎng)問(wèn)惡意網(wǎng)站的可選IP地址，實(shí)際上就是你的路由器的公網(wǎng)地址。

　　黑夫納通過(guò)試驗進(jìn)一步得出結論，他認為要讓這種攻擊成功，并不需要啟用遠程管理。只要目標網(wǎng)絡(luò )中的某個(gè)用戶(hù)訪(fǎng)問(wèn)了被惡意控制的網(wǎng)站，這種攻擊即可獲得成功。這種攻擊的發(fā)生不依賴(lài)于受害者的操作系統，它是針對路由器的。

　　這種攻擊還牽涉到JavaScript，這種腳本語(yǔ)言通常僅能與其來(lái)源網(wǎng)站進(jìn)行交互。但是，由于有了DNS重新綁定伎倆，瀏覽器會(huì )認為用戶(hù)的路由器是惡意網(wǎng)站的一部分。因而，JavaScript也就可以操縱路由器了。

　　捍衛路由器的安全

　　最簡(jiǎn)單的防御就是不要使用路由器的默認密碼。應當將路由器的密碼改為一種難以猜測的序列。

　　如果用戶(hù)的路由器易受攻擊，應當上網(wǎng)檢查，看看制作商是否有了新的固件可以修復這個(gè)問(wèn)題。

　　任何剛買(mǎi)的新路由器都應當測試一下是否易受攻擊，特別是在退貨期限內時(shí)。

　　雖然遠程管理與此無(wú)關(guān)，不過(guò)，還是建議用戶(hù)關(guān)閉自己路由器上的這個(gè)功能。

　　如果你使用無(wú)線(xiàn)網(wǎng)絡(luò )，不妨檢查一下，看看路由器能否限制對有線(xiàn)連接的管理性訪(fǎng)問(wèn)。這條措施可以防止無(wú)線(xiàn)用戶(hù)登錄進(jìn)入路由器。