路由器安全问题正越来越多地受到业内关注,这对小型和大型企业的安全性都构成威胁。
仅在今年,我们就看到几个高关注度的路由器安全问题。例如,DSL和无线路由器被发现包含多个漏洞。在DSL路由器的情况中,据称,通过AUSA和DIGICOM等知名公司的路由器中Telnet可访问经过硬编码的管理员级别的登录凭证。而在无线路由器的情况中,Belkin系统被发现存在DNS漏洞利用、明文传输固件更新以及Web用户会话相关的漏洞。
有人可能会认为这种漏洞与最小型的企业没什么关系,但事实并非如此。现在很多较大型企业仍然使用DSL连接用于分支机构、专用制造设备,特别是访客无线网络,而很多被视为“关键基础设施”部分的网络都可以通过这种连接被访问以及被利用。很多调查都表明大部分IT专业人士不知道其企业敏感信息所在位置,由此,笔者可以肯定的是,很多这些路由器都没有被视为重要资产——基于其基础性和有限的可见性。
其他消息方面,思科企业网络路由器可能受到SYNful Knock恶意软件的“感染”。最近有人发现某些思科企业路由器安装了修改后的IOS镜像,这可能导致随后遭遇攻击。但由于在大多数企业都需要物理访问和管理员身份凭证,这种风险可能不是很高,不过,这仍然会带来风险。一款被称为Synful Knock Scanner的工具可以用于发现企业中可能已经被感染的路由器。
正如最近这些漏洞所证明的那样,企业不能再对这些核心网络系统的安全性掉以轻心。
不过,这些路由器安全问题并不是新闻,几十年以来,它们一直在给企业带来基本安全挑战。值得庆幸的是,现在我们有安全研究人员在发现和报告这些问题,使企业能够相应地规划和调整自己的安全战略以阻止攻击。对于路由器安全问题,企业面临的的挑战是,对这些系统的测试通常与对其他看似更关键的系统(例如服务器、Web应用和数据库)的安全评估不一致。我们经常看到企业路由器完全不在外部或内部渗透测试的范围内。在很多情况下,企业只有对路由器进行简单的漏洞扫描,而没有手动分析网络架构、系统配置等。毕竟,“这只是路由器”。
为了缓解路由器安全问题,并确保路由器最终不会成为最薄弱的网络环节,下面是网络和安全管理人员要采取的三个步骤:
1. 盘点所有路由器
你无法保护你不知道的东西。你知道你网络中的每个路由器吗?你应该将这些系统登记到系统库存中,以便你可以让特定的供应商来帮助你应对漏洞问题。
2. 扫描漏洞
使用Nexpose或Qualys等传统漏洞扫描仪扫描漏洞,但不要只是走马观花;应更加深入扫描正在运行的路由器服务,特别是Web接口。笔者经常通过使用Web漏洞扫描仪(例如低成本而高效的Netsparker或Acunetix Web漏洞扫描仪)发现路由器中相对严重的安全漏洞(例如跨站脚本和开放HTTP代理服务器)。企业还可以使用NetScanTools Pro和Kali Linux(例如思科Global Exploiter)等工具对路由器进行更有针对性的测试。同样重要的是,企业应该持续监控路由器攻击和异常行为,最好的方法是由专门的团队或外包供应商执行主动的全天候监控。
3. 修复、更新或者缓解
企业应将路由器添加到企业的整体补丁管理程序。路由器补丁往往较慢推向市场,并且,鉴于正常运行时间要求,这些补丁通常很难部署。如有必要,企业可以更换不再受到制造商关注的过时路由器,了解清楚如何进行更换,如果没有其他选择,企业可以使用安全控制(例如防火墙的阻止端口/服务)来尽量减小风险。
随着时间的推移,我们会发现良好运行的信息安全计划不只是规定可接受计算机使用、高强度密码、软件修复的书面政策,网络的方方面面最终都必须进行检查和锁定。无论是网络中心的核心路由器还是远程设备的唯一DSL路由器,都可能受到攻击,因此,网络和安全管理人员必须保持警觉,检查所有系统,甚至是那些老旧的路由器。
作者:Kevin Beaver 翻译:邹铮
来源:51CTO
