從路由器入手改善網(wǎng)絡(luò)安全性

?

　　路由器往往有不同的角色。例如，一般情況下，一個(gè)以太網(wǎng)端口連接到外部網(wǎng)絡(luò)，四個(gè)端口提供到達(dá)局域網(wǎng)有線設(shè)備的互聯(lián)網(wǎng)連接，無(wú)線發(fā)射裝置向無(wú)線客戶端提供訪問。無(wú)線接口甚至可能提供多種SSID。

　　路由器通常都將其特性的諸多方面分離來(lái)，但在今年的黑帽大會(huì)上，黑客展示了攻擊大量路由器的方法及破解路由器的可能性。要理解這個(gè)問題，就得從IP地址說(shuō)起。

　　多數(shù)IP地址都位于公網(wǎng)，但是有些IP地址僅保留給內(nèi)部網(wǎng)絡(luò)使用。即，任何人都可在其局域網(wǎng)上使用且僅能用于內(nèi)部的IP地址。這些特定的IP地址是不允許用在公網(wǎng)上的。

　　最常用的內(nèi)部IP地址以192.168或10開頭。例如，一臺(tái)連接到路由器內(nèi)部端口的計(jì)算機(jī)會(huì)將路由器的IP地址看成是192.168.0.1。如今，局域網(wǎng)上的大量路由器都可以使用這個(gè)IP地址，因?yàn)樗梢员ＷC這個(gè)地址不會(huì)通過路由器傳到互聯(lián)網(wǎng)上。路由器都有一個(gè)默認(rèn)的內(nèi)部IP地址，路由器的管理員可以將這個(gè)地址改為僅能用于內(nèi)部的任何IP地址。

　　在將路由器用于互聯(lián)網(wǎng)上的通信時(shí)，它還使用另外一個(gè)不同的IP地址，即公網(wǎng)IP地址。路由器的管理員無(wú)法控制公網(wǎng)IP地址，它是由把路由器連接到互聯(lián)網(wǎng)的ISP提供的。

　　局域網(wǎng)上的所有計(jì)算機(jī)看似都擁有同一個(gè)IP地址。可以認(rèn)為路由器是所有局域網(wǎng)計(jì)算機(jī)的“公共發(fā)言人”。

　　這樣就出現(xiàn)了安全問題，即路由器無(wú)法將公網(wǎng)和私有的特性完全地分離開并保持其獨(dú)特性。

　　公網(wǎng)IP地址僅能被互聯(lián)網(wǎng)上的計(jì)算機(jī)“看見”，而私有IP地址僅能被局域網(wǎng)上的計(jì)算機(jī)看到，無(wú)論是有線網(wǎng)，還是無(wú)線網(wǎng)都應(yīng)當(dāng)如此。

　　如果這道屏障無(wú)法得以維持，那么，互聯(lián)網(wǎng)上的黑手就有可能登錄進(jìn)入路由器，從而導(dǎo)致整個(gè)局域網(wǎng)中的全部設(shè)備都遭殃。

　　為修改路由器的配置，局域網(wǎng)的計(jì)算機(jī)可以通過IP地址來(lái)訪問。例如，可以鍵入“http:// 192.168.0.1”，然后鍵入用戶名和口令來(lái)訪問路由器的配置界面。

　　通常情況下，僅能根據(jù)內(nèi)部IP地址才能訪問路由器。這就確保了僅有局域網(wǎng)上的計(jì)算機(jī)才能更改其配置。

　　用戶訪問的每個(gè)網(wǎng)站都知道用戶路由器的公網(wǎng)IP地址。當(dāng)然，用戶的ISP也知道。但是，有很多措施可以阻止外部人員登錄進(jìn)入到路由器。

　　首先，路由器中有一個(gè)防火墻，它通常會(huì)阻止未經(jīng)請(qǐng)求的進(jìn)入通信。此外，路由器有一個(gè)遠(yuǎn)程管理選項(xiàng)，當(dāng)然，此選項(xiàng)一般是禁用的。

　　現(xiàn)在，我們就可以理解克雷格.黑夫納在黑帽大會(huì)上所公布的問題了。簡(jiǎn)言之，他所發(fā)現(xiàn)的漏洞準(zhǔn)許惡意網(wǎng)頁(yè)通過公網(wǎng)IP地址訪問路由器。

　　應(yīng)當(dāng)對(duì)基于局域網(wǎng)的計(jì)算機(jī)進(jìn)行限制，使其僅能根據(jù)內(nèi)部地址才能訪問路由器。由于遠(yuǎn)程網(wǎng)站可以輕松地知道你的公網(wǎng)IP地址，這個(gè)漏洞準(zhǔn)許惡意的黑客登錄到你的路由器。

　　更糟的是，許多人并沒有修改其路由器的默認(rèn)口令。有不少人甚至并不知道路由器還有口令。惡意的黑客隨時(shí)準(zhǔn)備訪問路由器的默認(rèn)口令，并還可以在一定程度上檢測(cè)你使用的路由器的類型等信息。

　　在對(duì)最初的30臺(tái)路由器的測(cè)試中，克雷格.黑夫納發(fā)現(xiàn)有17臺(tái)路由器易遭受這種攻擊。