客厅保卫战:央视引爆无线路由器安全话题
出来混总是要还的,为了所谓的用户体验和快速扩张市场,十几年来Wi-Fi设备制造行业向来不太重视安全功能和服务,固件更新周期很长,安全漏洞迟迟得不到修复,而且Wi-Fi技术标准本身的各种缺陷和漏洞从来就没有真正得到解决。
上周末央视播放的《遭“劫持”的路由器》的节目中,报道了用户正常上网遭遇一系列异常的情况。专家分析,这是用户的无线路由器遭到了黑客劫持,用户所有信息就都“送给”了黑客。
接受央视采访的厦门的刘先生,在登陆新闻网站时,电脑不断弹出各种广告窗口,弹出的非常多非常快,有些窗口甚至无法关闭。并且,刘先生表示,“广告弹窗速度比我关掉网页的速度都快”。经过电脑专家检测发现,刘先生的家庭路由器遭到黑客了劫持。
央视报道的路由器劫持绝对不是个案,虽然具体影响范围方面目前国内还没有安全公司给出具体的威胁报告。但根据安全牛之前的报道,安全研究公司Tripwire的一份调查显示,亚马逊上热卖的Top25个销量最大的家庭SOHO无线路由器都存在安全漏洞。
可见Wi-Fi路由器的安全漏洞是普遍性的,而由于Wi-Fi路由器已经高度普及,每个消费者都有可能遭到攻击!
黑客为何偏爱无线路由器?
出来混总是要还的,为了所谓的用户体验和快速扩张市场,十几年来Wi-Fi设备制造行业向来不太重视安全功能和服务,固件更新周期很长,安全漏洞迟迟得不到修复,而且Wi-Fi技术标准本身的各种技术缺陷和漏洞从来就没有真正得到解决。
此外,随着近年来包括TP-LINk、D-Link、思科、华硕等多家主流家用路由器厂商的安全漏洞在黑客间流传。家用路由器已经成为黑客攻击的下一个热点(这里有一个国外黑客汇总的路由器安全漏洞网页。)
相比有杀毒软件守护的PC电脑,黑客劫持漏洞百出的路由器更加容易得手,而且由于路由器是家庭所有网络设备的出口,劫持路由器在推送垃圾广告和流量劫持和钓鱼挂马方面效率更高。
六招快速提高无线路由器安全性
以下,安全牛为大家(尤其是SOHO和远程办公人员)推荐快速提升路由器安全的六个方法,可以最大限度地防范无线攻击威胁。目前市场上硬件创业很火,市面上出现很多“智能路由”,安全牛提醒大家,在选择路由器这件事上,一款不掉线、不容易被黑客控制的无线路由器才是好路由器,一个具备及时修补漏洞升级固件能力的网络技术实力雄厚的厂商才是好厂商!
一、千万不要打开互联网远程管理功能,无线路由器现在流行搞“智能”,例如内嵌的web服务器,这可是最大的不安全因素。企业的安全政策应当要求所有通过VPN远程接入的路由器都关闭远程管理功能。在需要开启远程管理的场景中,最好在NAT规则设置只允许SSH或 VPN访问并管理路由器。漏洞和配置扫描工具可以检查员工是否通过管理接口暴露的路由器访问企业网络。
二、不要使用默认的IP地址范围。可预测的地址是的CSRF攻击变得更加容易,因此别使用类似192.168.1.1之类的默认网段,考虑类似22.2.2.2之类的“冷门”地址段,这样可以大大降低CSRF攻击的成功率。
三、配置完路由器后千万别忘了登出。在VERT曝光的一些问题路由器中,用户配置外路由器后不会自动登出。依然处于认证状态的配置网页将为CSRF攻击打开大门(虽然并非所有的CSRF攻击都需要认证,但是及时登出依然能有效防范很多依赖浏览器认证会话的CSRF攻击)。
四、打开WPA加密,关闭WPS。WPS是路由器厂商为了所谓的“用户体验”搞出的一键式认证方案,牺牲了安全性。请费心打开您的基于AES算法的WPA2强加密认证,并拜托不要使用默认密码或弱密码。
五、及时更新无线路由器固件。大多数用户都没有听说过无线路由器固件,更不要说升级了,但是随着安全形势的日益严峻,请务必立刻时刻关注您的无线路由器固件更新信息(当然,你可以选择关注安全牛网),例如网件近日刚刚通过固件堵上了安全漏洞。
文章来自:安全牛网
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: