https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

疏於防範的家用路由器 攻擊企業的網路跳板

2009 / 05 / 15
吳依恂
疏於防範的家用路由器 攻擊企業的網路跳板
攻擊路由器,得知路徑表到底有什麼用處?網路設備安全漏洞問題並不像網站被攻擊受到矚目,但攻擊者如果可以透過簡單卻沒人留意的地方入侵,又何需要花費大把力氣?

3月底國外新聞報導,一支名為「psyb0t」的蠕蟲對家用ADSL 路由器進行了DDoS攻擊,在攻擊路由器後會進行自動感染,持續擴大攻擊其他同類型的路由器,是第一支針對Linux based路由器的蠕蟲。即時監控濫用IP的組織DroneBL估計,大約有10萬台的路由器遭到感染,德國路由器安全專家Felix FX Lindner也提到,惡意程式的魔爪已經悄悄伸向路由器,他認為一般的電腦作業系統如Windows、Linux現在已經較不容易攻破,而路由器這類網路設備則有特殊的OS,而例如本次攻擊事件的路由器是採開放式架構的Linux based,自然也比較容易成為下手的對象,另外像是全球市佔率最高的Cisco作業系統IOS也是駭客及安全專家的主要研究對象。

家用路由器 無人防守的區域
網管人員對於系統安全的知識,一般而言比較不足,雖然路由器的系統弱點並不常被發現,但是一旦提供服務的路由器存在系統上的弱點,所引發的資訊安全事件都是比較大規模的,目前廣泛使用中的ADSL,在每一個用戶端都會有小型的路由器提供服務,此類的設備在安全的防護上較為薄弱,此次事件就是針對這些小型的路由器進行攻擊,而且大多會針對特定的品牌,主要是因為各家廠牌的設備,使用的系統大多是不一樣的。

國家高速網路與計算中心資訊設施組組長蔡一郎說,以台灣的ADSL環境而言,目前ADSL用戶的路由器(俗稱小烏龜),大多由ISP提供設備,此類設備的管理則由ISP進行維護,因此他也建議此類設備應發展集中管理或是系統自動化更新的機制,透過此種方式,才可以建立較完整的管理機制,以提供ISP業者遠端維護這些放置於用戶家中的ADSL路由器,當需要進行系統的更新時,可由ISP業者進行遠端的派送,對於已發生的事件,也可以在最短的時間內進行改善。

然而,許多企業網路的營運都是中斷不得,因此許多網管人員也並不會輕易的上patch,更新路由器軟體常常也不被視為是高優先的工作。台灣思科產品技術經理陳大為提到,其實像是修補的更新通常只會針對特定的部份做一些協定上的控制,並不會輕易更動到其他的地方。不過他也建議,面對這些外部威脅,即使網管人員在短期內不準備進行更新,還是可以透過關閉一些沒有必要的協定而避過某些威脅。

蔡一郎認為,關於路由器的安全議題就和其它如伺服器一樣,都是依賴設備上的作業系統運作,因此面臨的資訊安全威脅,與一般的伺服器設備是相同的,如果沒有針對系統本身的弱點進行更新,弱點就依然會被惡意攻擊者所利用,早期曾發生許多針對路由器進行DDoS攻擊的事件,便是利用存在弱點的路由器系統達到阻絕服務的目的。

D-link友訊科技產品技術發展部顧問許超群說,資安事件的發生,其實都有一些特定的條件配合起來才會發生。他提到也可以在路由器上增加隨機驗證碼,以提防機器人測試帳密的手法,多增加一層保障。合勤科技業務發展資深協理徐樹傑也說,可以透過具備防火牆、IPS、VPN Gateway的路由器系列,來避免這類安全問題。只是,前者可以避免密碼的暴力破解,但是卻無法阻擋類似DDoS之類的阻斷服務攻擊,至於路由器是否要加上防火牆或是入侵偵測的功能,蔡一郎認為此部份是持保留態度,因為不同的攻擊方式,這些設備並無法完全防範,如果有新型態的攻擊技術出現,這些類似的設備是無用武之地的。


攻擊很可怕 無資安知覺更可怕
但說起這些看似高深駭人的攻擊,最可怕的其實卻是使用者自身對資安意識毫無知覺,或者說是過去在這類網路設備裡尚未出現過重大的案例,使得人們逐漸掉以輕心或不去重視。

常常被大家呼籲的第一要項,並是加強密碼的管理,專家建議盡量不要使用預設或簡單的密碼,許超群提到,一般網通設備廠商都有使用手冊或是提供建議給客戶,但是以他的經驗看來,還是有不少網管人員為求方便,而不重視密碼設定的管理。

除了上述最基本卻最常被忽略的問題之外,合勤科技業務發展資深協理徐樹傑也提到,定時檢視路由器政策也是一個管理的方式,例如靜態路由,多為可trust的已知、預設路由,自然可將其優先性提高,而會變動的動態路由,由於其路徑表可能來自他人,當然亦有作假可能性,便要將其優先性設為較低,並且移除一些不信任的路由。

而有時候,其實也可以透過一些流量檢查的機器,檢測出路由器裡的異常流量,從而發現威脅,檢視Log雖然繁瑣又費時間,卻能夠見微知著,早先發現異常。與一般的作業系統弱點、網頁攻擊等相比,路由器安全事件自然算是相當偶發的事件,只是,許多安全事件的發生,有時候甚至不需要駭客使用什麼高超技巧來作祟,一個不安全的設定,便可以讓有心人士加以利用,阻擾對方的網路運行、或是將之當作跳板進入該企業內部。陳大為說,由於它本身也是一個終端機,而自己內部的router通常會信任一些IP address,因此若router被入侵就可能被當作跳板,攻擊者即可選擇使用內部或外部IP,以至於能夠穿越防火牆等設備,並非無可能性。

陳大為說,平時他也會建議使用者在路由器的管理上進行權限的劃分,有時候網通設備廠商可能會要求企業網管人員給帳號密碼以進行遠端控管,又或者如學校的電算中心工讀生有可能因為要管理也會擁有過大的權限,他建議可以給這些特定人士特定的帳號密碼,且只開部分固定功能,例如只讓設備維護廠商能夠看,透過遠端指導使用者即可,無需開過多的權限使得風險提高。


結論
這起蠕蟲攻擊事件是針對家用路由器,而一般專家也認為由於企業較為重視風險控管,因此企業內部的路由器大部分都會有一定程度的控管,較無需擔憂安全問題,一般企業級的路由器,大多會有較完整的服務體系,例如:系統版本更新、技術支援等,相較之下是比較安全的,因為這些廠商為了客戶會願意投入較多的研發人力。但家用路由器相較於企業用的路由器,相較之下佔有數量上的優勢,以攻擊者的思維來看,如果攻擊者想要建立屬於自己的Botnet,選擇安全設計較不嚴謹的家用路由器,似乎比去攻擊企業用路由器而更有價值。

但這並不代表企業路由器便可掉以輕心、高枕無憂,因為這更提醒了企業應該在路由器的控管上更加的注意,因為攻擊者的確已經注意到了路由器可利用之處,而各種安全管理政策,其實早都有規範可遵循,只是,網管人員的安全意識是否已走在駭客前端呢?

路由器安全政策
1.不要使用預設或過於簡單的帳號/密碼 。
2.關閉掉路由器中不必要的對外服務項目、協定。
3. Log!Log!Log!
4.
檢視記錄。
5. 盡可能將這訊息傳遞出去,包括你的ISP業者。
6.確保路由器韌體的更新。
7.完整備份路由器設定,以便於能夠在發生問題後快速回復。