路由器安全問題正越來越多地受到業內關注，這對小型和大型企業的安全性都構成威脅。

[[156838]]

僅在今年，我們就看到幾個高關注度的路由器安全問題。例如，DSL和無線路由器被發現包含多個漏洞。在DSL路由器的情況中，據稱，通過AUSA和DIGICOM等知名公司的路由器中Telnet可訪問經過硬編碼的管理員級別的登錄憑證。而在無線路由器的情況中，Belkin系統被發現存在DNS漏洞利用、明文傳輸固件更新以及Web用戶會話相關的漏洞。

有人可能會認為這種漏洞與最小型的企業沒什么關系，但事實并非如此。現在很多較大型企業仍然使用DSL連接用于分支機構、專用制造設備，特別是訪客無線網絡，而很多被視為“關鍵基礎設施”部分的網絡都可以通過這種連接被訪問以及被利用。很多調查都表明大部分IT專業人士不知道其企業敏感信息所在位置，由此，筆者可以肯定的是，很多這些路由器都沒有被視為重要資產——基于其基礎性和有限的可見性。

其他消息方面，思科企業網絡路由器可能受到SYNful Knock惡意軟件的“感染”。最近有人發現某些思科企業路由器安裝了修改后的IOS鏡像，這可能導致隨后遭遇攻擊。但由于在大多數企業都需要物理訪問和管理員身份憑證，這種風險可能不是很高，不過，這仍然會帶來風險。一款被稱為Synful Knock Scanner的工具可以用于發現企業中可能已經被感染的路由器。

正如最近這些漏洞所證明的那樣，企業不能再對這些核心網絡系統的安全性掉以輕心。

不過，這些路由器安全問題并不是新聞，幾十年以來，它們一直在給企業帶來基本安全挑戰。值得慶幸的是，現在我們有安全研究人員在發現和報告這些問題，使企業能夠相應地規劃和調整自己的安全戰略以阻止攻擊。對于路由器安全問題，企業面臨的的挑戰是，對這些系統的測試通常與對其他看似更關鍵的系統(例如服務器、Web應用和數據庫)的安全評估不一致。我們經常看到企業路由器完全不在外部或內部滲透測試的范圍內。在很多情況下，企業只有對路由器進行簡單的漏洞掃描，而沒有手動分析網絡架構、系統配置等。畢竟，“這只是路由器”。

為了緩解路由器安全問題，并確保路由器最終不會成為最薄弱的網絡環節，下面是網絡和安全管理人員要采取的三個步驟：

1. 盤點所有路由器

你無法保護你不知道的東西。你知道你網絡中的每個路由器嗎?你應該將這些系統登記到系統庫存中，以便你可以讓特定的供應商來幫助你應對漏洞問題。

2. 掃描漏洞

使用Nexpose或Qualys等傳統漏洞掃描儀掃描漏洞，但不要只是走馬觀花;應更加深入掃描正在運行的路由器服務，特別是Web接口。筆者經常通過使用Web漏洞掃描儀(例如低成本而高效的Netsparker或Acunetix Web漏洞掃描儀)發現路由器中相對嚴重的安全漏洞(例如跨站腳本和開放HTTP代理服務器)。企業還可以使用NetScanTools Pro和Kali Linux(例如思科Global Exploiter)等工具對路由器進行更有針對性的測試。同樣重要的是，企業應該持續監控路由器攻擊和異常行為，最好的方法是由專門的團隊或外包供應商執行主動的全天候監控。

3. 修復、更新或者緩解

企業應將路由器添加到企業的整體補丁管理程序。路由器補丁往往較慢推向市場，并且，鑒于正常運行時間要求，這些補丁通常很難部署。如有必要，企業可以更換不再受到制造商關注的過時路由器，了解清楚如何進行更換，如果沒有其他選擇，企業可以使用安全控制(例如防火墻的阻止端口/服務)來盡量減小風險。

隨著時間的推移，我們會發現良好運行的信息安全計劃不只是規定可接受計算機使用、高強度密碼、軟件修復的書面政策，網絡的方方面面最終都必須進行檢查和鎖定。無論是網絡中心的核心路由器還是遠程設備的唯一DSL路由器，都可能受到攻擊，因此，網絡和安全管理人員必須保持警覺，檢查所有系統，甚至是那些老舊的路由器。