ADSL路由器的安全不容忽视
作者:唐涛
随着ADSL的普及以及ADSL带来的方便、高效深得广大网民的青睐。不用重新布线,不用花费太高便可享受宽带上网带来的乐趣。
现行的ADSL电信方面主要提供了RFC1483路由模式(IPOA方式)及PPPOE2516的方式,用户只需用一只ADSL MODEM(我们俗称的“大猫”)便可接入。为了满足用户共享上网的需求,很多厂商推出了支持路由功能的“大猫”(常称为ADSL路由器),并提出了许多共享上网的方案。
笔者最近在研究ADSL接入问题时,无意中发现ADSL MODEM具有极大的网络安全隐患。经笔者测试,集成GlobespanVirata Inc., Software Release VIK-1.37系列Titanium芯片的ADSL猫具有严重安全隐患。笔者随意扫描了几个IP发现23端口开放,于是TELNET上去,发现用MODEM厂商提供的初始用户名和密码便可直接登陆。
而且,也可用HTTP协议在浏览器里输入http://xxx.xxx.xx.xx直接登陆。(纯属测试,未作任何非法活动)。
登陆后便拥有了MODEM的超级用户权限,可复位MODEM设置,重启MODEM,修改登陆密码,甚至可以写入文件导致MODEM损坏,导致用户无法上网。对于多用共享上网的用户可查询到用户内网IP,并可监视其数据,如用户对外发布服务,可利用此漏洞攻击用户服务器。
笔者测试了几个厂商的MODEM发现大多有此问题,但大多厂商并未在自己的发布文档和用户手册中提出此类安全隐患亦未对用户做任何提示。笔者曾在某厂商网站论坛中提出此问题但未得到厂商重视。
笔者在此提出警示,并请广大用户一定要注重ADSL的网络安全问题,不要以为主机使用防火墙就行了,接入部分的安全同样要重视。此类的安全问题应该说是严重的安全隐患,是厂商对用户不负责的表现,并且侵犯了用户的知情权。前段ALCATEL就公开承认了自己ADSL接入产品的安全问题,因此也请国内厂商们引起重视!
据笔者观察,此安全隐患的跟用户配置有一定关系。当用户采用PPPOE2516方式路由接入时,虚拟拨号由MODEM完成,电信的公网IP便分配给了MODEM,系统为了多用户共享上网自动做了NATP,于是把猫一般会把23端口发布;而由主机虚拟拨号的MODEM的23端口便被屏蔽了。采用RFC1483的用户因为电信分配了一个私有IP,与公网的联接还过了一个电信网关,因此MODEM的端口也被屏蔽了。当然,笔者水平和测试手段有限,是否还有别的原因导致还有待专家和厂商解释。
在此笔者针对此问题提出自己的解决方法:
1、修改厂商初始密码(有些厂商提供了专用程序治理,将用户名和密码事先写入程序,用户就以为没用用户名和密码其实不然)
2、尽量少用NAT功能,尤其不是很熟悉TCP/IP协议的用户,有些NAT会导致你的主机暴露
3、尽量使用代理服务器共享上网
希望ADSL厂商能尽早提出合理解释与解决方案,也提醒广大用户注重网络安全问题!!!!