前言
随着互联网的发展,越来越多公司推出了智能路由器,这些智能路由器给用户带来了众多便利的功能,同时也采用了一些传统路由器不具备的安全特性,本文在简要分析下这些安全特性,供相关技术人员参考。
概述
传统路由器有意或无意地使用了种种不安全的特性,如预留后门,这些后门原本是为了现场调试方便,但是也开放了黑客进入的通道。又比如某些路由器WPS(Wi-Fi Protected Setup)的PIN码是可以根据路由器MAC地址推导出来的,这使得即使用户设置了复杂的WiFi密码,黑客也可以轻易破解进而渗透。另外,大部分路由器在固件更新时都没进行签名校验,这使得黑客可以通过固件更新来植入木马,进而永久控制用户的路由器……等等这些不安全特性,是导致用户隐私泄露和财产损失的帮凶。
在这样的背景下,智能路由器采用了一些安全特性,特别值得赞赏。
安全特性
下面以路由器生产商为单位,介绍其采用的安全特性及其安全特性带来的好处。只做纯技术的探讨,不涉及其他。
360安全路由器
现场调试接口RSA-1024加密和校验
路由器生产商为了在排错或调试时能直接得到rootshell,通常会在路由器上预留后门,参考及,这些后门能为生产商所用,也能被黑客所利用。特别是能远程利用的后门,黑客能远程获得路由器的所有权限,配合其它攻击能造成用户财产上的损失。
360的C301路由器是这样做的:公钥/etc/defdata/debug_telnet.pub.key存在于路由器的固件里,生产厂商用与debug_telnet.pub.key对应的私钥加密特定U盘的序列号,并把加密结果存放到该U盘根目录下的telnet.boot文件中,向C301路由器的USB接口插入该U盘,后台自动运行如下的命令行,也就是启动telnet的服务端:
/usr/sbin/telnetd -l/usr/sbin/login -u 360user:alpha360 -i br0 &
见程序debug_telnet如下代码:
telnet服务端启动后,只要telnet路由器的ip地址再输入用户名和密码(360user和alpha360)便可以获得root shell。
不难看出,要获得路由器的root shell有两个条件,一是要插入U盘,这要求能接触到路由器,同时也防止了远程利用;二是U盘根目录下的telnet.boot文件必须是用私钥加密U盘序列号的结果,而私钥掌握在生产商手中,黑客不能轻易获取到。
公钥的详情如下图所示:
总的来说,C301路由器采用非对称加密实现既能得到路由器的root权限,又能防止黑客获得root权限,相对于预留后门的做法,表现出值得传统路由器学习之处。
固件更新签名校验
C301路由器的固件采用了AES加密,解密后的固件里含有对该固件的签名,固件更新时会先进行签名校验,校验不通过则认为固件是篡改过的,从而拒绝固件更新。
小米路由器
固件更新签名校验
小米路由器进行固件更新时同样会进行签名校验,文件/usr/share/xiaoqiang/public.pem是它的公钥,用来校验签名正确与否。正因为这样,黑客如果想在不拆机的前提下刷入已植入木马的固件,只有两条路可走,一是通过入侵、社工或破解得到对应的私钥,然后对修改后的固件进行签名再刷入;二是通过漏洞,挖掘新的漏洞或者刷入有漏洞的旧版固件,然后再通过漏洞利用得到root shell进而刷入任意固件。一般来讲,第一条路是很难的,而为了堵住第二条路,可以通过限制降级来实现。
由此可见,在限制降级的前提下,在固件更新时进行签名校验,能有效地防止路由器被植入木马。
极路由
固件更新Hash校验
极路由进行固件升级的时候同样会进行校验,只不过是进行MD5的HASH检验,而不是用非对称算法来校验,虽然它下载固件时,用的是HTTP下载,可被劫持,但是固件的HASH信息是通过HTTPS来传输的,可保证安全,固件下载后会验证MD5值是否匹配,不匹配则不升级。这样只要保证升级 服务器 不被入侵就能保证刷入的固件是官方的。
固件升级时的校验被多次提到是因为它很重要。因为如果路由器被黑客通过管理界面刷入了被植马的固件,那么黑客就拥有了所有的权限,这样,我们平常教育用户使用复杂密码所付出的努力便付诸东流,不管设置多么复杂的密码、怎么经常修改密码黑客都可以通过木马获取到。
配置信息加密保存
极路由如mac地址、fac_uuid等配置信息是用DES算法加密后存在路由器的NOR FLASH上的,相对于传统路由器直接明文保存的,在有root shell的权限后,便可轻易得到WiFi密码、Web登录密码等敏感信息,加密保存在一定程度上提高了门槛。
WPS功能关闭
极路由是不提供WPS功能的,这样可以防止黑客通过WPS的PIN码破解,从而得到WiFi的WPA密码入侵。非要提供WPS功能的话,也应该做到下面两点,一是启用WPS防护,二是默认的PIN码要随机,不能推导出来。和就是两个反面例子,因为用户一般不会去修改默认的PIN码的,黑客只要根据MAC地址推导出PIN码后,便可以轻易破解出WiFi密码,不管密码有多复杂。
总结
尽管智能路由器在安全方面还有很大改进的空间,它所采用的安全特性,值得传统路由器生产商学习。
安全设计
为了保护用户的安全和防止用户因黑客入侵而造成损失,笔者认为,路由器厂商可以参考以下的安全设计规范。
tcp和ip协议的主要功能是什么?
TCP/IP协议是一个协议族,主要功能是为网络传输提供服务。 TCP/IP协议分为4层,链路层、传输层、网络层和应用层。 每一层完成不同的功能,共同作用完成网络传输服务。 其中,下面的3层:链路层、传输层、网络层主要是完成网络传输的,只有应用层对用户来说可见,例如:常见的http、ftp都是应用层协议。 如果想了解更详细的,我推荐你看一下《TCPIP协议详解卷1-协议》、《TCPIP协议详解卷2-实现》、《TCPIP协议详解卷3-TCP事务协议》,看完这些我相信一般的问题都难不倒你了。
SD-WAN设备有什么特点?
1、智能
快速部署:在新的地点可以在几分钟内启动和运行,零接触配置。 只需将路由器连接到Internet,将AP连接到路由器,设备将自行配置,无需本地IT专家来进行技术支持。
灵活的广域网连接:能够将远程站点连接到任何可用的广域网连接(宽带、LTE、MPLS)。
2、简单
集中的基于云的编配和管理:通过单一用户友好界面(非IT资源)管理远程位置。
防止远程办公室的随意扩展:集成LAN/PoE、Wi-Fi、WAN和安全功能,提供一个经济高效、节省空间的方式,从而避免了对额外基础设施组件的需求。
简单的流量优先级:将来自用户组(所有主管)和/或将应用程序(视频会议)的流量根据单个/多个连接进行优先级排列。
3、安全
安全的远程工作者:高度安全的隧道,以支持家庭工作者以及安全的站点到站点的连接。
集成的安全功能:路由器和AP上的L2-7防火墙具有高级Wi-Fi安全功能,如WPA3、私有预共享密钥等。
邦元家具都有哪些特点?
亚里士多德认为,“人的美德在于人的功能性”,他从美学的角度对此观点进行了说明:“一个吹笛手,一位雕刻家或是一位艺术家,任何人都具有一种功能或行为,而他们的美德就在于其功能性。 ”他用美和功能简述了美德。 中国家具,从传统的物品收纳者,发展为今天的家居装饰品,继承了美和功能的共同特点。 简约是邦元·名匠·衣柜的优点所在;同奢侈但毫不实用的虚饰相比,邦元·名匠衣柜重在其使用功效,而并非只是一种外表花哨华丽的装饰品。 随着科学技术的发展,家具行业也在不断引进高新技术。 家具产品由实用化向具备辅助功能、享受功能等多功能方向发展;原辅材料也呈现多元化、时尚化趋势。 邦元·名匠衣柜,一直坚持自主研发道路,向传统的家具领域寻找新的突破口。 邦元·名匠,在传统的木制品上作文章,从最初的纯板式衣柜上大范围的使用五金功能配件,增加衣柜的附加功能,为衣柜规划更多的使用空间之外,节约更多的木材推崇低碳环保生活。 在倡导绿色家居生活的基础上,邦元·名匠看到了更多数生活品味人士的需要,走科技创新之路,建智能生活之城。 邦元·名匠,不断探索新的领域,用异常敏锐的潮流触觉,观察国际家具发展走向。 邦元·名匠,采用高科技手法,结合生活人士的不同家居需求,研发相应配套的智能化家具产品,满足人们对高品质个性化生活的追求。 去年推出的除臭杀菌智能鞋柜开始,邦元·名匠衣柜产品,为中国数万家庭解决了鞋子的健康收纳问题,而邦元·名匠的研发团队,还再致力于智能衣柜的完善,届时,邦元·名匠衣柜所提供的,不仅是一件家具艺术品,还是人们健康生活难以或缺的好帮手。 邦元·名匠整体衣柜,用科技引导智能生活!
发表评论