● ADSL路由器的安全不容忽视 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: AM (南极里只有冬天吗?), 信区: NetResource
标题: ADSL路由器的安全不容忽视
发信站: 荔园晨风BBS站 (Wed Apr 21 14:29:27 2004), 站内信件

随着ADSL的普及以及ADSL带来的方便、高效深得广大网民的青睐。不用重新布线，
不用花费太高便可享受宽带上网带来的乐趣。

　　现行的ADSL电信方面主要提供了RFC1483路由模式（IPOA方式）及PPPOE2516的
方式，用户只需用一只ADSL MODEM（我们俗称的“大猫”）便可接入。为了满足用
户共享上网的需求，很多厂商推出了支持路由功能的“大猫”(常称为ADSL路由器
)，并提出了许多共享上网的方案。

　　笔者最近在研究ADSL接入问题时，无意中发现ADSL MODEM具有极大的网络安全
隐患。经笔者测试，集成GlobespanVirata Inc., Software Release VIK-1.37系
列Titanium芯片的ADSL猫具有严重安全隐患。笔者随意扫描了几个IP发现23端口开
放，于是TELNET上去，发现用MODEM厂商提供的初始用户名和密码便可直接登陆。

　　而且，也可用HTTP协议在浏览器里输入http://xxx.xxx.xx.xx直接登陆。（纯
属测试，未作任何非法活动）。

登陆后便拥有了MODEM的超级用户权限，可复位MODEM设置，重启MODEM，修改登陆
密码，甚至可以写入文件导致MODEM损坏，导致用户无法上网。对于多用共享上网
的用户可查询到用户内网IP，并可监视其数据，如用户对外发布服务，可利用此漏
洞攻击用户服务器。

　　笔者测试了几个厂商的MODEM发现大多有此问题，但大多厂商并未在自己的发
布文档和用户手册中提出此类安全隐患亦未对用户做任何提示。笔者曾在某厂商网
站论坛中提出此问题但未得到厂商重视。

　　笔者在此提出警示，并请广大用户一定要注意ADSL的网络安全问题，不要以为
主机使用防火墙就行了，接入部分的安全同样要重视。此类的安全问题应该说是严
重的安全隐患，是厂商对用户不负责的表现，并且侵犯了用户的知情权。前段
ALCATEL就公开承认了自己ADSL接入产品的安全问题，因此也请国内厂商们引起重
视！

　　据笔者观察，此安全隐患的跟用户配置有一定关系。当用户采用PPPOE2516方
式路由接入时，虚拟拨号由MODEM完成，电信的公网IP便分配给了MODEM，系统为了
多用户共享上网自动做了NATP，于是把猫一般会把23端口发布；而由主机虚拟拨号
的MODEM的23端口便被屏蔽了。采用RFC1483的用户因为电信分配了一个私有IP，与
公网的联接还过了一个电信网关，因此MODEM的端口也被屏蔽了。当然，笔者水平
和测试手段有限，是否还有别的原因导致还有待专家和厂商解释。

　　在此笔者针对此问题提出自己的解决方法：

　　1、修改厂商初始密码（有些厂商提供了专用程序管理，将用户名和密码事先
写入程序，用户就以为没用用户名和密码其实不然）

　　2、尽量少用NAT功能，尤其不是很熟悉TCP/IP协议的用户，有些NAT会导致你
的主机暴露

　　3、尽量使用代理服务器共享上网

　　希望ADSL厂商能尽早提出合理解释与解决方案，也提醒广大用户注意网络安全
问题！！！！

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.1.57]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店