路由器安全问题正越来越多地受到业内关注，这对小型和大型企业的安全性都构成威胁。

仅在今年，我们就看到几个高关注度的路由器安全问题。例如，DSL和无线路由器被发现包含多个漏洞。在DSL路由器的情况中，据称，通过AUSA和DIGICOM等知名公司的路由器中Telnet可访问经过硬编码的管理员级别的登录凭证。而在无线路由器的情况中，Belkin系统被发现存在DNS漏洞利用、明文传输固件更新以及Web用户会话相关的漏洞。

有人可能会认为这种漏洞与最小型的企业没什么关系，但事实并非如此。现在很多较大型企业仍然使用DSL连接用于分支机构、专用制造设备，特别是访客无线网络，而很多被视为“关键基础设施”部分的网络都可以通过这种连接被访问以及被利用。很多调查都表明大部分IT专业人士不知道其企业敏感信息所在位置，由此，笔者可以肯定的是，很多这些路由器都没有被视为重要资产——基于其基础性和有限的可见性。

其他消息方面，思科企业网络路由器可能受到SYNful Knock恶意软件的“感染”。最近有人发现某些思科企业路由器安装了修改后的IOS镜像，这可能导致随后遭遇攻击。但由于在大多数企业都需要物理访问和管理员身份凭证，这种风险可能不是很高，不过，这仍然会带来风险。一款被称为Synful Knock Scanner的工具可以用于发现企业中可能已经被感染的路由器。

正如最近这些漏洞所证明的那样，企业不能再对这些核心网络系统的安全性掉以轻心。

不过，这些路由器安全问题并不是新闻，几十年以来，它们一直在给企业带来基本安全挑战。值得庆幸的是，现在我们有安全研究人员在发现和报告这些问题，使企业能够相应地规划和调整自己的安全战略以阻止攻击。对于路由器安全问题，企业面临的的挑战是，对这些系统的测试通常与对其他看似更关键的系统（例如服务器、Web应用和数据库）的安全评估不一致。我们经常看到企业路由器完全不在外部或内部渗透测试的范围内。在很多情况下，企业只有对路由器进行简单的漏洞扫描，而没有手动分析网络架构、系统配置等。毕竟，“这只是路由器”。

为了缓解路由器安全问题，并确保路由器最终不会成为最薄弱的网络环节，下面是网络和安全管理人员要采取的三个步骤：

1. 盘点所有路由器

你无法保护你不知道的东西。你知道你网络中的每个路由器吗？你应该将这些系统登记到系统库存中，以便你可以让特定的供应商来帮助你应对漏洞问题。

2. 扫描漏洞

使用Nexpose或Qualys等传统漏洞扫描仪扫描漏洞，但不要只是走马观花；应更加深入扫描正在运行的路由器服务，特别是Web接口。笔者经常通过使用Web漏洞扫描仪（例如低成本而高效的Netsparker或Acunetix Web漏洞扫描仪）发现路由器中相对严重的安全漏洞（例如跨站脚本和开放HTTP代理服务器）。企业还可以使用NetScanTools Pro和Kali Linux（例如思科Global Exploiter）等工具对路由器进行更有针对性的测试。同样重要的是，企业应该持续监控路由器攻击和异常行为，最好的方法是由专门的团队或外包供应商执行主动的全天候监控。

3. 修复、更新或者缓解

企业应将路由器添加到企业的整体补丁管理程序。路由器补丁往往较慢推向市场，并且，鉴于正常运行时间要求，这些补丁通常很难部署。如有必要，企业可以更换不再受到制造商关注的过时路由器，了解清楚如何进行更换，如果没有其他选择，企业可以使用安全控制（例如防火墙的阻止端口/服务）来尽量减小风险。

随着时间的推移，我们会发现良好运行的信息安全计划不只是规定可接受计算机使用、高强度密码、软件修复的书面政策，网络的方方面面最终都必须进行检查和锁定。无论是网络中心的核心路由器还是远程设备的唯一DSL路由器，都可能受到攻击，因此，网络和安全管理人员必须保持警觉，检查所有系统，甚至是那些老旧的路由器。