宽带安全问题抛开个⼈⽤户的种种问题,从电信⾓度来说:现有络硬件设备不能满⾜现有需求,造成⽤户认证困难:假如⽬前每个宽带账号和电话线路都可以绑定,真正做到⼀个账号只能在⼀条线路上使⽤,似乎⽬前很多安全问题都可以解决了。但⽬前的情况不是这样⼦的:在各种账号安全问题中,⾮法共享和盗⽤以及⾮法⽤户追踪困难的原因,主要是因为电信运营商没有对宽带⽤户账号安全提供限制和可靠的保护,⽆法形成对宽带⽤户的的标志。市场经济下,投资成本和利润回报影响各个⾏业的决策,电信也不例外,⽬前国内整个宽带络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域,⽽VLAN资源不⾜致使多个⽤户共⽤⼀个VLAN的络现状。根据⽬前络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这⼀问题。
  当然,这些⽅式虽然可以解决⽤户标志问题,但⽆法在国内统⼀,原因其⼀就是成本问题:成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其⼆就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信⾓度说,对于盗⽤账户的解决⽅法⽬前主要有两个⽅法:
宽带密码怎么改
  解决⽅法⼀,MAC地址绑定解决⽅案,电信运营商可以在RadiusServer上将⽤户上计算机的MAC地址同⽤户上账号进⾏性绑定,利⽤MAC的性,从⽽限制上账号的使⽤性。
  ⽤户在进⾏PPPoE拨号连接的时候,BRAS设备获取⽤户的上账号以及上计算机的MAC地址,然后通过
标准Radius协议将⽤户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址⼀⼀对应的判别⼯作。由于MAC地址的性,⽤户⽆法进⾏账号的⾮法共享或漫游,同时盗⽤的上账号也⽆法使⽤。简单⽅便,⽆须改造现有络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报⽤户账号和⽤户计算机MAC地址给RadiusServer,这⼀点⽬前的BRAS设备都能够做到。不过Radiusserver端的维护⼯作量很⼤,需要经常维护庞⼤的⽤户MAC地址表;⽽且⼀旦⽤户更换电脑或者更换卡都必须在Radiusserver上进⾏重新绑定,带来额外的⼯作量和⽤户投诉;同时对多个⽤户共⽤⼀个VLAN上⾏的组模式,⼆层接⼊络的⽤户安全隔离和⼴播报⽂控制也需要额外的解决⽅案。
  ⽅法⼆:LAN或PVC绑定解决⽅案,VLAN或PVC绑定解决⽅案是在RadiusServer上对⽤户的宽带上账号同接⼊⽤户的VLAN或PVC进⾏绑定。在宽带拨号⽤户进⾏拨号时,BRAS设备将接⼊⽤户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成⽤户上账号同VLAN或PVC的性鉴别⼯作。显然,VLAN或PVC绑定解决⽅案在技术要求和宽带络建过程中,将每个⽤户划分为⼀个单独的VLAN或者PVC。⽬前,在实际的组中,ATM-DSLAM都采⽤⼀个⽤户⼀条PVC⽅式接⼊,⾮常容易实现⽤户账号同PVC的性绑定;为每个接⼊的宽带⽤户分配不同的VLAN标志,实现了⽤户上账号同VLAN性绑定,避免账号公⽤和盗⽤问题。⽤户间通过VLAN或PVC隔离也可有效地解决⼆层接⼊络⼴播风暴问题。硬件上的问题不是最令⼈⼼的,从发展的⾓度,可以很快解决,可有些软问题却⽐较令⼈担忧。
  电信部门的管理的软问题:记得2000年初接触到宽带,接宽带时那个电信⼈员说“宽带密码不存在安全问题,只有你的电话能⽤”,中国的宽带账户安全观念也在这种观念中成长,这样⽆形中养成宽带⽤户的安全意识匮乏,造就了中国的宽带成长中的先天不良。我就以这⼏天测试的某省的电信上宽带收费站为例⼦,谈谈这个问题:进⼊该站后,到计费业务版块。
  这⾥就暴露了⼀个历史遗留问题:宽带⽤户的⽤户名密码容易被猜解问题: ⼀直以来电信出于管理⽅便⾓度,对⽤户名很多都以电话号码为基数,加上其他⼀些简易字母,后边加上诸如@163等的后缀,密码⼏乎都是电话号码,⽤通式来表达: 帐户名:城市名称缩写(如 bj)+电话号码(如 12345678)+@+后缀(如 163) ,密码: 电话号码(注意:此处就是账户⾥的电话号码)也就是说只要知道某城市⼀个宽带账号,只需要略微更改下电话号码就可以猜到其他⼈的账号,帐户名及其他部分都⽆需改动,密码和电话号码⼀致。⽆论⼿动枚举还是软件实现都异常简单。这个上营业厅另⼀个⼤问题也伴随⽽⽣:不是每个电话号码都办理了宽带,当你猜解账号错误时,它并不会采取什么安全策略,限制你输⼊次数,也就是说,可以⽆限枚举,⽽不会封掉你的ip。这个问题可以说威胁⼀个城市的所有宽带⽤户。猜解成功后,进⼊账号管理界⾯⽤户的上拨号⽇志及其他资料会暴露隐私。
  善于利⽤的破解者甚⾄可以利⽤分析⽇志避开账号所有者的使⽤时间⽽不会被发现:账号被猜解后,破解者可以在“修改密码”处修改密码,令账号的真正主⼈不能拨号。轻则别⼈⽤你的账号拨号,造成你短期不能拨号上,重则造成你经济损失:为别⼈的上消费⽀付⾦钱:如⽬前流⾏的在线*,在线信息查询,
在线充值,在线购物功能都可以通过宽带付费,种种在线业务都有个特点,那就是和电信挂钩:究其原因,最终被消费钱是需要电信中转的,往往最终体现在上费上,⽬前国内宽带上费和电话费是⼀起交的。当他⼈盗⽤你的账号消费不是很多情况下,你看到账单多出来的⼏块或者⼏⼗块钱时,你是很⽆奈的。想起⼀种现象:犯罪的“成本低“,成本低到受害者没法去告罪犯。⽽且即使你想告他,到盗⽤你账号的⼈,并拿到证据,其中你的付出的时间和⾦钱也会令你望⽽却步,这既是法律的悲哀,更是⼈性的悲哀,奉劝那些⾛在犯罪边缘的⼈:勿以⼩恶⽽为之,抛开法律来说,你在盗得点滴利益的同时,你失去的不是单纯⾦钱可以衡量的。
  问题到这似乎可以结束了,可更⼤的问题还在后边。像电信级的站,管理后台⼊⼝应该⼗分隐蔽,对于⼀个动态站来说,后台管理部分必不可少,由于后台涉及整个站点的安全,因此后台管理部分的⼊⼝要⼗分隐蔽,要采⽤⼀套独⽴前台的模块,采⽤专⽤的登陆界⾯。⼤型的站或重要的程序要有很多不同分⼯的后台管理员来管理,因此每个管理员的管理权限范围和权限之间决不能互相影响。这也是⾮常重要的特性。这个站设计就违反这个规则,猜了⼏次路径后,管理⼊⼝就被到。(由于涉及敏感信息,路径不再给出),然后再根据这个路径,利⽤离线浏览软件WebSeizer,在WebSeizer的页⾸选项设置为这个地址,再把和这个页⾯相关的所有页下载下来,在下载层次设置为-1,这样和这个页⾯相关的所有页⾯都可以下载下来。这次的收获我⾮产吃惊,在⼀个新闻组模块⾥的admin.jsp.html页⾥我到了管理员密码,ftp密码,还有很多其他东西。
  最后通过类似步骤,到了8个各个模块的管理员帐号。由于计费系统及其他内容涉及法律问题,⽐较敏感,不在此叙述了。如果单纯是⼀个民间站,我也不会多说什么,这毕竟是⼀个省级的计费系统。最后联系了相关的管理⼈员,得到回复是:“谢谢你的通知,我们会修补好相关漏洞”,也没有再多解释什么。
  喜欢“⾁鸡”的朋友如果细⼼的话会发现这么⼀个现象:扫描不同国家的同⼀个数量级的主机,能到的“⾁鸡“数量往往和国家对络安全的重视程度成反⽐,1000个主机,中国可能到100个⾁鸡,可美国可能最多到5个。这不能不给我们带来些思考,最后引⽤中国⼯程院院⼠、国家863计划专项研究专家组组长何德全的话结束本⽂:“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。…因此,要把我国的信息安全问题放在全球战略考虑,…”