请教个网络安全问题

9smttb78

路由死绑内网ip，关闭外网管理，管理页面权限赋某主机且与内网其他设备隔离。

假设现在内网某台非管理主机沦陷，攻击者还能通过路由器漏洞等方式拿下路由吗？

木谷高明

万一攻击者利用失陷主机，横向移动到管理主机呢

9smttb78

木谷高明 发表于 2024-7-6 08:31
万一攻击者利用失陷主机，横向移动到管理主机呢

前提有说了隔离

sssfans

你这个路由器漏洞，要是有一种漏洞，能让非管理主机通过漏洞访问路由器管理页，那当然可以啊。你要不再看看你自己问的什么。

9smttb78

sssfans 发表于 2024-7-6 09:28
你这个路由器漏洞，要是有一种漏洞，能让非管理主机通过漏洞访问路由器管理页，那当然可以啊。你要不再看看 ...

所以说是存在或存在过这种漏洞形式吗？在连管理页面会被路由拒绝的情况下仍可能透过漏洞发起攻击（攻击者不知道我管理主机的mac还有内网ip），不是指那些路由本身就有错误直接就能连上页面的低级漏洞

kciceblue

9smttb78 发表于 2024-7-6 09:49
所以说是存在或存在过这种漏洞形式吗？在连管理页面会被路由拒绝的情况下仍可能透过漏洞发起攻击（攻击者 ...

硬件层面的漏洞是存在这种绕过路由防火墙的可能性的。 至于说内网ip如果你的沦陷主机没有做完美的隔离是有可能被扫出来管理主机的地址的。这种漏洞以前自然是有过的，至于现在还存不存在没有修复的这谁知道啊

龙骑士尹志平

管理权限怎么做的限制呢，就算路由器专门用一个端口拉一条线到管理主机，管理主机与除路由器网关外所有外接网段路由不可达，将端口 mac地址 ip的对应关系绑定死，就算是这样杜绝了伪造ip的攻击还是有可能因为路由器本身漏洞被内网机器攻击呀

9smttb78

kciceblue 发表于 2024-7-6 10:00
硬件层面的漏洞是存在这种绕过路由防火墙的可能性的。 至于说内网ip如果你的沦陷主机没有做完美的隔离是 ...

ap隔离，管理主机是一台常年不开的手机，然后开手机连后台时关闭其他内网设备。

那么请问这种方案安全性如何呢？

kciceblue

9smttb78 发表于 2024-7-6 02:14
ap隔离，管理主机是一台常年不开的手机，然后开手机连后台时关闭其他内网设备。

那么请问这种方案安全性 ...

实话讲这种级别的安全性其实对于普通小企业都算是过头了，当然如果你还想要在安全一点我的建议是对管理主机ip的联网进行实时监控和登录提醒。同时建议定期对路由器进行设置备份和系统/固件重装，毕竟按照你的描述下来最薄弱的一块其实是路由器。尽管这种可能性非常低，但如果入侵者拿到了路由器后台的权限，你之前所有的努力都是形同虚设的。

9smttb78

龙骑士尹志平 发表于 2024-7-6 10:11
管理权限怎么做的限制呢，就算路由器专门用一个端口拉一条线到管理主机，管理主机与除路由器网关外所有外接 ...

发起路由漏洞攻击前提并不需要连接上管理页面，我可以这样理解吗？

zerona

当初没分网段吗?

jie2000

9smttb78 发表于 2024-7-6 10:39
发起路由漏洞攻击前提并不需要连接上管理页面，我可以这样理解吗？

是的
大门再坚固也不影响贼从窗户翻进你家里

sssfans

9smttb78 发表于 2024-7-6 09:49
所以说是存在或存在过这种漏洞形式吗？在连管理页面会被路由拒绝的情况下仍可能透过漏洞发起攻击（攻击者 ...

自然是存在过的，路由器本身有漏洞被利用的话，跟你是不是管理主机没关系，你保险库墙上有个洞，你的大门就是再安全又有什么意义呢？不过这种东西，小企业的话，正常用网络大厂的路由器设备，勤更新固件，风险很低了。你实在不放心，就找厂商定制防火墙系统咯

9smttb78

啊这，这样也无法防0day就不纠结了，其实只是个家庭组网，感觉再讨论下去要到如何建蜜罐了。谢谢回复的各位。