路由器是局域網連接外部網絡的重要橋梁是網絡系統中不可或缺的重要部件也是網絡安全的前沿關口但是路由器的維護卻很少被大家所重視試想如果路由器連自身的安全都沒有保障整個網絡也就毫無安全可言因此在網絡安全管理上必須對路由器進行合理規劃配置采取必要的安全保護措施避免因路由器自身的安全問題而給整個網絡系統帶來漏洞和風險我們下面就給大家介紹一些路由器加強路由器安全的措施和方法讓我們的網絡更安全
為路由器間的協議交換增加認證功能提高網絡安全性
路由器的一個重要功能是路由的管理和維護目前具有一定規模的網絡都采用動態的路由協議常用的有RIPEIGRPOSPFISISBGP等當一台設置了相同路由協議和相同區域標示符的路由器加入網絡後會學習網絡上的路由信息表但此種方法可能導致網絡拓撲信息洩漏也可能由於向網絡發送自己的路由信息表擾亂網絡上正常工作的路由信息表嚴重時可以使整個網絡癱瘓這個問題的解決辦法是對網絡內的路由器之間相互交流的路由信息進行認證當路由器配置了認證方式就會鑒別路由信息的收發方
路由器的物理安全防范
路由器控制端口是具有特殊權限的端口如果攻擊者物理接觸路由器後斷電重啟實施“密碼修復流程”進而登錄路由器就可以完全控制路由器
保護路由器口令
在備份的路由器配置文件中密碼即使是用加密的形式存放密碼明文仍存在被破解的可能一旦密碼洩漏網絡也就毫無安全可言
阻止察看路由器診斷信息
關閉命令如下 no service tcpsmallservers no service udpsmallservers
阻止查看到路由器當前的用戶列表
關閉命令為no service finger
關閉CDP服務
在OSI二層協議即鏈路層的基礎上可發現對端路由器的部分配置信息: 設備平台操作系統版本端口IP地址等重要信息可以用命令: no cdp running或no cdp enable關閉這個服務
阻止路由器接收帶源路由標記的包將帶有源路由選項的數據流丟棄
“IP sourceroute”是一個全局配置命令允許路由器處理帶源路由選項標記的數據流啟用源路由選項後源路由信息指定的路由使數據流能夠越過默認的路由這種包就可能繞過防火牆關閉命令如下 no ip sourceroute
關閉路由器廣播包的轉發
Sumrf DoS攻擊以有廣播轉發配置的路由器作為反射板占用網絡資源甚至造成網絡的癱瘓應在每個端口應用“no ip directedbroadcast”關閉路由器廣播包
管理HTTP服務
HTTP服務提供Web管理接口“no ip http server”可以停止HTTP服務如果必須使用HTTP一定要使用訪問列表“ip http accessclass”命令嚴格過濾允許的IP地址同時用“ip http authentication ”命令設定授權限制
抵御spoofing(欺騙) 類攻擊
使用訪問控制列表過濾掉所有目標地址為網絡廣播地址和宣稱來自內部網絡實際卻來自外部的包 在路由器端口配置 ip accessgroup list in number 訪問控制列表如下 accesslist number deny icmp any any redirect accesslist number deny ip any accesslist number deny ip any accesslist number deny ip host any 注: 上述四行命令將過濾BOOTP/DHCP 應用中的部分數據包在類似環境中使用時要有充分的認識
防止包嗅探
黑客經常將嗅探軟件安裝在已經侵入的網絡上的計算機內監視網絡數據流從而盜竊密碼包括SNMP 通信密碼也包括路由器的登錄和特權密碼這樣網絡管理員難以保證網絡的安全性在不可信任的網絡上不要用非加密協議登錄路由器如果路由器支持加密協議請使用SSH 或 Kerberized Telnet或使用IPSec加密路由器所有的管理流
校驗數據流路徑的合法性
使用RPF (reverse path forwarding)反相路徑轉發由於攻擊者地址是違法的所以攻擊包被丟棄從而達到抵御spoofing 攻擊的目的RPF反相路徑轉發的配置命令為: ip verify unicast rpf 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速轉發
防止SYN 攻擊
目前一些路由器的軟件平台可以開啟TCP 攔截功能防止SYN 攻擊工作模式分攔截和監視兩種默認情況是攔截模式(攔截模式: 路由器響應到達的SYN請求並且代替服務器發送一個SYNACK報文然後等待客戶機ACK如果收到ACK再將原來的SYN報文發送到服務器; 監視模式路由器允許SYN請求直接到達服務器如果這個會話在秒內沒有建立起來路由器就會發送一個RST以清除這個連接) 首先配置訪問列表以備開啟需要保護的IP地址: access list [] [deny permit] tcp any destination destinationwildcard 然後開啟TCP攔截 Ip tcp intercept mode intercept Ip tcp intercept list access listnumber Ip tcp intercept mode watch
使用安全的SNMP管理方案
SNMP廣泛應用在路由器的監控配置方面SNMP Version 在穿越公網的管理應用方面安全性低不適合使用利用訪問列表僅僅允許來自特定工作站的SNMP訪問通過這一功能可以來提升SNMP服務的安全性能配置命令 snmpserver community xxxxx RW xx ;xx是訪問控制列表號 SNMP Version 使用MD數字身份鑒別方式不同的路由器設備配置不同的數字簽名密碼這是提高整體安全性能的有效手段
綜述
路由器作為整個網絡的關鍵性設備安全問題是需要我們特別重視當然如果僅僅是靠上面的這些設置方法來保護我們的網絡是遠遠不夠的還需要配合其他的設備來一起做好安全防范措施將我們的網絡打造成為一個安全穩定的信息交流平台
From:http://tw.wingwit.com/Article/os/xtgl/201311/9889.html