路由器是局域网连接外部网络的重要桥梁是网络系统中不可或缺的重要部件也是网络安全的前沿关口但是路由器的维护却很少被大家所重视试想如果路由器连自身的安全都没有保障整个网络也就毫无安全可言因此在网络安全管理上必须对路由器进行合理规划配置采取必要的安全保护措施避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险我们下面就给大家介绍一些路由器加强路由器安全的措施和方法让我们的网络更安全
为路由器间的协议交换增加认证功能提高网络安全性
路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议常用的有RIPEIGRPOSPFISISBGP等当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表但此种方法可能导致网络拓扑信息洩漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证当路由器配置了认证方式就会鑒别路由信息的收发方
路由器的物理安全防范
路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施“密码修复流程”进而登录路由器就可以完全控制路由器
保护路由器口令
在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能一旦密码洩漏网络也就毫无安全可言
阻止察看路由器诊断信息
关闭命令如下 no service tcpsmallservers no service udpsmallservers
阻止查看到路由器当前的用户列表
关闭命令为no service finger
关闭CDP服务
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台操作系统版本端口IP地址等重要信息可以用命令: no cdp running或no cdp enable关闭这个服务
阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃
“IP sourceroute”是一个全局配置命令允许路由器处理带源路由选项标记的数据流启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙关闭命令如下 no ip sourceroute
关闭路由器广播包的转发
Sumrf DoS攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪应在每个端口应用“no ip directedbroadcast”关闭路由器广播包
管理HTTP服务
HTTP服务提供Web管理接口“no ip http server”可以停止HTTP服务如果必须使用HTTP一定要使用访问列表“ip http accessclass”命令严格过滤允许的IP地址同时用“ip http authentication ”命令设定授权限制
抵御spoofing(欺骗) 类攻击
使用访问控制列表过滤掉所有目标地址为网络广播地址和宣称来自内部网络实际却来自外部的包 在路由器端口配置 ip accessgroup list in number 访问控制列表如下 accesslist number deny icmp any any redirect accesslist number deny ip any accesslist number deny ip any accesslist number deny ip host any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包在类似环境中使用时要有充分的认识
防止包嗅探
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内监视网络数据流从而盗窃密码包括SNMP 通信密码也包括路由器的登录和特权密码这样网络管理员难以保证网络的安全性在不可信任的网络上不要用非加密协议登录路由器如果路由器支持加密协议请使用SSH 或 Kerberized Telnet或使用IPSec加密路由器所有的管理流
校验数据流路径的合法性
使用RPF (reverse path forwarding)反相路径转发由于攻击者地址是违法的所以攻击包被丢弃从而达到抵御spoofing 攻击的目的RPF反相路径转发的配置命令为: ip verify unicast rpf 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发
防止SYN 攻击
目前一些路由器的软件平台可以开启TCP 拦截功能防止SYN 攻击工作模式分拦截和监视两种默认情况是拦截模式(拦截模式: 路由器响应到达的SYN请求并且代替服务器发送一个SYNACK报文然后等待客户机ACK如果收到ACK再将原来的SYN报文发送到服务器; 监视模式路由器允许SYN请求直接到达服务器如果这个会话在秒内没有建立起来路由器就会发送一个RST以清除这个连接) 首先配置访问列表以备开启需要保护的IP地址: access list [] [denypermit] tcp any destination destinationwildcard 然后开启TCP拦截 Ip tcp intercept mode intercept Ip tcp intercept list access listnumber Ip tcp intercept mode watch
使用安全的SNMP管理方案
SNMP广泛应用在路由器的监控配置方面SNMP Version 在穿越公网的管理应用方面安全性低不适合使用利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能配置命令 snmpserver community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 使用MD数字身份鑒别方式不同的路由器设备配置不同的数字签名密码这是提高整体安全性能的有效手段
综述
路由器作为整个网络的关键性设备安全问题是需要我们特别重视当然如果仅仅是靠上面的这些设置方法来保护我们的网络是远远不够的还需要配合其他的设备来一起做好安全防范措施将我们的网络打造成为一个安全稳定的信息交流平台
