路由器是網路系統的主要裝置,也是網路安全的前沿關口。如果路由器連自身的安全都沒有保障,整個網路也就毫無安全可言。因此在網路安全管理上,必須對路由器進行合理規劃、配置,採取必要的安全保護措施,避免因路由器自身的安全問題而給整個網路系統帶來漏洞和風險。 下面是一些加強路由器安全的具體措施,用以阻止對路由器本身的攻擊,並防範網路資訊被竊取。
1. 為路由器間的協議交換增加認證功能,提高網路安全性。
路由器的乙個重要功能是路由的管理和維護,目前具有一定規模的網路都採用動態的路由協議,常用的有:rip、eigrp、ospf、is-is、bgp等。當一台設定了相同路由協議和相同區域標示符的路由器加入網路後,會學習網路上的路由資訊表。但此種方法可能導致網路拓撲資訊洩漏,也可能由於向網路傳送自己的路由資訊表,擾亂網路上正常工作的路由資訊表,嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由資訊進行認證。當路由器配置了認證方式,就會鑑別路由資訊的收發方。有兩種鑑別方式,其中「純文字方式」安全性低,建議使用「md5方式」。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠,如果攻擊者物理接觸路由器後,斷電重啟,實施「密碼修復流程」,進而登入路由器,就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置檔案中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼洩漏,網路也就毫無安全可言。
4. 阻止察看路由器診斷資訊。
關閉命令如下: no service tcp-**all-servers no service udp-**all-servers
5. 阻止檢視到路由器當前的使用者列表。關閉命令為:no service finger。
6. 關閉cdp服務。
在osi二層協議即鏈路層的基礎上可發現對端路由器的部分配置資訊: 裝置平台、作業系統版本、埠、ip位址等重要資訊。可以用命令: no cdp running或no cdp enable關閉這個服務。
7. 阻止路由器接收帶源路由標記的包,將帶有源路由選項的資料流丟棄。
「ip source-route」是乙個全域性配置命令,允許路由器處理帶源路由選項標記的資料流。啟用源路由選項後,源路由資訊指定的路由使資料流能夠越過預設的路由,這種包就可能繞過防火牆。關閉命令如下: no ip source-route。
8. 關閉路由器廣播包的**。
sumrf d.o.s攻擊以有廣播**配置的路由器作為反射板,占用網路資源,甚至造成網路的癱瘓。應在每個埠應用「no ip directed-broadcast」關閉路由器廣播包。
9. 管理http服務。
http服務提供web管理介面。「no ip http server」可以停止http服務。如果必須使用http,一定要使用訪問列表「ip http access-class」命令,嚴格過濾允許的ip位址,同時用「ip http authentication 」命令設定授權限制。
10. 抵禦spoofing(欺騙) 類攻擊。
使用訪問控制列表,過濾掉所有目標位址為網路廣播位址和宣稱來自內部網路,實際卻來自外部的包。 在路由器埠配置: ip access-group list in number 訪問控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令將過濾bootp/dhcp 應用中的部分資料報,在類似環境中使用時要有充分的認識。
11. 防止包嗅探。
黑客經常將嗅探軟體安裝在已經侵入的網路上的計算機內,監視網路資料流,從而盜竊密碼,包括snmp 通訊密碼,也包括路由器的登入和特權密碼,這樣網路管理員難以保證網路的安全性。在不可信任的網路上不要用非加密協議登入路由器。如果路由器支援加密協議,請使用ssh 或 kerberized telnet,或使用ipsec加密路由器所有的管理流。
12.校驗資料流路徑的合法性。
使用rpf (reverse path forwarding)反相路徑**,由於攻擊者位址是違法的,所以攻擊包被丟棄,從而達到抵禦spoofing 攻擊的目的。rpf反相路徑**的配置命令為: ip verify unicast rpf。 注意: 首先要支援 cef(cisco express forwarding) 快速**。
13. 防止syn 攻擊。
14. 使用安全的snmp管理方案。
snmp廣泛應用在路由器的監控、配置方面。snmp version 1在穿越公網的管理應用方面,安全性低,不適合使用。利用訪問列表僅僅允許來自特定工作站的snmp訪問通過這一功能可以來提公升snmp服務的安全效能。配置命令: snmp-server community ***xx rw xx ;xx是訪問控制列表號 snmp version 2使用md5數字身份鑑別方式。不同的路由器裝置配置不同的數字簽名密碼,這是提高整體安全效能的有效手段。
總之,路由器的安全防範是網路安全的乙個重要組成部分,還必須配合其他的安全防範措施,這樣才能共同構築起安全防範的整體工程。
保護路由器安全的十四招必殺技
在網際網路的世界裡,路由器是不可或缺的重要部件,沒有它我們將沒有辦法和五彩斑斕的外部世界建立聯絡。因此,路由器的管理一直是網路管理員最重要的日常工作之一。本文作者結合自己的工作實踐,總結了14條保護路由器 防止非法入侵的辦法,您不妨一試。路由器是網路系統的主要裝置,也是網路安全的前沿關口。如果路由器...
路由器保護內網的安全設定
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全裝置之一。一般來說,大多數網路都有乙個主要的接入點。這就是通常與專用防火牆一起使用的 邊界路由器 經過恰當的設定,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設定...
路由器保護內網的安全設定
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全裝置之一。一般來說,大多數網路都有乙個主要的接入點。這就是通常與專用防火牆一起使用的 邊界路由器 經過恰當的設定,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設定...