路由器走向“堡壘時代”

2019-11-05 00:20:40

字體：大中小

來源：轉載

供稿：網友

　　在典型的校園網環境中，路由器一般處于防火墻的外部，負責與Internet的連接。這種拓撲結構實際上是將路由器暴露在校園網安全防線之外，假如路由器本身又未采取適當的安全防范策略，就可能成為攻擊者發起攻擊的一塊跳板，對內部網絡安全造成威脅。

　　本文將以Cisco2621路由器為例，具體介紹將一臺路由器配置為堡壘路由器的實現方法，使之成為校園網抵御外部攻擊的第一道安全屏障。
　　一、基于訪問表的安全防范策略
　　1. 防止外部ip地址欺騙
　　外部網絡的用戶可能會使用內部網的合法IP地址或者回環地址作為源地址，從而實現非法訪問。針對此類問題可建立如下訪問列表：
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any
　　! 阻止源地址為私有地址的所有通信流。
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any
　　! 阻止源地址為回環地址的所有通信流。
　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any
　　! 阻止源地址為多目的地址的所有通信流。
　　access-list 101 deny ip host 0.0.0.0 any
　　! 阻止沒有列出源地址的通信流。
　　注：可以在外部接口的向內方向使用101過濾。
　　2. 防止外部的非法探測
　　非法訪問者對內部網絡發起攻擊前，往往會用ping或其他命令探測網絡，所以可以通過禁止從外部用ping、traceroute等探測網絡來進行防范?？山⑷缦略L問列表:
　　access-list 102 deny icmp any any echo
　　! 阻止用ping探測網絡。
　　access-list 102 deny icmp any any time-exceeded
　　! 阻止用traceroute探測網絡。
　　注：可在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出，不阻止探測進入。
　　3. 保護路由器不受攻擊
　　路由器一般可以通過telnet或SNMP訪問，應該確保Internet上沒有人能用這些協議攻擊路由器。假定路由器外部接口serial0的IP為200.200.200.1，內部接口fastethernet0的IP為200.200.100.1。可以生成阻止telnet、SNMP服務的向內過濾保護路由器。建立如下訪問列表：
　　access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
　　access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
　　access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
　　access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
　　注: 在外部接口的向內方向使用101過濾。當然這會對治理員的使用造成一定的不便，這就需要在方便與安全之間做出選擇。
　　4. 阻止對要害端口的非法訪問
　　要害端口可能是內部系統使用的端口或者是防火墻本身暴露的端口。對這些端口的訪問應該加以限制，否則這些設備就很輕易受到攻擊。建立如下訪問列表：
　　access-list 101 deny tcp any any eq 135
　　access-list 101 deny tcp any any eq 137
　　access-list 101 deny tcp any any eq 138
　　access-list 101 deny tcp any any eq 139
　　access-list 101 deny udp any any eq 135
　　access-list 101 deny udp any any eq 137
　　access-list 101 deny udp any any eq 138
　　access-list 101 deny udp any any eq 139
　　5. 對內部網的重要服務器進行訪問限制
　　對于沒有配備專用防火墻的校園網，采用動態分組過濾技術建立對重要服務器的訪問限制就顯得尤為重要。
對于配備了專用防火墻的校園網，此項任務可以在防火墻上完成，這樣可以減輕路由器的負擔。無論是基于路由器實現，還是在防火墻上完成設置，首先都應該制定一套訪問規則?？梢钥紤]建立如下的訪問規則:
　　● 答應外部用戶到Web服務器的向內連接請求。
　　● 答應Web服務器到外部用戶的向外答復。
　　● 答應外部SMTP服務器向內部郵件服務器的向內連接請求。
　　● 答應內部郵件服務器向外部SMTP服務器的向外答復。
　　● 答應內部郵件服務器向外DNS查詢。
　　● 答應到內部郵件服務器的向內的DNS答復。
　　● 答應內部主機的向外TCP連接。
　　● 答應對請求主機的向內TCP答復。
　　其他訪問規則可以根據各自的實際情況建立。列出答應的所有通信流后，設計訪問列表就變得簡單了。注重應將所有向內對話應用于路由器外部接口的IN方向，所有向外對話應用于路由器外部接口的OUT方向。
　　二、常見攻擊手段及其對策
　　1. 防止外部ICMP重定向欺騙
　　攻擊者有時會利用ICMP重定向來對路由器進行重定向，將本應送到正確目標的信息重定向到它們指定的設備，從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令如下：
　　interface serial0
　　no ip redirects
　　2. 防止外部源路由欺騙
　　源路由選擇是指使用數據鏈路層信息來為數據報進行路由選擇。該技術跨越了網絡層的路由信息，使入侵者可以為內部網的數據報指定一個非法的路由，這樣原本應該送到合法目的地的數據報就會被送到入侵者指定的地址。禁止使用源路由的命令如下：
　　no ip source-route
　　3. 防止盜用內部IP地址
　　攻擊者可能會盜用內部IP地址進行非法訪問。針對這一問題，可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令如下：
　　arp 固定IP地址 MAC地址 arpa
　　4. 在源站點防止smurf
　　要在源站點防止smurf，要害是阻止所有的向內回顯請求。這就要防止路由器將指向網絡廣播地址的通信映射到局域網廣播地址。可以在LAN接口方式中輸入如下命令：
　　no ip directed-broadcast
　　三、關閉路由器上不用的服務
　　路由器除了可以提供路徑選擇外，它還是一臺服務器，可以提供一些有用的服務。路由器運行的這些服務可能會成為敵人攻擊的突破口，為了安全起見，最好關閉這些服務。
　　通過以上介紹的各種方法，我們成功地將一臺普通路由器配置為一臺堡壘路由器，在沒有增加任何投入的情況下，提高了整個園區網的安全性。但應該說明的是，堡壘路由器的實現是以犧牲整個網絡的效率為代價的，可能會影響到園區網對外訪問的速度。

上一篇：將路由方式廣域網平穩改造為MPLS VPN

下一篇：現代銀行網絡路由及QoS解決方案