路由器安全盡在“掌”握

2019-11-05 00:42:42

字體：大中小

供稿：網(wǎng)友

　　制定恰當(dāng)?shù)陌踩呗?
　　部署路由器安全工作，治理員首先要明白什么是影響路由器安全的因素，以制定出恰當(dāng)?shù)陌踩呗院途唧w的技術(shù)實(shí)施方案。影響路由器安全的因素可以劃分為四類，如圖1所示。其中物理安全是路由器安全的最核心問題，假如攻擊者可以輕易地接觸到用戶的路由器，并可以進(jìn)行關(guān)機(jī)、密碼破解等操作，那將是極其危險(xiǎn)的；其次是靜態(tài)配置的安全威脅，主要是指路由器上保存的操作系統(tǒng)程序以及配置文件，配置文件中一般包含著路由器接口地址、登錄密碼等重要信息，這些信息假如被攻擊者獲得，后果不堪設(shè)想；第三個(gè)因素是路由器動(dòng)態(tài)配置，首當(dāng)其沖的是路由表，另外還有接口狀態(tài)、ARP表、日志信息等等；影響最小的是路由器的轉(zhuǎn)發(fā)流量，但治理員往往把最多心思花費(fèi)在這方面，轉(zhuǎn)發(fā)流量中可能包含一些攻擊，治理員可以設(shè)置只答應(yīng)某些協(xié)議、特定ip的流量通過，以排除攻擊。
　　　

　　做好路由器安全工作的必要前提是分權(quán)治理。將維護(hù)路由器的人員分為治理員和操作員兩種，二者的權(quán)限不同，盡量保密路由器中的重要信息。治理員需要負(fù)責(zé)制定路由器的安全策略，建議治理員按照以下步驟制定安全策略：
　　
　　1. 制定安全目標(biāo)，即希望路由器安全可以達(dá)到的效果，而不是一些配置命令。
　　
　　2. 逐步制定策略，安全治理員根據(jù)圖1所示的路由器安全層面圖，由里到外，一步步制定各個(gè)區(qū)域內(nèi)的安全策略。
　　
　　3. 服務(wù)最小化，關(guān)閉路由器上不必要的服務(wù)，減少安全隱患。
　　
　　路由器操作安全
　　
　　保護(hù)路由器自身安全的手段主要包括物理訪問、登錄賬號(hào)、軟件防護(hù)、遠(yuǎn)程治理以及相應(yīng)的配置操作。
　　
　　控制好路由器的物理訪問是安全問題的核心。一般路由器都提供一個(gè)Console接口，治理員可以通過它來修改路由器配置，甚至可以進(jìn)行密碼破解，而且過程十分迅速。
　　
　　另外，某些路由器上具有基于Slot插槽的PCMCIA卡，它用來保存運(yùn)行系統(tǒng)的軟件以及靜態(tài)配置文件，假如該插槽中的卡替代，那么系統(tǒng)重啟后，路由器將運(yùn)行攻擊者的系統(tǒng)軟件和配置，這樣路由器就完全被攻占了。因此，存放路由器的場(chǎng)所應(yīng)該做到7×24小時(shí)的嚴(yán)密監(jiān)控，限制人員出入，假如條件答應(yīng)，最好能夠提供UPS電源支持。
　　
　　每個(gè)路由器廠家都會(huì)不斷公布自己的產(chǎn)品中存在的安全漏洞，治理員必須時(shí)刻跟進(jìn)這些安全信息，查看自己的路由器是否存在問題，假如存在，那么必須馬上進(jìn)行軟件版本升級(jí)。對(duì)于維護(hù)大量設(shè)備的ISP治理員來說，這是一項(xiàng)艱巨的任務(wù)。因此，建議治理員在選擇使用某個(gè)廠家的路由器時(shí)，應(yīng)該選擇公認(rèn)的運(yùn)行比較穩(wěn)定的軟件版本，盡量不要選擇最新的版本，因?yàn)檫@些新版本的軟件并沒有經(jīng)過時(shí)間的考驗(yàn)。
　　
　　治理員對(duì)路由器的操作大都是通過遠(yuǎn)程操作來完成的。在缺省情況下，路由器只是憑借一個(gè)密碼來進(jìn)行身份認(rèn)證，一些黑客軟件可以針對(duì)Telnet進(jìn)行密碼暴力破解，很輕易得到單薄的密碼。為此，建議治理員使用基于用戶名+密碼的認(rèn)證方式，這樣至少可以增加黑客猜測(cè)用戶名的時(shí)間，減少被攻破的可能。治理員通常使用Telnet進(jìn)行遠(yuǎn)程操作，該過程密碼和操作數(shù)據(jù)都是以明碼傳輸?shù)模粽呤褂胹niffer之類的抓包軟件就可以輕易獲得治理員密碼。治理員應(yīng)該建立如圖2所示的網(wǎng)管局域網(wǎng)，每臺(tái)路由器上最好都采用專門的接口連接網(wǎng)管局域網(wǎng)，這樣治理員的遠(yuǎn)程操作直接傳送到路由器，而不需要跨越網(wǎng)段，不易被監(jiān)聽。目前，很多路由器都支持SSH遠(yuǎn)程操作，推薦使用，它使用加密傳送密碼和數(shù)據(jù)。更先進(jìn)的方法是在網(wǎng)管機(jī)器和路由器之間建立IPSec通道，專門用來傳送路由器操作數(shù)據(jù)。
　　　

　　相對(duì)于路由器本地驗(yàn)證，AAA（認(rèn)證, 授權(quán), 審計(jì)）認(rèn)證機(jī)制是目前身份認(rèn)證的理想選擇。它能夠集中治理所有操作人員的密碼，并進(jìn)行權(quán)限分級(jí)，并按照要求記錄每個(gè)人操作路由器的命令。AAA認(rèn)證機(jī)制需要治理員保證AAA服務(wù)器的安全。
　　
　　路由器服務(wù)安全
　　
　　路由器除了提供Telnet遠(yuǎn)程登錄服務(wù)外，還提供很多二層、三層的服務(wù)。路由器上運(yùn)行的服務(wù)越多，安全隱患也就越大。其實(shí)，很多服務(wù)是路由器通常不需要的，這就需要治理員了解各種服務(wù)的用途，根據(jù)實(shí)際情況關(guān)閉一些不需要的服務(wù)。表三說明了一些路由器常見服務(wù)的功能和應(yīng)對(duì)措施。
　　表三
　　

　　訪問控制列表和流量過濾
　　
　　在缺省情況下，路由器將轉(zhuǎn)發(fā)一切有路由的數(shù)據(jù)包，但是，治理員可以根據(jù)需要限制某些流量通過，一般使用訪問控制列表（access List）實(shí)現(xiàn)，也可以用它來限制用戶對(duì)路由器的訪問。
　　
　　遠(yuǎn)程操作控制　治理員應(yīng)該在提供遠(yuǎn)程操作（Telnet、SSH、HTTP等）的接口上應(yīng)用訪問控制列表，使其只答應(yīng)某個(gè)網(wǎng)段或者某個(gè)IP對(duì)路由器進(jìn)行遠(yuǎn)程操作，這樣可以有效避免攻擊者進(jìn)行暴力密碼破解。
　　
　　SNMP訪問控制　SNMP提供了口令和IP許可兩層安全保護(hù)機(jī)制。口令又可細(xì)分為只讀口令和讀寫口令，分別為不同權(quán)限而設(shè)置的，一般我們建議關(guān)閉讀寫口令。和Telnet操作控制一樣，治理員也可以為路由器的SNMP訪問設(shè)置IP地址限制，只有網(wǎng)管機(jī)器才能進(jìn)行狀態(tài)采集操作，不過，只有部分廠家的路由器支持這項(xiàng)功能。
　　
　　路由表控制　路由器通過運(yùn)行路由協(xié)議來生成最終用于轉(zhuǎn)發(fā)數(shù)據(jù)的路由表，治理員可以根據(jù)實(shí)際情況，使用訪問控制列表來限制哪些路由可以進(jìn)入路由表，從而決定哪些數(shù)據(jù)可以轉(zhuǎn)發(fā)以及轉(zhuǎn)發(fā)路徑。
　　
　　流量過濾　流量過濾是保障網(wǎng)絡(luò)安全最復(fù)雜的一種手段，治理員需要實(shí)時(shí)檢測(cè)并判定出攻擊的類型，從而在網(wǎng)絡(luò)的某個(gè)恰當(dāng)位置封閉掉這些流量。路由器的流量過濾是基于接口的，治理員可以限制每個(gè)接口上流入和流出兩個(gè)方向上的流量。以下列舉了治理員應(yīng)該第一時(shí)間要在路由器上設(shè)置的一些流量過濾：
　　
　　1. 流入流量過濾：治理員應(yīng)該在位于公司網(wǎng)絡(luò)入口處的路由器上過濾掉一些源IP不是公網(wǎng)IP的數(shù)據(jù)包，例如源IP地址是127.0.0.0/8、RFC1918中規(guī)定的10.0.0.0/8、172.16.0.0.0/12和192.168.0.0/16等這些在公網(wǎng)上不能路由的IP地址。
　　
　　2. 流出流量過濾：為了防止由公司內(nèi)部機(jī)器發(fā)出的偽造源IP的攻擊數(shù)據(jù)流，治理員在入口路由器上應(yīng)該進(jìn)行流出流量過濾，即只答應(yīng)源IP地址是公司內(nèi)部合法IP的數(shù)據(jù)包被轉(zhuǎn)發(fā)出去。
　　
　　3. 防御TCP SYN：治理員可以在入口路由器上創(chuàng)建訪問控制列表，只答應(yīng)來自外網(wǎng)的已設(shè)定SYN標(biāo)記、目標(biāo)是公司內(nèi)部IP地址的TCP包進(jìn)入公司網(wǎng)絡(luò)。或者，治理員可以使用TCP 截取（Intercept）功能，TCP截取本來是一些防火墻的專有功能，現(xiàn)在已經(jīng)被移植到路由器中。
　　
　　4. 防御Smurf攻擊：Smurf攻擊向目標(biāo)網(wǎng)絡(luò)發(fā)起大量廣播包，導(dǎo)致網(wǎng)絡(luò)帶寬被占滿。治理員可以在路由器上禁止轉(zhuǎn)發(fā)直接廣播包，絕大部分路由器都具有該功能。
　　
　　5. 過濾ICMP包：針對(duì)攻擊者一般首先使用Ping或者Traceroute來選擇攻目標(biāo)、發(fā)動(dòng)攻擊的特點(diǎn)，治理員可以在路由器上過濾掉來自外部網(wǎng)絡(luò)的帶有Echo、Redirect標(biāo)記的ICMP包，丟棄攻擊者發(fā)起的網(wǎng)絡(luò)試探數(shù)據(jù)流，而不影響內(nèi)部機(jī)器對(duì)外部網(wǎng)絡(luò)的Ping和Traceroute。
　　
　　路由表的安全
　　
　　路由器是根據(jù)路由表來轉(zhuǎn)發(fā)接收到的數(shù)據(jù)包，路由表是通過路由協(xié)議計(jì)算得出的，可以分為靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議兩種。靜態(tài)路由是治理員根據(jù)需要手工添加到路由表中，優(yōu)點(diǎn)是可靠、安全，不輕易出錯(cuò)，缺點(diǎn)是必須手工逐條地配置路由，適合小型網(wǎng)絡(luò)的治理員選用。動(dòng)態(tài)路由協(xié)議（例如RIP、OSPF和BGP）是根據(jù)鄰接路由器的路由更新消息來創(chuàng)建路由表，優(yōu)點(diǎn)是動(dòng)態(tài)生成路由、自動(dòng)優(yōu)選路由等，缺點(diǎn)是安全性差，適合大、中型網(wǎng)絡(luò)用戶使用。
　　
　　目前有一些專門針對(duì)路由器協(xié)議的攻擊軟件，例如攻擊主機(jī)不斷向路由器發(fā)出偽造的路由更新消息，導(dǎo)致路由表計(jì)算出錯(cuò)誤的路由表，導(dǎo)致網(wǎng)絡(luò)上數(shù)據(jù)選路出錯(cuò)，數(shù)據(jù)可能丟失或者被竊取，治理員對(duì)此需要做好防范。
　　
　　現(xiàn)在各種路由協(xié)議都支持進(jìn)行鄰接路由器認(rèn)證，即發(fā)送的路由更新消息是加密的，不同路由器只有相同的密碼才能正確識(shí)別路由更新消息。目前，由于配置復(fù)雜，目前我國(guó)互聯(lián)網(wǎng)上絕大多數(shù)路由器都沒有配置鄰接路由器認(rèn)證，因此，加強(qiáng)這方面的安全措施是必要的。鄰接路由器認(rèn)證支持明碼驗(yàn)證和md5密碼驗(yàn)證，建議使用后者，這樣安全性可以更高。
　　
　　反向路由轉(zhuǎn)發(fā)（Unicast Reverse-Path Forwarding）是一項(xiàng)增強(qiáng)路由安全的有效措施。它設(shè)定了以下數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)制，當(dāng)路由器接收到一個(gè)數(shù)據(jù)包，它檢查路由表，確定返回?cái)?shù)據(jù)包的源IP地址的路由是否從接收到該數(shù)據(jù)包的接口出去，假如是，則正常轉(zhuǎn)發(fā)該數(shù)據(jù)包，否則，就會(huì)丟棄數(shù)據(jù)包。反向路由轉(zhuǎn)發(fā)在防止DDoS攻擊方面頗有成效，治理員可以加以采用。
　　
　　流量控制與日志審記
　　
　　路由器除了保護(hù)自身安全外，最重要的是可以保護(hù)所連接網(wǎng)絡(luò)的安全。前面我們說了使用訪問控制列表來過濾攻擊流量，但是有時(shí)治理員會(huì)發(fā)現(xiàn)對(duì)服務(wù)器的攻擊源都來自一個(gè)網(wǎng)段，都是真實(shí)IP地址，并且必須保證向該網(wǎng)段開通服務(wù)，同時(shí)不能影響其他網(wǎng)段對(duì)服務(wù)器的訪問，這時(shí)治理員就不能單純地過濾掉這些攻擊流量，在這種情況下，治理員可以采取限制攻擊流量帶寬的措施來保護(hù)服務(wù)器。路由器一般都提供多種帶寬控制手段，以保證QoS，例如隊(duì)列、CAR以及流量策略等等方法，具體實(shí)現(xiàn)方法必須根據(jù)路由器類型而定。
　　
　　治理員不可能7×24小時(shí)監(jiān)視著路由器，網(wǎng)絡(luò)運(yùn)行中可能會(huì)發(fā)生很多突發(fā)情況。因此，使用日志記錄路由器的報(bào)警信息十分重要，治理員可以借此對(duì)安全事件進(jìn)行原因追查和故障排除等工作。建議治理員不僅在路由器內(nèi)存中保留報(bào)警信息，最好是建立專門的日志服務(wù)器，并開啟Syslog服務(wù)，接收路由器發(fā)送出的報(bào)警信息。
　　
　　編看編想
　　
　　安全不應(yīng)該有薄弱點(diǎn)
　　
　　在漏洞、病毒和攻擊工具面前，各種網(wǎng)絡(luò)設(shè)備均表現(xiàn)出一定的脆弱性，路由器也不例外。
　　
　　之前，一只376字節(jié)大小的Slammer蠕蟲僅在一天之內(nèi)便橫掃韓國(guó)骨干網(wǎng)上的路由器和交換機(jī)，使韓國(guó)互聯(lián)網(wǎng)陷入癱瘓。有人計(jì)算過，假如Slammer的傳播速度再快些，假如它能在15分鐘內(nèi)傳播全球，韓國(guó)骨干路由器的命運(yùn)將是全球骨干路由器的命運(yùn)，而且無藥可救。
　　
　　這決不是聳人聽聞。事實(shí)證實(shí)，在用戶現(xiàn)有的安全防范體系中，人們忽略了對(duì)路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全保護(hù)，使之成為安全防護(hù)體系中的薄弱環(huán)節(jié)，從而成為各種安全事件的攻擊目標(biāo)。路由器作為數(shù)據(jù)轉(zhuǎn)發(fā)的中繼站，牽一發(fā)而制全身，其安全性直接影響到與之相連的網(wǎng)絡(luò)，這一點(diǎn)正被惡意攻擊所利用。
　　
　　什么樣的路由器才是安全的路由器？在采訪中，我們了解到許多廠商把各種成熟的安全技術(shù)加進(jìn)了路由器當(dāng)中，并從軟件和硬件兩方面加強(qiáng)路由器自身的安全。在這一趨勢(shì)的帶動(dòng)下，路由器和安全設(shè)備出現(xiàn)了一定程度的融合。不管路由器未來的發(fā)展方向如何，有一點(diǎn)是肯定的，路由器在保持高速轉(zhuǎn)發(fā)的基礎(chǔ)上必須具有過硬的安全性，并且能夠與網(wǎng)絡(luò)的安全架構(gòu)體系實(shí)現(xiàn)聯(lián)動(dòng)，否則很難保證網(wǎng)絡(luò)的可用性。此外路由器的安全與否還與網(wǎng)管員的配置、治理水平緊密相關(guān)，這一點(diǎn)往往被人們忽視了。最后需要指出的是，路由器的安全應(yīng)該成為網(wǎng)絡(luò)安全的一部分，對(duì)路由器的安全保護(hù)也應(yīng)該成為安全防護(hù)體系的重要部分，網(wǎng)絡(luò)安全不應(yīng)該有薄弱點(diǎn)。

上一篇：安全路由器：支撐起安全網(wǎng)絡(luò)架構(gòu)

下一篇：選擇安全路由器的標(biāo)準(zhǔn)