您的位置: 网界网 > 周报全文 > 正文

[周报全文]让路由器远离脆弱

2003年02月24日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:让路由器远离脆弱

标签

    有一种现象需要引起人们注意,无论是黑客发动DoS、DDoS攻击,还是恶意蠕虫爆发,负责在网络之间进行数据通信的路由器往往会首当其冲地受到冲击,并最终瘫痪、导致所连接的网络不可用。不久前导致互联网堵塞的Slammer病毒进一步证实了一点,路由器不仅是实现网络通信的主要设备之一,而且也是关系到全网安全的设备之一,它的安全性、健壮性将直接影响到网络的可用性。

    让路由器远离脆弱

    归纳起来,目前提高路由器安全性的途径可以分为两类:一类是通过技术手段,在普通路由器中添加安全模块,加强路由器的安全设计,来提高其安全性,这种作法正得到越来越多的路由器厂商的推崇;另外一类就是借助管理手段,不断加强对路由器的安全管理,这一点常常被用户所忽略,需要引起人们的重视。以下我们分别就以上两方面内容进行阐述。

    路由器的安全设计

    ■ 闫夏卿

    为了使路由器将合法信息完整、及时、安全地转发到目的地,许多路由器厂商开始在路由器中添加安全模块,于是出现了路由器与安全设备融合的趋势。从本质上讲,增加安全模块的路由器,在路由器功能实现方面与普通路由器没有区别。所不同的是,添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性,与专用安全设备进行有效配合,来提高路由器本身的安全性和所管理网段的可用性。

    在介绍路由器所采用的安全技术之前,我们先来了解一下网络应用环境对路由器提出的安全要求。

    完整性:要求路由器在转发报文过程中,保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。

    保密性:要求路由器保证信息在发送过程中不会被窃听,即使信息被窃听也不能被破译。

    可用性:要求路由器保证系统或系统资源可被授权用户访问并按照需求使用的特性。

    可控性:要求路由器根据需要对转发信息进行安全监控,对可疑的网络信息进行分析、截留或其他处理。

    及时性:要求路由器保证网络信息能够被及时转发,不会因安全处理而使转发时间超出限度。

    抗攻击性:要求路由器具有抵抗网络攻击的能力。

    所采用的安全技术

    为了满足网络应用环境对路由器的安全要求,许多路由器厂商将防火墙、VPN、IDS、防病毒、URL过滤等技术引入路由器当中。

    访问控制技术:用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段,如PPP、Web登录认证、ACL、802.1x协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证,将进一步加强访问控制的安全性。

    传输加密技术:IPSec是路由器常用的协议。借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥管理协议等,可以用在公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎不需对网络现有基础设施进行更动。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。

    防火墙防护技术:采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能。还有一些路由器提供基于报文内容的防护。原理是,当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以允许与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接,才会被允许通过。

    入侵检测技术:在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置IDS功能模块。内置入侵检测模块需要路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。

    HA(高可用性):提高自身的安全性,需要路由器能够支持备份协议(如VRRP)和具有日志管理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。

    表一为路由器的安全机制所对应的安全功能特性。
表一

安全功能特性安全机制
完整性加密、数字签名、数据完整性
保密性加密、通信服务填充、路由选择
可用性认证交换、数字签名、访问控制
可控性安全事件检测、安全审计跟踪、数据截留
抗攻击性安全预防、安全告警、日志记录、安全恢复

    七层安全设计

    具体来说,人们正从以下七个层面来加强路由器的安全设计。

    硬件的安全保障:模块化的硬件结构体系结构。

    软件的安全保障:自主知识产权的操作系统;操作系统高度模块化结构,进程空间隔离、数据流和控制流空间隔离。

    链路层的安全保障:广域网上采用PPP认证和EAP-TLS;以太网上采用802.1x、MAC地址/端口绑定、VLAN隔离和EAP-TLS;对流量峰值设置阀值,通过流量限速抵御DoS攻击。

    网络层和传输层的安全保障:IPSec协议、AH/ESP/IKE、3DES等;基于IP的报文过滤;对ICMP各种类型报文的过滤处理;根据TCP/UDP报文头选项进行过滤;网络处理器实现分类和过滤功能,保证线速。

    路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各种认证方式(不认证、明文认证、HMAC-MD5认证)。

    应用层的安全保障:防火墙模块。

    实现管理安全的手段:SSL保证web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多种用户登录验证方式;命令行分级视图管理;管理访问策略控制(源地址、登录端口、登录时间控制);支持SNMPv3。

    表二为七层安全设计所对应的路由器安全特性。
表二

硬件系统软件链路层网络层传输层应用层网络管理
完整性YYYY
保密性YYYYY
可用性YYYYYY
可控性YYYY
抗攻击性YYYYYY

    安全特性有侧重

    需要说明的是,路由器是一个庞大的家族,核心路由器和边缘分支路由器从结构到技术原理都有很大不同,因此不同级别的路由器的安全侧重点是不同的。例如,远程分支路由器主要需要集成较为完善的加密和VPN功能,能够在用户端对数据进行加密或者建立VPN通道,这样可以保证信息在广域网上安全地传递。对于在网络中位于核心位置的高端路由器,则需要综合化的安全实现措施,首先路由器需要具备完善的用户接入认证和控制功能;其次路由器在应用程序过滤、入侵检测等方面应具备更强大的能力;并且应该具备支持IP报文加密、MPLS等技术。可以说,中低端路由器只需在路由软件中增加特性或者通过添加硬件加密卡即可实现安全功能;而高端路由器则需要综合采用多种安全措施。

    为了使路由器在经过诸多与安全相关的复杂报文处理之后,处理性能不会下降,业界出现了以网络处理器(NP)为核心构建高端路由器的方式。网络处理器能够较好解决高端路由器的业务能力和性能之间矛盾的问题,同时也适应网络安全变化迅速的特征,可以说代表了路由器未来的发展方向之一。

    产品篇

    具有安全功能的路由器可以应用于不同的网络环境中,如内部网络和外部网络的互联、不同子网之间的互联以及网络的接入服务等等。随着电子政务建设的深入进行和企业级用户安全问题的日渐突出,具有安全功能的路由器将会得到更广泛的使用。下面我们就来介绍几款加强安全设计的路由器产品。

    安奈特AT-AR700系列路由器

    AT-AR700系列路由器配置了高性能的80MHz RISC处理器和可升级的SDRAM,支持丰富的WAN接口,具有出色的路由功能、VPN功能和防火墙功能。借助于VPN模块,AT-AR700支持基于硬件的DES/3DES加密,最多可同时支持1023个VPN隧道。借助于基于状态检测防火墙模块,AT-AR700可以防止DoS攻击。AT-AR700还提供事件触发、防火墙事件日志和信息统计功能,能够生成全面的安全日志。AT-AR700设有丰富的PIC接口,可以最大限度地保护用户投资。AT-AR745上的NSM(网络服务)模块可以配置各种高速LAN/WAN接口,32MHz 32位的PCI总线可以提供高速的数据转发。NSM构架同时也可以放置在安奈特公司的三层交换机上,为交换机提供丰富的WAN接口。此外,该路由器还具有流量整形、VRRP、冗余电源、脚本、异步拨号、支持IPv6等功能,适合用作大、中型企业和分支办公机构的路由器平台。

    博达BDCOM 3660系列路由器

    BDCOM 3660系列路由器作为内部网络和外部网络之间的关键通信设备,采用多种网络安全机制,涉及的安全技术主要有备份技术、AAA、CA技术、CallBack技术、包过滤技术、网络地址转换、VPN技术、密钥交换技术、安全管理、硬件加密卡和路由信息认证技术。为了保证网络数据传输安全,BDCOM 3660路由器在接受任何路由信息时,首先会对该信息的发送方进行认证,以确保收到的路由信息是合法的。该路由器支持OSPF和RIPv2,启用认证机制能够保护路由信息的正确性,同时不会影响路由器的路由功能。BDCOM 3660系列路由器分为BDOCM 3660、BDOCM 3660-DC两种型号,均采用模块化设计,具有6个网络/语音模块扩展槽,支持种高密度的网络/语音模块,可实现更多组合应用。操作系统采用博达拥有自主知识产权的ROS,能够适应新技术、新业务、新功能的应用与扩展。

    Cisco 830系列路由器

    Cisco 830系列路由器可分为Cisco 831以太网宽带路由器和Cisco 837 ADSL宽带路由器。Cisco 831路由器设有一个以太网WAN端口,可与外部DSL或有线调制解调器共用,Cisco 837路由器则设有一个集成化ADSL WAN端口。这两种型号均提供了一个4端口10/100以太网LAN交换机,可连接小型机构网络中的多个PC或网络设备。Cisco 830系列提供集成化企业级安全服务,支持IPSec、3DES加密,并设有状态检测防火墙模块。可供选择的特性包括Cisco Easy VPN Remote(可实现VPN的简单部署和管理的软件特性)、需数字证书的公共密钥基础设施、网络地址转换、思科入侵检测系统和URL过滤等,可确保中小企业、网吧、数码工作室和个人用户的上网安全。

    港湾NetHammer1760路由器

    NetHammer1760模块化安全路由器是港湾新一代多业务接入路由器。NetHammer1760采用19英寸机架式设计,内置电源,具有很高的稳定性。尤其是它支持港湾公司独有的HVPN技术,HVPN可以对VPN数据提供加密保护,支持路由协议,支持VPN一端地址由ISP动态分配,是港湾公司为解决传统VPN技术的缺点而推出的专有技术。NetHammer1760还可以配置VPN硬件加密卡以提高加密性能。此外,NetHammer1760采用低成本、灵活的模块化结构,提供3个通用扩展插槽,提供丰富的数据/语音/传真接口,具有丰富的QoS、VPN、组播、防火墙及硬件加密功能,支持VLAN、PPPoE、ADSL等宽带接入服务,内嵌中文Web网管功能,支持SNA、哑终端等特色服务。

    华为NE80/40路由器

    NE80/40路由器属于华为第五代路由器,采用基于电信级高可靠性的设计,既为业务顺利实施提供了保证,又为网络安全及扩展性提供了强大支持。该路由器基于网络处理器开发,其最大的优势就是可编程及灵活性,能够不断升级以适应网络环境的变化,满足用户个性化的要求。网络处理器在实现灵活业务的同时,还能保证性能不降低。NE80/40支持PPP认证实现访问控制,支持路由安全和VPN,支持基于IP的报文过滤规则设定,每块接口板可以支持5000条ACL的线速转发,支持NAT/PAT功能,能够基于NAT实现多种应用层网关解析。NE80/40既能为客户提供定制化的安全解决方案,又能不断增加新的安全特性以帮助用户及时应对新的安全挑战。

    NETGEAR FVL328路由器

    FVL328配备有1个10/100M的广域网口(支持所有宽带技术的接入)和 8个10/100M的局域网口,具有以下功能: 防火墙功能,采用状态数据包检测技术提供最高级别的安全性,防止DoS的攻击,进行Java/URL/ActiveX内容过滤等;VPN功能,提供100个专门的VPN隧道,支持Client-to-Site 和Site-to-Site两种VPN连接方式,密匙的管理支持Manual Key、 IKE以及PKI(x.509);丰富的管理功能,采用基于Web的图形化配置与帮助界面,自动安装向导能自动检测广域网连接的类型,支持对设备的远程管理;IP地址分配,可静态设定IP地址,广域网口支持PPPoE和DHCP Client功能,设备同时内置DHCP Server功能可为内网用户分配IP地址;路由功能,支持网络地址转换NAT和PAT,支持静态路由、动态路由(RIPv1和RIPv2)。可以说NETGEAR FVL328是特别针对中小企业和大型企业分支机构而专门定制的高安全、高性能的路由器产品。

    北电Contivity 2700路由器

    Contivity 2700在单一集成平台上提供IP路由、VPN、状态防火墙、加密、鉴权、目录和策略服务、QoS以及带宽管理服务,可以用作总部或分支机构的安全路由解决方案。通过包括T1/E1、V.35/X.21以及帧中继等在内的WAN服务,Contivity 2700可以作为企业的全能型“IP边缘”解决方案。一台Contivity 2700可以解决过去要求多台分立设备(如路由器、VPN网关、防火墙)才能解决的问题,并且无需成本高昂的硬件升级就可以增加新的IP服务。灵活的软件许可证允许在初期将Contivity作为路由器、VPN网关或防火墙来安装,以后可以通过软件许可证来进行升级。Contivity 2700结合了北电公司的安全路由技术框架,即使在同一设备中运行多种IP服务,它也可以提供扩展性和较高的性能,并且还提供一些关键特性——如IPSec VPN隧道上的动态路由、VPN中的公共安全性策略、路由和防火墙服务。此外,Contivity 2700可以与用户现有的路由、鉴权、目录和安全性系统互操作,能够为新IP服务的过渡发挥桥梁作用。

    紫光BitEngine 3600路由器

    BitEngine 3600模块化中心路由器采用模块化的结构设计,具有以下特点:自主知识产权的网络操作系统平台(BWOS),将Internet基础协议TCP/IP协议栈、实时操作技术、设备及网络管理技术和应用技术融为一体,支持各种网络协议,具有很强的可伸缩性和可配置性;完善的系统安全设计,通过BWOS独有的安全路由技术,包括包过滤、IPSec、路由协议加密、硬件加密、RADIUS/AAA、日志和系统监控等多种安全技术的有效结合,实现了数据安全传输、路由保护、策略控制和安全管理;高性能和模块化的完美结合,采用模块化的体系结构,提供2个固定端口10/100Base-TX以太网模块和6个扩展插槽,可以提供十多种不同类型的模块,帮助用户定制适合自己的网络架构。此外,BitEngine 3600支持多种接口类型,具有接口备份、链路备份、路由备份等功能,支持FXS、FXO等语音接口,支持与多种国内外厂商VoIP设备的互通,实现了语音与数据网络的有效融合,是一款专门面向大中型企业网络、校园网、公安、税务专用网的高性能、模块化的中心路由器。

    在实际应用中,我们发现尽管一些用户部署了具有安全功能的路由器,但这些用户的路由器和网络仍然遭受攻击,这说明路由器的安全不仅取决于路由器本身的安全设计,而且还取决于管理员的管理水平。事实证明,一位有经验的管理员能够有效化解针对路由器的许多攻击。林栋是一位从事电信骨干网大型网络维护工作多年的网管员,以下是他对路由器的管理心得,供读者参考。

    路由器安全尽在“掌”握

    ■ 林 栋

    制定恰当的安全策略

    部署路由器安全工作,管理员首先要明白什么是影响路由器安全的因素,以制定出恰当的安全策略和具体的技术实施方案。影响路由器安全的因素可以划分为四类,如图1所示。其中物理安全是路由器安全的最核心问题,如果攻击者可以轻易地接触到用户的路由器,并可以进行关机、密码破解等操作,那将是极其危险的;其次是静态配置的安全威胁,主要是指路由器上保存的操作系统程序以及配置文件,配置文件中一般包含着路由器接口地址、登录密码等重要信息,这些信息如果被攻击者获得,后果不堪设想;第三个因素是路由器动态配置,首当其冲的是路由表,另外还有接口状态、ARP表、日志信息等等;影响最小的是路由器的转发流量,但管理员往往把最多心思花费在这方面,转发流量中可能包含一些攻击,管理员可以设置只允许某些协议、特定IP的流量通过,以排除攻击。

    做好路由器安全工作的必要前提是分权管理。将维护路由器的人员分为管理员和操作员两种,二者的权限不同,尽量保密路由器中的重要信息。管理员需要负责制定路由器的安全策略,建议管理员按照以下步骤制定安全策略:

    1. 制定安全目标,即希望路由器安全可以达到的效果,而不是一些配置命令。

    2. 逐步制定策略,安全管理员根据图1所示的路由器安全层面图,由里到外,一步步制定各个区域内的安全策略。

    3. 服务最小化,关闭路由器上不必要的服务,减少安全隐患。

    路由器操作安全

    保护路由器自身安全的手段主要包括物理访问、登录账号、软件防护、远程管理以及相应的配置操作。

    控制好路由器的物理访问是安全问题的核心。一般路由器都提供一个Console接口,管理员可以通过它来修改路由器配置,甚至可以进行密码破解,而且过程十分迅速。

    另外,某些路由器上具有基于Slot插槽的PCMCIA卡,它用来保存运行系统的软件以及静态配置文件,如果该插槽中的卡替代,那么系统重启后,路由器将运行攻击者的系统软件和配置,这样路由器就完全被攻占了。因此,存放路由器的场所应该做到7×24小时的严密监控,限制人员出入,如果条件允许,最好能够提供UPS电源支持。

    每个路由器厂家都会不断公布自己的产品中存在的安全漏洞,管理员必须时刻跟进这些安全信息,查看自己的路由器是否存在问题,如果存在,那么必须马上进行软件版本升级。对于维护大量设备的ISP管理员来说,这是一项艰巨的任务。因此,建议管理员在选择使用某个厂家的路由器时,应该选择公认的运行比较稳定的软件版本,尽量不要选择最新的版本,因为这些新版本的软件并没有经过时间的考验。

    管理员对路由器的操作大都是通过远程操作来完成的。在缺省情况下,路由器只是凭借一个密码来进行身份认证,一些黑客软件可以针对Telnet进行密码暴力破解,很容易得到单薄的密码。为此,建议管理员使用基于用户名+密码的认证方式,这样至少可以增加黑客猜测用户名的时间,减少被攻破的可能。管理员通常使用Telnet进行远程操作(+本站微信networkworldweixin),该过程密码和操作数据都是以明码传输的,攻击者使用sniffer之类的抓包软件就可以轻易获得管理员密码。管理员应该建立如图2所示的网管局域网,每台路由器上最好都采用专门的接口连接网管局域网,这样管理员的远程操作直接传送到路由器,而不需要跨越网段,不易被监听。目前,很多路由器都支持SSH远程操作,推荐使用,它使用加密传送密码和数据。更先进的方法是在网管机器和路由器之间建立IPSec通道,专门用来传送路由器操作数据。

    相对于路由器本地验证,AAA(认证, 授权, 审计)认证机制是目前身份认证的理想选择。它能够集中管理所有操作人员的密码,并进行权限分级,并按照要求记录每个人操作路由器的命令。AAA认证机制需要管理员保证AAA服务器的安全。

    路由器服务安全

    路由器除了提供Telnet远程登录服务外,还提供很多二层、三层的服务。路由器上运行的服务越多,安全隐患也就越大。其实,很多服务是路由器通常不需要的,这就需要管理员了解各种服务的用途,根据实际情况关闭一些不需要的服务。表三说明了一些路由器常见服务的功能和应对措施。
表三

服务说明建议
HTTP server允许管理员通过Web页面远程管理路由器不使用
TCP small servers标准TCP服务,例如echo、Chargen等等不使用
UDP small servers标准UDP服务,例如echo、discard等不使用
Finger允许远程查看,列举设备上所有用户不使用
X Discovery Protocol (CDP)一些厂商自带二层协议,查看邻接设备的信息容易暴露信息不使用
Bootp server允许其他路由器使用本路由器的文件进行启动很少使用
Configuration auto-loading允许路由器自动从TFTP服务器上下载配置文件不使用
Proxy ARP代理ARP解析尽量不使用
IP directed broadcast允许路由器转发其他网段的直接广播包防止广播包攻击不使用
IP redirects允许路由器转发本网段机器发出的数据包给其他直连路由器在逐个不需要该服务的接口上关闭
NTP service将路由器作为时钟服务器根据实际情况缺省不使用
SNMP远程网管使用、数据采集、状态采集根据实际情况,缺省使用,及时改SNMP口令

    访问控制列表和流量过滤

    在缺省情况下,路由器将转发一切有路由的数据包,但是,管理员可以根据需要限制某些流量通过,一般使用访问控制列表(Access List)实现,也可以用它来限制用户对路由器的访问。

    远程操作控制 管理员应该在提供远程操作(Telnet、SSH、HTTP等)的接口上应用访问控制列表,使其只允许某个网段或者某个IP对路由器进行远程操作,这样可以有效避免攻击者进行暴力密码破解。

    SNMP访问控制 SNMP提供了口令和IP许可两层安全保护机制。口令又可细分为只读口令和读写口令,分别为不同权限而设置的,一般我们建议关闭读写口令。和Telnet操作控制一样,管理员也可以为路由器的SNMP访问设置IP地址限制,只有网管机器才能进行状态采集操作,不过,只有部分厂家的路由器支持这项功能。

    路由表控制 路由器通过运行路由协议来生成最终用于转发数据的路由表,管理员可以根据实际情况,使用访问控制列表来限制哪些路由可以进入路由表,从而决定哪些数据可以转发以及转发路径。

    流量过滤 流量过滤是保障网络安全最复杂的一种手段,管理员需要实时检测并判断出攻击的类型,从而在网络的某个恰当位置封闭掉这些流量。路由器的流量过滤是基于接口的,管理员可以限制每个接口上流入和流出两个方向上的流量。以下列举了管理员应该第一时间要在路由器上设置的一些流量过滤:

    1. 流入流量过滤:管理员应该在位于公司网络入口处的路由器上过滤掉一些源IP不是公网IP的数据包,例如源IP地址是127.0.0.0/8、RFC1918中规定的10.0.0.0/8、172.16.0.0.0/12和192.168.0.0/16等这些在公网上不能路由的IP地址。

    2. 流出流量过滤:为了防止由公司内部机器发出的伪造源IP的攻击数据流,管理员在入口路由器上应该进行流出流量过滤,即只允许源IP地址是公司内部合法IP的数据包被转发出去。

    3. 防御TCP SYN:管理员可以在入口路由器上创建访问控制列表,只允许来自外网的已设定SYN标记、目标是公司内部IP地址的TCP包进入公司网络。或者,管理员可以使用TCP 截取(Intercept)功能,TCP截取本来是一些防火墙的专有功能,现在已经被移植到路由器中。

    4. 防御Smurf攻击:Smurf攻击向目标网络发起大量广播包,导致网络带宽被占满。管理员可以在路由器上禁止转发直接广播包,绝大部分路由器都具有该功能。

    5. 过滤ICMP包:针对攻击者一般首先使用Ping或者Traceroute来选择攻目标、发动攻击的特点,管理员可以在路由器上过滤掉来自外部网络的带有Echo、Redirect标记的ICMP包,丢弃攻击者发起的网络试探数据流,而不影响内部机器对外部网络的Ping和Traceroute。

    路由表的安全

    路由器是根据路由表来转发接收到的数据包,路由表是通过路由协议计算得出的,可以分为静态路由协议和动态路由协议两种。静态路由是管理员根据需要手工添加到路由表中,优点是可靠、安全,不容易出错,缺点是必须手工逐条地配置路由,适合小型网络的管理员选用。动态路由协议(例如RIP、OSPF和BGP)是根据邻接路由器的路由更新消息来创建路由表,优点是动态生成路由、自动优选路由等,缺点是安全性差,适合大、中型网络用户使用。

    目前有一些专门针对路由器协议的攻击软件,例如攻击主机不断向路由器发出伪造的路由更新消息,导致路由表计算出错误的路由表,导致网络上数据选路出错,数据可能丢失或者被窃取,管理员对此需要做好防范。

    现在各种路由协议都支持进行邻接路由器认证,即发送的路由更新消息是加密的,不同路由器只有相同的密码才能正确识别路由更新消息。目前,由于配置复杂,目前我国互联网上绝大多数路由器都没有配置邻接路由器认证,因此,加强这方面的安全措施是必要的。邻接路由器认证支持明码验证和MD5密码验证,建议使用后者,这样安全性可以更高。

    反向路由转发(Unicast Reverse-Path Forwarding)是一项增强路由安全的有效措施。它设定了以下数据包转发机制,当路由器接收到一个数据包,它检查路由表,确定返回数据包的源IP地址的路由是否从接收到该数据包的接口出去,如果是,则正常转发该数据包,否则,就会丢弃数据包。反向路由转发在防止DDoS攻击方面颇有成效,管理员可以加以采用。

    流量控制与日志审记

    路由器除了保护自身安全外,最重要的是可以保护所连接网络的安全。前面我们说了使用访问控制列表来过滤攻击流量,但是有时管理员会发现对服务器的攻击源都来自一个网段,都是真实IP地址,并且必须保证向该网段开通服务,同时不能影响其他网段对服务器的访问,这时管理员就不能单纯地过滤掉这些攻击流量,在这种情况下,管理员可以采取限制攻击流量带宽的措施来保护服务器。路由器一般都提供多种带宽控制手段,以保证QoS,例如队列、CAR以及流量策略等等方法,具体实现方法必须根据路由器类型而定。

    管理员不可能7×24小时监视着路由器,网络运行中可能会发生很多突发情况。因此,使用日志记录路由器的报警信息十分重要,管理员可以借此对安全事件进行原因追查和故障排除等工作。建议管理员不仅在路由器内存中保留报警信息,最好是建立专门的日志服务器,并开启Syslog服务,接收路由器发送出的报警信息。

    编看编想

    安全不应该有薄弱点

    在漏洞、病毒和攻击工具面前,各种网络设备均表现出一定的脆弱性,路由器也不例外。

    之前,一只376字节大小的Slammer蠕虫仅在一天之内便横扫韩国骨干网上的路由器和交换机,使韩国互联网陷入瘫痪。有人计算过,如果Slammer的传播速度再快些,如果它能在15分钟内传播全球,韩国骨干路由器的命运将是全球骨干路由器的命运,而且无药可救。

    这决不是耸人听闻。事实证明,在用户现有的安全防范体系中,人们忽略了对路由器、交换机等网络设备的安全保护,使之成为安全防护体系中的薄弱环节,从而成为各种安全事件的攻击目标。路由器作为数据转发的中继站,牵一发而制全身,其安全性直接影响到与之相连的网络,这一点正被恶意攻击所利用。

    什么样的路由器才是安全的路由器?在采访中,我们了解到许多厂商把各种成熟的安全技术加进了路由器当中,并从软件和硬件两方面加强路由器自身的安全。在这一趋势的带动下,路由器和安全设备出现了一定程度的融合。不管路由器未来的发展方向如何,有一点是肯定的,路由器在保持高速转发的基础上必须具有过硬的安全性,并且能够与网络的安全架构体系实现联动,否则很难保证网络的可用性。此外路由器的安全与否还与网管员的配置、管理水平紧密相关,这一点往往被人们忽视了。最后需要指出的是,路由器的安全应该成为网络安全的一部分,对路由器的安全保护也应该成为安全防护体系的重要部分,网络安全不应该有薄弱点。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]