《路由器安全检查》由会员分享,可在线阅读,更多相关《路由器安全检查(5页珍藏版)》请在金锄头文库上搜索。
1、1 路由器的安全检查路由器的安全检查 江苏省电子信息产品质量监督检验研究院 张影秋 路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成。随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求。网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全。路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能。针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制。在网络上,一旦有
2、人恶意进入你的路由器,将对你的网络安全产生极大的威胁。 实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信。所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行。 一、路由器访问控制的安全检查 路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP 服务器等,对CISCO 路由器还可通过其开发的路由器配置工具 CISCO ConfigMaker 进行配置。如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的
3、安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行: 1、检查维护记录,检查可以访问路由器的管理员是否严格控制。 2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制。 3、检查对 Console 端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器。对该端口的检查主要有以下几个方面: (1) 检查是否切断与 CON 口互联的物理线路。 (2) 检查是否改变默认的连接属性, 例如修改波特率(默认是 96000, 可以改为其他的)。 2 (3) 检查 CON 口的密码是否为高强度密码。 4、AUX
4、端口的检查。 AUX 端口为异步端口,主要用于远程配置,也可用于拔号备份,可与 MODEM 连接。应检查该端口是否启用,如果不使用 AUX 端口,建议禁止该端口。 5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug 命令等。对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码。 在用户模式下通过使能口令进入特权模式。提示符为“”。Show running- config 即为特权模式命令。不要采用 enable password 设置密码。而要采用 enable secr
5、et 命令设置。并且要启用 Service password- encryption。 二、路由器网络服务安全检查 路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置。 应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击 1、CDP(Cisco Discovery Protocol)服务检查。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、 端口、 IP地址等重要信息。 可以用命令: no cdp run
6、ning或 no cdp enable关闭这个服务。 2、其他的 TCP、UDP Small 服务检查。 该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下: no service tcp- small- servers no service udp- small- servers 3、Finger 服务检查。 Finger 服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:no service finger。 4、HTTP 服务检查。 HTTP 服务提供 Web 管理接口。“no ip http server”可以停止 HTTP 服务。如
7、果必须使用 HTTP,一定要使用访问列表“ip http access- class”命令,严格过滤允许的 IP 地3 址,同时用“ip http authentication ”命令设定授权限制。 如果启用了 HTTP 服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。 5、BOOTp 服务检查。 禁止从网络启动和自动从网络下载初始配置文件。 6、IP Source Routing 服务检查。 IP source- route 是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙
8、。关闭命令如下: no ip source- route。 7、ARP- Proxy 服务检查 建议如果不需要 ARP- Proxy 服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱。 8、检查。 IP Directed Broadcast 服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务。 关闭命令如下:no ip directed-broadcast 9、IP Classless 服务检查。 路由可能会收到一些发往一个没有网络缺省路由的子网的
9、数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:no ip classless 10、禁止 ICMP 协议的 IP Unreachables,Redirects,Mask Replies。 IP Unreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的 ip地址, 攻击者能够借此映射网络。 安全检查时应建议关闭该服务, 关闭命令如下: no ip unreacheables。 Redirects(重定向消息)服务开
10、启时,可以让一个端节点用特定的路由器做为通向特定目的地路径。正常的 ip 网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送。4 不过攻击者可以违反这种规则。安全检查时应建议关闭该服务,关闭命令如下:no ip redirects Mask Replies(掩码应答)服务开启时,cisco ios 会向 icmp 掩码要求发送 icmp 掩码应答的消息,其中包括接口的 ip 地址掩码。安全检查时应建议关闭该服务,关闭命令如下:no ip mask-reply 11、SNMP 协议服务检查 SNMP 广泛应用在路由器的监控、
11、配置方面。SNMP Version 1 在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的 SNMP访问通过这一功能可以来提升 SNMP 服务的安全性能。配置命令: snmp- server community xxxxx RW xx ;xx 是访问控制列表号 SNMP Version 2 使用 MD5 数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。 建议禁止 SNMP 协议服务。在禁止时必须删除一些 SNMP 服务的默认配置。或者需要访问列表来过滤。 12、如果没必要则禁止 WINS 和 DNS 服务。 服务开启时
12、,路由器 dns 服务会向 255.255.255.255 广播地址发送名字查询,攻击者可以伪装成一个 dns 服务来攻击。安全检查时应建议关闭该服务,关闭命令如下:no ip domain-lookup 如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置。 ip name server server-address server=address2 . server-address6 hostname Router ip name- server 202.102.134.96 三、路由器路由协议安全检查 1、首先禁止默认启用的 ARP- Proxy,它容易引起路
13、由表的混乱。 2、启用 OSPF 路由协议的认证。默认的 OSPF 认证密码是明文传输的,建议启用MD5 认证。并设置一定强度密钥(key,相对的路由器必须有相同的 Key)。 OSPF 协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言,而正是因为协议开放性,才使得 OSPF 具有强大的生命力和广泛的用途。5 它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表。OSPF 是一种相对复杂的路由协议。 3、RIP 协议的认证。只有 RIP- V2 支持,RIP- 1 不支持。建议启用 RIP- V2。并且采用 MD5
14、 认证。普通认证同样是明文传输的。 RIP 是推出时间最长的路由协议, 也是最简单的路由协议。 它主要传递路由信息 (路由表)来广播路由。每隔 30 秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表。RIP 运行简单,适用于小型网络,互联网上还在部分使用着 RIP。 4、 启用 passive- interface 命令可以禁用一些不需要接收和转发路由信息的端口。 建议对于不需要路由的端口,启用 passive- interface。但是,在 RIP 协议是只是禁止转发路由信息,并没有禁止接收。在 OSPF 协议中是禁止转发和接收路由信息。 5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。 6、建议启用 IP Unicast Reverse- Path Verification。它能够检查源 IP 地址的准确性,从而可以防止一定的 IP Spooling。但是它只能在启用 CEF(Cisco Express 四、路由器其它安全检查 除此以外,还应从以下方面对路由器进行安全检查 1、是否及时的升级 IOS 软件,为 IOS 安装补丁。 2、是否为路由器 IOS 作安全备份。 3、是否为路由器的配置文件作安全备份。 4、是否为路由器配备 UPS 设备,或者至少要有冗余电源。 5、是否有完备的路由器的安全访问和维护记录日志。
