不可忽视的网络路由安全攻防九道闸_路由技术
随着企业局域网越来越普及,路由器已经成为各色企业正在使用之中的最重要的安全设备之一,通常来说,网络路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在企业网络安全防线之外,假如路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。 针对路由器的安全情况,我们通常可以进行一些应对之策,诸如,公道配置路由器等网络设备,可以避免多数的对路由协议和远程配置端口的攻击;用专用的身份鉴别产品增强路由器等设备的登录安全性;使用双因素身份鉴别产品,这类产品采用一次性口令技术,并且在登录过程中要求相应的认证硬件参与,可以有效消除口令泄密的危险,同时可以通过收回或撤消令牌的办法明确地收回离职治理员的权限,同时,还应采用比较可行的手段预防DDOS攻击。 固然,路由器安全题目实在是脆弱,黑客进攻手法日益翻新,让人防不胜防,但是这样的进攻实在是有道可寻的,下面我们就具体地为大家解析网络路由器常被攻击的手法内容和相应的对策: 首先,我们经常碰到的网络路由器危机就是路由登陆口令的薄弱。据国外调查显示,80%的安全突破事件是由薄弱的口令引起的,网络上有大多数路由器的广泛的默认口令列表。黑客经常利用弱口令或默认口令进行攻击,加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令,用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。实施公道的验证控制以便路由器安全地传输证书,在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统,双因素的前者是软件或硬件的令牌天生部分,后者则是用户身份和令牌通行码,其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。 其次,比较重要的是禁用你不必要服务,比如封闭IP直接广播。路由器除了可以提供路径选择外,它还是一台服务器,可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口,为了安全起见,最好封闭这些服务。你的服务器是很听话的,让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击,在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求,这要求所有的主机对这个广播请求做出回应,这种情况至少会降低你的网络性能。 需要留意的是,禁用路由器上的CDP可能会影响路由器的性能,另一个需要用户考虑的因素是定时,定时对有效操纵网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步,用户可以利用名为网络时间协议(NTP)的服务,对照有效正确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅答应向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如SNMP和DHCP,只有绝对必要的时候才使用这些服务。 假如可能,封闭路由器的HTTP设置。HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令,然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。固然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到,特别是假如你仍在使用默认的口令,假如你必须远程治理路由器,你一定要确保使用SNMPv3以上版本的协议,由于它支持更严格的口令。 第三,通常非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。ping的主要目的是识别目前正在使用的主机,因此,ping通常用于更大规模的协同性攻击之前的侦察活动,通过取消远程用户接收ping请求的应答能力,你就更轻易避开那些无人留意的扫描活动或者防御那些寻找轻易攻击的目标的“脚本小子”(script kiddies),这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。 我们可建立如下访问列表: access-list 102 deny icmp any any echo ! 阻止用ping探测网络。 access-list 102 deny icmp any any time-exceeded ! 阻止用traceroute探测网络。 第四,对端口的严格控制。关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很轻易受到攻击。对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过答应才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封闭。例如,用于web通讯的端口80和用于SMTP的110/25端口答应来自指定地址的访问,而所有其它端口和地址都可以封闭。 大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封闭你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封闭139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封闭31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。 而阻止对关键端口的非法访问可以建立如下访问列表: access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 1/2 12下一页尾页
页:
[1]