網(wǎng)絡(luò)路由安全攻防對策分析及實踐

網(wǎng)絡(luò)路由安全攻防對策分析及實踐

網(wǎng)絡(luò)路由器的安全問題一直以來被大家談?wù)摰帽容^多，雖然我們看到的路由器入侵事件不多，因此在很多人的印象中，路由(routing)只是選擇通過互聯(lián)網(wǎng)絡(luò)從源節(jié)點向目的節(jié)點傳輸信息的通道，其實路由器的安全隱患很多，只是由于一般黑客接觸得不太頻繁，被攻擊的事件很少發(fā)生，但如果路由器被攻擊，后果將不堪設(shè)想。
不可忽視的路由器安全

路由器（router）是因特網(wǎng)上最為重要的設(shè)備之一，正是遍布世界各地的數(shù)以萬計的路由器構(gòu)成了因特網(wǎng)這個在我們的身邊日夜不停地運轉(zhuǎn)的巨型信息網(wǎng)絡(luò)的 “橋梁”。在因特網(wǎng)上，路由器扮演著轉(zhuǎn)發(fā)數(shù)據(jù)包“驛站”的角色，對于黑客來說，利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情，攻擊路由器會浪費 cpu周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)陷于癱瘓，通常好的路由器本身會采取一個好的安全機制來保護自己，但是僅此一點是遠(yuǎn)遠(yuǎn)不夠的，保護路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。

流行的路由器大多是以硬件設(shè)備的形式存在的，但是在某些情況下也用程序來實現(xiàn)“軟件路由器”，兩者的唯一差別只是執(zhí)行的效率不同而已。路由器一般至少和兩個網(wǎng)絡(luò)相聯(lián)，并根據(jù)它對所連接網(wǎng)絡(luò)的狀態(tài)決定每個數(shù)據(jù)包的傳輸路徑。路由器生成并維護一張稱為“路由信息表”的表格，其中跟蹤記錄相鄰其他路由器的地址和狀態(tài)信息。

路由器使用路由信息表并根據(jù)傳輸距離和通訊費用等優(yōu)化算法來決定一個特定的數(shù)據(jù)包的最佳傳輸路徑。正是這種特點決定了路由器的“智能性”，它能夠根據(jù)相鄰網(wǎng)絡(luò)的實際運行狀況自動選擇和調(diào)整數(shù)據(jù)包的傳輸情況，盡最大的努力以最優(yōu)的路線和最小的代價將數(shù)據(jù)包傳遞出去。路由器能否安全穩(wěn)定地運行，直接影響著因特網(wǎng)的活動，不管因為什么原因出現(xiàn)路由器死機、拒絕服務(wù)或是運行效率急劇下降，其結(jié)果都將是災(zāi)難性的。

路由器的安全剖析

路由器的安全性分兩方面，一方面是路由器本身的安全，另一方面是數(shù)據(jù)的安全。由于路由器是互聯(lián)網(wǎng)的核心，是網(wǎng)絡(luò)互連的關(guān)鍵設(shè)備，所以路由器的安全要求比其他設(shè)備的安全性要求更高，主機的安全漏洞最多導(dǎo)致該主機無法訪問，路由器的安全漏洞可能導(dǎo)致整個網(wǎng)絡(luò)不可訪問。

路由器的安全漏洞可能存在管理上的原因和技術(shù)上的原因。在管理上，對路由器口令糟糕的選擇、路由協(xié)議授權(quán)機制的不恰當(dāng)使用、錯誤的路由配置都可能導(dǎo)致路由器工作出現(xiàn)問題，技術(shù)上路由器的安全漏洞可能有惡意攻擊，如竊聽、流量分析、假冒、重發(fā)、拒絕服務(wù)、資源非授權(quán)訪問、干擾、病毒等攻擊。此外，還有軟件技術(shù)上的漏洞，諸如后門、操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、tcp/ip協(xié)議漏洞、網(wǎng)絡(luò)服務(wù)等都可能會存在漏洞。

為了使路由器將合法信息完整、及時、安全地轉(zhuǎn)發(fā)到目的地，許多路由器廠商開始在路由器中添加安全模塊，比如將防火墻、___、ids、防病毒、url過濾等技術(shù)引入路由器當(dāng)中，于是出現(xiàn)了路由器與安全設(shè)備融合的趨勢。從本質(zhì)上講，增加安全模塊的路由器，在路由器功能實現(xiàn)方面與普通路由器沒有區(qū)別，所不同的是，添加安全模塊的路由器可以通過加密、認(rèn)證等技術(shù)手段增強報文的安全性，與專用安全設(shè)備進行有效配合，來提高路由器本身的安全性和所管理網(wǎng)段的可用性。

　　而為了保護路由器安全，我們還必需考慮路由器的配置問題。一般來說路由器的配置方式可以通過用主控c termianl)telnet配置；可以從tftp server上下載配置，另外，還可以用網(wǎng)管工作站進行配置。路由器攻擊造成的最大威脅是網(wǎng)絡(luò)無法使用，而且這類攻擊需要動用大量靠近骨干網(wǎng)絡(luò)的服務(wù)器。其實，路由器有一個操作系統(tǒng)，也是一個軟件，相對其他操作系統(tǒng)的技術(shù)性來說，差距是非常明顯的，由于功能單一，不考慮兼容性和易用性等，核心固化，一般管理員不允許遠(yuǎn)程登錄，加上了解路由器的人少得很，所以它的安全問題不太明顯，有時候偶爾出現(xiàn)死機狀態(tài)，管理員一般使用reboot命令后，也就沒什么問題了。

　　也正因為這樣，致使很多路由器的管理員對這個不怎么關(guān)心，只要網(wǎng)絡(luò)暢通就可以了，因為路由器通常都是廠家負(fù)責(zé)維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令，請和經(jīng)銷商聯(lián)系。”事實上，連unix都有很多漏洞，何況路由器脆弱的操作系統(tǒng)?當(dāng)然路由器一般是無法滲入的。因為，你無法遠(yuǎn)程登錄，一般管理員都不會開的。但是讓路由器拒絕服務(wù)的漏洞很多。而且，很多管理員有個毛病，他們往往對windows的操作系統(tǒng)補丁打得比較勤，但是對路由器的操作系統(tǒng)的補丁，很多管理員都懶得去理。

路由器五大類安控技術(shù)
訪問控制技術(shù)：用戶驗證是實現(xiàn)用戶安全防護的基礎(chǔ)技術(shù)，路由器上可以采用多種用戶接入的控制手段，如ppp、web登錄認(rèn)證、acl、802.1x協(xié)議等，保護接入用戶不受網(wǎng)絡(luò)攻擊，同時能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。基于ca標(biāo)準(zhǔn)體系的安全認(rèn)證，將進一步加強訪問控制的安全性。

傳輸加密技術(shù)：ipsec是路由器常用的協(xié)議，借助該協(xié)議，路由器支持建立虛擬專用網(wǎng)（___）。ipsec協(xié)議包括esp（encapsulating security payload）封裝安全負(fù)載、ah（authentication header）報頭驗證協(xié)議及ike，密鑰管理協(xié)議等，可以用在公共ip網(wǎng)絡(luò)上確保數(shù)據(jù)通信的可靠性和完整性，能夠保障數(shù)據(jù)安全穿越公網(wǎng)而沒有被偵聽。由于ipsec的部署簡便，只需安全通道兩端的路由器或主機支持ipsec協(xié)議即可，幾乎不需對網(wǎng)絡(luò)現(xiàn)有基礎(chǔ)設(shè)施進行更動，這正是ipsec協(xié)議能夠確保包括遠(yuǎn)程登錄、客戶機、服務(wù)器、電子郵件、文件傳輸及web訪問等多種應(yīng)用程序安全的重要原因。

防火墻防護技術(shù)：采用防火墻功能模塊的路由器具有報文過濾功能，能夠?qū)λ薪邮蘸娃D(zhuǎn)發(fā)的報文進行過濾和檢查，檢查策略可以通過配置實現(xiàn)更改和管理。路由器還可以利用nat/pat功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，進一步實現(xiàn)復(fù)雜的應(yīng)用網(wǎng)關(guān)（alg）功能，還有一些路由器提供基于報文內(nèi)容的防護。原理是當(dāng)報文通過路由器時，防火墻功能模塊可以對報文與指定的訪問規(guī)則進行比較，如果規(guī)則允許，報文將接受檢查，否則報文直接被丟棄，如果該報文是用于打開一個新的控制或數(shù)據(jù)連接，防護功能模塊將動態(tài)修改或創(chuàng)建規(guī)則，同時更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報文，回來的報文只有屬于一個已經(jīng)存在的有效連接，才會被允許通過。

入侵檢測技術(shù)：在安全架構(gòu)中，入侵檢測（ids）是一個非常重要的技術(shù)，目前有些路由器和高端交換機已經(jīng)內(nèi)置ids功能模塊，內(nèi)置入侵檢測模塊需要路由器具備完善的端口鏡像（一對一、多對一）和報文統(tǒng)計支持功能。

ha（高可用性）：提高自身的安全性，需要路由器能夠支持備份協(xié)議（如vrrp）和具有日志管理功能，以使得網(wǎng)絡(luò)數(shù)據(jù)具備更高的冗余性和能夠獲取更多的保障。

入侵路由器的手法及其對策

通常來說，黑客攻擊路由器的手段與襲擊網(wǎng)上其它計算機的手法大同小異，因為從嚴(yán)格的意義上講路由器本身就是一臺具備特殊使命的電腦，雖然它可能沒有人們通常熟識的pc那樣的外觀。一般來講，黑客針對路由器的攻擊主要分為以下兩種類型：一是通過某種手段或途徑獲取管理權(quán)限，直接侵入到系統(tǒng)的內(nèi)部；一是采用遠(yuǎn)程攻擊的辦法造成路由器崩潰死機或是運行效率顯著下降。相較而言，前者的難度要大一些。

在第一種入侵方法中，黑客一般是利用系統(tǒng)用戶的粗心或已知的系統(tǒng)缺陷（例如系統(tǒng)軟件中的“臭蟲”）獲得進入系統(tǒng)的訪問權(quán)限，并通過一系列進一步的行動最終獲得超級管理員權(quán)限。黑客一般很難一開始就獲得整個系統(tǒng)的控制權(quán)，在通常的情況下，這是一個逐漸升級的入侵過程。由于路由器不像一般的系統(tǒng)那樣設(shè)有眾多的用戶賬號，而且經(jīng)常使用安全性相對較高的專用軟件系統(tǒng)，所以黑客要想獲取路由器系統(tǒng)的管理權(quán)相對于入侵一般的主機就要困難得多。

因此，現(xiàn)有的針對路由器的黑客攻擊大多數(shù)都可以歸入第二類攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統(tǒng)內(nèi)部，而是通過向系統(tǒng)發(fā)送攻擊性數(shù)據(jù)包或在一定的時間間隔里，向系統(tǒng)發(fā)送數(shù)量巨大的“垃圾”數(shù)據(jù)包，以此大量耗費路由器的系統(tǒng)資源，使其不能正常工作，甚至徹底崩潰。

　　路由器是內(nèi)部網(wǎng)絡(luò)與外界的一個通信出口，它在一個網(wǎng)絡(luò)中充當(dāng)著平衡帶寬和轉(zhuǎn)換ip地址的作用，實現(xiàn)少量外部ip地址數(shù)量讓內(nèi)部多臺電腦同時訪問外網(wǎng)，一旦黑客攻陷路由器，那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力，而且如果路由器被黑客使用拒絕服務(wù)攻擊，將造成內(nèi)部網(wǎng)絡(luò)不能訪問外網(wǎng)，甚至造成網(wǎng)絡(luò)癱瘓。具體來說，我們可以實施下面的對策：

　　為了防止外部icmp重定向欺騙，我們知道攻擊者有時會利用icmp重定向來對路由器進行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備，從而獲得有用信息。禁止外部用戶使用icmp重定向的命令是：interface serial0 no ip redirects。

　　在防止外部源路由欺騙時，我們知道源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進行路由選擇。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息，使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由，這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報就會被送到入侵者指定的地址。禁止使用源路由的命令：no ip source-route。

　　如何防止盜用內(nèi)部ip地址呢？由于攻擊者通常可能會盜用內(nèi)部ip地址進行非法訪問，針對這一問題，可以利用cisco路由器的arp命令將固定ip地址綁定到某一mac地址之上。具體命令：arp 固定ip地址 mac地址 arpa。

　　而要在源站點防止smurf，關(guān)鍵則是阻止所有的向內(nèi)回顯請求，這就要防止路由器將指向網(wǎng)絡(luò)廣播地址的通信映射到局域網(wǎng)廣播地址。可以在lan接口方式中輸入命令：no ip directed-broadcast。