[转载]保障网络安全：合理配置路由器的安全措施(页 1) - 网络攻防技术{ Hacking and Defence } - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

hack520 2006-11-1 13:35

[转载]保障网络安全：合理配置路由器的安全措施

信息来源：中国计算机报路由器是信息<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>中实现<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>互联的关键设备，它将不同<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>或网段之间的<a class="channel_keylink" href="http://www.3800hk.com/">数据</a>信息进行“翻译”，以实现<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>互联和资源共享。因此，路由器安全问题直接影响整个<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>的安全。笔者认为，保护路由器安全可采取以下安全措施。 　　堵住安全<a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a>　　路由器同计算机及其他<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>设备一样，自身也存在一些缺陷和<a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a>。利用路由器自身缺点进行<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>攻击，是<a class="channel_keylink" href="http://www.3800hk.com/">黑客</a>常用的手段。因此，我们必须在堵住路由器安全<a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a>上采取必要的措施。限制系统物理访问是最有效的方法之一。它是将控制台和终端会话配置成在较短闲置时间后，<a class="channel_keylink" href="http://www.3800hk.com/">自动</a>退出系统，以堵住路由器的安全<a class="channel_keylink" href="http://www.3800hk.com/">漏洞</a>，保护整个<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>的安全。此外，应避免将调制解调器连接到路由器的辅助端口。　　避免身份危机　　<a class="channel_keylink" href="http://www.3800hk.com/">黑客</a>常常利用弱口令或默认口令进行攻击。加长口令，有助于防御这类攻击。当<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>管理人员调离或退出本岗位时，应立即更换口令。另外，还应启用路由器的口令加密功能。在大多数的路由器上，可以配置一些协议，如远程验证拨入用户<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>，结合验证<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器提供经过加密、验证的路由器访问，以加强路由器的安全系数，提高整个<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>的安全性。　　限制逻辑访问　　限制逻辑访问，主要是借助于合理处置访问控制列表，限制远程终端会话，有助于防止<a class="channel_keylink" href="http://www.3800hk.com/">黑客</a>获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免TELNET，不妨使用终端访问控制，以限制只能访问可信主机。因此，需要给TELNET在路由器上使用的虚拟终端端口添加一份访问列表。　　控制消息协议ICMP有助于排除故障，但也为攻击者提供了用来浏览<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>设备、确定时间戳和<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>掩码以及对OS修正版本作出推测的信息。为了防止<a class="channel_keylink" href="http://www.3800hk.com/">黑客</a>搜集上述信息，只允许以下类型的ICMP流量进入<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。　　使用入站访问控制，可将特定<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器引导至对应的<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器。例如，只允许SMTP流量进入邮件<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器;DNS流量进入DNS<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器;通过安全套接协议层(SSL)的HTTP(HTTPS)流量进入WEB<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器。为了避免路由器成为DoS攻击目标，应拒绝以下流量进入:没有IP地址的包，采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。还可以采取增加SYM ACK队列长度、缩短ACK超时等措施，来保护路由器免受TCP SYN攻击。　　监控配置更改　　在对路由器配置进行改动时，需要对其进行监控。如果使用了SNMP，则一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的 SNMP。如果不通过SNMP管理而对设备进行远程配置，最好将SNMP设备配置成只读，拒绝对这些设备进行写访问。这样，能防止<a class="channel_keylink" href="http://www.3800hk.com/">黑客</a>改动或关闭接口。此外，还要将系统日志信息从路由器发送至指定<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器。同时，为进一步确保安全管理，还可使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。　　实施配置管理　　配置管理的一个重要部分，就是确保<a class="channel_keylink" href="http://www.3800hk.com/">网络</a>使用合理的路由器协议，避免使用路由信息协议(RIP)。因为RIP很容易被欺骗而接受不合法的路由更新。所以，必须实施控制存放、检索及更新路由器配置，以便在新配置出现问题时能更换、重装或恢复到原先的配置。另外，还可以通过两种方法，将配置文档存放在支持命令行接口(CLT)的路由器平台上。一种是运行脚本，脚本能在配置<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统。另一种是在配置<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器到路由器之间建立IPSEC遂道，通过该安全遂道内的TFTP，将配置文件拷贝到<a class="channel_keylink" href="http://www.3800hk.com/">服务</a>器。同时，还应明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改，在进行任何更改之前，制定详细的逆序操作规程。

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]保障网络安全：合理配置路由器的安全措施