浅谈路由器安全配置

浅谈路由器安全配置【摘要】路由器在日常生活中有着举足轻重的地位，是计算机网络的桥梁。随着无线网络的普及，路由器也进入了我们的家中，但是，我们往往会忽略它的安全问题，这会让我们在上网的时候有可能会丢失数据、泄露信息。所以，初步了解路由器的安全配置就显得十分必要了。本文通过对路由器的工作原理、路由器的体系结构及安全配置知识进行了比较详细的阐述说明,并举用实际例子对路由器安全配置方面加以论证。通过这些安全配置，可以对路由器进行安全加固，同时对网络的安全防护起到很大的作用。【关键词】路由器安全；CDP；路由协议；安全漏洞1.前言路由器是局域网连接外部网络的重要桥梁，是网络系统中不可或缺的重要部件，也是网络全的前沿关口。但是路由器的维护却很少被大家所重视。试想，如果路由器连自身的安全都没有保障，整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理规划配置，采取必要的安全保护措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。2.路由器工作原理路由器是能产生无线网络的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式不能使用多播方式，只能采用指定的点到点连接。[1]i3.路由器结构体系路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。[2]4.路由器安全设置利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。4.1堵住安全漏洞限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。4.2避免身份危机黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。4.3禁用不必要服务拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。4.4监控配置更改用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。[3]5防止外部IP地址欺骗外网的用户可能会使用内部的合法IP地址或LOOPBADCK地址作为源地址,从而实现非法的访问.可以通过设置访问控制列表来防止IP地址欺骗,如下:Access-list113deny192.168.0.00.0.0.255any,然后在相应的接口上启用该列表即可[4].6防止外部路由欺骗资源路由选择是使用数据链路层信息来为信息包进行路由选择.这个技术超过了第三层的路由信息,这样一来有可能被入侵者利用,将内部网的信息包指定一个不正确的路由选择,把本应该送到内部网的合法目的地的信息送到外网入侵者那里,从而非法得到信息的访问权.在cisco路由器上禁止IP源路由只需要使用nosource-route[5].7控制TCP/IP服务路由器上所提供的TCP/IP服务,在缺省情况下是打开的,这给路由器带来了一定的安全隐患,因此对这些端口的控制是十分必要的.在路由器上我们需要禁止一些低端口的TCP、UDP访问;禁止路由器处理finger协议请求,阻止远程用户查询;禁止边界路由器上基于IPDNS的主机名对地址的转换;特别是对于cisco路由器,要关闭CDP协议,以减少暴露系统信息的可能.[6]结语随着用户对网络服务要求的进一步提高,网络管理的水平也需要不断提高.进一步研究这方面的新技术和新举措,对网络用户的管理更完善,当然，我们自己也应该注意路由器的安全问题，只有经过网络管理和我们自己的共同努力，我们访问Internet才更方便、更安全。[参考文献][1]李增智,张克平,李战国.CISCO路由器安全管理技术与实现方法[J].微机发展,2000(02).[2]李继光.CISCO路由器的安全防护要点[J].科技情报开发与经济,2010(24).[3]于振海.利用路由器加强网络安全的研究与实现[J].山东理工大学学报(自然科学版),2005(05)[4]WENSTROMM.管理CISCO网络安全[M].北京:人民邮电出版社,2001[5]李增智,张克平.CISCO路由器安全管理技术与实现方法[J].微机发展,2000,(2):13-15.[6]云红艳,高岭.远程访问系统中Radius的应用[J].西北大学学报(自然科学版),2000,(6):193-196.戴峥[13级通信6班U201313802]