不可忽视的网络路由安全攻防九道闸

来源：作者：出处：巧巧读书 2006-08-25 进入讨论组

关键词：139端口 access ddos攻击 ftp ie

　　随着企业局域网越来越普及，路由器已经成为各色企业正在使用之中的最重要的安全设备之一，通常来说，网络路由器一般处于防火墙的外部，负责与Internet的连接。

这种拓扑结构实际上是将路由器暴露在企业网络安全防线之外，如果路由器本身又未采取适当的安全防范策略，就可能成为攻击者发起攻击的一块跳板，对内部网络安全造成威胁。

　　针对路由器的安全情况，我们通常可以进行一些应对之策，诸如，合理配置路由器等网络设备，可以避免多数的对路由协议和远程配置端口的攻击；用专用的身份鉴别产品增强路由器等设备的登录安全性；使用双因素身份鉴别产品，这类产品采用一次性口令技术，并且在登录过程中要求相应的认证硬件参与，可以有效消除口令泄密的危险，同时可以通过收回或撤消令牌的办法明确地收回离职管理员的权限，同时，还应采用比较可行的手段预防DDOS攻击。

虽然，路由器安全问题实在是脆弱，黑客进攻手法日益翻新，让人防不胜防，但是这样的进攻其实是有道可寻的，下面我们就详细地为大家解析网络路由器常被攻击的手法内容和相应的对策：

首先，我们常常遇到的网络路由器危机就是路由登陆口令的薄弱。据国外调查显示，80%的安全突破事件是由薄弱的口令引起的，网络上有大多数路由器的广泛的默认口令列表。黑客常常利用弱口令或默认口令进行攻击，加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令，用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书，在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统，双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码，其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书。

　　其次，比较重要的是禁用你不必要服务，比如关闭IP直接广播。路由器除了可以提供路径选择外，它还是一台服务器，可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口，为了安全起见，最好关闭这些服务。你的服务器是很听话的，让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击，在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求，这要求所有的主机对这个广播请求做出回应，这种情况至少会降低你的网络性能。

需要注意的是，禁用路由器上的CDP可能会影响路由器的性能，另一个需要用户考虑的因素是定时，定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步，用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP，只有绝对必要的时候才使用这些服务。

　　如果可能，关闭路由器的HTTP设置。HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令，然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到，特别是如果你仍在使用默认的口令，如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

　　第三，通常非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。ping的主要目的是识别目前正在使用的主机，因此，ping通常用于更大规模的协同性攻击之前的侦察活动，通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies），这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

　　我们可建立如下访问列表:

　access-list 102 deny icmp any any echo
　　! 阻止用ping探测网络。
　　access-list 102 deny icmp any any time-exceeded
　　! 阻止用traceroute探测网络。

　　第四，对端口的严格控制。关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制，否则这些设备就很容易受到攻击。对于高度安全的网络来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。
　　
　　大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击。封锁31337（TCP和UDP）端口将使Back Orifice木马程序更难攻击你的网络。这项工作应该在网络规划阶段确定，这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表，了解这些端口正常的用途。

　　而阻止对关键端口的非法访问可以建立如下访问列表：

　　access-list 101 deny tcp any any eq 135
　　access-list 101 deny tcp any any eq 137
　　access-list 101 deny tcp any any eq 138
　　access-list 101 deny tcp any any eq 139
　　access-list 101 deny udp any any eq 135
　　access-list 101 deny udp any any eq 137
　　access-list 101 deny udp any any eq 138
　　access-list 101 deny udp any any eq 139

　　第五，可以建立准许进入和外出的地址过滤政策。除了特殊的不同寻常的案例之外，所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址，例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。相反，来自互联网外部的通信的源地址应该不是你的内部网络的一部分，因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器，这包括回送地址127.0.0.1或者E类（class E）地址段240.0.0.0-254.255.255.255。

为了防止外部IP地址欺骗，针对此类问题我们则可建立如下访问列表：

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.0.255.255 any
　　! 阻止源地址为私有地址的所有通信流。
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any
　　! 阻止源地址为回环地址的所有通信流。
　　access-list 101 deny ip 224.0.0.0 7.255.255.255 any
　　! 阻止源地址为多目的地址的所有通信流。
　　access-list 101 deny ip host 0.0.0.0 any
　　! 阻止没有列出源地址的通信流。

　　第六，我们还要保持路由器的物理安全。从网络嗅探的角度看，路由器比集线器更安全，这是因为路由器根据IP地址智能化地路由数据包，而集线器向所有的节点播出数据，如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

第七，尽可能及时堵住安全漏洞。限制系统物理访问是确保路由器安全的最有效方法之一，限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的，漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

　　第八，我们要对配置实施管理，并监控配置的更改。用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。

　　用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP，如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读，拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。

此外，用户还需将系统日志消息从路由器发送至指定服务器，为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。配置管理的一个重要部分就是确保网络使用合理的路由协议，避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新，用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。

　　最后，用户最好还是花点时间审阅你的安全记录。审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效，利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序，用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

　　通过以上介绍的各种方法，我们已经将企业的网络的路由器武装了一遍，但从整个网络看，安全的隐患也不仅仅是某个设备的问题，整体的安全协调才是最重要的。