计算机网络信息安全理论与实践教程第19章

第 19章 网络路由设备安全 第 19章 网络路由设备安全 19.1 路由器安全概述19.2 路由器物理安全19.3 路由器访问安全19.4 路由器的网络服务安全19.5 路由信息及协议安全19.6 路由器审计和管理19.7 路由器安全测试方法与工具19.8 路由器安全管理增强技术方法19.9 Cisco路由器常见漏洞与解决方法19.10 本 章 小 结本章思考与练习第 19章 网络路由设备安全 19.1 路由器安全概述 19.1.1 路由器安全威胁路由器不仅是实现网络通信的主要设备之一，而且也是关系到全网安全的设备之一，它的安全性、健壮性将直接影响到网络的可用性。无论是攻击者发动 DoS、 DDoS攻击，还是网络蠕虫爆发，负责在网络之间进行数据通信的路由器往往会首当其冲地受到冲击，并最终瘫痪，导致所连接的网络不可用。 第 19章 网络路由设备安全 19.1.2 路由器安全结构 图 19-1 路由器安全层次图 第 19章 网络路由设备安全 1路由器的物理安全层路由器的最内层是物理安全。如果攻击者可以对物理层进行访问，那么任何路由器都能被攻击并受到损害。因此，物理访问必须得到严格控制以保证整个路由器的安全。大多数的路由器提供一个或者多个直接连接，通常称为 “ 控制台” 或者 “ 控制 ” 端口，这些端口通常提供特殊的控制路由器的方法。路由器的安全策略应该对使用这些端口的时间和地点定义相应的规则。 第 19章 网络路由设备安全 2路由器的核心静态配置层该层的安全主要是路由器 OS软件和管理配置的安全。在这个层中，存储重要的配置信息，包括接口地址、用户名和密码以及对路由器的访问控制设置等。如果一个攻击者能够危害到这层安全，那么路由器更外的两层的控制就难以得到保护。因此，网络管理员通常要有明确的安全规则来严格控制访问这个层。 第 19章 网络路由设备安全 3路由器的动态配置层在这个层上，路由器的安全主要表现为路由表和其他的动态信息安全。其他的动态信息包括接口状态、 ARP表和审计日志。如果一个攻击者可以危害到路由器的动态配置，那么路由器的最外层也会受到侵害。 第 19章 网络路由设备安全 4路由器的通信服务层该层是路由器的最外层，在这一层上，路由器负责处理网络通信流量转发控制。网络安全策略一般包括这个层，例如识别所允许的协议和服务，通信访问控制等。 第 19章 网络路由设备安全 19.1.3 路由器安全策略1路由器的物理安全(1) 指派谁将被授权安装、卸载和移动路由器。(2) 指派谁将被授权进行维护。(3) 指派谁将被授权进行路由器的物理连接。(4) 定义对布置的控制和对控制台的使用以及其他的直接访问端口连接。(5) 定义在路由器受到物理损坏时的恢复过程或者出现路由器被篡改配置后的恢复 过程。 第 19章 网络路由设备安全 2路由器的核心静态配置层(1) 指派谁将被授权通过控制台或者其他的直接访问端口连接登录到路由器。(2) 指派谁将被授权在路由器上具有管理特权。(3) 定义对路由器的静态配置进行更改的过程和实践方法(比如日志书、变更记录、复查过程 )。(4) 定义用户 /登录口令，管理或者特权口令的口令策略。(5) 指派谁将被授权远程登录到路由器。(6) 指派哪些协议、过程以及网络被允许远程登录到路由器。 第 19章 网络路由设备安全 (7) 定义在路由器的动态、静态配置被危害时的恢复过程和负责进行恢复的人员的身份。(8) 定义路由器的审计日志策略，包括勾画出日志的管理实践方法和过程以及日志的复查职责。(9) 指派使用自动远程管理和监视工具的过程和限制 (比如 SNMP)。(10) 概述检测出对路由器本身攻击的反应过程和指导方法。(11) 定义对长期加密密钥的密钥管理策略 (如果有的话 )。 第 19章 网络路由设备安全 3动态配置层(1) 标识出可以在路由器上实施的动态配置服务以及可以访问这些服务的网络。(2) 标识出将被使用的路由协议以及每个会引入的安全功能。(3) 指派设置或者自动维护路由器时钟的机制和策略 (比如手动设置、 NTP)。(4) 标识出当和其他的网络建立 VPN 通道时授权使用的密钥协议和加密算法。第 19章 网络路由设备安全 (5) 网络服务安全。(6) 列举对每一个接口或者连接而言 (比如进入和流出 )，路由器被允许进行或者过滤掉的协议、端口和服务，并标识出可以对它们进行授权的过程以及授权人。(7) 描述和外部服务提供者进行互动的安全过程和角色以及维护技术。 第 19章 网络路由设备安全 4受到危害时的反应(1) 列举出在网络危害事件发生时将通报的个人和组织。(2) 定义一个针对网络的攻击被成功实施后的反应过程、反应权威及目标，包括保存证据的规定和通报法律执行部门的规定。 第 19章 网络路由设备安全 19.2 路由器物理安全 路由器的物理安全是其他安全的基础。除了管理员以外，其他人不能随便接近路由器。如果攻击者物理上能接触到路由器，则攻击者通过断电重启，实施 “ 密码修复流程 ” ，进而登录路由器，就可以完全控制路由器。 第 19章 网络路由设备安全 此外，路由器的物理安全还需要考虑温度、湿度等环境条件，路由器设备要做到防震、防电磁干扰、防雷、防电源波动。国标 GB 4943 信息技术设备的安全、 GB 9254 信息技术设备的无线电骚扰限值以及邮电部 YD 282 邮电通信设备可靠性通用试验方法、 YD/T 755 与电信网电气连接的设备安全原则等标准中对此有明确的规定。 第 19章 网络路由设备安全 19.3 路由器访问安全 19.3.1 本地访问安全路由器访问有两种类型：本地访问和远程访问。本地访问的一般过程是使用一个哑终端或者一个桌面电脑直接连接到路由器的某个控制端口。为了进一步严格控制 CON端口的访问，应使用路由器的访问控制列表限制对 CON端口的访问。例如，限制特定的主机才能访问路由器，配置信息如下：Router(Config)#Access-list 1 permit 第 19章 网络路由设备安全 Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#end 第 19章 网络路由设备安全 19.3.2 远程访问安全远程访问路由器一般是通过路由器自身提供的网络服务来实现的，例如 telnet、 SNMP、 WEB服务或拨号服务。虽然远程访问路由器有利于网络管理，但是在远程访问的过程中，远程通信时的信息是明文，因而，攻击者能够监听到远程访问路由器的信息，例如路由器的口令。网络管理员为增强远程访问安全性，一般采取以下安全措施：(1) 建立一条专用的网络，用于管理路由器设备，如图 19-2所示。 第 19章 网络路由设备安全 图 19-2 建立专用的网络用于管理路由器设备示意图 第 19章 网络路由设备安全 (2) 将管理主机和路由器之间的全部通信进行加密，例如使用 SSH替换 Telnet。(3) 在路由器设置包过滤规则，只允许管理主机远程访问路由器。例如以下的路由器配置可以做到只允许 IP地址是和 的主机有权访问路由器的 telnet服务：Central (config) # access-list 99 permit logCentral (config) # access-list 99 permit logCentral (config) # access-list 99 deny any logCentral (config) # line vty 0 4 第 19章 网络路由设备安全 Central (config-line) # access-class 99 inCentral (config-line) #exec-timeout 5 0Central (config-line) # login localCentral (config-line) # transport input telnetCentral (config-line) # execCentral (config-line) # endCentral # 第 19章 网络路由设备安全 19.4 路由器的网络服务安全 路由器自身提供许多网络服务，例如 Telnet、 Finger、HTTP等。这些服务虽然给管理带来了方便，但是也留下了安全隐患。为了增强路由器的安全，一般让路由器尽量不提供网络服务，或者是关闭危险的网络服务，或者是限制网络服务范围。下面是一些关闭路由器危险的网络服务操作方法 :(1) 禁止 CDP(Cisco Discovery Protocol)：Router(Config)#no cdp runRouter(Config-if)# no cdp enable 第 19章 网络路由设备安全 (2) 禁止其他的 TCP、 UDP Small服务：Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers(3) 禁止 finger服务：Router(Config)# no ip fingerRouter(Config)# no service finger 第 19章 网络路由设备安全 (4) 建议禁止 HTTP服务：Router(Config)# no ip http server 如果启用了 HTTP服务，则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。如：Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10Router(Config)# access-list 10 permit Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http serverRouter(Config)# exit 第 19章 网络路由设备安全 (5) 禁止 BOOTP服务：Router(Config)# no ip bootp server(6) 禁止从网络启动和自动从网络下载初始配置文件：Router(Config)# no boot networkRouter(Config)# no servic config(7) 禁止 IP Source Routing：Router(Config)# no ip source-route 第 19章 网络路由设备安全 (8) 建议如果不需要 ARP-Proxy服务则禁止它 (路由器默认是开启的 )：Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp(9) 明确的禁止 IP Directed Broadcast：Router(Config)# no ip directed-broadcast(10) 禁止 IP Classless：Router(Config)# no ip classless 第 19章 网络路由设备安全 (11) 禁止 ICMP协议的 IP Unreachables， Redirects，Mask Replies：Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply 第 19章 网络路由设备安全 (12) 建议禁止 SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置，或者需要访问列表来过滤。如：Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70第 19章 网络路由设备安全 Router(Config)# no snmp-server enable trapsRouter(Co