1路由器的安全检查江苏省电子信息产品质量监督检验研究院张影秋路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
官方网站:点击访问青云互联活动官网优惠码:终身88折扣优惠码:WN789-2021香港测试IP:154.196.254美国测试IP:243.164.1活动方案:用户购买任意全区域云服务器月付以上享受免费更换IP服务;限美国区域云服务器凡是购买均可以提交工单定制天机防火墙高防御保护端口以及保护模式;香港区域购买季度、半年付、年付周期均可免费申请额外1IP;使用优惠码购买后续费周期终身同活动价,价格不...
数脉科技(shuhost)8月促销:香港独立服务器,自营BGP、CN2+BGP、阿里云线路,新客立减400港币/月,老用户按照优惠码减免!香港服务器带宽可选10Mbps、30Mbps、50Mbps、100Mbps带宽,支持中文本Windows、Linux等系统。数脉香港特价阿里云10MbpsCN2,e3-1230v2,16G内存,1T HDD 或 240G SSD,10Mbps带宽,IPv41个,...
官方网站:https://www.shuhost.com/公司名:LucidaCloud Limited尊敬的新老客户:艰难的2021年即将结束,年终辞旧迎新之际,我们准备了持续优惠、及首月优惠,为中小企业及个人客户降低IT业务成本。我们将持续努力提供给客户更好的品质与服务,在新的一年期待与您有美好的合作。# 下列价钱首月八折优惠码: 20211280OFF (每客户限用1次) * 自助购买可复制...
ciscotftp服务器为你推荐
microcenterccpc什么意思7788k.comwww.8855k.com是个什么网站www.qq530.com谁能给我一个听歌的网站?m.2828dy.combabady为啥打不开了,大家帮我提供几个看电影的网址haole10.comwww.qq10eu.in是QQ网站吗www.ijinshan.com驱动人生是电脑自带的还是要安装啊!?在哪里呢?没有找到www.ijinshan.com在电脑看港台电视台那个网站最好而又不用钱速度又快www.ijinshan.com桌面上多了一个IE图标,打开后就链接到009dh.com这个网站,这个图标怎么删掉啊?555sss.comms真的是500万像素?www4399com4399小游戏 请记住本站网站 4399.url
cn域名 xenvps lamp安装 联通c套餐 kvmla 狗爹 南昌服务器托管 qingyun 165邮箱 699美元 129邮箱 100m独享 中国电信宽带测速网 shopex主机 美国独立日 上海联通 sonya asp介绍 hosting 服务器是什么意思 更多