网络路由安全攻防对策分析及实践

路由器五大类安控技术

访问控制技术：用户验证是实现用户安全防护的基础技术，路由器上可以采用多种用户接入的控制手段，如PPP、Web登录认证、ACL、802.1x协议等，保护接入用户不受网络攻击，同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证，将进一步加强访问控制的安全性。

传输加密技术：IPSec是路由器常用的协议，借助该协议，路由器支持建立虚拟专用网（VPN）。IPSec协议包括ESP（Encapsulating Security Payload）封装安全负载、AH（Authentication Header）报头验证协议及IKE，密钥管理协议等，可以用在公共IP网络上确保数据通信的可靠性和完整性，能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便，只需安全通道两端的路由器或主机支持IPSec协议即可，几乎不需对网络现有基础设施进行更动，这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。

防火墙防护技术：采用防火墙功能模块的路由器具有报文过滤功能，能够对所有接收和转发的报文进行过滤和检查，检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构，进一步实现复杂的应用网关（ALG）功能，还有一些路由器提供基于报文内容的防护。原理是当报文通过路由器时，防火墙功能模块可以对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃，如果该报文是用于打开一个新的控制或数据连接，防护功能模块将动态修改或创建规则，同时更新状态表以允许与新创建的连接相关的报文，回来的报文只有属于一个已经存在的有效连接，才会被允许通过。

入侵检测技术：在安全架构中，入侵检测（IDS）是一个非常重要的技术，目前有些路由器和高端交换机已经内置IDS功能模块，内置入侵检测模块需要路由器具备完善的端口镜像（一对一、多对一）和报文统计支持功能。

HA（高可用性）：提高自身的安全性，需要路由器能够支持备份协议（如VRRP）和具有日志管理功能，以使得网络数据具备更高的冗余性和能够获取更多的保障。

入侵路由器的手法及其对策

通常来说，黑客攻击路由器的手段与袭击网上其它计算机的手法大同小异，因为从严格的意义上讲路由器本身就是一台具备特殊使命的电脑，虽然它可能没有人们通常熟识的PC那样的外观。一般来讲，黑客针对路由器的攻击主要分为以下两种类型：一是通过某种手段或途径获取管理权限，直接侵入到系统的内部；一是采用远程攻击的办法造成路由器崩溃死机或是运行效率显著下降。相较而言，前者的难度要大一些。

在第一种入侵方法中，黑客一般是利用系统用户的粗心或已知的系统缺陷（例如系统软件中的“臭虫”）获得进入系统的访问权限，并通过一系列进一步的行动最终获得超级管理员权限。黑客一般很难一开始就获得整个系统的控制权，在通常的情况下，这是一个逐渐升级的入侵过程。由于路由器不像一般的系统那样设有众多的用户账号，而且经常使用安全性相对较高的专用软件系统，所以黑客要想获取路由器系统的管理权相对于入侵一般的主机就要困难得多。

因此，现有的针对路由器的黑客攻击大多数都可以归入第二类攻击手段的范畴。这种攻击的最终目的并非直接侵入系统内部，而是通过向系统发送攻击性数据包或在一定的时间间隔里，向系统发送数量巨大的“垃圾”数据包，以此大量耗费路由器的系统资源，使其不能正常工作，甚至彻底崩溃。

　　路由器是内部网络与外界的一个通信出口，它在一个网络中充当着平衡带宽和转换IP地址的作用，实现少量外部IP地址数量让内部多台电脑同时访问外网，一旦黑客攻陷路由器，那么就掌握了控制内部网络访问外部网络的权力，而且如果路由器被黑客使用拒绝服务攻击，将造成内部网络不能访问外网，甚至造成网络瘫痪。具体来说，我们可以实施下面的对策：

　　为了防止外部ICMP重定向欺骗，我们知道攻击者有时会利用ICMP重定向来对路由器进行重定向，将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息。禁止外部用户使用ICMP重定向的命令是：interface serial0 no ip redirects。

　　在防止外部源路由欺骗时，我们知道源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令：no ip source-route。

　　如何防止盗用内部IP地址呢？由于攻击者通常可能会盗用内部IP地址进行非法访问，针对这一问题，可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令：arp 固定IP地址 MAC地址 arpa。

　　而要在源站点防止smurf，关键则是阻止所有的向内回显请求，这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。可以在LAN接口方式中输入命令：no ip directed-broadcast。