網絡路由器的安全問題一直以來被大家談論得比較多,雖然我們看到的路由器入侵事件不多,因此在很多人的印象中,路由(Routing)只是選擇通過互聯網絡從源節點向目的節點傳輸信息的通道,其實路由器的安全隱患很多,只是由于一般黑客接觸得不太頻繁,被攻擊的事件很少發生,但如果路由器被攻擊,后果將不堪設想。
不可忽視的路由器安全
路由器(Router)是因特網上最為重要的設備之一,正是遍布世界各地的數以萬計的路由器構成了因特網這個在我們的身邊日夜不停地運轉的巨型信息網絡的“橋梁”。在因特網上,路由器扮演著轉發數據包“驛站”的角色,對于黑客來說,利用路由器的漏洞發起攻擊通常是一件比較容易的事情,攻擊路由器會浪費CPU周期,誤導信息流量,使網絡陷于癱瘓,通常好的路由器本身會采取一個好的安全機制來保護自己,但是僅此一點是遠遠不夠的,保護路由器安全還需要網管員在配置和管理路由器過程中采取相應的安全措施。
路由器數據流示意圖
流行的路由器大多是以硬件設備的形式存在的,但是在某些情況下也用程序來實現“軟件路由器”,兩者的唯一差別只是執行的效率不同而已。路由器一般至少和兩個網絡相聯,并根據它對所連接網絡的狀態決定每個數據包的傳輸路徑。路由器生成并維護一張稱為“路由信息表”的表格,其中跟蹤記錄相鄰其他路由器的地址和狀態信息。
路由器使用路由信息表并根據傳輸距離和通訊費用等優化算法來決定一個特定的數據包的最佳傳輸路徑。正是這種特點決定了路由器的“智能性”,它能夠根據相鄰網絡的實際運行狀況自動選擇和調整數據包的傳輸情況,盡最大的努力以最優的路線和最小的代價將數據包傳遞出去。路由器能否安全穩定地運行,直接影響著因特網的活動,不管因為什么原因出現路由器死機、拒絕服務或是運行效率急劇下降,其結果都將是災難性的。
路由器的安全剖析
路由器的安全性分兩方面,一方面是路由器本身的安全,另一方面是數據的安全。由于路由器是互聯網的核心,是網絡互連的關鍵設備,所以路由器的安全要求比其他設備的安全性要求更高,主機的安全漏洞最多導致該主機無法訪問,路由器的安全漏洞可能導致整個網絡不可訪問。
路由器的安全漏洞可能存在管理上的原因和技術上的原因。在管理上,對路由器口令糟糕的選擇、路由協議授權機制的不恰當使用、錯誤的路由配置都可能導致路由器工作出現問題,技術上路由器的安全漏洞可能有惡意攻擊,如竊聽、流量分析、假冒、重發、拒絕服務、資源非授權訪問、干擾、病毒等攻擊。此外,還有軟件技術上的漏洞,諸如后門、操作系統漏洞、數據庫漏洞、TCP/IP協議漏洞、網絡服務等都可能會存在漏洞。
為了使路由器將合法信息完整、及時、安全地轉發到目的地,許多路由器廠商開始在路由器中添加安全模塊,比如將防火墻、VPN、IDS、防病毒、URL過濾等技術引入路由器當中,于是出現了路由器與安全設備融合的趨勢。從本質上講,增加安全模塊的路由器,在路由器功能實現方面與普通路由器沒有區別,所不同的是,添加安全模塊的路由器可以通過加密、認證等技術手段增強報文的安全性,與專用安全設備進行有效配合,來提高路由器本身的安全性和所管理網段的可用性。
而為了保護路由器安全,我們還必需考慮路由器的配置問題。一般來說路由器的配置方式可以通過用主控Console口接終端配置;在AUX口接Modem同電話網相連,從而在遠端配置;在TCP/IP網上可通過仿真終端(virtual termianl)telnet配置;可以從TFTP Server上下載配置,另外,還可以用網管工作站進行配置。路由器攻擊造成的最大威脅是網絡無法使用,而且這類攻擊需要動用大量靠近骨干網絡的服務器。其實,路由器有一個操作系統,也是一個軟件,相對其他操作系統的技術性來說,差距是非常明顯的,由于功能單一,不考慮兼容性和易用性等,核心固化,一般管理員不允許遠程登錄,加上了解路由器的人少得很,所以它的安全問題不太明顯,有時候偶爾出現死機狀態,管理員一般使用reboot命令后,也就沒什么問題了。
也正因為這樣,致使很多路由器的管理員對這個不怎么關心,只要網絡暢通就可以了,因為路由器通常都是廠家負責維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令,請和經銷商聯系。”事實上,連Unix都有很多漏洞,何況路由器脆弱的操作系統?當然路由器一般是無法滲入的。因為,你無法遠程登錄,一般管理員都不會開的。但是讓路由器拒絕服務的漏洞很多。而且,很多管理員有個毛病,他們往往對Windows的操作系統補丁打得比較勤,但是對路由器的操作系統的補丁,很多管理員都懶得去理。
路由器五大類安控技術
訪問控制技術:用戶驗證是實現用戶安全防護的基礎技術,路由器上可以采用多種用戶接入的控制手段,如PPP、Web登錄認證、ACL、802.1x協議等,保護接入用戶不受網絡攻擊,同時能夠阻止接入用戶攻擊其他用戶和網絡。基于CA標準體系的安全認證,將進一步加強訪問控制的安全性。
傳輸加密技術:IPSec是路由器常用的協議,借助該協議,路由器支持建立虛擬專用網(VPN)。IPSec協議包括ESP(Encapsulating Security Payload)封裝安全負載、AH(Authentication Header)報頭驗證協議及IKE,密鑰管理協議等,可以用在公共IP網絡上確保數據通信的可靠性和完整性,能夠保障數據安全穿越公網而沒有被偵聽。由于IPSec的部署簡便,只需安全通道兩端的路由器或主機支持IPSec協議即可,幾乎不需對網絡現有基礎設施進行更動,這正是IPSec協議能夠確保包括遠程登錄、客戶機、服務器、電子郵件、文件傳輸及Web訪問等多種應用程序安全的重要原因。
防火墻防護技術:采用防火墻功能模塊的路由器具有報文過濾功能,能夠對所有接收和轉發的報文進行過濾和檢查,檢查策略可以通過配置實現更改和管理。路由器還可以利用NAT/PAT功能隱藏內網拓撲結構,進一步實現復雜的應用網關(ALG)功能,還有一些路由器提供基于報文內容的防護。原理是當報文通過路由器時,防火墻功能模塊可以對報文與指定的訪問規則進行比較,如果規則允許,報文將接受檢查,否則報文直接被丟棄,如果該報文是用于打開一個新的控制或數據連接,防護功能模塊將動態修改或創建規則,同時更新狀態表以允許與新創建的連接相關的報文,回來的報文只有屬于一個已經存在的有效連接,才會被允許通過。
入侵檢測技術:在安全架構中,入侵檢測(IDS)是一個非常重要的技術,目前有些路由器和高端交換機已經內置IDS功能模塊,內置入侵檢測模塊需要路由器具備完善的端口鏡像(一對一、多對一)和報文統計支持功能。
HA(高可用性):提高自身的安全性,需要路由器能夠支持備份協議(如VRRP)和具有日志管理功能,以使得網絡數據具備更高的冗余性和能夠獲取更多的保障。
入侵路由器的手法及其對策
通常來說,黑客攻擊路由器的手段與襲擊網上其它計算機的手法大同小異,因為從嚴格的意義上講路由器本身就是一臺具備特殊使命的電腦,雖然它可能沒有人們通常熟識的PC那樣的外觀。一般來講,黑客針對路由器的攻擊主要分為以下兩種類型:一是通過某種手段或途徑獲取管理權限,直接侵入到系統的內部;一是采用遠程攻擊的辦法造成路由器崩潰死機或是運行效率顯著下降。相較而言,前者的難度要大一些。
在第一種入侵方法中,黑客一般是利用系統用戶的粗心或已知的系統缺陷(例如系統軟件中的“臭蟲”)獲得進入系統的訪問權限,并通過一系列進一步的行動最終獲得超級管理員權限。黑客一般很難一開始就獲得整個系統的控制權,在通常的情況下,這是一個逐漸升級的入侵過程。由于路由器不像一般的系統那樣設有眾多的用戶賬號,而且經常使用安全性相對較高的專用軟件系統,所以黑客要想獲取路由器系統的管理權相對于入侵一般的主機就要困難得多。
因此,現有的針對路由器的黑客攻擊大多數都可以歸入第二類攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統內部,而是通過向系統發送攻擊性數據包或在一定的時間間隔里,向系統發送數量巨大的“垃圾”數據包,以此大量耗費路由器的系統資源,使其不能正常工作,甚至徹底崩潰。
路由器是內部網絡與外界的一個通信出口,它在一個網絡中充當著平衡帶寬和轉換IP地址的作用,實現少量外部IP地址數量讓內部多臺電腦同時訪問外網,一旦黑客攻陷路由器,那么就掌握了控制內部網絡訪問外部網絡的權力,而且如果路由器被黑客使用拒絕服務攻擊,將造成內部網絡不能訪問外網,甚至造成網絡癱瘓。具體來說,我們可以實施下面的對策:
為了防止外部ICMP重定向欺騙,我們知道攻擊者有時會利用ICMP重定向來對路由器進行重定向,將本應送到正確目標的信息重定向到它們指定的設備,從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令是:interface serial0 no ip redirects。
在防止外部源路由欺騙時,我們知道源路由選擇是指使用數據鏈路層信息來為數據報進行路由選擇。該技術跨越了網絡層的路由信息,使入侵者可以為內部網的數據報指定一個非法的路由,這樣原本應該送到合法目的地的數據報就會被送到入侵者指定的地址。禁止使用源路由的命令:no ip source-route。
如何防止盜用內部IP地址呢?由于攻擊者通常可能會盜用內部IP地址進行非法訪問,針對這一問題,可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令:arp 固定IP地址 MAC地址 arpa。
而要在源站點防止smurf,關鍵則是阻止所有的向內回顯請求,這就要防止路由器將指向網絡廣播地址的通信映射到局域網廣播地址。可以在LAN接口方式中輸入命令:no ip directed-broadcast。