網(wǎng)絡(luò)路由器的安全問題一直以來被大家談?wù)摰帽容^多,雖然我們看到的路由器入侵事件不多,因此在很多人的印象中,路由(Routing)只是選擇通過互聯(lián)網(wǎng)絡(luò)從源節(jié)點(diǎn)向目的節(jié)點(diǎn)傳輸信息的通道,其實(shí)路由器的安全隱患很多,只是由于一般黑客接觸得不太頻繁,被攻擊的事件很少發(fā)生,但如果路由器被攻擊,后果將不堪設(shè)想。
不可忽視的路由器安全
路由器(Router)是因特網(wǎng)上最為重要的設(shè)備之一,正是遍布世界各地的數(shù)以萬計(jì)的路由器構(gòu)成了因特網(wǎng)這個在我們的身邊日夜不停地運(yùn)轉(zhuǎn)的巨型信息網(wǎng)絡(luò)的“橋梁”。在因特網(wǎng)上,路由器扮演著轉(zhuǎn)發(fā)數(shù)據(jù)包“驛站”的角色,對于黑客來說,利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情,攻擊路由器會浪費(fèi)CPU周期,誤導(dǎo)信息流量,使網(wǎng)絡(luò)陷于癱瘓,通常好的路由器本身會采取一個好的安全機(jī)制來保護(hù)自己,但是僅此一點(diǎn)是遠(yuǎn)遠(yuǎn)不夠的,保護(hù)路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。
 |
| 路由器數(shù)據(jù)流示意圖 |
流行的路由器大多是以硬件設(shè)備的形式存在的,但是在某些情況下也用程序來實(shí)現(xiàn)“軟件路由器”,兩者的唯一差別只是執(zhí)行的效率不同而已。路由器一般至少和兩個網(wǎng)絡(luò)相聯(lián),并根據(jù)它對所連接網(wǎng)絡(luò)的狀態(tài)決定每個數(shù)據(jù)包的傳輸路徑。路由器生成并維護(hù)一張稱為“路由信息表”的表格,其中跟蹤記錄相鄰其他路由器的地址和狀態(tài)信息。
路由器使用路由信息表并根據(jù)傳輸距離和通訊費(fèi)用等優(yōu)化算法來決定一個特定的數(shù)據(jù)包的最佳傳輸路徑。正是這種特點(diǎn)決定了路由器的“智能性”,它能夠根據(jù)相鄰網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況自動選擇和調(diào)整數(shù)據(jù)包的傳輸情況,盡最大的努力以最優(yōu)的路線和最小的代價(jià)將數(shù)據(jù)包傳遞出去。路由器能否安全穩(wěn)定地運(yùn)行,直接影響著因特網(wǎng)的活動,不管因?yàn)槭裁丛虺霈F(xiàn)路由器死機(jī)、拒絕服務(wù)或是運(yùn)行效率急劇下降,其結(jié)果都將是災(zāi)難性的。
路由器的安全剖析
路由器的安全性分兩方面,一方面是路由器本身的安全,另一方面是數(shù)據(jù)的安全。由于路由器是互聯(lián)網(wǎng)的核心,是網(wǎng)絡(luò)互連的關(guān)鍵設(shè)備,所以路由器的安全要求比其他設(shè)備的安全性要求更高,主機(jī)的安全漏洞最多導(dǎo)致該主機(jī)無法訪問,路由器的安全漏洞可能導(dǎo)致整個網(wǎng)絡(luò)不可訪問。
路由器的安全漏洞可能存在管理上的原因和技術(shù)上的原因。在管理上,對路由器口令糟糕的選擇、路由協(xié)議授權(quán)機(jī)制的不恰當(dāng)使用、錯誤的路由配置都可能導(dǎo)致路由器工作出現(xiàn)問題,技術(shù)上路由器的安全漏洞可能有惡意攻擊,如竊聽、流量分析、假冒、重發(fā)、拒絕服務(wù)、資源非授權(quán)訪問、干擾、病毒等攻擊。此外,還有軟件技術(shù)上的漏洞,諸如后門、操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、TCP/IP協(xié)議漏洞、網(wǎng)絡(luò)服務(wù)等都可能會存在漏洞。
為了使路由器將合法信息完整、及時、安全地轉(zhuǎn)發(fā)到目的地,許多路由器廠商開始在路由器中添加安全模塊,比如將防火墻、VPN、IDS、防病毒、URL過濾等技術(shù)引入路由器當(dāng)中,于是出現(xiàn)了路由器與安全設(shè)備融合的趨勢。從本質(zhì)上講,增加安全模塊的路由器,在路由器功能實(shí)現(xiàn)方面與普通路由器沒有區(qū)別,所不同的是,添加安全模塊的路由器可以通過加密、認(rèn)證等技術(shù)手段增強(qiáng)報(bào)文的安全性,與專用安全設(shè)備進(jìn)行有效配合,來提高路由器本身的安全性和所管理網(wǎng)段的可用性。
而為了保護(hù)路由器安全,我們還必需考慮路由器的配置問題。一般來說路由器的配置方式可以通過用主控Console口接終端配置;在AUX口接Modem同電話網(wǎng)相連,從而在遠(yuǎn)端配置;在TCP/IP網(wǎng)上可通過仿真終端(virtual termianl)telnet配置;可以從TFTP Server上下載配置,另外,還可以用網(wǎng)管工作站進(jìn)行配置。路由器攻擊造成的最大威脅是網(wǎng)絡(luò)無法使用,而且這類攻擊需要動用大量靠近骨干網(wǎng)絡(luò)的服務(wù)器。其實(shí),路由器有一個操作系統(tǒng),也是一個軟件,相對其他操作系統(tǒng)的技術(shù)性來說,差距是非常明顯的,由于功能單一,不考慮兼容性和易用性等,核心固化,一般管理員不允許遠(yuǎn)程登錄,加上了解路由器的人少得很,所以它的安全問題不太明顯,有時候偶爾出現(xiàn)死機(jī)狀態(tài),管理員一般使用reboot命令后,也就沒什么問題了。
也正因?yàn)檫@樣,致使很多路由器的管理員對這個不怎么關(guān)心,只要網(wǎng)絡(luò)暢通就可以了,因?yàn)槁酚善魍ǔ6际菑S家負(fù)責(zé)維護(hù)的。甚至有些廠家總愛附帶一句說:“如果忘記了口令,請和經(jīng)銷商聯(lián)系。”事實(shí)上,連Unix都有很多漏洞,何況路由器脆弱的操作系統(tǒng)?當(dāng)然路由器一般是無法滲入的。因?yàn)椋銦o法遠(yuǎn)程登錄,一般管理員都不會開的。但是讓路由器拒絕服務(wù)的漏洞很多。而且,很多管理員有個毛病,他們往往對Windows的操作系統(tǒng)補(bǔ)丁打得比較勤,但是對路由器的操作系統(tǒng)的補(bǔ)丁,很多管理員都懶得去理。
路由器五大類安控技術(shù)
訪問控制技術(shù):用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)技術(shù),路由器上可以采用多種用戶接入的控制手段,如PPP、Web登錄認(rèn)證、ACL、802.1x協(xié)議等,保護(hù)接入用戶不受網(wǎng)絡(luò)攻擊,同時能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。基于CA標(biāo)準(zhǔn)體系的安全認(rèn)證,將進(jìn)一步加強(qiáng)訪問控制的安全性。
傳輸加密技術(shù):IPSec是路由器常用的協(xié)議,借助該協(xié)議,路由器支持建立虛擬專用網(wǎng)(VPN)。IPSec協(xié)議包括ESP(Encapsulating Security Payload)封裝安全負(fù)載、AH(Authentication Header)報(bào)頭驗(yàn)證協(xié)議及IKE,密鑰管理協(xié)議等,可以用在公共IP網(wǎng)絡(luò)上確保數(shù)據(jù)通信的可靠性和完整性,能夠保障數(shù)據(jù)安全穿越公網(wǎng)而沒有被偵聽。由于IPSec的部署簡便,只需安全通道兩端的路由器或主機(jī)支持IPSec協(xié)議即可,幾乎不需對網(wǎng)絡(luò)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行更動,這正是IPSec協(xié)議能夠確保包括遠(yuǎn)程登錄、客戶機(jī)、服務(wù)器、電子郵件、文件傳輸及Web訪問等多種應(yīng)用程序安全的重要原因。
防火墻防護(hù)技術(shù):采用防火墻功能模塊的路由器具有報(bào)文過濾功能,能夠?qū)λ薪邮蘸娃D(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾和檢查,檢查策略可以通過配置實(shí)現(xiàn)更改和管理。路由器還可以利用NAT/PAT功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu),進(jìn)一步實(shí)現(xiàn)復(fù)雜的應(yīng)用網(wǎng)關(guān)(ALG)功能,還有一些路由器提供基于報(bào)文內(nèi)容的防護(hù)。原理是當(dāng)報(bào)文通過路由器時,防火墻功能模塊可以對報(bào)文與指定的訪問規(guī)則進(jìn)行比較,如果規(guī)則允許,報(bào)文將接受檢查,否則報(bào)文直接被丟棄,如果該報(bào)文是用于打開一個新的控制或數(shù)據(jù)連接,防護(hù)功能模塊將動態(tài)修改或創(chuàng)建規(guī)則,同時更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報(bào)文,回來的報(bào)文只有屬于一個已經(jīng)存在的有效連接,才會被允許通過。
入侵檢測技術(shù):在安全架構(gòu)中,入侵檢測(IDS)是一個非常重要的技術(shù),目前有些路由器和高端交換機(jī)已經(jīng)內(nèi)置IDS功能模塊,內(nèi)置入侵檢測模塊需要路由器具備完善的端口鏡像(一對一、多對一)和報(bào)文統(tǒng)計(jì)支持功能。
HA(高可用性):提高自身的安全性,需要路由器能夠支持備份協(xié)議(如VRRP)和具有日志管理功能,以使得網(wǎng)絡(luò)數(shù)據(jù)具備更高的冗余性和能夠獲取更多的保障。
入侵路由器的手法及其對策
通常來說,黑客攻擊路由器的手段與襲擊網(wǎng)上其它計(jì)算機(jī)的手法大同小異,因?yàn)閺膰?yán)格的意義上講路由器本身就是一臺具備特殊使命的電腦,雖然它可能沒有人們通常熟識的PC那樣的外觀。一般來講,黑客針對路由器的攻擊主要分為以下兩種類型:一是通過某種手段或途徑獲取管理權(quán)限,直接侵入到系統(tǒng)的內(nèi)部;一是采用遠(yuǎn)程攻擊的辦法造成路由器崩潰死機(jī)或是運(yùn)行效率顯著下降。相較而言,前者的難度要大一些。
在第一種入侵方法中,黑客一般是利用系統(tǒng)用戶的粗心或已知的系統(tǒng)缺陷(例如系統(tǒng)軟件中的“臭蟲”)獲得進(jìn)入系統(tǒng)的訪問權(quán)限,并通過一系列進(jìn)一步的行動最終獲得超級管理員權(quán)限。黑客一般很難一開始就獲得整個系統(tǒng)的控制權(quán),在通常的情況下,這是一個逐漸升級的入侵過程。由于路由器不像一般的系統(tǒng)那樣設(shè)有眾多的用戶賬號,而且經(jīng)常使用安全性相對較高的專用軟件系統(tǒng),所以黑客要想獲取路由器系統(tǒng)的管理權(quán)相對于入侵一般的主機(jī)就要困難得多。
因此,現(xiàn)有的針對路由器的黑客攻擊大多數(shù)都可以歸入第二類攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統(tǒng)內(nèi)部,而是通過向系統(tǒng)發(fā)送攻擊性數(shù)據(jù)包或在一定的時間間隔里,向系統(tǒng)發(fā)送數(shù)量巨大的“垃圾”數(shù)據(jù)包,以此大量耗費(fèi)路由器的系統(tǒng)資源,使其不能正常工作,甚至徹底崩潰。
路由器是內(nèi)部網(wǎng)絡(luò)與外界的一個通信出口,它在一個網(wǎng)絡(luò)中充當(dāng)著平衡帶寬和轉(zhuǎn)換IP地址的作用,實(shí)現(xiàn)少量外部IP地址數(shù)量讓內(nèi)部多臺電腦同時訪問外網(wǎng),一旦黑客攻陷路由器,那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力,而且如果路由器被黑客使用拒絕服務(wù)攻擊,將造成內(nèi)部網(wǎng)絡(luò)不能訪問外網(wǎng),甚至造成網(wǎng)絡(luò)癱瘓。具體來說,我們可以實(shí)施下面的對策:
為了防止外部ICMP重定向欺騙,我們知道攻擊者有時會利用ICMP重定向來對路由器進(jìn)行重定向,將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備,從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令是:interface serial0 no ip redirects。
在防止外部源路由欺騙時,我們知道源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報(bào)進(jìn)行路由選擇。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息,使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個非法的路由,這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報(bào)就會被送到入侵者指定的地址。禁止使用源路由的命令:no ip source-route。
如何防止盜用內(nèi)部IP地址呢?由于攻擊者通常可能會盜用內(nèi)部IP地址進(jìn)行非法訪問,針對這一問題,可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令:arp 固定IP地址 MAC地址 arpa。
而要在源站點(diǎn)防止smurf,關(guān)鍵則是阻止所有的向內(nèi)回顯請求,這就要防止路由器將指向網(wǎng)絡(luò)廣播地址的通信映射到局域網(wǎng)廣播地址。可以在LAN接口方式中輸入命令:no ip directed-broadcast。
