安全警钟让路由器成为你防范的堡垒

在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接。这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。

本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障。

一、基于访问表的安全防范策略

1. 防止外部IP地址欺骗

外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:

access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.0.255.255 any

阻止源地址为私有地址的所有通信流。

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

阻止源地址为回环地址的所有通信流。

access-list 101 deny ip 224.0.0.0 7.255.255.255 any

阻止源地址为多目的地址的所有通信流。

access-list 101 deny ip host 0.0.0.0 any

阻止没有列出源地址的通信流。

注:可以在外部接口的向内方向使用101过滤。

2. 防止外部的非法探测

非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:

access-list 102 deny icmp any any echo

阻止用ping探测网络。

access-list 102 deny icmp any any time-exceeded

阻止用traceroute探测网络。

注:可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出,不阻止探测进入。

3. 保护路由器不受攻击

路由器一般可以通过telnet或SNMP访问,应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为 200.200.200.1,内部接口fastethernet0的IP为200.200.100.1。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表:

access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23 access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23 access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161 access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161

注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便,这就需要在方便与安全之间做出选择。

4. 阻止对关键端口的非法访问

关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。建立如下访问列表:

access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny udp any any eq 139

5. 对内部网的重要服务器进行访问限制

对于没有配备专用防火墙的校园网,采用动态分组过滤技术建立对重要服务器的访问限制就显得尤为重要。对于配备了专用防火墙的校园网,此项任务可以在防火墙上完成,这样可以减轻路由器的负担。无论是基于路由器实现,还是在防火墙上完成设置,首先都应该制定一套访问规则。可以考虑建立如下的访问规则:

● 允许外部用户到Web服务器的向内连接请求。

● 允许Web服务器到外部用户的向外答复。

● 允许外部SMTP服务器向内部邮件服务器的向内连接请求。

● 允许内部邮件服务器向外部SMTP服务器的向外答复。

● 允许内部邮件服务器向外DNS查询。

● 允许到内部邮件服务器的向内的DNS答复。

● 允许内部主机的向外TCP连接。

● 允许对请求主机的向内TCP答复。

其他访问规则可以根据各自的实际情况建立。列出允许的所有通信流后,设计访问列表就变得简单了。注意应将所有向内对话应用于路由器外部接口的IN方向,所有向外对话应用于路由器外部接口的OUT方向。

二、常见攻击手段及其对策

1. 防止外部ICMP重定向欺骗

攻击者有时会利用ICMP重定向来对路由器进行重定向,将本应送到正确目标的信息重定向到它们指定的设备,从而获得有用信息。禁止外部用户使用ICMP重定向的命令如下:

interface serial0 no ip redirects

2. 防止外部源路由欺骗

源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息,使入侵者可以为内部网的数据报指定一个非法的路由,这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令如下:

no ip source-route

3. 防止盗用内部IP地址

攻击者可能会盗用内部IP地址进行非法访问。针对这一问题,可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下:

arp 固定IP地址 MAC地址 arpa

4. 在源站点防止smurf

要在源站点防止smurf,关键是阻止所有的向内回显请求。这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。可以在LAN接口方式中输入如下命令:

no ip directed-broadcast

三、关闭路由器上不用的服务

路由器除了可以提供路径选择外,它还是一台服务器,可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口,为了安全起见,最好关闭这些服务。

通过以上介绍的各种方法,我们成功地将一台普通路由器配置为一台堡垒路由器,在没有增加任何投入的情况下,提高了整个园区网的安全性。但应该说明的是,堡垒路由器的实现是以牺牲整个网络的效率为代价的,可能会影响到园区网对外访问的速度。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 安全警钟让路由器成为你防范的堡垒

    在典型的校园网环境中,路由器一般处于防火墙的外部,负责与Internet的连接.这种拓扑结构实际上是将路由器暴露在校园网安全防线之外,如果路由器本身又未采取适当的安全防范策略,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁. 本文将以Cisco2621路由器为例,详细介绍将一台路由器配置为堡垒路由器的实现方法,使之成为校园网抵御外部攻击的第一道安全屏障. 一.基于访问表的安全防范策略 1. 防止外部IP地址欺骗 外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而

  • 确保Linux服务器安全 防范四种级别攻击

    随着Linux企业应用的不断扩展. 有大量的网络服务器都在使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注. 这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权

  • 服务器的ARP欺骗攻击的防范的两种解决方法

    服务器的ARP欺骗攻击的防范          这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击. 静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置. 首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令ar

  • 深入了解路由器

    路由器是什么 是什么把网络相互连接起来?是路由器.路由器是互联网络的枢纽."交通警察".目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接.骨干网间互联和骨干网与互联网互联互通业务的主力军. 所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动.一般来说,在路由过程中,信息至少会经过一个或多个中间节点.通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的.其实,路由和交换之间 的主要区别就是交换发生在OS

  • 局域网“内鬼” 非授权DHCP服务器防范策略第1/3页

    缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看.据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象.询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题.正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65.部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据. 为什么真正的DHC

  • Cisco路由器的安全配置

    目前大多数的企事业单位和部门连Internet网,通常都是一台路由器与ISP连结实现.这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障.现在大多数的路由器都是Cisco公司的产品或与其功能近似,本文在这里就针对Cisco路由器的安全配置进行管理. 考虑到路由器的作用和位置, 路由器配置的好坏不仅影响本身的安全也影响整个网络的安全.目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访

  • 网络基础带你彻底认识路由器

    路由器是什么 是什么把网络相互连接起来?是路由器.路由器是互联网络的枢纽."交通警察".目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接.骨干网间互联和骨干网与互联网互联互通业务的主力军. 所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动.一般来说,在路由过程中,信息至少会经过一个或多个中间节点.通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的.其实,路由和交换之间 的主要区别就是交换发生在OS

  • Cisco路由器的安全配置简易方案

    Cisco路由器的安全配置简易方案一,路由器访问控制的安全配置1,严格控制可以访问路由器的管理员.任何一次维护都需要记录备案.2,建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制.3,严格控制CON端口的访问.具体的措施有:A,如果可以开机箱的,则可以切断与CON口互联的物理线路.B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).C,配合使用访问控制列表控制对CON口的访问.如:Router(Config)#Access-lis

  • 管理与维护宽带路由器的注意事项

    企业在组网过程中一般都使用路由器,所以随着企业对网络的依赖越来越强,路由器便成为企业网络的命脉,如果平时没有及时对企业路由器进行相关的管理和维护,时间长了,慢慢地就会引发多种莫名其妙的故障,最后导致企业路由器不能正常工作而造成企业网络中断,这时候就会对企业用户造成诸多的不便. 而且,很多的企业路由器故障的隐性都很高,不留心的话很难察觉到,很让人头痛,要是等 到企业路由器的性能下降.网络中断等现象出现,才急急忙忙地动用大量的人力物力来补救,那就很费劲了.另外要是遇上雷电等突发的情况,但却没有预先为

  • 局域网“内鬼” 非授权DHCP服务器防范策略第1/2页

    缘由:前段时间,朋友单位的局域网出现了一点问题要我帮忙看看.据朋友说,最近单位部分科室的计算机频繁出现不能上网的现象.询问朋友得知这些计算机都是开启了DHCP服务,自动获得IP,经过排查发现他们的网关地址都出现了问题.正确的地址应该是192.168.4.254,而这些故障计算机得到的网关地址却是192.168.4.65.部分计算机使用ipconfig /release释放获得的网络参数后,用ipconfig /renew可以获得真实的网关地址,而大部分获得的仍然是错误的数据. 为什么真正的DHC

随机推荐