路由器的基本原理和安全设置

路由器的工作方式

路由器是一种在IP协议的网络层工作的设备，用于在子网之间转发数据。路由器内部可以分为控制平面和数据通道。在控制平面上，路由协议可以具有不同的类型。路由器通过路由协议交换网络拓扑信息，并根据拓扑动态生成路由表。在数据通道上，转发引擎从输入线路接收到IP数据包后，它会分析和修改标头，使用转发表查找输出端口，并在输出线路上交换数据。转发表是基于路由表生成的，其表项与路由表项有直接对应关系，但是转发表的格式与路由表的格式不同，更适合快速搜索。转发的主要过程包括行输入，标头分析，数据存储，标头修改和行输出。

路由协议根据网络拓扑动态生成路由表。 IP协议将整个网络划分为多个管理区域。这些管理区域称为自治域。自治域的区号实现了整个网络的统一管理。通过这种方式，路由协议分为域内协议和域间协议。域内路由协议（例如OSPF和IS-IS）在路由器之间交换表示管理域中网络拓扑的链路状态，并根据链路状态导出路由表。域间路由协议在相邻节点之间交换数据，不能使用多播模式，而只能使用指定的点对点连接。

路由器结构系统

运行在通用CPU系统上的路由器的控制平面多年来没有太大变化。在高可用性设计中，双主设备可用于主从备份，以确保控制平面的可靠性。路由器的数据通道采用不同的实现技术，以适应不同的线速和不同的系统容量。路由器的结构系统以数据通道转发引擎的实现机制为特色。简而言之，它可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术来实现数据转发。根据使用的CPU数量，它进一步分为集中式单CPU和分布式多CPU。硬件转发路由器使用网络处理器硬件技术来实现数据转发。根据使用的网络处理器数量和网络处理器在设备中的位置，可以进一步将其细分为集中式单个网络处理器和多个网络处理器的并行负载分担分布式模式和中央交换。

路由器安全设置

对于黑客来说，通常更容易使用路由器漏洞发起攻击。路由器攻击浪费了CPU周期，误导了信息流量，并使网络瘫痪。好的路由器本身将采用好的安全机制来保护自己，但是仅此还远远不够。保护路由器安全还需要网络管理员在配置和管理路由器的过程中采取相应的安全措施。

安全漏洞

限制对系统的物理访问是确保路由器安全性的最有效方法之一。限制物理访问系统的一种方法是将控制台和终端会话配置为在短暂的不活动时间后自动注销系统。避免将调制解调器连接到路由器的辅助端口也很重要。一旦限制了对路由器的物理访问，用户必须确保路由器的安全补丁程序是最新的。漏洞通常在供应商发布补丁之前被披露，这使得黑客在供应商发布补丁之前使用受影响的系统，这需要引起用户的注意。

避免身份危机

黑客经常使用弱密码或默认密码进行攻击。延长密码和选择30至60天的密码有效期之类的措施可以帮助防止此类漏洞。此外，一旦重要的IT员工辞职，用户应立即更改其密码。用户应在路由器上启用密码加密功能，以便即使黑客可以浏览系统配置文件，他仍需要解密密文密码。实施合理的验证控制，以使路由器可以安全地传输证书。在大多数路由器上，用户可以配置某些协议，例如远程身份验证拨入用户服务，以便这些协议可以与身份验证服务器结合使用，以提供经过加密和身份验证的路由器访问。身份验证控件通常可以将用户的身份验证请求转发到后端网络上的身份验证服务器。身份验证服务器还可能要求用户使用双重身份验证来增强身份验证系统。这两个因素中的前者是软件或硬件的令牌生成部分，而后者是用户身份和令牌密码。其他身份验证解决方案涉及在安全外壳（SSH）或IPSec中传输安全证书。

禁用不必要的服务

拥有许多路由服务是一件好事，但是最近发生的许多安全事件都凸显了禁用不需要的本地服务的重要性。请注意，在路由器上禁用CDP可能会影响路由器的性能。用户需要考虑的另一个因素是时间。时序对于网络的有效运行至关重要。即使用户确保在部署期间同步时间，时钟也可能在一段时间后逐渐失去同步。用户可以使用称为网络时间协议（NTP）的服务来比较有效和准确的时间源，以确保网络上的设备同步其时钟。但是，确保网络设备的时钟同步的最佳方法不是通过路由器，而是将NTP服务器放置在受防火墙保护的非军事区（DMZ）的网络部分中，并将服务器配置为仅允许受信任的公用网络。时间源发出时间请求。在路由器上，用户很少需要运行其他服务，例如SNMP和DHCP。仅在绝对必要时使用这些服务。

限制逻辑访问权限

限制逻辑访问主要是通过对访问控制列表的合理处理。限制远程终端会话有助于防止黑客获得对系统的逻辑访问。 SSH是首选的逻辑访问方法，但是如果无法避免Telnet，则您可能希望使用终端访问控制将访问限制为仅信任主机。因此，用户需要向路由器上的Telnet使用的虚拟终端端口添加访问列表。

控制消息协议（ICMP）对于故障排除很有帮助，但它也为攻击者提供了浏览网络设备，确定本地时间戳和网络掩码以及猜测操作系统版本的信息。为了防止黑客收集上述信息，仅允许以下类型的ICMP通信进入用户网络：ICMP网络不可达，主机不可达，端口不可达，数据包太大，源被抑制以及生存时间（超过TTL）。此外，逻辑访问控制还应禁止除ICMP流量以外的所有流量。

使用入站访问控制将特定服务定向到相应的服务器。例如，只允许SMTP通信进入邮件服务器； DNS流量进入DSN服务器；通过安全套接字层（SSL）的HTTP（HTTP / S）流量进入Web服务器。为了防止路由器成为DoS攻击的目标，用户应拒绝访问以下流量：不带IP地址的数据包，具有本地主机地址，广播地址，多播地址和任何伪造内部地址的数据包。尽管用户无法阻止DoS攻击，但用户可以限制DoS的破坏。用户可以采取诸如增加SYN ACK队列的长度和缩短ACK超时等措施，以保护路由器免受TCP SYN攻击。

用户还可以使用出站访问控制来限制来自网络内部的流量。这种控制可以阻止内部主机发送ICMP流量，并且仅允许有效的源地址数据包离开网络。这有助于防止IP地址欺骗，并减少黑客使用用户系统攻击另一个站点的可能性。

显示器配置更改

用户更改路由器配置后，需要对其进行监视。如果用户使用SNMP，则必须选择功能强大的共享字符串，最好是提供消息加密的SNMP。如果不通过SNMP管理远程配置设备，则最好将SNMP设备配置为只读。通过拒绝对这些设备的写访问，用户可以防止黑客更改或关闭界面。此外，用户还需要将系统日志消息从路由器发送到指定的服务器。

为进一步确保安全管理，用户可以使用SSH等加密机制与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，并且仅允许将会话用于与用户经常使用的多个受信任系统进行通信。

配置管理的重要部分是确保网络使用合理的路由协议。避免使用路由信息协议（RIP）。 RIP很容易被诱骗接受非法的路由更新。用户可以配置诸如边界网关协议（BGP）和开放式最短路径优先协议（OSPF）之类的协议，以在接受路由更新之前通过密码的MD5哈希与密码进行身份验证。以上措施有助于确保系统接受的所有路由更新都是正确的。

实施配置管理

用户应实施配置管理策略，以控制路由器配置的存储，检索和更新，并将配置备份文件正确保存在安全服务器上，以防止用户在新配置时需要替换，重新安装或还原为原始配置遇到问题配置。

用户可以通过两种方式将配置文件存储在支持命令行界面（CLI）的路由器平台上。一种方法是运行脚本，该脚本可以在配置服务器和路由器之间建立SSH会话，登录到系统，关闭控制器日志功能，显示配置，将配置保存到本地文件，然后注销。系统;另一种方法是登录配置服务器在路由器之间建立IPSec隧道，并将配置文件通过安全隧道中的TFTP复制到服务器。用户还应该清楚谁可以更改路由器配置，何时进行更改以及如何进行更改。在进行任何更改之前，请制定详细的反向过程。

发布者：Bozi

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-331817-1.html