摘要:远程连接到网络资源,已经成为企业员工的工作需要。无论这种连接是通过 VPN、远程桌面,还是安全(SSH)进行的,这种连接将不可避免地穿过装载着路由器、交换机和防火墙的网络,而这些设备中有很多都很容易受到攻击。本文探讨这些设备容易受到攻击的原因,企业应该采取哪些措施来保护网络。
关键词:路由器;交换机;防火墙;漏洞分析;安全措施
网络安全是企业和管理人员都意识的问题,攻击者也意识在这些设备中存在漏洞,任何具有基本网络知识的怀有恶意的人员,都可以成功地攻击路由器、交换机和防火墙来窃取企业信息甚至中断通信。
一、攻击路由器或交换机
从核心来看,路由器和交换机的过程是在网络中移动数据包。鉴于这个过程的基本性,路由器和交换机通常被认为是简单的传递设备。当某人获得对路由器或交换机的任何类型的管理访问权限,他们将有可能造成严重的破坏。路由器或交换机可能被攻击的方式之一。
密码漏洞这可以通过John the Ripper来发现。然而,现在企业安全专家已经可以开始使用 Back Track 5。如果你还没有安装 Backtrack,那么请尽快安装。然后,开始检查有漏。洞的网络设备,定位到:/pentest/cisco/cisco- global- exploiter 运行名为cge.pl的 Perl 文件,这个文件没有任何选项。根据运行的版本的不同,屏幕上最多会出现14个不同的选项,每个选项都会引用一个试图利用不同漏洞的脚本。这能够帮助企业更有效地测试路由器面 向外部的接口,企业应该经常进行测试。
目前网络漏洞非常之多,如果将漏洞放在一个平台内,一旦坏人入侵,将会产生严重后果。如果这项工作还不是你最优先的工作,请运行这个操作并认真记下结果,有可能需要用来修复。
二、BGP 重定向的风险
使用联网设备的另一个潜在危险就是数据丢失。虽然有多种方法,被称为边界网关协议(BGP)重定向的攻击方法已经越来越令人头痛。因为BGP被认为是互联网的核心协议。BGP 用于网关主机,它交换路由信息和独特的标识符—自治系统号码(ASN),这个号码由互联网编号分配机构(IANA)或者区域互联网注册管理机构(RIRs)分配。当数据包穿过ISP的网关时,网关可以通过检查数据包中的ASN来识别单个数据包来自哪个ISP。很多时候,攻击者会发布他们知道的属于另一个自治系统内企业的路由或者ASN。
三、超越防火墙
如路由器或交换机的管理访问权限被网络攻击所获得,将造成灾难性的后果。由于防火墙是企业的主要的防御机制,当攻击者获得防火墙管理权限或关闭防火墙的权限,甚至能够操纵某些流量的时候,结果可能是毁灭性的。
很多企业没有专门的人员监控最新发布的补丁或漏洞,只能依赖供应商的不定期发布让他们了解安全问题。由于有些漏洞可能没有修复补丁,这种做法存在严重的安全问题。对于有修复补丁的漏洞,负责管理企业防火墙基础设施的人员必须尽一切努力来了解最新修复补丁、漏洞监控和其他可能产生的问题。
四、路由器安全措施
路由器至少有2个端口和2个网络相联,路由器在因特网上扮演着数据包转发“驿站”的角色,好的路由器会采用严密的安全机制来保护自己,另一方面,网管员配置和管理路由器过程中,也应采取安全措施实现对路由器安全的保护。路由器中存在一个“路由表”,记载着与直接相邻的路径信息及其通过路由协议增加的与之不相邻的路径 信息,跟踪记录路由器的地址状态,并根据路径和通讯费 用等优化算法确定数据包的最佳传输路径,而且能够根据 相邻网络的实际运行状况进行自动选择和调整传送数据包,实现以最优最短的路径和花费最小的代价传送数据包。路由器安全稳定地运行保证因特网正常活动,而一旦出现拒绝服务或网络拥塞等问题,都会导致网络运行效率急剧下降,其结果将是灾难性的。
路由器的安全性包括路由器本身及数据的安全。由于路由器是网络互连的关键设备,因此路由器的安全性要高于其他设备的安全性。对网络的攻击方一般利用操作系统的安全漏洞或通信协议的安全漏洞来进行,主要有以下几个方面:
1、拒绝服务攻击
这种攻击主要是攻击路由器、域名 服务器以及其它网络操作服务,具有代表性的攻击手段包 括 SYN flood、ICMP flood、UDP flood 等。遭到攻击后,导致 工作站无法正常运行,严重时会造成整个网络瘫痪。这种 攻击的原理是使用大量的连续请求攻击网络服务端口,耗 尽网络资源直致崩溃。
期刊文章分类查询,尽在期刊图书馆
2、Smurf 攻击
Smurf 攻击采用 ICMP 技术,利用 ICMP 的诊断工具 PING 命令进行。黑客首先找出哪些路由器会 回应 ICMP 请求,然后使用一个虚假的 IP 源地址向路由器 的广播地址发出讯息,通过路由器将其广播到网络上所有 设备。这些设备的回应会产生极大的网络流量,占用所有 设备的资源及网络带宽,从而被攻击。
3、IP 欺骗
网络入侵者可以使用IP欺骗来冒充发送方或接收方的主机,即入侵者假冒我们网络内或网络外的一台信任主机时,IP欺骗攻击就发生了。由于欺骗使用内网之中的一个IP地址,或者使用了我们的信任度、具有访问权限的一个外部的 IP 地址,使之看起来像是另一台主机,从根本上来说,是通过修改TCP/IP 数据包来伪造的IP地址。
五、交换机安全措施
出于网络安全的考虑,在某些情况下,需要使用交换机 MAC 地址的绑定功能来限制交换机每个端口接入的机 器数量,即对交换机的以太网端口,采用 MAC 地址表进行 锁定。只有在MAC地址表中指定的MAC地址才能通过该 端口访问本网络。
还可以使用划分VLAN(虚拟局域网)的措施来确保网络的安全性。具有 VLAN 协议的交换机提供 VLAN 配置方法。划分VLAN后,每一个VLAN 形成单独的广播域,其原 理是将网络分段成几个不同的广播组,VLAN 之间相互隔 离,禁止未经允许而访问 VLAN 中的应用,使在 LAN 上经常传送一些保密的、关键性的数据受到保护。大大提高了网络的利用率,确保了网络的安全保密性。对于交换机安全,所采用的安全方案措施很多。从下面几个方面进行说明。
1、层过滤
通过建立规则的方式来实现各种过滤需 求。建立好的规则必须附加到相应的接收或传送端口上,根据过滤规则来过滤封包,以决定转发或丢弃。
2、802.1X 基于端口的访问控制。
能阻止非法用户对 局域网的接入,可用于有线或无线局域网,为整个网络提 供了一个最外围的接入安全。
3、流量控制
通过流量控制可以预防数据流量过大造 成交换机带宽的异常负荷,使网络稳定的运行,并可提高系统的整体效能。
4、SNMP v3 及 SSH.SNMP v3
将各版本的 ANMP 标准集中到一起,进而加强网管安全性。通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。采用SSH进行通讯时,用户名及口令均进行了加密,便于网管人员进行远程的安全网络管理。
5、Syslog 和 Watchdog
交换机的 Syslog 日志功能可以 将其各种信息传送给日志服务器,网管人员依据它掌握设 备的运行状况,保障网络安全稳定地运行。Watchdog 通过 设定一个计时器使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。
六、防火墙安全措施
防火墙技术是在通信网络技术和信息安全技术基础上建立的应用性安全技术,尤其是在专用网络与公用网络的互联环境之中被广泛应用。随着网络环境的不断变化和网络安全要求的提高,对防火墙技术的要求不仅要满足日益提高的网络带宽,而且要提供很多功能,因此防火墙除了应具有最基本的数据包过滤功能外,还要有网络地址转 换功能。
防火墙根据定义好的过滤规则对每个数据包进行过滤,以此对数据包进行判断该如何动作。网络地址转换技术主要是解决内外网的网络地址转换问题,当局域网内的用户和外部用户通信时,它将局域网内部地址转换成一个或多个公网 IP 地址,但在外网上是看不到内部地址的,即在转换地址的同时也起到隐藏内部网络结构的目的。
结束语:综上所述,路由器、交换机和防火墙是网络构成的基本条件及重要部分,其安全性可以保证整个网络的正常运行。因此,针对网络设备安全采取有效的措施方法。
参考文献:
[1] 张庆,宋芬,沈国良.网络设备安全措施分析与研究[J].网络安全技术与应用,2008(8)
[2] 唐杰.基于网络处理器的防火墙关键技术研究[D].杭州:浙江大学,2006.
[3] 古乐声,陈俊,李艳翠.交换机安全技术[J].电脑开发与应用,2009(5)
[4] 李俊.基于路由器的网络安全研究[J].重庆三峡学院学报,2004(5)
论文作者:王顺义,梁成龙
论文发表刊物:《基层建设》2016年23期
论文发表时间:2016/12/7
标签:路由器论文; 交换机论文; 网络论文; 防火墙论文; 数据包论文; 地址论文; 漏洞论文; 《基层建设》2016年23期论文;