教你让路由器成为防范攻击

楼主^#

更多发布于：2011-11-12 12:16

[] 1


	在典型的校园网环境中，路由器普通处于防火墙的外部，担任与internet的衔接。这种拓扑构造实践上是将路由器暴露在校园网平安防线之外，假如路由器自身又未采取恰当的平安防备战略，就可能成为攻击者发起攻击的一块跳板，对内部网络平安形成要挟。本文将以Cisco2621路由器为例，细致引见将一台路由器配置为堡垒路由器的完成办法，使之成为校园网抵御外部攻击的第一道平安屏障。一、基于访问表的平安防备战略 1. 避免外部IP地址诈骗外部网络的用户可能会运用内部网的合法IP地址或者回环地址作为源地址，从而完成非法访问。针对此类问题可树立如下访问列表： access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.0.255.255 any ! 阻止源地址为私有地址的一切通讯流。 access-list 101 deny ip 127.0.0.0 0.255.255.255 any ! 阻止源地址为回环地址的一切通讯流。 access-list 101 deny ip 224.0.0.0 7.255.255.255 any ! 阻止源地址为多目的地址的一切通讯流。 access-list 101 deny ip host 0.0.0.0 any ! 阻止没有列出源地址的通讯流。注：能够在外部接口的向内方向运用101过滤。 2. 避免外部的非法探测非法访问者对内部网络发起攻击前，常常会用ping或其他命令探测网络，所以能够经过制止从外部用ping、traceroute等探测网络来停止防备。可树立如下访问列表: access-list 102 deny icmp any any echo ! 阻止用ping探测网络。 access-list 102 deny icmp any any time-exceeded ! 阻止用traceroute探测网络。注：可在外部接口的向外方向运用102过滤。在这里主要是阻止回答输出，不阻止探测进入。 3. 维护路由器不受攻击路由器普通能够经过telnet或SNMP访问，应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为200.200.200.1，内部接口fastethernet0的IP为200.200.100.1。能够生成阻止telnet、SNMP效劳的向内过滤维护路由器。树立如下访问列表： access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23 access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23 access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161 access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161 注: 在外部接口的向内方向运用101过滤。当然这会对管理员的运用形成一定的不便，这就需求在便当与平安之间做出选择。 4. 阻止对关键端口的非法访问关键端口可能是内部系统运用的端口或者是防火墙自身暴露的端口。对这些端口的访问应该加以限制，否则这些设备就很容易遭到攻击。树立如下访问列表： access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny udp any any eq 139 5. 对内部网的重要效劳器停止访问限制关于没有装备专用防火墙的校园网，采用动态分组过滤技术树立对重要效劳器的访问限制就显得尤为重要。关于装备了专用防火墙的校园网，此项任务能够在防火墙上完成，这样能够减轻路由器的担负。无论是基于路由器完成，还是在防火墙上完成设置，首先都应该制定一套访问规则。能够思索树立如下的访问规则: ● 允许外部用户到web效劳器的向内衔接恳求。 ● 允许Web效劳器到外部用户的向外回答。 ● 允许外部SMTP效劳器向内部邮件效劳器的向内衔接恳求。 ● 允许内部邮件效劳器向外部SMTP效劳器的向外回答。 ● 允许内部邮件效劳器向外DNS查询。 ● 允许到内部邮件效劳器的向内的DNS回答。 ● 允许内部主机的向外TCP衔接。 ● 允许对恳求主机的向内TCP回答。其他访问规则能够依据各自的实践状况树立。列出允许的一切通讯流后，设计访问列表就变得简单了。留意应将一切向内对话应用于路由器外部接口的IN方向，一切向外对话应用于路由器外部接口的OUT方向。二、常见攻击手腕及其对策 1. 避免外部ICMP重定向诈骗攻击者有时会应用ICMP重定向来对路由器停止重定向，将本应送到正确目的的信息重定向到它们指定的设备，从而取得有用信息。制止外部用户运用ICMP重定向的命令如下： interface serial0 no ip redirects 2. 避免外部源路由诈骗源路由选择是指运用数据链路层信息来为数据报停止路由选择。该技术逾越了网络层的路由信息，使入侵者能够为内部网的数据报指定一个非法的路由，这样本来应该送到合法目的地的数据报就会被送到入侵者指定的地址。制止运用源路由的命令如下： no ip source-route 3. 避免盗用内部IP地址攻击者可能会盗用内部IP地址停止非法访问。针对这一问题，能够应用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。详细命令如下： arp 固定IP地址 MAC地址 arpa 4. 在源站点避免smurf 要在源站点避免smurf，关键是阻止一切的向内回显恳求。这就要避免路由器将指向网络播送地址的通讯映射到局域网播送地址。能够在LAN接口方式中输入如下命令： no ip directed-broadcast 三、关闭路由器上不用的效劳路由器除了能够提供途径选择外，它还是一台效劳器，能够提供一些有用的效劳。路由器运转的这些效劳可能会成为敌人攻击的打破口，为了平安起见，最好关闭这些效劳。经过以上引见的各种办法，我们胜利地将一台普通路由器配置为一台堡垒路由器，在没有增加任何投入的状况下，进步了整个园区网的平安性。但应该阐明的是，堡垒路由器的完成是以牺牲整个网络的效率为代价的，可能会影响到园区网对外访问的速度。