1 引言
路由器是实现局域网络连接互联网络的设备,路由器安全设置是保证企业及个人信息安全重要环节。路由器如同互联网与局域网用户之间连接的中转站,其负责各种数据包的转发和信息的交互,这使路由器成为不法分子和黑客截获信息的首选渠道,当路由器受到攻击,局域网用户的计算机会增加CPU的负载,网络信息流量被串改,文件、信息、密码被窃取,网络陷入瘫痪。通常高性能的安全路由器自身具有安全防护设置,但是仅靠路由器自身安全性能防范难以高效的对局域网用户进行安全保护,尤其对于财务、数据中心等涉及机密信息的安全要求较高区域,需要构建路由器交换过程中信息安全策略,设置多道安全设施,保护信息安全传输。
2 路由器安全优化
路由器设备自身设置安全是网络应用安全的首要内容之一,对路由器进行合理规划、安全配置和安全优化,采取安全保护措施提高路由器自身抗攻击能力。
2.1 物理安全优化
路由器物理安全主要是对控制端的端口进行安全优化,通常路由器控制端口设置了访问权限,但是如果控制端口访问权限被窃取,则非法用户可以直接连接到该路由器所连接的任何电脑,实现对路由器及局域网计算机的控制。进行路由器物理安全优化除了选择高性能路由器外,还有进行如下安全设置。
设置进入特权模式口令enable secret命令,该命令采用MD5加密,提示符非明文显示,设置方式:Router(config)# enable secret My$Password;设置路由器加密口令:Router(config)# service password-encryption;关闭路由器诊断信息no service tcp-small-servers,no service udp-small-servers;阻止查看用户列表no service finger;阻止接收带源路由标记的数据包no ipsource-route;关闭路由器广播包的转发no ip directed-broadcast;管理HTTP服务,使用访问列表命令ip http access-class,过滤IP地址,并使用ip http authentication命令设置权限;在路由器端口配置ip access-group list in number抵御spoofing类攻击;使用reverse path forwarding反相路径转发命令ip verify unicast rpf,校验数据流路径来源的合法性;增加路由器间协议交换认证功能,
2.2 路由器多级管理及登录管理
路由器多级管理可以增加路由器使用的安全性,根据不同的用户设置不同的权限,根据用户级别区分用户管理权限。通常针对路由器的DoS字典攻击会获取路由器的访问权限,破坏网络,使网络瘫痪。路由器中Telnet、SSH、HTTP端口的字典式拒绝服务是DoS攻击的主要对象,尽管这些端口并不是全部打开,但是至少会被打开一个用于路由器管理,因此路由器设置用户登录功能,对连续登录失败、创先新登录尝试等发出警告,并记录登录信息来源。
2.3 SSH安全远程管理
采用SSH控制路由器管理应用程序能够较好的防范黑客监听网络,SSH安全远程管理是将使用数字证书认证客户端与服务器之间的连接,通过加密保护口令、加密密钥、数字签名等进行保护。SSH加密算法包括Blowfish、DES和3DES,通过SSH数字认证可以防止欺骗、伪装入侵和攻击以及对数据包的监听。
3 交换机安全
交换机是一台为转发数据包而优化的计算机,不法分子和黑客通过DoS攻击、蠕虫和病毒植入等方式入侵该计算机,对路由器的维护权、协议、ARP、路由协议等进行篡改,进而控制用户网络。加强交换机的抗攻击性能可以通过几种安全技术实现。
3.1 虚拟局域网络VLAN
虚拟局域网是采用管理软件实现的跨不同网段、不同网端的逻辑网络。虚拟局域网络建立如图1所示。
虚拟局域网络需要VLAN技术支持,并由多个路由器实现虚拟网络。虚拟局域网增加了网络的端口和MAC地址,提高了黑客控制网络的难度。
3.2 安全端口
网络攻击方式主要包括利用黑客工具对网络进行扫描和嗅探,进而获取网络的管理账号和密码,通过植入木马、病毒、蠕虫等破坏计算机网络系统和窃取文件和数据。利用黑客工具对网络进行扫描和嗅探是对MAC/CAM进行攻击,其利用黑客工具产生具有欺骗性的MAC,并快速填满CAM表,这是交换机会以广播的方式处理报文,而这时正是获取网络信息的最好时机,CAM表被填满,TRUNK接口上的流量会发给所有接口和邻接的交换机,在整个过程中由于交换机的负载增加,网络运行缓慢就会造成数据包的丢失,网络信息就会被窃取。
可以采用Port Security Feature防范黑客对MAC/CAM的攻击,通过Port Security可以控制端口上最大可以通过的MAC地址数量,并规定MAC地址范围,对超过规定数量和范围的MAC进行违背处理,违背处理通常是进行丢弃非法流量Protect,丢弃非法流量并报警Restrict和关机Shutdown。
3.3 网络访问控制与802.1x认证
802.1x协议是IEEE解决无线局域网络接入控制的标准,其根据用户账号或者是设备对网络接入端口进行甄别。802.1x认证实现包括三部分,请求系统部分、认证系统部分和认证服务器系统部分。请求部分是试图连接到网络端口的终端设备,认证和授权通过鉴权服务器后端通信实现,IEEE 802.1x所提供的是用户身份自动识别、进行集中鉴权、密钥管理和LAN连接配置。
3.4 DHCP侦听
DHCP侦听是采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、DNS、WIHS等网络参数,解决用户设置网络难问题,同时也提高网络管理效率。DHCP侦听常被黑客利用,黑客通过DHCP Server冒充和DHCP Server的Dos攻击,获取网络管理权限。
针对DHCP安全性问题,通过建立和维护DHCP snooping绑定表过滤不信任的DHCP信息,DHCP snooping绑定表包含来自不信任区域的MAC地址、IP地址、VLAN-ID接口等。
3.5 动态ARP检测
ARP协议的设计中为了减少ARP数据通信,提高网络速度,当一个主机收到非自己请求所得到ARP应答会将其插入自己的ARP缓存表中,由此就会出现ARP欺骗用户的问题,黑客通过分别给同一网络中的两台主机发送ARP应答包,当两台主机如果误认为是彼此对方的MAC地址,他们的通信连接会被黑客获取。因此,用户在选择通信网络时,对于未知出现的ARP应答包,应认真甄别,防止误入黑客陷阱。
4 结束语
信息安全是当今网络应用的首要话题,路由器是网络连接的必要环节之一,对于路由器信息交换过程中的信息安全,
首先要从路由器硬件选择和设置入手,通过物理手段加强路由器抗攻击能力,其次针对网络中存在的漏洞,优化路由器设置,提升网络安全性。
参考文献
[1] 郭天艳.计算机网络信息安全分析与管理[J].网络安全技术与应用.2014(05).
[2] 陈家迁.路由器交换过程中信息安全分析[J].信息通信,2013(09).
[3] 汤兰芳.SSH在安全远程控制中的应用[J].电脑知识与技术,2018(01).
[4] 李维峰.基于VLAN技术的局域网络建设[J].计算机与网络,2014(07).
[5] 张少芳,田华.基于IEEE802.1x的局域网安全接入认证[J].计算机光盘软件与应用,2013(04).
作者简介:
高海燕(1983-),女,山西榆次人,中北大学电子与计算机科学技术学院;主要研究方向和关注领域:计算机应用。