路由器交换过程中信息安全分析3300字
路由器交换过程中信息安全分析3300字 1 引言 路由器是实现局域网络连接互联网络的设备,路由器安全设置是保证企业及 个人信息安全重要环节。路由器如同互联网与局域网用户之间连接的中转站,其 负责各种数据包的转发和信息的交互,这使路由器成为不法分子和黑客截获信息 的首选渠道,当路由器受到攻击,局域网用户的会增加CPU的负载,网络信息流 量被串改,文件、信息、密码被窃取,网络陷入瘫痪。通常高性能的安全路由器 自身具有安全防护设置,但是仅靠路由器自身安全性能防范难以高效的对局域网 用户进行安全保护,尤其对于财务、数据中心等涉及机密信息的安全要求较高区 域,需要构建路由器交换过程中信息安全策略,设置多道安全设施,保护信息安 全传输。2 路由器安全优化 路由器设备自身设置安全是网络应用安全的首要内容之一,对路由器进行合 理规划、安全配置和安全优化,采取安全保护措施提高路由器自身抗攻击能力。
2.1 物理安全优化 路由器物理安全主要是对控制端的端口进行安全优化,通常路由器控制端口 设置了访问权限,但是如果控制端口访问权限被窃取,则非法用户可以直接连接 到该路由器所连接的任何电脑,实现对路由器及局域网计算机的控制。进行路由 器物理安全优化除了选择高性能路由器外,还有进行如下安全设置。
设置进入特权模式口令enable secret命令,该命令采用MD5加密,提示符非 明文显示,设置方式:Router(config)# enable secret My$Password;
设置 路由器加密口令:Router(config)# service password-encryption;
关闭路 由器诊断信息no service tcp-small-servers,no service udp-small-servers;
阻止查看用户列表no service finger;
阻止接收带源路由标记的数据包no ipsource-route;
关闭路由器广播包的转发no ip directed-broadcast;
管理HTTP 服务,使用访问列表命令ip http access-class,过滤IP地址,并使用ip httpauthentication命令设置权限;
在路由器端口配置ip access-group list in number抵御spoofing类攻击;
使用reverse path forwarding反相路径转发命令 ip verify unicast rpf,校验数据流路径来源的合法性;
增加路由器间协议交 换认证功能, 2.2 路由器多级管理及登录管理 路由器多级管理可以增加路由器使用的安全性,根据不同的用户设置不同的 权限,根据用户级别区分用户管理权限。通常针对路由器的DoS字典攻击会获取 路由器的访问权限,破坏网络,使网络瘫痪。路由器中Telnet、SSH、HTTP端口 的字典式拒绝服务是DoS攻击的主要对象,尽管这些端口并不是全部打开,但是 至少会被打开一个用于路由器管理,因此路由器设置用户登录功能,对连续登录 失败、创先新登录尝试等发出警告,并记录登录信息来源。
2.3 SSH安全远程管理 采用SSH控制路由器管理应用程序能够较好的防范黑客监听网络,SSH安全远 程管理是将使用数字证书认证客户端与服务器之间的连接,通过加密保护口令、 加密密钥、数字签名等进行保护。SSH加密算法包括Blowfish、DES和3DES,通过 SSH数字认证可以防止欺骗、伪装入侵和攻击以及对数据包的监听。
3 交换机安全 交换机是一台为转发数据包而优化的计算机,不法分子和黑客通过DoS攻击、 蠕虫和病毒植入等方式入侵该计算机,对路由器的维护权、协议、ARP、路由协 议等进行篡改,进而控制用户网络。加强交换机的抗攻击性能可以通过几种安全 技术实现。
3.1 虚拟局域网络VLAN 虚拟局域网是采用管理软件实现的跨不同网段、不同网端的逻辑网络。虚拟 局域网络建立如图1所示。
虚拟局域网络需要VLAN技术支持,并由多个路由器实现虚拟网络。虚拟局域 网增加了网络的端口和MAC地址,提高了黑客控制网络的难度。
3.2 安全端口网络攻击方式主要包括利用黑客工具对网络进行扫描和嗅探,进而获取网络 的管理账号和密码,通过植入木马、病毒、蠕虫等破坏系统和窃取文件和数据。
利用黑客工具对网络进行扫描和嗅探是对MAC/CAM进行攻击,其利用黑客工具产 生具有欺骗性的MAC,并快速填满CAM表,这是交换机会以广播的方式处理报文, 而这时正是获取网络信息的最好时机,CAM表被填满,TRUNK接口上的流量会发给 所有接口和邻接的交换机,在整个过程中由于交换机的负载增加,网络运行缓慢 就会造成数据包的丢失,网络信息就会被窃取。
可以采用Port Security Feature防范黑客对MAC/CAM的攻击,通过Port Security可以控制端口上最大可以通过的MAC地址数量,并规定MAC地址范围,对 超过规定数量和范围的MAC进行违背处理,违背处理通常是进行丢弃非法流量 Protect,丢弃非法流量并报警Restrict和关机Shutdown。
3.3 网络访问控制与802.1x认证 802.1x协议是IEEE解决无线局域网络接入控制的标准,其根据用户账号或者 是设备对网络接入端口进行甄别。802.1x认证实现包括三部分,请求系统部分、 认证系统部分和认证服务器系统部分。请求部分是试图连接到网络端口的终端设 备,认证和授权通过鉴权服务器后端通信实现,IEEE 802.1x所提供的是用户身 份自动识别、进行集中鉴权、密钥管理和LAN连接配置。
3.4 DHCP侦听 DHCP侦听是采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、 DNS、WIHS等网络参数,解决用户设置网络难问题,同时也提高网络管理效率。
DHCP侦听常被黑客利用,黑客通过DHCP Server冒充和DHCP Server的Dos攻击, 获取网络管理权限。
针对DHCP安全性问题,通过建立和维护DHCP snooping绑定表过滤不信任的 DHCP信息,DHCP snooping绑定表包含来自不信任区域的MAC地址、IP地址、 VLAN-ID接口等。
3.5 动态ARP检测 ARP协议的设计中为了减少ARP数据通信,提高网络速度,当一个主机收到非自己请求所得到ARP应答会将其插入自己的ARP缓存表中,由此就会出现ARP欺骗 用户的问题,黑客通过分别给同一网络中的两台主机发送ARP应答包,当两台主 机如果误认为是彼此对方的MAC地址,他们的通信连接会被黑客获取。因此,用 户在选择通信网络时,对于未知出现的ARP应答包,应认真甄别,防止误入黑客 陷阱。
4 结束语 信息安全是当今网络应用的首要话题,路由器是网络连接的必要环节之一, 对于路由器信息交换过程中的信息安全, 首先要从路由器硬件选择和设置入手,通过物理手段加强路由器抗攻击能力, 其次针对网络中存在的漏洞,优化路由器设置,提升网络安全性。
[1] 郭天艳.计算机网络信息安全分析与管理[J].网络安全技术与应 用.2014(05). [2] 陈家迁.路由器交换过程中信息安全分析[J].信息通信,2013(09). [3] 汤兰芳.SSH在安全远程控制中的应用[J].电脑知识与技术,2018(01). [4] 李维峰.基于VLAN技术的局域网络建设[J].计算机与网络,2014(07). [5] 张少芳,田华.基于IEEE802.1x的局域网安全接入认证[J].计算机光盘 软件与应用,2013(04). 高海燕(1983-),女,山西榆次人,中北大学电子与计算机科学技术学院;
主要研究方向和关注领域:。