路由器、交换机与防火墙漏洞分析及措施.docVIP

精品论文 参考文献 路由器、交换机与防火墙漏洞分析及措施 中国移动通信集团广东有限公司东莞分公司 523129 摘要：远程连接到网络资源，已经成为企业员工的工作需要。无论这种连接是通过 VPN、远程桌面，还是安全（SSH）进行的，这种连接将不可避免地穿过装载着路由器、交换机和防火墙的网络，而这些设备中有很多都很容易受到攻击。本文探讨这些设备容易受到攻击的原因，企业应该采取哪些措施来保护网络。 关键词：路由器；交换机；防火墙；漏洞分析；安全措施 网络安全是企业和管理人员都意识的问题，攻击者也意识在这些设备中存在漏洞，任何具有基本网络知识的怀有恶意的人员，都可以成功地攻击路由器、交换机和防火墙来窃取企业信息甚至中断通信。 一、攻击路由器或交换机 从核心来看，路由器和交换机的过程是在网络中移动数据包。鉴于这个过程的基本性，路由器和交换机通常被认为是简单的传递设备。当某人获得对路由器或交换机的任何类型的管理访问权限，他们将有可能造成严重的破坏。路由器或交换机可能被攻击的方式之一。 密码漏洞这可以通过John the Ripper来发现。然而，现在企业安全专家已经可以开始使用 Back Track 5。如果你还没有安装 Backtrack，那么请尽快安装。然后，开始检查有漏。洞的网络设备，定位到：/pentest/cisco/cisco- global- exploiter 运行名为cge.pl的 Perl 文件，这个文件没有任何选项。根据运行的版本的不同，屏幕上最多会出现14个不同的选项，每个选项都会引用一个试图利用不同漏洞的脚本。这能够帮助企业更有效地测试路由器面 向外部的接口，企业应该经常进行测试。 目前网络漏洞非常之多，如果将漏洞放在一个平台内，一旦坏人入侵，将会产生严重后果。如果这项工作还不是你最优先的工作，请运行这个操作并认真记下结果，有可能需要用来修复。 二、BGP 重定向的风险 使用联网设备的另一个潜在危险就是数据丢失。虽然有多种方法，被称为边界网关协议（BGP）重定向的攻击方法已经越来越令人头痛。因为BGP被认为是互联网的核心协议。BGP 用于网关主机，它交换路由信息和独特的标识符—自治系统号码（ASN），这个号码由互联网编号分配机构（IANA）或者区域互联网注册管理机构（RIRs）分配。当数据包穿过ISP的网关时，网关可以通过检查数据包中的ASN来识别单个数据包来自哪个ISP。很多时候，攻击者会发布他们知道的属于另一个自治系统内企业的路由或者ASN。 三、超越防火墙 如路由器或交换机的管理访问权限被网络攻击所获得，将造成灾难性的后果。由于防火墙是企业的主要的防御机制，当攻击者获得防火墙管理权限或关闭防火墙的权限，甚至能够操纵某些流量的时候，结果可能是毁灭性的。 很多企业没有专门的人员监控最新发布的补丁或漏洞，只能依赖供应商的不定期发布让他们了解安全问题。由于有些漏洞可能没有修复补丁，这种做法存在严重的安全问题。对于有修复补丁的漏洞，负责管理企业防火墙基础设施的人员必须尽一切努力来了解最新修复补丁、漏洞监控和其他可能产生的问题。 四、路由器安全措施 路由器至少有2个端口和2个网络相联，路由器在因特网上扮演着数据包转发“驿站”的角色，好的路由器会采用严密的安全机制来保护自己，另一方面，网管员配置和管理路由器过程中，也应采取安全措施实现对路由器安全的保护。路由器中存在一个“路由表”，记载着与直接相邻的路径信息及其通过路由协议增加的与之不相邻的路径 信息，跟踪记录路由器的地址状态，并根据路径和通讯费 用等优化算法确定数据包的最佳传输路径，而且能够根据 相邻网络的实际运行状况进行自动选择和调整传送数据包，实现以最优最短的路径和花费最小的代价传送数据包。路由器安全稳定地运行保证因特网正常活动，而一旦出现拒绝服务或网络拥塞等问题，都会导致网络运行效率急剧下降，其结果将是灾难性的。 路由器的安全性包括路由器本身及数据的安全。由于路由器是网络互连的关键设备，因此路由器的安全性要高于其他设备的安全性。对网络的攻击方一般利用操作系统的安全漏洞或通信协议的安全漏洞来进行，主要有以下几个方面： 1、拒绝服务攻击 这种攻击主要是攻击路由器、域名 服务器以及其它网络操作服务，具有代表性的攻击手段包 括 SYN flood、ICMP flood、UDP flood 等。遭到攻击后，导致 工作站无法正常运行，严重时会造成整个网络瘫痪。这种 攻击的原理是使用大量的连续请求攻击网络服