安全路由技术范文

安全路由技术范文（精选10篇）

安全路由技术 第1篇

空间网络路由协议由于空间链路的开放性有可能受到主动或被动的恶意入侵和攻击, 而空间网络的路由安全技术还不成熟, 现有的安全路由研究工作主要集中在地面的无线Mesh网、传感网等应用领域[1,2,3]。由于空间网络的特殊性, 在研究和设计路由协议时, 必须首先保证路由信息传输的真实性、机密性和完整性等安全属性, 避免恶意攻击造成网络性能的下降甚至瘫痪。另外, 还需要充分考虑并克服空间网络中节点处理及存储能力受限、链路时延长、拓扑变化快等不利条件, 采取适当的优化措施以尽量降低安全机制对路由性能的影响, 实现安全与效率的兼顾[4]。本文针对基于入侵检测的空间网络安全路由技术进行了研究和仿真, 并分析了此安全机制的特点。

1 基于入侵检测的空间网络路由安全机制

已有的安全机制模型[5]多由以下三部分组成:分布式入侵检测系统 (Distributed Intrusion Detection System, DIDS) 、信誉系统和入侵反应系统 (Intrusion Reaction System, IRS) 。工作原理如下:路由协议中的入侵检测系统检测到网络中存在恶意攻击的节点, 在信誉系统中就会被降低信誉度, 一旦节点的信誉度低过某一阈值, 则信誉系统就认定此节点为攻击节点, 然后利用入侵反应系统隔离此节点, 并进行路由的重构, 通过这种一系列的检测和反应机制来实现安全路由。图1为安全机制模型图。

空间信息网络与无线Mesh网络的相似之处在于网络中的节点都通过无线多跳实现通信, 只是地面的无线Mesh网络使用一般的无线链路, 空间信息网络使用的是星间链路。本文以无线Mesh网络开发的OLSR路由协议为基础, 研究空间信息网络中基于入侵检测的安全路由技术。

2 路由协议安全性分析

在OLSR协议中, 路由消息主要为握手 (Hello) 消息和拓扑控制 (Topology Control, TC) 消息, 伪造或篡改这两个路由消息成为攻击者进行路由攻击的主要手段。多点中继 (Multi-Point Relay, MPR) 节点是OLSR协议中一类特殊节点, 它可以周期性发送TC消息, 实现整个网络拓扑信息的共享。通过分析Hello消息和TC消息的特点, 可以得到以下几类针对这两种消息的攻击方式:

A1:一跳邻居节点异常。这类攻击产生于Hello消息中, 攻击者会发送错误的邻居节点信息, 或者发送不存在的邻居节点信息。

A2:MPR节点集异常。这类攻击产生于Hello消息中, 攻击者未按照实际计算结果而发送错误的MPR节点集。

A3:初始MPR选取者集异常。这类攻击产生于初始TC消息中。

A4:转发MPR选取者集或广播邻居序列号异常。这类攻击产生于转发的TC消息中, 攻击者对原始的两种信息进行篡改。

这几种攻击方式可以根据攻击消息的类型分为伪造本地消息攻击和篡改转发消息攻击两大类, 其中A1、A2和A3为伪造本地消息攻击, 而A4为篡改转发消息攻击。

3 入侵检测模型设计

3.1 入侵检测模型框架

针对空间网络分布式的特点, 采用分布式的入侵检测模型, 每个节点都独立地收集本地的路由信息并进行攻击检测。入侵检测模型的框架如图2所示。

入侵检测模型主要分为数据获取、检测、管理、报警等模块。其中路由信息的收集在网络数据获取模块中完成, 经过信息验证模块进行入侵检测, 一旦发现异常则会产生报警信息。如果未发现异常, 则将路由信息发送至检测信息管理模块, 这个模块可以进行多个节点检测信息的发现、更新、交换和整合, 可以发现单点检测无法发现的异常路由信息, 并且通过信息交换通知周围节点。

3.2 入侵检测算法

OLSR协议中, Hello消息和TC消息的准确性可以通过网络拓扑的对应关系总结出如下的约束条件:

C1:邻居节点的对等性。即某一个节点的邻居节点也一定把这个节点作为它的邻居节点。

C2:MPR节点集的两跳可达性。即某一个节点通过其MPR节点集中的节点都可以到达它所有的两跳邻居节点。

C3:MPR选取者集与MPR节点集的对应性。即如果某一节点A是节点B的MPR选取者, 则节点B一定是节点A的MPR节点。

C4:TC消息的转发一致性。即经过某一节点转发后的TC消息除了跳数、生存时间外, 其他信息应该与转发前保持一致。

和前文所述4种攻击方式类似, 这几种约束条件也可以分为两大类:第一类是生成的路由消息与网络拓扑的一致性, 第二类是转发的路由消息的一致性。其中C1、C2、C3约束条件属于第一类, C4约束条件属于第二类。

(1) A1入侵方式检测

A1入侵方式检测过程如下:当收到Hello消息后, 从中获得邻居节点信息, 使用约束条件C1 (邻居节点关系是相互的) 进行检测。

A1算法主要涉及Hello消息的检测。Hello消息主要由邻居节点和MPR节点两项信息构成。当某节点A收到某节点B发送的Hello消息, 只有当节点A了解到节点B的邻居节点情况才可能检测这个Hello消息的准确性。节点B的邻居节点中有三类节点:节点A、节点A的邻居以及节点A的两跳邻居。由于节点A至少可以通过节点B到达节点B的邻居节点, 所以节点B的邻居节点一定在节点A的两跳邻居节点范围内。所以对于节点A来说, 想对节点B发送的Hello消息进行检测, 需要掌握自身两跳邻居节点的拓扑信息, 而这一过程需要节点A和它的邻居进行数据交换, 包括交换Hello消息以及检测信息, 以此实现对两跳范围节点拓扑信息的掌握, 进而可以对收到的Hello消息的准确性进行检测。

(2) A2入侵方式检测

A2入侵方式检测过程如下:当收到Hello消息后, 从中获得MPR节点信息, 使用约束条件C2 (MPR节点集必须可以一跳到达所有的两跳邻居节点) 进行检测。

A2算法也主要涉及Hello消息的检测。节点A收到节点B发送的Hello消息, 需要对其中的MPR节点信息进行检测。如果节点B在MPR节点集中声称节点C为它的MPR节点, 则节点A需要判断B的两跳邻居节点是否都能通过C到达, 也即节点B的两跳邻居节点集与C的一跳邻居节点集是否一致。因为节点C为节点A的邻居节点, 所以节点A可以掌握节点C的一跳邻居节点集。对于节点B的两跳邻居节点集, 可以通过取它所有一跳邻居节点集的邻居的并集获得。节点B的邻居节点中有三类节点:节点A、节点A的邻居以及节点A的两跳邻居。由A1算法的实现过程可以看出, 这三类节点信息节点A都可以得到, 因而节点A可以掌握节点B的两跳邻居节点集, 所以通过上述分析可以进行MPR节点信息的检测。

(3) A3入侵方式检测

A3入侵方式检测过程如下:当收到初始TC消息后, 使用约束条件C3 (MPR选取者集必须与MPR节点对应) 进行检测。

A3算法主要涉及TC消息的检测。节点A收到节点B发送的TC消息, 假设节点B声称其MPR选取者集为 (C, D, E) , 节点A需要判断节点B是否被这些节点选为MPR节点。和前面两种入侵检测方式类似, 这个节点集中的点也分为节点A、节点A的邻居以及节点A的两跳邻居三类节点, 而这三类节点的信息获取方式和前面的获取过程一致, 因此节点A可以通过TC消息对节点B的MPR选取者集进行准确性检测。

(4) A4入侵方式检测

A4入侵方式检测过程如下:当收到转发的TC消息后, 按照约束条件C4进行转发一致性检测。即转发TC消息时, 只有跳数加1, 生存时间减1, 其他内容保持一致。

A4算法主要涉及TC消息的检测。TC消息包括广播邻居序列号信息和MPR选取者信息两项内容。由于节点的TC消息会在全部网络内进行扩散, 因此可以通过如下过程对TC消息进行检测。首先, 当节点B收到节点A通过全网广播发送的初始TC消息时, 通过类似于对Hello消息的检测过程就可以判断TC消息所包含的拓扑结构信息是否与网络中真实的拓扑信息一致, 因而可以判断初始TC消息是否准确, 是否存在被攻击的情况。而当初始TC消息通过节点B转发给节点C, 这时节点C收到的就是被转发的消息, 节点C利用前文的约束条件C4可以检测此转发消息是否符合转发一致性。利用两种基本的TC消息检测方法就可以对TC消息在整个网络中的扩散过程进行一致性检测。

4 仿真结果与分析

仿真平台使用STK生成卫星星座轨道数据, 再导入OPNET仿真平台。星座模型为24/3/2型Walker星座, 轨道平面数为3, 每个轨道平面均匀分布8颗卫星。卫星轨道半径为18 000 km, 轨道倾角为55°。星座运行模拟时间为24 h, 模拟时间步长为60 s。

以攻击方式A1为例进行入侵检测的仿真验证。当入侵检测系统检测到节点异常, 仿真控制台输出信息界面把入侵节点的编号打印出来, 如图3所示, 节点2成为攻击节点。

图4和图5表示选取单次路由业务量和平均路由业务量作为输出统计量的输出结果, 其中虚线为存在节点入侵但未加入入侵检测机制时的路由业务量曲线, 实线为加入了入侵检测和安全路由机制的路由业务量曲线。可以看出当存在入侵节点时, 路由业务量比较低, 而加入了入侵检测系统之后路由业务量可以得到明显提升。

入侵检测系统的建立对原网络通信延迟影响的仿真结果如图6所示。以A1算法为例, 图6中虚线曲线为未加入侵检测算法的通信延迟, 实线曲线为加入入侵检测算法的通信延迟。可以看出, 加入入侵检测算法后, 网络的整体通信延迟略有增加, 但增加的幅度不大, 说明入侵检测系统并不会明显增加计算开销, 不会影响网络的正常运行, 因此证明入侵检测系统, 适用于空间信息网络环境。

5 结论

本文针对基于入侵检测的空间网络安全路由技术进行了初步研究, 并证明了此安全机制的可行性。后续将研究此技术的性能及改进方法, 结合空间链路特点及路由协议进行空间安全路由机制的进一步研究。

摘要：随着空间信息网络在各领域尤其是军方的广泛应用, 空间网络安全技术成为研究人员越来越关注和重视的研究方向, 其中空间网络的路由安全是重要的研究热点之一。针对基于入侵检测的空间网络安全路由技术进行了研究, 以无线Mesh网络开发的OLSR路由协议为例, 对空间信息网络中基于入侵检测的安全路由技术进行仿真分析, 证明了此安全机制的可行性。

关键词：空间信息网络,路由安全机制,入侵检测

参考文献

[1]Fenye Bao, Ing-Ray Chen, Moon Jeong Chang, et al.Hierarchical trust management for wireless sensor networks and its applications to trust-based routing and intrusion detection[J].IEEE Transactions on Network and Service Management, 2012, 9 (2) :169-183.

[2]MISRA S, KRISHNA P V, ABRAHAM K I.Adaptive linkstate routing and intrusion detection in wireless mesh networks[J].IET Information Security, 2009, 4 (4) :374-389.

[3]UMANG S, REDDY B V R, HODA M N.Enhanced intrusion detection system for malicious node detection in ad hoc routing protocols using minimal energy consumption[J].IET Communications, 2010, 4 (17) :2084-2094.

[4]张磊, 安成锦, 张权, 等.CCSDS空间遥控链路异常行为检测算法[J].电子与信息学报, 2010, 32 (2) :290-295.

360安全路由mini 第2篇

路由器白色包装盒的设计很是简约。打开包装，取出产品的第一感觉便是小，非常的小，和iPhone 6 plus的大小差不多。由于是测试版的原因，包装盒内除了路由器本体以及一根电源线以外并无他物，连一本说明书也没有，不过这对路由器的使用并没有产生多大影响。

接下来说说外观吧！360安全路由mini单从外观来说的的确确就是它的前辈P1的缩小版—除了大小上的不同，其余地方看上去几乎完全一致。它采用了阳极氧化金属面板，经过17刀精密激光切割，这不仅让其精致耐磨、手感光滑，而且还拥有不错的视觉效应。其机身的正面上除了刻有奇虎360的LOGO外还一字排列了6个镭射LED指示灯，以对应不同的连接模式—让用户对路由器的运行状态了然于胸。

此外，笔者认为整个设计中最为吸睛的除了金属切割的面板以外就是其支持270度旋转的两根天线了。天线的转动轴采用了金属螺纹设计，颇有科技感。在使用时，用户可以把两根天线从路由器底部旋转上来，这时，天线就像耳朵一样伫立于路由器的两端，给这款冷冰冰的路由器整体增添了不少动感与活力。

小是小，威力好

那么这款精致的小路由器又有哪些功能呢？5分钟以后，笔者就把家里那台老家伙换成了这款360安全路由mini。装路由器步骤网上一抓一大把，在这里就不作赘诉了。不过要告诉大家的是，这货的设置域名可不是普通的“192.168.0.1……”而是“luyou360.cn”。大家设置时可别弄错了。

在连接路由器以后，在设置界面，我们可以看到不同的板块，包括上网设置、无线设置、设备管理、故障诊断、信号调节以及远程管理等。功能一应俱全，清晰明了，不管你是想分配网速、切换模式还是查杀病毒都可以通过这个设置页面轻松达成。值得一提的是，这款路由器体型虽小，但是信号方面却一点不弱，隔着两堵墙依然能够正常连接使用。不过，在路由器的中继模式下，网络延迟有时候会波动得比较厉害。虽说频率不是很高，但还是希望能引起奇虎360官方的注意，并早日进行改良。

此外，大家有没有发现，如果把路由器放在卧室使用，晚上关灯睡觉时，路由器上闪烁的灯光会十分影响入眠。360安全路由mini就专门针对这个问题，设计了“熄灯功能”。用户可以在其设置界面自主调节“熄灯”时间，真是个非常走心的设计。

小编观点

安全路由技术 第3篇

Ad Hoc网络是一种支持无线基础设施的移动自组网, 通过自主的无线节点及终端能够进行动态共享网络资源。并且, Ad Hoc网络中的各个节点不需要像以往网络节点需要网络基础设置及管理上的支持。因此, Ad Hoc网络中的各个节点能够随时随地的快速构建, 摆脱网络基础设施的限制。

Ad Hoc网具有一下优势及特点:自组织性、多跳性、无中心、资源限制、生存时间短、安全有限性等特点。Ad Hoc网络的自组织性, 主要是指Ad Hoc网络中移动各个节点可以利用动态适应组网技术, 实现快速、自主建构。同时, Ad Hoc网络中各个节点经过分层协议与分布式的算法可以充分协调各个节点间, 实现各自的行为, 从而不依赖于其他网络基础设施。Ad Hoc网络的多跳性, 则是在节点和无线电波之外的节点进行通信时, 中间的节点需要多跳转发。因为Ad Hoc网络的多跳性使得其与一般的无线网络中移动终端相比多了路由功能。传统的无线网是单跳网络, 因此其移动终端没有路由功能。但是, 和有线网络节点的多跳相比, Ad Hoc网络中的多跳路由主要是有普通的网络节点都成, 不是经过专用路由器完成。

Ad Hoc网无中心, 与其他网络不同Ad Hoc网络有很多对等的节点构成, 因此不需要中心进行控制。对于自身网络的控制与管理就可以采取分布式进行控制, 通过Ad Hoc网络中的每个节点的协作共同完成任务。Ad Hoc网络的资源限制, 因为无线Ad Hoc网络是根据无线传输的技术来进行底层的通信, 所以Ad Hoc网络的带宽要比有线信道低很多, 通信质量也相对于较差。另外, 电池等可耗费能源作为Ad Hoc网络中主机的电源, 加之缺乏基站的支持, Ad Hoc网络非常容易受到能源的限制。Ad Hoc网络的生存时间短。Ad Hoc无线网络经常由于某原因临时进行组建, 网络环境就会因使用完成而自动消失, 因此, Ad Hoc网络与固定网络相比, 其生存的空间及时间比较短。

最后, Ad Hoc网络的安全的有限性。众所周知, Ad Hoc网络是无线网络, 主要通过无线信道、有限能源及分布式控制来进行各项活动。因为这些技术方式非常容易遭受被动窃听、主动入侵攻击、拒绝服务攻击和剥夺“睡眠”攻击等。

2 Ad Hoc网络的体系结构及安全问题

无线Ad Hoc网络体系主要通过两种结构组成。一种是完全的分布式控制, 一种是分层分布式控制。完全分布式控制结构中, 所有节点拥有完全对等的地位。完全分布式控制结构比较适合于中小规模网络。因为完全分布式中节点较多并且每个节点都需要大量的路由信息进行维护, 所以可扩展性比较差, 管理成本加大。而在分层分布式控制结构中, Ad Hoc网被划分为各种簇, 每簇中包含一个簇头与多个簇成员。分层分布式控制中, 每个节点都可以是Ad Hoc网络中的簇头, 这种结构大大减少因为拓扑变化而引起的开销, 因此具有比较好的可扩充性。

由于Ad Hoc网络的结构, 时而变化的拓扑结构, 不固定的控制点及连接, Ad Hoc网络也存在一些安全问题主要表现为容易受到窃听、篡改、拒绝服务等攻击。因此, 研究Ad Hoc网络的路由安全性问题及分布式入侵检测技术能够提高Ad Hoc网络的安全性。

3 Ad Hoc网络的路由安全性问题

通过以上对于Ad Hoc网络的特点及Ad Hoc网络的体系结构进行的分析, 我们可以看出:无线Ad Hoc网络中由于不存在基站及中心节点, 节点是移动的, 由于动态变化的拓扑结构, 由较差质量的无线信道进行连接的各节点需要在网络中充当主机和路由器双重角色。因此, 以往的安全机制并不适用于Ad Hoc网络, 在传统网络中能够较好工作的安全机制可能不再适用于Ad Hoc网络。

为了避免可能受到的各种不安全性攻击, Ad Hoc网络的路由协议安全尤为重要。通过安全有效的路由协议, 可以在Ad Hoc网络节点中构建高效的路由而达到快速传递信息的目的。避免因为路由产生错误的定向信息, 致使Ad Hoc网络瘫痪。通常的路由安全是经过各个网络的拓扑信息交换而组建通往网络中的各节点的路由。在Ad Hoc网络由于路由信息没有受到很好的保护, 才会受到各种形式的攻击。因此, 在Ad Hoc网络中, 必须使每个节点相互协调合作共同完成路由功能。

基于IP层的安全性而被提出用来解决Ad Hoc网络的路由安全问题的IPSec可以实现有效保护Ad Hoc网络IP数据包的功能。但是, IPSec使用必须建立相关的策略数据库、安全连接及关联数据库。目前, 针对Ad Hoc网络的路由安全主要有以下三种类型的路由安全协议:

1) 基于Ad Hoc网络按需路由的动态源路由协议。通过单向的消息鉴别码进行广播认证和检验路由信息是否完整与安全。通过不同的链值形成身份验证码, 确保Ad Hoc网络节点身份, 从而验证两端节点, 每个中间节点接收路由请求包, 通过添加散列链值, 使在Ad Hoc网络中转发的路由信息不被恶意篡改, 还可以避免路由黑洞等发起的攻击。

2) 可以给Ad Hoc网络提高完整信息、鉴别身份的ARAN协议。ARAN协议将被认证过可以信任的服务器为Ad Hoc网络中有效的节点颁发证书, 通过证书和节点地址进行绑定。

3) 作为拓展Ad Hoc网络的SRP协议。这个路由协议主要是通过源节点与目的节点间进行安全连接, 然后共享密钥。基于Ad Hoc网络路由协议而进行扩展的路由请求存在于路由包的地址列表之中。由SRP协议可以进一步阻止对Ad Hoc网络路由的重播攻击, 也避免了节点受攻击。

4 Ad Hoc网络的分布式入侵检测技术

Ad Hoc网络的分布式入侵检测是利用分布于Ad Hoc网络的监测点, 进行监测在AODV路由查询中各节点是否按规范进行。入侵检测技术可以更好的保护系统的安全。通过及时的反应并报道系统未授权或出现异常现象, 来设计与配置网络系统的安全策略与规范。常用的入侵检测有两种:异常检测与误用检测。

由于无线Ad Hoc网络具有独特性, 与传统的网络类型相比由于缺乏比较固定的网络基础设施及物理层, 因此, 无线Ad Hoc网络的脆弱性使得它再某些方面更容易受到攻击。通过Ad Hoc网络的体系结构, 即分布式特性, 要求与之匹配的入侵检测技术也应该采用合适的分布式算法进行。另外, 由于Ad Hoc网络缺乏网关及控制节点, 无线Ad Hoc网络的入侵检测技术极易受各个节点的流量限制, 并充分考虑在实际的运用中各个节点能承载的最大流量。在无线Ad Hoc网络上, 各个节点具有自组织、无中心性, 这就决定了无线Ad Hoc网络中节点易被捕获和控制。因此, 带宽及电池容量是制约无线Ad Hoc网络分布式入侵检测技术的两大关键因素。

无线Ad Hoc网络的分布式入侵系统, 由通信接口模块、本地数据模块、移动代理及分析引擎模块等组成。在无线Ad Hoc网络中采用基于簇结构体系的多层分布式入侵检测技术应用最为广泛。通过各个模块的配合, 达到分布式入侵检测的目标。

作为协调工作基础的通信接口模块使用通用标准进行定义, 可以兼容其他标准的入侵检测系统, 同时也是内、外部和MA IDS进行通信的通道。而本地数据模块主要负责进行收集本地不同的数据源并审核。通过无线Ad Hoc网络数据链路层数据的收集、网络层的数据收集、传输层数据的收集以及应用层数据的收集来完成模块的手机工作。基于安全传输移动代理模块, 其平台可支持支持TCP/IP协议。除了负责收集和分析处理各个簇的数据, 移动代理模块还可以把计算研究的成果返回给IDS, 进一步检测其他簇。移动代理模块相对其他模块更需要独立的系统来避免恶意代理的攻击。分析引擎模块则通过对无线Ad Hoc网络数据链路层、网络层、传输及应用层进行引擎分析来收集本地数据及支持移动代理模块。有效的完成入侵的检测工作。

5 结束语

通过简述Ad Hoc网络的特点、体系结构及安全问题来进一步分析Ad Hoc网络的路由安全性问题及分布式入侵检测技术。针对Ad Hoc网络的路由安全, 主要通过按需路由的动态源路由协议、提高完整信息、鉴别身份的ARAN协议、拓展Ad Hoc网络的SRP协议来保护Ad Hoc网络中的路由信息。另外, 通过分布式入侵检测技术针对无线Ad Hoc网络的分布式入侵系统进行相关的数据监测工作, 进一步避免Ad Hoc网络受到窃听、篡改、拒绝服务等攻击, 让Ad Hoc网络更好地发挥其无线通信的网络优势, 更好的为无线网络通信应用服务。

摘要：随着我国网络运用的普及与发展, 各种不同种类的网络类型应运而生。Ad Hoc网络就是其中的一种。Ad Hoc网络是一种支持无Ad Hoc线基础设施的移动网络, 和传统的移动无线网络相比, 它具有自身的优势, 因为其不需要依附于固定设备, 因此在无线网络通信迅速发展的状况下, Ad Hoc网络引起了人们极大的关注。该文主要从Ad Hoc的特点及体系结构来讨论Ad Hoc网络的路由安全性问题及分布式入侵检测系统, 从而进一步探讨Ad Hoc网络的安全及相关的安全保护措施。

关键词：Ad Hoc网络,路由安全性,分布式入侵检测技术

参考文献

[1]刘尧华, 刘卫国.Ad Hoc网络与有线网络互连中的入侵检测[J].计算机系统应用, 2010 (6) .

[2]代伟, 刘敏, 余永武.基于Ad Hoc网络的混合入侵检测算法[J].重庆工学院学报:自然科学版, 2008 (3) .

[3]张威, 潘小凤.防火墙与入侵检测技术探讨[J].南京工业职业技术学院学报, 2008 (2) .

[4]黄宇达, 王迤冉, 胡晟.基于网络的入侵检测系统研究[J].许昌学院学报, 2006 (5) .

让“路由卫士”为家庭无线安全护航 第4篇

首先到http：//www.kuaipan.cn/file/id_48228466939658361.htm处下载luyoudashi_setup.exe安装程序（大小仅为2.8MB），直接双击进行安装操作，然后运行“路由卫士”程序，输入自己路由器之前设置过的账号与密码（为方便以后随时快速再次进入“卫士”，此时可将“记住密码”选中）；接着点击“登录”按钮进入运行主界面，第一次运行软件的话一般都会选择点击中间的“立即检查”按钮来全面检查路由器的性能和安全设置，很快我们就会得到类似于“路由器当前检测得分：80分，安全性能一般！”的提示，同时下方详细显示出该路由器各项参数的检测结果（如图1）：

除了“路由器登录密码安全检测”“网络状态和网络总体速度检测”“无线Wi-Fi当前状态检测”“无线Wi-Fi安全设置检测”“无线Wi-Fi密码安全性检测”“路由器固件整体安全和性能检测”和“路由器DNS的安全性”项是“正常”外，还有“优化上网参数，提升网络性能项检测”和“视频广告过滤”两项分别被提示“有安全隐患”和“可以优化”。点击“一键优化”按钮，稍等片刻经“路由卫士”的设置处理之后提示就变成了“路由器当前检测得分：100分，非常安全！”

当然，这个“立即检查”也仅只是“路由卫士”的第一个选项卡“路由体检”功能，它的第二项“屏广告”也是非常实用的，可以用来切换是否关闭视频广告的过滤。值得关注的还有第三项“防蹭网”功能，能够直接显示出该路由器的当前连接用户数以及所对应的设备名称、IP地址、总流量等信息。不管是有线连接还是无线连接，也不管是电脑还是手机，在此都逃不出“路由卫士”的眼睛，而且都能够非常方便地通过点击“禁用”项来任意踢掉非法“蹭网”者（如图2）！

第四项“高级设置”功能也非常丰富，包括‘‘上网设置”（可对IP地址、子网掩码及DNS等进行设置）、“Wi-Fi设置”（设置Wi-Fi名称、密码以及信号是否可见）。“局域网IP设置”“DHCP设置”“Mac地址克隆”“路由器密码”和“重启路由器”共七个子功能项（如图3），大家可根据自己的意愿和实际情况来方便设置。

安全路由技术 第5篇

关键词：路由器,脆弱性,保护

0 引言

企业网基础设施容易受到各种来自内部和 (或) 外部入侵者的攻击, 从而给网络安全造成威胁。作为企业网的管理者, 面对攻击者各种攻击手段, 只有在充分了解网络基础设施的脆弱面, 并且针对这些脆弱面正确地配置网络设备, 才能保护企业网的安全, 从而避免入侵者的攻击。

企业网基础设施的脆弱面和受到的具体威胁包含以下内容: (1) 设备的控制台端口和Telnet端口; (2) 路由器的配置文件以及各种口令; (3) 通过SNMP协议访问设备的配置并了解内部网络的拓扑结构; (4) 通过截获路由更新信息以了解内部网络拓扑结构; (5) 通过虚假的路由更新信息误导数据流的转发; (6) 获取对设备的HTTP访问。针对这些脆弱面和网络威胁, 管理者应根据既定的网络安全策略来安全配置网络基础设施以消除安全隐患。安全配置网络设备包括三个方面:保护设备的物理安全、保护管理接口的安全、保护设备之间的通信安全。本文以路由器为例来阐述这三个方面的问题。

1 保护路由器的物理安全

对路由器的物理访问能为一个攻击者提供对该设备的完全控制权, 对一条网络链路的物理访问通常会允许攻击者对该链路进行窃听或插入非法数据。所以, 如果不对路由器和通信线路的物理访问进行限制的话, 则安装复杂的、基于软件的安全措施就没有任何意义。所谓路由器的物理安全包括两方面的内容, 一是不允许非法用户对路由器和网络链路进行物理和逻辑访问, 如人为损坏设备和传输链路, 或在传输链路上搭线监听, 通过访问控制台端口并重置系统口令而获得对设备的完全控制权;二是路由器的供电系统、室内温度和湿度、防火防水的安全保证。这就要求能为路由器提供安全的场所:具有物理访问控制的较为安全的房间, 将路由器放入带锁机柜, 由专人保管钥匙, 确保为其提供不间断供电系统UPS, 确保空凋系统保持一定的室温和湿度。

2 保护管理接口的安全

入侵者的一些主要攻击点是路由器的管理接口。如果一个入侵者能访问该接口, 就可以查看设备的配置信息, 重新配置设备并获得对它的控制权, 甚至能继续获得对其他相连网络设备的访问权。管理接口的安全保护可通过以下几方面来保证:

(1) 保护控制台端口的访问权限

控制台是一个通过设备的控制台端口console直接连接到设备的终端, 在此可要求用户用口令认证其身份以对控制台端口实施安全保护。口令的设置应遵循如下原则:初始安装之后立即配置口令, 不使用缺省口令;确保特权级口令与用户级口令的不同;口令使用字母数字混合字符以使口令破解难以成功;不要将口令写下来并将它们放在易被发现的地方;不要使用生日、电话号码、单词等易被猜测的口令;经常更换口令。

(2) 使用加密口令

缺省情况下, 控制台和Telnet口令是以明文形式存储在设备的配置文件中, 因此容易被人发现, 所以可以使用口令加密的方式 (service password-encryption) 来隐藏明文形式的口令, 建议使用enable secret命令配置特权模式口令。对于通过网络远程管理路由器的方式, 建议尽量不要使用Telnet程序, 代之以具有加密和认证传输机制的SSH协议及相应的程序, 如SecureCRT。

(3) 调整线路参数

如果路由器的控制台或Telnet会话处于空闲的特许模式状态, 任何用户都有机会修改路由器的配置。解决这一问题的方式是为线路设置各种超时值以达到额外的安全目的。例如, 当控制台一定时间内没有任何命令键入时, 就会中断与路由器的会话。配置命令如下:

(4) 设置多个特权级别, 通过为不同等级的用户设置不同的访问设备的权限, 进一步细化路由器的控制。在路由器上启用AAA认证, 建立用户, 并用如下配置命令去实现此目的:

(5) 控制Telnet访问:如果使用telnet通过网络远程管理路由器, 应在虚拟终端接口 (vty) 上通过设置访问控制列表, 只允许在表中被定义的IP地址的主机才能访问网络路由器。配置命令如下:

(6) 控制S N M P访问:配置一个S N M P团体字符串 (community string) 来定义SNMP管理器和代理之间的关系。团体字符串相当于一个访问路由器代理的口令。我们可以指定一个或多个与该字符串相关的下列特性以达到安全访问控制的目的: (1) 仅允许在访问控制列表中被指定的NMS (网络管理系统) 的IP地址才能通过团体字符串访问路由器代理; (2) 一个MIB视图, 它定义了指定团体字符串能访问的所有MIB对象的子集; (3) 该团体字符串能访问的MIB对象的读/写 (rw) 或只读 (ro) 权限。可按如下配置方法配置团体字符串以实现上述特性:

此外, 我们还应配置SNMP中断和通知, 只发给被允许的NMS。可以用“snmp-server host host trap“命令, 只将SNMP中断消息发送给指定的NMS主机;用“snmp-server host host trap”命令, 只将SNMP通知消息发送给指定的NMS主机。

3 保护路由器之间通信安全

路由器之间的某些通信有可能会受到窃听、数据操纵、会话重放和重路由攻击。这类通信包括路由更新、路由器TFTP文件传输和对路由器的HTTP访问。因此为了保证路由器之间地通信安全, 应采用如下手段加以控制。

(1) 路由协议认证:路由协议容易受到窃听和虚假路由更新信息的攻击。配置了路由协议认证功能的路由器通过在发送方和接收方之间交换认证密钥或签名来认证它所收到的每一个路由更新数据包的来源。这是通过交换一个已经配置在发送路由器和接收路由器上的认证密钥或签名来实现的。认证方式分为明文认证和MD5认证。对于明文认证, 每一个参与的邻居路由器必须共享同一个认证密钥, 该密钥在每一个路由器的配置期间被指定。接收路由器只有验证了收到的密钥与存储在内存中本地的密钥一致的情况下, 才接收该路由的合法更新, 反之则拒绝。MD5认证的工作方式与明文认证相似, 但它不会在网络上发送密钥本身。相反, 路由器利用MD5算法产生密钥的一个消息摘要即”散列值”, 然后发送该摘要而不是密钥本身, 这样就确保了没有人能在线路上通过窃听而找出认证密钥, 或修改和重传路由更新信息。在此, 明文认证方式一般不被推荐作为安全策略的一部分。它的主要用处是避免对路由基础设施的意外修改。对于保护路由基础设施的安全来说, 使用MD5认证方式是推荐的做法。例如, 在OSPF路由器上配置消息摘要认证如下:

(2) 用过滤器控制数据流:访问控制列表是控制路由器数据流 (路由更新和普通数据流) 的一种强有力的手段。通过它可过滤路由更新中的网络地址, 从而提高网络的安全性和稳定性。对于安全性而言, 假设不对外广播一个网络, 也就没有到那个网络的显式路由, 则入侵者要想到达那个网络就会比较困难。因此, 在需要考虑路由器安全的地方应限制路由广播的范围。对于稳定性而言, 过滤路由更新中的网络地址, 可以防止接收到路由更新中的虚假信息, 这些虚假的信息可能是错误配置造成的, 也可能是某些人的恶意行为, 它们会引起路由问题, 如路由环路, 路由不稳定等。因此, 可以从以下几方面来考虑对路由信息进行过滤控制:

第一, 为了防止潜在的攻击者了解到网络的配置, 不应向外广播那些只被内部用户访问的内部网路地址。实现这一目的的方法即是限制那些不想在路由更新中被广播出去的网络地址。例如, 以下配置只允许网络172.16.0.0有关的路由更新被从S0接口发出:

有时候, 为了不让本地网络中的其他路由器动态学到路由, 我们可以阻止路由更新消息从路由器的某个接口上发出去, 利用passive-interface命令。该特性可以应用于除BGP和EGP之外的所有基于IP的路由协议。

第二, 抑制从路由更新中收到的网络地址。对路由更新中所列的路由进行限制可以让路由器避免接受那些虚假的路由, 这有助于防止路由欺骗。通过访问控制列表的过滤作用, 可以使路由器只接受那些来自网络中特定的、已知路由器的路由表中的路由更新。但该特性对于链路状态协议如OSPF或IS-IS等不起作用。例如, 如下配置实现了一个访问控制列表只接收来自被信任网络10.2.0.0的路由更新:

第三, 过滤路由信息的来源。可以利用管理距离 (administrative distance) 参数让路由器智能辨选路由信息的来源。路由器总是选择由管理距离值最小的路由协议学到的路由。在一个大型网络中, 某些路由协议和路由器作为路由信息源可能比其他的更可靠一些。配置命令如下:distance weight[address mask[access-list-number|name]][ip], 该命令用以改变缺省管理距离值 (适用于除E IG R P和B G P以外的所有协议) 。

第四, 可以利用访问控制列表来拒绝那些来自外部网络但源地址却是内部地址的数据包, 以防止来自网络外部的欺骗性攻击。应在边缘路由器上应用包过滤功能, 因为包过滤会降低路由器的性能。配置举例如下:

(1) 配置访问控制列表以拒绝假冒内网地址的数据包

R outer (config-if) #ip access-g roup 102 in;在路由器对外接口的入方向上应用访问列表102, 10.1.2.0为内网的IP地址段。如网络中不需要组播, 建议过滤IP组播地址224.0.0.0/4

(2) 配置动态访问控制列表以允许已建立T CP连接的数据流, 即阻止外部连接的数据流而让内部发起连接的T CP数据流通过

(3) 控制对路由器的H T T P访问:应使用访问控制列表来限制只有特定的机器能通过浏览器来访问路由器。可按如下例子配置:

R outer (config) #ip http access-class 25;只允许特定主机10.147.241.30能通过h ttp访问路由器

4 关闭易受威胁或攻击的功能或服务

为了保证路由器免受各种攻击, 对自身的某些服务功能必须结合具体网络环境而给予关闭或有条件地开放。

(1) “配置文件自动从T F T P服务器获取”功能建议关闭:

(2) “IP源路由”, 使用很少, 易遭受攻击, 建议关闭:

(3) “Proxy AR P”, 除非接口作桥接, 否则关闭该服务:

(4) “IP directed broadcast”, 可对特定局域网发广播数据包, 它可作为一种攻击手段, 建议关闭。

(5) “IP redirect”, 对特定设备发ICM P重定向数据包, 建议只对信任区域开放该服务。

(6) 关闭CDP协议, R outer (config) #no cdp enable

(7) 建议过滤源地址与目标地址相同、源端口与目的端口相同的流量以防止L and攻击。应过滤目的地址为广播地址的流量。

(8) 建议关闭入方向ICM P重定向、ech o、掩码请求数据, 同时出方向流量仅允许ICM P ech o、parameter-problem、packet-too-big、source-quench, 其他全部过滤。对于traceroute流量, 入方向关闭, 出方向开放。

5 总结

综上所述, 解决企业网基础设施安全问题的前提, 首先必须清楚地认识到被保护设备脆弱性所在, 再者, 应结合整个企业信息网络安全策略, 利用现成的安全保护手段来安全配置网络基础设施的各类组件, 从而消除网络安全隐患。

参考文献

[1]Cisco IOS Release12.0Security Configuration Guide.

[2]Cisco IOS Release12.0Security Command Reference.

Adhoc网络安全路由探索 第6篇

关键词：Ad hoc,网络安全,路由

1 Ad hoc网络的特点

Ad hoc网络中的节点可以自由移动, 不需要网络基础设施的支持, 网络中的节点既充当主机又充当路由器的功能, 各个节点相互协作, 通过无线链路进行通信。同传统有线网络相比, Adhoc网络具有以下主要特点:

1) 自组织:Adhoc网络没有控制中心, 节点不分主次, 所有节点地位平等, 网络节点通过分布式算法来协调彼此的行为, 无需预置的网络设施, 可以在任何时刻任何地方快速展开并自动形成一个自由移动、自组织的通信网络。2) 多跳:蜂窝式无线网络采用移动终端和基础设施之间的单跳信道共享模式, 而Adhoc网络其信道共享采用多跳的模式, 受移动节点信号传输范围的限制, 如果目标节点不在源节点所能达到的传输范围之内, 就必须借助在信号传输范围一跳距离之内的其他节点进行中继和转发, 网络内所有节点共享同一信道, 故形成了多跳信道共享模式。如果目的节点不在源节点的信号传输范围内, 则双方通信就需要借助在信号范围内的节点进行转发, 经过多跳转发最终实现双方通信。3) 节点具有路由功能:网络节点既是网络通信的实体又充当路由器的功能。Adhoc网络中节点的发射功率有限, 所以其覆盖的有效范围也是有限的, 因此数据发送时需要其他的中间节点来进行中继, 这样就要求网络中的每个节点同时具有路由器功能, 能够发现和维护到其他节点的路由, 并向邻居节点发送和转发数据分组的能力。4) 不依赖于固定的网络基础设施:Adhoc网络是由若干可自由移动的节点组成的临时性的自治系统, 网络通信不需要固定的网络基础设施 (如移动基站等) 的支持, 网络中每个节点本身构成了移动网络的路由基础设施, 节点间可通过直接或多跳方式进行自由通信。

2 现有安全路由协议存在的问题

由于Adhoc网络自身的特点, 网络安全制定和改进一般采用一种或几种安全机制相结合的方法, 或改进传统路由协议, 或提出新的安全路由协议, 在一定程度上对网络路由面临的安全威胁进行了有效防范和处理, 增强了网络路由的安全性。但由于各个安全协议所实现的目标和应用的网络环境不同, 使得这些路由协议或改进方法实现目标要求的同时, 也面临着需要完善的地方。同时, 自身的缺陷也会暴露。

现有的安全路由协议在路由的完整性、机密性、认证和不可抵赖性等安全目标上作了一定的改进, 并且采取了一定的措施有效的防范了一些针对路由协议的攻击手段, 如典型的虫洞和女巫攻击等。而且这些安全保障措施均需要单独实现的密钥管理的支持, 也就额外增大了系统在通信、计算方面的花费和开销。本文针对上述存在的问题, 在有效保障网络安全特性的同时充分考虑路由高效性和网络的整体开销, 考虑能量、带宽和消耗速率方面的因素, 提出并设计改进的高效、安全路由协议。

3 Adhoc网络双路由机制具体实现过程

网络中每个节点在实际工作过程中, 在路由表中可保存多条可用路由信息, 通常情况下只保留最优的路由信息, 丢弃其他路由。由于本文采用双路由机制, 并采用路由缓存技术储备一条备用路由。所以在具体执行时, 保留其中两条有效路由信息, 并存入路由表, 第三条存入路由缓存中。Adhoc网络双路由协议过程主要包括路由请求、路由响应, 路由维护阶段。在具体实施过程中, 需要对双路由协议的一些细节做些修改。以下分别对这些过程进行详细描述。

3.1 路由请求

Ad hoc网络双路由协议路由请求通信过程中, 源节点要往目的节点发送信息, 首先检查路由表, 如果有到达目的节点的路由则直接启用;如果路由表中没有, 就要发起路由请求过程 (RREQ) , 发送的每一个路由请求包包含以下内容:源节点地址、广播功、源序列号、下一跳地址、跳数计数器、目的地址、目的序列号、路由选择标准R (b, e, v) 及路由项的标识项和生存时间等信息。具体步骤如下:1) 源节点用序列对<源地址, 广播ID>唯一标识一个路由请求, 然后发起路由请求过程RREQ。2) 节点收到RREQ后重新计算R (b, e, v) 的值, 为节点选择下一跳路由提供依据。3) 根据<源地址, 广播ID>判断是否已经收到过该路由请求, 如果收到过, 则转7) 。4) 检查该节点是否己包含在路由请求分组中, 如果是转7) 。5) 检查本节点是否是路由请求分组的目的节点或者该节点有到目的节点的路由, 如果是, 转8) 。6) 将本节点添加到路由记录中, 记录相应的信息, 包括:上游节点地址、目的地址、源地址、广播ID, 反向路由超时时长和源序列号等。同时跳数计数器加1, 向邻节点转发该路由请求报文。以形成反向路由。重新广播RREQ, 跳转1) 。7) 丢弃RREQ, 跳转End。8) 转入路由应答阶段。

3.2 路由响应

路由应答数据包RREP在目的节点收到请求分组时开始传送, 按反向路由序列发送, 并验证路由信息的完整性, 对未通过完整性验证的路由响应包直接丢弃;对通过验证的路由响应包, 作如下处理:1) 目的节点延时时间T收集符合条件的路由。2) 从收集到的路由中判断节点路径信息R (b, e, v) , 即从收集到的跳数最少的路由开始判断节点的参数R (b, e, v) , 如果其带宽符合条件, 并且剩余能量p小于闭值占, 说明节点剩余能量太少, 转到3) ;否则, 转4) 。3) 目的节点把自己的公钥证书CERT。加入到应答分组RREP中, 并给源节点发送路由应答RREP, 进入密钥协商阶段。源节点收到目的节点发回的RREP应答包, 按接收到RREP的顺序将两条最优路由信息写入路由表, 第三条到达的路由信息可写入路由缓存中, 以备其中一条路由出现断路时, 可以直接发送错误信息给源节点。这样源节点可以立即启动路由缓存中的储备路由, 继续发送路由信息, 以使路由信息可以高效率传输。

为了充分利用备选路由, 设计本地二级回馈机制, 并设置路由回馈标志。即若未转发成功, 并在启用备选路由后依然不成功或无备选路由可用, 则对路由回馈标志进行判断:1) 若回馈标志等于0, 则将此响应路由包返回到前一跳节点, 路由回馈标志位置位, 前一跳节点查询路由表中备选路由并按备选路由转发, 并判断向下一跳节点转发路由响应包是否成功。2) 若回馈标志等于1, 则直接把错误信息发回给源节点, 由源节点重新发起路由请求过程。

3.3 路由维护

OSPF路由协议安全性探讨 第7篇

一、OSPF安全机制

1.1层次化路由结构

利用OSPF路由协议可以将自治网络划分成为多个区域, 在每一个划分之后的区域之中都存在有独立的链路状态数据库, 并各自独立执行链路状态路由算法。这就可以让本区域中的拓扑结构对区域之外的网络进行隐藏, 并可以让自治系统在交换、传播路由信息的时候的网络流量得到减少, 促进收敛速度的加速。

1.2具有可靠的泛洪机制

在OSPF协议之中采用LSU报文来对路由信息进行携带, 并运用协议本身所定义的泛洪机制让区域之中的路由器的链路状态数据库保持良好的一致性, 让路由选择一致性得到保障。LSA是OSPF路由协议中路由协议的最小单元, 由路由器生成, 并在其中包含了LSA的路由器的标识信息, 根据这个标识之下的机制, 让OSPF拥有一定自我纠错的能力。

1.3优良的报文验证机制

OSPF的报文之中包含了认证类型以及认证数据字段。当前, 在OSPF路由协议中主要有密码认证、空认证以及明文认证这三种认证模式。其中, 明文认证是将口令通过明文的方式来进行传输, 只要可以访问到网络的人都可以获得这个口令, 很容易让OSPF路由域的安全受到威胁。而密码认证则能够提供良好的安全性。为接入同一个网络或者是子网的路由器配置一个共享密码, 然后这些路由器所发送的每一个OSPF报文都会携带一个建立在这个共享密码基础之上的信息摘要。通过MD5算法以及OSPF的报文来生成相应的信息摘要, 当路由器接收到这个报文之后, 根据路由器上配置的共享密码以及接收到的这个报文来生成一个信息摘要, 并将所生成的信息摘要和接收到的信息摘要进行对比, 如果两者一致那么就接收, 如果不一致则丢弃。

二、OSPF路由协议安全性完善措施

相对来讲OSPF的安全性较高, 在很多时候外部对其进行攻击都是因为OSPF路由没有启用密码认证机制或者是攻击者对密码破译之后所实现的。当然即使是启用了密码认证也可以利用重放攻击的方式来进行攻击。要加强其安全性需要注意以下几点:

2.1对于空验证与简单口令验证的防范

对于空验证和简单口令验证带来的安全问题, 可以启用密码验证来进行防范。当启用密码验证之后, OSPF报文会产生一个无符号非递减的加密序列号。在附近的所有邻居路由器中会存放该路由器的最新加密序列号。对于邻居路由器所收到的报文的加密序列号需要大于或者等于所存储的加密序列号, 如果不满足该要求则丢弃。

2.2对于密码验证漏洞的防范

在三种验证方案之中密码验证是最为安全的一种, 但是也并不是牢不可破的。即使是启用了密码验证也不代表所有报文内容都是经过加密后传输的, 其中LSU报文头部仍然会采用明文, 这就存在被攻击者篡改的可能性。即使是采用的MD5算法也并不是绝对安全, 例如中国山东大学的科学家就已经破解了MD5算法。对密钥进行管理与维护需要较高成本, 所以可以考虑和其他成本较低的方式进行结合, 例如数字签名技术。这样可以对大部分的威胁进行有效的抵御。

但是用于生成与验证签名的开销也是非常巨大的。一个路由器需要验证签名的数量会受到很多因素的影响, 例如网络之中路由器的数量、对网络区域的划分、链路状态信息的变化以及刷新频率等等。在OSPF之中, 因为每一条外部子网络径存在有单独的链路状态信息描述, 因此在网络之中就有可能存在有成千上万条这一类链路状态信息。因此, 还需要考虑到缓解这些信息对于路由器性能的影响。通常情况下采用的方法是在路由器之上采用额外的硬件, 对OSPF路由协议进行改进, 周期性或者是按需进行验证签名。在当前的研究方向是在利用密码体制安全性的同时, 利用有效的入侵检测技术让OSPF的安全性得到保证。

三、结语

作为一种应用非常广泛的路由协议OSPF的安全性受到广泛的关注, 虽然其本身具有一定的安全性, 但是却难以满足当前网络安全形势的需要。为此我们需要加强对OSPF安全性的研究, 并积极思考如何对其安全性进行完善。

参考文献

[1]柳强, 黄天章, 郭海龙.基于OSPF协议可信路由技术研究及实现[J].数字技术与应用, 2013, (04) :48-49

路由器的登录访问与安全 第8篇

路由器是网络系统的主要设备之一。它的主要功能就是寻址和路由, 是沟通内外网络的桥梁。网络管理人员经常要登录到路由器进行远程维护管理, 保证网络数据在内外网之间正常的传输。但是, 在一个互连互通的网络上, 攻击者同样有可能从外部网络登录到我们的路由器上, 并以此作为开始, 对我内部网络实施攻击和破坏。因此, 边界路由器的登录访问安全问题是网络安全管理中不可忽视的重要环节。

路由器是内外网络的中枢, 也是网络安全的前沿关口, 它本身带有一定的安全功能, 如访问列表、口令、加密等, 但是在缺省配置时, 这些功能大多数都是关闭的, 需要进行手工配置。为了最大的满足安全的需要, 作为网络管理人员在配置路由器正常工作的同时, 还要控制好路由器的登录访问, 对路由器进行适当的安全配置和管理, 只允许有权限的用户登录到路由器, 为内部网络统提供一层安全屏障保障。本文以Cisco路由器为例, 分析了路由器6种登录方式的安全隐患, 并针对不同的登录访问从安全配置及安全管理两个方面提出了安全访问策略。

1 路由器的登录访问方式

目前使用最多的是Cisco的路由器, 一般来说可以通过6种方式登录路由器:

(1) 通过路由器的Console口:将微机 (或终端) 的串口通过标准RS-232电缆与路由器的Console口连接, 在微机上运行终端仿真软件 (例:Windows操作系统的超级终端) 登录路由器;

(2) 通过路由器的Aux口:在微机串口和路由器的Aux口分别挂接Modem, 电话线连接两端, 在远端的微机上运行终端仿真软件 (例:Windows操作系统的超级终端) 登录路由器;

(3) 通过路由器的以太口, 利用路由器对Tftp服务的支持, 在已经正确配置了路由器接口的IP地址, 并且微机与路由器之间可达的前提下, 从局域网的Tftp服务器上改变路由器配置;

(4) 通过路由器的以太口, 利用路由器对Telnet服务的支持, 在已经正确配置了路由器接口的IP地址, 并且微机与路由器之间可达的前提下, 从局域网的终端上Telnet登录路由器;

(5) 通过路由器的以太口, 在已经正确配置了路由器接口的IP地址, 并且微机与路由器之间可达的前提下, 利用Snmp协议在网管工作站上登录路由器;

(6) 通过路由器的以太口, 在已经正确配置了路由器接口的IP地址, 并且微机与路由器之间可达的前提下, 利用Http服务, 使用Web界面来登录路由器。

这6种访问方式中第一种通过Console口的访问是一种本地的访问形式, 其余5种都是可以做到远端对路由器进行访问的, 后四种是利用网络实现对路由器的访问管理。通过Snmp协议对路由器进行访问必须有Cisco的网络管理软件Ciscoworks或专门基于Snmp开发的网管软件支持;经Aux口访问路由器必须用电话线, 速率低, 只能是一种备份方式。在一般情况下这两种登录方法并不常用, 而经常使用的登录路由器的方法是:通过Console口登录、以telnet方式访问、利用Web界面访问、以Tftp方式上传和下载配置文件。

2 路由器登录访问安全策略

对于如此多的路由器访问方式, 应该遵循最小化管理原则, 即从本单位网络管理的实际需求出发, 采用尽量少的方式实现对路由器的访问管理, 关闭或禁止不必要的访问方式和服务, 以Console作为最后的登录管理手段。这种策略可获得最大化的访问安全。而对于实际网络管理中必须采用的访问方式, 则应针对每种访问方式的特点, 合理地引入安全机制进行配置, 运用各种技术手段和措施确保路由器的登录访问安全。

3 路由器登录访问安全配置与措施

下面分别介绍针对不同类型的登录方式而应采取的一些具体的安全措施, 这些措施都不复杂, 大多是利用路由器默认支持的安全机制, 有的只有一两条命令, 但对增加路由器的安全性却能起到显著的效果。

3.1 通过Console、Aux口及Snmp服务登录

(1) 严格控制路由器的Console口和Aux口, 在不需要利用这些接口时, 拔掉这两接口的物理连线;

(2) 通过改变默认的连接属性, 例如修改波特率 (默认是9600, 可以改为其他的) , 为非授权的物理连接制造障碍;

(3) 为Console口的访问设置密码, 并在端口上运用。

(4) 在Console线路上加载访问控制, 只允许管理控制终端访问路由器;

(5) 通过transport input none命令关闭Console口上所有的通讯协议, 使Console口不接收来自网络用户的连接;

(6) 通过Exec-timeoute命令设置会话超时, 控制Console口线路的访问时间;

(7) 在Aux口无物理连接的情况下关闭端口, 禁止任何形式的访问请求。配置如下:

(8) 若网络中没有启用Snmp协议对网络进行管理, 则路由器中应该禁止Snmp协议服务, 并删除Snmp服务的默认配置。

3.2 利用Tftp上传和下载配置文件

Tftp本身没有任何认证机制, 也就是说不需要口令, 网络上的任何人都可以很容易地用tftp请求文件传输, 得到路由配置文件并加以修改, 因此它不是一种安全的协议, 当网络中不使用它时, 路由器应该尽量关闭Tftp服务。

有两种方法能够解决tftp带来的安全隐患:在接口模式下关闭Tftp服务的UDP69端口, 这一方法是关闭Tftp的客户端服务, 禁止路由器作为客户端与此接口上的pc Tftp服务器端进行配置文件的上传和下载, 实现方法:运用访问控制列表命令:access-list 102 deny udp any eq tftp any ip accessgroup 102 in;在Windows操作系统中, Tftp客户端程序是自带的, 攻击者若知道了路由器的ip地址, 非常容易通过访问路由器的Tftp的服务器端下载配置文件, 这是非常危险的, 必须关闭路由器的tftp-server服务。

3.3 通过Web管理接口登录

使用Web界面来对路由器进行访问管理, 操作方便、易懂, 可以为初学者提供许多方便, 但是在方便的背后, 却隐藏了很大的安全隐患。对Http的认证, 相当于在网络上发送明文而且基于一次性的口令保护, 很容易被网络监听截获。同时, 在IOS 12.1之前的版本中存在Http访问的高危漏洞, 所以一般情况下建议在路由器中应关闭此服务。命令:no ip http server若一定要使用它, 则应增加安全措施:

(1) 设置用户名和密码, 用ip http authentication命令实现配置认证。最好利用TACACS+或RADIUS服务器进行http服务的认证;

(2) 使用访问控制列表“ip http access-class”命令, 严格过滤允许的IP地址;

(3) 对于IOS 12.2之后的版本, 则应使用加密的Https服务代替非加密的Http访问, 命令ip http secure-server, 同时使用ip http secure-port 8080命令来更改访问端口。

3.4 Telnet登录访问

Telnet是目前我局网络日常管理中使用最广泛的一种方法, Telnet端口在路由器上被称为虚拟终端 (VTY) , 是一种强有力的管理服务, 它能允许用户在网络的任何位置访问路由器。它是一种命令行方式的终端服务, 其优势在于客户端和服务端都是系统自带的, 不需要额外安装。但它在网络中是以明文方式传送信息的, 只有简单的用户名/口令认证机制, 很容易被欺骗。因此增加Telnet访问的安全设置尤为重要。具体的安全措施有:

(1) 一般情况下从路由器的以太网口和广域互连口都能通过Telnet进入路由器的, 而管理终端大多设在局域网内部, 因此有必要通过访问控制列表ACL关闭广域互连口上的Telnet服务。

(2) 只允许VTY与指定的协议建立连接。例:transport input telnet命令限制VTY只支持反向Telnet连接服务。

(3) 运用service tcp-keepalives-in命令保证TCP建立的连接是活动的, 避免恶意的攻击或远端系统的意外崩溃导致的资源占用。

(4) 以往我们会为Telnet设置密码, 并通过login命令运用到VTY线路上, 这种情况下任何用户登录路由器时只要输入密码即可, 并没有要求输入用户名, 从安全的角度来看, 这是不够的, 更安全的做法是设置用户来对路由器进行管理和维护, 这样, 登录者必须同时知道用户名和登录口令才能管理路由器。具体实现:

在全局模式下设置用户名和密码:

在VTY端口模式下绑定用户名和密码:

Loginlocal

Login命令只把VTY端口模式下设置的口令与Telnet绑定, 而login local命令定义的是本地登录, 从远端Telnet登录时使用的将是全局变量设置的用户名和密码。

(5) 通过Exec-timeoute命令设置会话超时, 控制每条Telnet线路的访问时间。

(6) 同样在VTY线路上运用访问控制列表ACL技术, 只允许指定的网络管理控制终端访问路由器。

(7) 在Cisco路由器一部分高端产品中的IOS能支持SSH协议, 在这样的路由器中若用SSH完全代替Telnet, 则能实现对传输数据的加密, 从而实现对路由器的安全登录。

还有非常重要的一点, 在缺省情况下路由器在配置中是不加密口令的, 不论Console口还是VTY口配置的口令都会以明文的形式显示在配置中, 可以通过加密路由器口令命令service password-encryption使为路由器配置的所有口令都呈现密文状态。

4 结论

IP网络路由技术 第9篇

一、IP网络路由技术

IP网络路由是以协议架构网络之间的技术。基于IP协议的Internet是当今最大的计算机网络，占有最大的用户、规模和资源。

IP地址。IP网络中数据的传输需要IP地址，一个网络的连接需要一个IP地址，但是主机上的IP地址不可以有多种。在IP分组中，IP地址在网络连接的过程中是不会改变的。

IP地址格式。IP地址是用十进制表示的32位的地址。为了保证网络地址的唯一性，网络地址必须由Internet权利机构（InternetNIC）统一分配，其他单位机构或私人不能分配。主机地址不是唯一的，所以可以各个网络系统管理员分配。

保留地址。由于不同的保留地址在用途和安全上的不同，地址就分为公共地址和私有地址两种地址。在Internet中使用公用地址，并且访问不受限制；私有地址在内部的网络中使用，私有地址单独无法访问，只能和代理服务器一起才能和Internet通信。

若想要连入Internet，首先要申请公用地址才可以连接Internet。在IP地址中保留了三个区域作为私有地址，它们的区域范围如下：

而这些保留地址与其他网络不能连接，所以只能在内部通信。主要原因是使用保留地址的网络和其他网络互连的时候，路由设备在寻找路由时会出现问题。可以将内部网络的保留地址转换成公共地址，这样可以实现内部网络与外部网络连接。这样也是保证网络安全的重要方法之一。

二、无类域路由（CIDR）

越来越多的主机连入Internet，Internet的B类地址（前两个字节为网络地址，后两个字节为主机地址。地址范围：128.0.0.0～191.255.255.255）比较缺乏，可能耗尽整个地址。为了解决这一问题，开发了无类域路由这一解决方案，给Internet充分的时间等待诞生新一代IP协议。

根据CIDR内容，可以申请几个C类地址（第一个字节、第二个字节、第三个是网络地址，最后一个字节是主机地址，地址范围：192.0.0.1～223.255.255.255）来取代申请一个B类地址。分配的C类地址的最高位相同，是连续的C类地址，此路由表用一个表项来表示一组网络地址。

三、路由选择技术

路由寻址。路由功能指路由器寻找路径，这条路径是从源网络到目的网络，相互转发数据包。为了实现高性能通信需要路由选择路径。在网络运行的过程中，源IP 地址和目的IP 地址都被数据包记录下来。数据包在路由器转发的过程中，目的IP 地址不会改变，但是每台路由器会把目的物理地址改成数据包所到达下一站或终点的物理地址，数据包发送到该物理地址的物理链路上。

路由分为两种。路由分为直连路由和非直连路由。直连路由在网络接口配置完成后可自动生成直连路由的IP 地址，接口通过这种方式直接通信。非直连路是由动态路由，人工配置静态路由或通过运行动态路由协议获得。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//www.ems86.com总第539期2014年第07期-----转载须注名来源是在两个或多个路由器互连的网络之间需要通信的情况下使用。现今Internet的迅猛增长，促使IP 网络成为现代网络的标准，IP网络路由技术不只是为数据传输找一条通道，路由所选路径的传输容量和服务质量也需要考虑，并且还要对全网负荷做一个分析，为了使网络中各条通道的数据流量保持平衡。除此之外，还要求域内路由和域间路由的算法有高效的路由表查询技术，并且能快速收敛。

路由器的作用。基于IP协议建立网络，将各个IP子网相互连接起来，使用路由机制，把IP网关互相连接起来，形成了一个具有层次性的网际网。

大量的主机构成了IP子网，多个IP子网组成了整个IP网络。通过路由器完成IP子网的主机之间通信。路由器接受主机发出的IP包，通过查询路由表，来确定下一个输出口，以便把IP包发送给下一台路由器，如此发送下去，直到IP报到达通信终点的主机。IP协议中，网络有多种层次：物理层、网络层、传输层、链路层。集线器处理物理层，一台交换及处理链路层，路由器转发数据，因为网络层只有以太线路接口，所以网络层只能在以太网中。

IP网络路由是世界上最大规模，拥有最多资源的一个大型计算机网络。IP网络路由在当今网络的发展中起到不可估量的作用，是现代网络发展的标准，也是未来网络发展的基础。

基于OSPF协议的路由器安全 第10篇

OSPF协议是各行业普遍使用的路由协议, 虽然它采用的spf算法和邻接关系等技术避免了自环产生, 提高了路由器的性能, 但随着广泛的应用, 其在安全方面的漏洞也日益被暴露出来。比如:篡改LSA、报文伪造、明文验证等。本文通过对原理的理解和工作过程的分析, 提出了使用数字加密验证的方法来解决以上潜在的漏洞, 从而保证路由器的安全。

1 OSPF协议的工作原理

1.1 工作原理

OSPF是一种开放式的链路状态路由协议, 运行该协议的路由器, 首先和相邻路由器建立邻居关系, 形成邻居表;然后, 相互学习对方的网络拓扑, 建立拓扑图;最后, 根据最短路径算法计算路由。

1.2 邻居关系建立过程

如图1所示, 在路由器R1初始化完成后, 它将向路由器R2发送Hello数据包。此时R1并不知道R2的存在, 因此在数据包中不包含R2的信息。而R2在接收到该数据包后, 将向R1发送Hello包。此时, Hello包中将表明它已知道存在R1这个邻居以及自己记录的其它邻居信息。R1收到这个回应包后就会知道邻居R2的存在, 并且邻居R2也知道了R1的存在。此时在路由器R1和R2之间就建立了邻居关系, 它们就可以把LSA发送给对方。

2 安全分析

2.1 邻居关系建立过程分析

根据图2, 配置调试结果如下:

路由器的缺省配置中, 信息交换是不进行身份验证的, 只要checksum字段无误就可以接收路由包, 安全性极低。从画横线的地方知道, 两个路由器建立了邻居关系。通过debug ip ospf adj命令来进行修改, 但是出现了不能建立邻居关系的结果。同样, 我们把区域设置为不同, 也显示不能建立邻居关系。所以, 可以得出, 如果两个路由器的hello interval和dead interva以及area设置不同, 那么路由器是不能建立邻居关系的, 这也正是ospf的安全漏洞。我们可以在同一个区域中伪造一台路由器, 并且发送伪造的LSA, 该数据报被洪泛到其他路由器, 各路由器接收到以后, 会重新学习邻居表和计算路由表, 当源路由器收到这个虚假的LSA时, 将泛洪一个具有更高序列号的LSA, 其他路由器也更新相应LSA, 这样不停的循环操作可以导致路由器的资源耗尽、性能下降, 甚至出现崩溃。

2.2 明文验证的安全分析

当使用明文验证时, 验证类型字段为1, 64位验证数据字段存放的是验证口令, 在传输过程中ospf分组及其口令都是以明文进行传输, 接收方只要验证它的检验无误并且验证数据字段的值等于规定的口令, 就会接收分组。这种验证方式的弊端在于:通过明文验证的数据包, 其明文密码是直接存放于hello包的包头中, 如果该包被类似sniffer的软件截获, 密码就很容易暴露。所以, 这种验证方式是不安全的。

3 解决办法

根据以上两种安全分析, 我们可以通过使用密文邻居验证来提高运行ospf协议路由器的安全。加密验证的优点: (1) 这种验证方式采用的是MD5加密算法, 该算法中加入了散列函数, 对给定的一个散列值是很不容易找到两个以上的有相同结果的输入值的, 这也意味着ospf分组不容易被修改; (2) 在加密认证过程中, 路由器通过发送一个带有散列函数的ospf数据包, 并且产生一个消息码, 接收方经过散列函数和数据包重新生成消息码并和发送方的消息码进行对比, 从而决定是否接收数据包, 这个过程是相对安全的。关键实施步骤如下:

参考文献

[1]杨文虎, 樊静淳.网络安全技术与实训[M].北京:人民邮电出版社, 2007.

[2]林涛.计算机网络安全技术[M].北京:人民邮电出版社, 2007.

[3]王春海, 张翠轩.非常网管—网络工程案例[M].北京:人民邮电出版社, 2007.

[4]cisco公司.思科网络技术学院教程网络安全基础[M].北京:人民邮电出版社, 1993.