天下网吧 >> 网吧方案 >> 网络方案 >> 正文

IP网络路由器所面临的威胁和挑战

法的或未授权的路由设备与网络中的合法设备建立路由邻接关系,获取网络中的路由信息。通过路由协议的加密认证可以有效阻止这种攻击。目前,主要使用的RIPv2,OSPF,IS-IS都支持对协议报文的明文认证和MD5加密认证,BGP,LDP等协议则依靠TCP的MD5加密认证来保证协议报文的安全性。

    3.管理平面

    目前,对设备的远程管理主要采用Telnet,Web等方式,而Telnet,HTTP协议本身都没有提供安全功能,用户数据、用户账号和口令等都是明文传送,很容易被监听窃取,也很容易受到中间人(Man In the Middle)攻击。解决网络设备远程管理问题主要依靠SSH和SSL协议。SSH(Secure Shell)是目前比较可靠的为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSL(Secure Socket Layer)协议可以在使用Web方式进行远程管理时对浏览器和Web服务器之间的通信进行加密。

    网络安全与设备测试

    目前的路由器测试主要针对的是设备的功能、协议、性能等基本能力,随着对IP网络路由器中安全要求的不断提高,路由器本身也需要支持各种各样的安全能力,因此在测试中需要加强对路由器安全能力的测试。对路由器能力的测试同样也可以从数据平面、控制/信令平面和管理平面三个层次来考虑。

    (1)抗DoS攻击能力的测试。主要是利用仪表模拟攻击流量,验证被测设备对攻击流量的处理。被测设备应该对异常流量采取丢弃策略,并生成告警日志。

    (2)ACL功能测试。验证设备可以提供丰富的ACL功能来对非法流量进行过滤。

    (3)防止IP地址欺骗测试。主要是URPF(单播逆向路径转发,Unicast Reverse Path Forwarding)功能的测试。被测设备应具备URPF功能,即设备可以检查数据包的源地址,在FIB表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包。

    (4)IPSec协议测试。验证设备是否支持IPSec协议来保证用户数据的机密性。

    (5)对协议的控制测试。被测设备应该能够关闭一些可能造成攻击的协议端口或过滤某些可能对网络造成安全隐患的协议报文,如关闭UDP的回应请求端口、过滤源路由数据包等。

本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下