毫无疑问,局域网是病毒木马的“温床”。某个客户端中毒往往会殃及池鱼感染其他客户端,甚至影响到整个局域网。如果这样,轻则吃掉带宽,重则形成网络故障甚至造成整个网络瘫痪,所有这些让网络管理员们谈毒色变。其实,在局域网的特殊节点上做好部署就能有效阻断病毒传播途径,从而预防因病毒造成的灾难性后果。其中,路由器就是非常关键的网络节点。下面以Cisco路由器为例,谈谈如何通过设置阻断局域网病毒。
1.阻断原理
路由器作为网络中的关键设备是否可以阻隔病毒的传染呢? 路由器作为内部PC机的跨网段访问的通道,如果我们将这些端口限制掉,便可以防止病毒通过路由器从外网进入同时也可以防止内部的病毒通过路由器向外传染病毒。
路由器作为NAT地址转换接入到Internet,在路由器的太口都配置防火墙将危险的目标端口所有的报文都限制掉,这样从Internet对内部网发起的攻击路由器将病毒攻击报文阻隔掉无法进入到内部网来。
另外,如果内部的PC已经感染了病毒也无法通过路由器将病毒的攻击报文传到外部网去。需要注意的是:通过路由器阻止病毒传播是建立在局域网子网划分的基础之上的。如果没有细化的子网病毒传染是无法阻隔的,因为同一个网段的PC的网络传输是不通过路由器进行报文转发的。好在规模较大的局域网都划分了子网,并且各子网直接通过路由器/交换机来隔离。
2.阻断措施
(1)端口加固
要想路由器这座城墙固若金汤,密码的设置当然非常重要。一般情况下,网络管理人员可以通过路由器的Console Aux和Ethernet口登录到路由器,然后进行配置。这种情况虽然方便了管理,但非法之徒也可以乘虚而入,所以给相应的端口加上密码是必须的常规配置方法。以Aux端口为例,命令如下:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#password test54ee
Router(config-line)#login
显然,配置密码时应该加强密码的混合度使非法入侵者不那么轻松破门而入进行大肆攻击路由器。不少管理员对超级用户密码进行设置时使用配置命令enable password,这就埋下了一大安全隐患。鉴于此,推荐用户使用enable secret命令对密码进行加密,这种加密采用了MD5散列算法较前一配置更为安全。
Router(config)#enable secret test54ee
图1
(2)过滤ICMP报文
恶性的ping是局域网病毒常常采用的攻击方式。病毒随机生成ping的目标地址,然后通过路由器来进行报文转发,因此在路由器中就需要为每个ping的ICMP报文创建一条NAT的对应表。如果管理员在特权用户模式下查看该表时,若是用户看到大量的ICMP的NAT的session就应该警惕地想到是否已经中招(即遭到拒绝服务攻击)。
如果病毒恶性的发动ICMP的ping攻击,在几秒钟内发出上万个ping报文则会在NAT表中占用了大量的NAT的Session的连接。而UDP的NAT的SESSlON的存在时间为5秒,TCP连接的NAT的SESSION的保存时间为24小时,这种恶性的ping攻击便可能将NAT的SESSION的值全部占用。造成的后果是,正常的网络数据报文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服务会造成无法进行正常的网络通讯。因此,我们可以采用访问列表的方式将ICMP的报文过滤掉,保证正常的网络服务。我们可以通过下面命令屏蔽来自外部和内部的ICMP包。
Router(Config)#access-list 110 deny icmp any any echo log
Router(Config)#access-list 110 deny icmp any any redirect log
Router(Config)#access-list 110 deny icmp any any mask-request log
Router(Config)#access-list 110 permit icmp any any
Router(Config)#access-list 111 permit icmp any any echo
Router(Config)#access-list 111 permit icmp any any Parameter-problem
Router(Config)#access-list 111 permit icmp any any packet-too-big
Router(Config)#access-list 111 permit icmp any any source-quench
Router(Config)#access-list 111 deny icmp any any log
图2
(3)端口过滤
在路由器的出口和入口创建访问列表来控制病毒的出入,这些访问控制列表都是基于端口(比如135、136、445、4444等)的。通常情况下,管理员可通过察看数据包的数目,以调整他们的顺序,将转换多的包放在前面可以提高速度。
Router(Config)#Access-list 110 deny tcp any any eq 135
Router(Config)#Access-list 110 deny udp any any eq 135
Router(Config)#Access-list 110 deny tcp any any eq 136
Router(Config)#Access-list 110 deny udp any any eq 136
Router(Config)#Access-list 110 deny tcp any any eq 445
Router(Config)#Access-list 110 deny udp any any eq 445
Router(Config)#Access-list 110 deny tcp any any eq 4444
Router(Config)#Access-list 110 deny udp any any eq 4444
按照上述方式,将列表应用到相应的端口即可以了。
图3
3.其他措施
(1)服务优化
路由器开启的服务要尽量地少,依据需要只开启所需的服务,禁掉一些不必要的服务。这样不仅节省内存,另外最大的好处就是安全性的提高。如何保障路由器的简约的工作,防止内存的消耗可以通过以下方法进行:首先用户可以关闭路由器的报文快速转发机制,通过关闭接口的报文快速转发机制,采用正常的报文转发机制便会杜绝路由器由于快速转发造成的内存不足问题。其次在内存分配方面进行优化,关闭快速转发最后用户还应该检查是否已经正确的配置静态路由。
图4
(2)路由安全
无论网络管理人员多么辛苦地防范,但是堡垒往往会从内部被攻破,若是路由器的物理安全得不到保障其他一切都是空谈。另外,对于Cisco路由器来说其IOS安全也是不容忽视的,要做好备份和升级。其次,路由日志安全也很重要,要做好备份策略。
总之,只要掌握病毒特点就可以利用cisco路由器的本身功能够斩断黑手,在最大程度上将病毒拒之门外。当然,这只是在缺少其它保护的前提下应用的策略。为了保护网络的安全,可采用多种安全产品,网管的责任心也是非常重要的因素。