注意路由器預設設定的細節教程
大家都知道通過在路由器或交換機上設定訪問控制列表ACL,可以在一定程度上起到提高安全,防範黑客與病毒攻擊的效果,小編所在公司也一直在使用這個方法。
然而,小編卻在實際工作中發現了一個影響安全的問題,如果對路由器的預設設定不注意的話,很可能會讓強大的ACL列表失效,就好比二戰的馬其諾防線一樣,病毒與黑客可以非常輕鬆地繞道攻擊內網計算機。
安全分析:
有過路由器配置經驗的讀者應該知道網路管理員經常通過在路由器或交換機上設定訪問控制列表來完成防範病毒和黑客的作用。Cisco出品的路由器或交換機的訪問控制列表都預設在結尾添加了“DENY ANY ANY”語句,這句話的意思是將所有不符合訪問控制列表ACL語句設定規則的資料包丟棄。
最近小編所在公司添置了華為的2621系列路由器,一般情況下CISCO和華為裝置的配置方法基本相同,所以小編按照在Cisco路由器上的設定語句制定了ACL規則,並將這些規則輸入到華為路由器上。由於CISCO預設自動新增DENY ANY ANY語句,所以小編也想當然的認為華為路由器也會預設將這個命令新增。然而,在配置後卻發現所有ACL過濾規則都沒有生效,該過濾的資料包仍然被路由器正常轉發。
經過反覆研究、查詢資料,小編髮現原來華為公司的訪問控制列表在結尾處新增的是“PERMIT ANY ANY”語句,這樣對於不符合訪問控制列表ACL語句設定規則的資料包將容許通過,這樣造成了一個嚴重後果,那就是不符合ACL設定規則的資料包也將被路由器無條件轉發而不是Cisco公司採用的丟棄處理,這造成了該過濾的資料包沒有被過濾,網內安全岌岌可危。非法資料包繞過了網路管理員精心設定的防病毒“馬其諾防線”,從而輕而易舉的侵入了使用者的內網。
解決措施:
如何解決這個問題呢?這個問題是因為華為路由器的預設設定造成的。我們可以在ACL的最後新增上“DENY ANY ANY”語句或將預設的ACL結尾語句設定為DENY ANY ANY.頭一種方法僅僅對當前設定的ACL生效,以後設定新ACL時路由器還是預設容許所有資料包通過;而第二種方法則將修改路由器的預設值,將其修改成和CISCO裝置一樣的預設阻止所有資料包。
1、ACL規則直接新增法
在華為裝置上設定完所有ACL語句後再使用“rule deny ip source any destination any”將沒有符合規則的資料包實施丟棄處理。
2.修改預設設定法
在華為裝置上使用“firewall default deny”,將預設設定從容許轉發變為丟棄資料包。從而一勞百逸的解決預設漏洞問題。因此小編推薦大家使用第二種方法解決這個預設設定的缺陷問題。
總結:
經過這次“馬其諾”事件,我們可以發現即使是相同的配置命令,如果廠商不同最好事先查閱一下使用者手冊特別注意預設設定,往往預設設定會造成很多不明不白的故障。發現問題以後也不要輕易懷疑裝置硬體有問題,應該多從軟體及配置命令入手查詢問題所在。一個小小的預設設定就將精心打造的防病毒體系完全突破,所以對於我們這些網路管理員來說每次設定後都應該仔細測試下網路狀況,確保所實施的手段得以生效。