網絡安全威脅分析
拒絕服務
路由器轉發處理能力強,但是控制面和管理面處理能力有限。攻擊者通過向路由器發起海量的消息請求,導致路由器CPU無法實時處理消息,引發正常的業務交互流程、內部處理流程阻塞,達到拒絕服務的目的。
拒絕服務是路由器面臨的最大的威脅,在安全加固配置時,要求重點考慮拒絕服務類攻擊的防禦。
信息洩漏
路由器面臨的信息洩漏威脅,最重要的風險就是非授權的訪問,可以分成如下幾種情況:
- 利用系統配置疏忽:路由器為了某些特定場合的便利性,提供了免認證登錄的模式,在現網部署時由於疏忽沒有關閉此模式,導致惡意用戶非授權訪問。
- 利用管理流程疏忽:路由器為了開局方便,通常使用一套配置文件作為模板開局,由於管理員疏忽,沒有修改管理員賬號密碼,引發非授權訪問。
- 利用IP網絡開放性的缺陷:惡意用戶通過在網絡上部署嗅探器、偵聽設備,把傳輸的IP報文截獲並進行解析,達到信息洩漏目的。
- 存儲介質洩密:路由器單板、存儲介質,從一個地方轉移到另一個地方時,由於缺乏存儲介質加密機制,造成洩密。
破壞信息完整性
IP網絡的開放性,導致報文在傳輸過程中,可能會被中間轉發節點進行惡意篡改,導致信息傳輸失真或者被中間人有意識的修改消息內容,達到攻擊的目的。
通過非授權訪問,獲得路由器控制權限,或者獲取更高權限的信息。
- 利用網絡配置漏洞:由於沒有合理的配置防火牆訪問控制策略,導致惡意用戶從公網進行暴力破解等方式,強行進入系統。
- 非法利用系統提供的調試手段:路由器為了進行故障定位,提供了一些獲取路由器內部信息處理流程中的信息查看方法。惡意用戶通過利用這些診斷調試接口,越權獲取信息。
- 由於路由器本身的命令行控制機制是基於用戶角色而非賬號的管理控制,導致某些用戶操作遠超其個人身份所需的命令行,讀取通信數據,或者竊取系統配置信息。
身份欺騙
由於IP網絡開放性,對MAC和IP地址缺乏有力的認證鑑權機制,極易產生基於ARP/IP的地址欺騙攻擊,導致路由器需要不斷刷新轉發流程必須的地址表項,處理來自欺騙地址的請求,由於地址表項錯誤導致轉發中斷,由於表項學習能力不足引發拒絕服務。
重放攻擊
IP網絡的開放性導致通信終端在L3及以下層面無法對端進行認證。黑客利用這一特性,通過重複發送特定報文,引發拒絕服務攻擊。
計算機病毒
路由器在網絡系統中除了作為轉發節點同時也是一個可以被管理的網絡單元。當同一個網絡區域的計算機感染病毒,發送大量垃圾流量,耗盡網絡帶寬。此時,路由器作為一個網元節點,將無法獲得網絡資源,導致業務不可用。
人員不慎
在網絡建設階段為了便利業務開通部署而設置的策略,在業務開通之後並沒有及時清除,導致遺留的配置成為後門,被攻擊者利用。
在網絡整改過程中,由於操作人員的不慎或者技能不足,導致配置出錯,引發事故。例如:網線插錯導致環路,協議配錯引發業務中斷,訪問控制策略配置錯誤引發異常阻斷或者開啟了不該開啟的訪問通道等等。
管理員不慎將賬戶口令共享給他人。
物理入侵
路由器無法防止機房管理員物理接入設備,直接物理連接容易獲取高優先級權限。惡意攻擊者通過避開門禁、監控等防護措施,接入路由器。
閱讀更多 IT信息技術隨筆 的文章
