关于路由交换等网络设备的安全问题探讨

摘要：随着网络的快速发展，计算机网络已经深入到了各个领域，由此也衍生出了很多安全问题。而路由器、交换机作为其中非常重要的设备，对网络发展与网络安全也起着很重要的责任。本文主要探讨路由交换等网络设备的安全问题，并讨论路由交换等网络设备的安全功能与路由交换等设备的安全测试。

关键词：网络设备；安全；路由；交换

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599（2013）01-0098-02

计算机网络在现实生活中给大家带来的了大量优势，其中最大的优势是在于他的开放性，使得一些终端的智能设备被最大限度的支持，由此丰富了生活中各种各样的业务与应用。但是，正是因为终端的智能化与计算机网络的开放性，让计算机网络面临着前所未有的安全威胁。通过分析，计算机网络面临的安全威胁主要来自与两个方面：一方面是网络自身，主要有路由器、交换机等网络设备；另一方主要来自于主机的安全，主要包括应用服务器和用户主机等。其中用户主机所面对的安全威胁主要是病毒对Windows操作系统的攻击。网络设备面临的安全威胁则主要是基于TCP/IP协议的攻击。因此，本文主要探讨网络自身的安全问题，即路由器、与交换机等自身的安全问题。

1 网络设备存在的安全问题及功能

（1）交换机是网络环境中重要的核心转发设备，是保证整个内部网络安全的关键，而他的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。随着网络技术的发展，交换机不仅具有以上的功能也添加了一些新的功能，比如说三层交换机，他可以支持VLAN（虚拟局域网）与链路汇聚，甚至还有些交换机具备了防火墙所以具有的功能。

从交换机的体系结构来看，现有交换机的组成主要包括ASIC芯片与CPU两部分，其中ASIC芯片的主要更能是用于高速的转发数据包，CPU则用来处理以下几个方面的事务：对数据请求与网络管理方面进行处理、对整个交换机进行监视控制和管理等、维护三层交换机的路由表等。此外，在ARP协议的大量操作中也需要CPU的协助来完成的。

（2）我国路由器发展速度非常的迅猛，使得各个厂商的竞争也越来越激烈，至此，本文在这里主要对路由器在网络安全方面存在的安全问题做出了简单的分析。总所周知，网络安全方面不能仅仅依靠某一个单一的设备或者单一的技术来实现。而路由器作为计算机网络中的主要骨干设备，自然而然的肩负着防护网络安全的重任。路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互了解对方发来的数据，因此，路由器的相互之间链接可以构成一个更大的网络。当前路由器具有两种非常典型的功能，那就是控制功能与数据通道功能。控制功能具有几个鲜明的特点，如系统管理、与相邻路由器之间的信息交换、系统配置等，他一般都是用软件来实现的；而数据通道功能主要由特定的硬件来完成输出链路调度、转发决定及背板转发等。

路由器设备从功能上或者从协议系统的角度按TCP/IP协议的层次来进行划分，可以把路由器设备划分为三个平面，即数据平面、控制/信令平面及管理平面，而每个平面都有可能受到不同层次的攻击。以下分别介绍各个平面存在的危险及功能；

（1）控制/信令平面相对于路由器来说，他的主要功能就是对路由器的信息进行交换，它面临的主要威胁与攻击是来自于IP地址的伪造以及路由信息的窃取等，使得路由器中的路由信息被泄漏或滥用。

（2）路由器的数据平面主要功能是是负责处理设备中的数据流，因此，他面临的主要威胁是大流量的攻击与畸形报文攻击。这些攻击会造成设备的可用性降低，因为基于流量的攻击会占用路由设备的CPU处理时间，使得网络中正常数据流量得不到及时性处理。另外，路由器的数据平面在转发数据时也常常会受到一些针对用户数据的攻击，由此使得的用户数据的机密性与完整性被破坏，例如，对用户数据的修改或删除，也有可能使得数据被恶意窃取等。

（3）系统管理平面所面临的威胁主要来自于两方面，一方面是来自于“不严密的管理”；另方面是“系统管理所使用的协议的漏洞”如设备管理账号被泄露等。

2 网络安全与设备测试

随着计算机应用水平的提高，使得人们对网络安全性的要求也越来越高，而作为计算机网络中比较核心设备（路由器、交换机）在安全能力方面也应该有所提高。因此，我们更应该加强重视路由交换设备的安全能力测试；所以在路由器的安全能力测试中，可以考虑从控制/信令平面、数据平面以及管理平面入手来进行安全能力测试。

2.1 控制/信令平面的安全测试

控制/信令平面的安全测试主要包括IS-IS协议安全测试、OSPF协议安全测试、BGP协议的MD5认证、RIPv2协议的认证等，其中IS-IS协议安全测试包括IS-IS路由域上的明文/MD5认证与IS-IS区域内明文/MD5认证；OSPF协议安全测试包括接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、邻居路由器之间的明文/MD5认证以及OSPF区域内使用明文/MD5认证等[1]。