路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。今天就跟着小编一起来看一看:学习一下路由器安全配置的指南。
大家在使用路由器的同一时间,安全问题一直都是我们关系的话题。除此之外,路由器安全配置也是我们十分需要掌握的技巧,于是小编就稍微研究一下路由器安全配置的详细知识以及一些简单的办法,在这里的话,小编就拿出来和大家分享一下吧,希望这对大家有所帮助!
假如说要不是思科最新发布的安全警告的提醒,非常多网络管理员还没有真正的认识到他们的路由器安全配置能够成为攻击的热点。事实上,路由器操作系统和网络操作系统这两者一样很容易受到黑客的攻击。接下来小编就为大家简单的介绍一下,关于保证路由器安全配置的十个基本的技巧。具体的基本技巧如下所示:
技巧一:禁用HTTP设置以及SNMP(也就是简单网络管理协议)
我们的路由器安全配置的HTTP设置部分,这对于一个繁忙的网络管理员来说的话,这是十分容易进行设置的。但是,这对路由器安全配置来说也可以说得上是一个安全问题。假如我们的路由器安全配置有一个命令行设置,禁用HTTP方式并且使用这一种设置方式。假如说大家并没有使用我们的路由器安全配置上面的SNMP(简单网络管理协议),那么我们就不需要启用这一个功能了。其实大家可以看到,Cisco路由器安全配置里面存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。
技巧二:封锁ICMP(也就是互联网控制消息协议)ping请求
ICMP,它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。ping以及其它的一些ICMP功能对于网络管理员以及黑客来说,这都是一些十分有用的工具。黑客能够利用我们的路由器上面所启用的ICMP功能找出可用来攻击我们的网络的信息。
技巧三:更新一下我们的路由器操作系统
就好像网络操作系统一模一样,路由器操作系统也需要进行及时的更新,以方便我们纠正编程错误、软件瑕疵以及缓存溢出等等的问题。另外一个方面,也需要经常向我们的路由器厂商查询当前的更新以及操作系统的版本哟。
技巧四:修改默认的口令
根据卡内基梅隆大学的计算机应急反应小组声称,有百分之八十的安全事件都是因为较弱或者是默认的口令所引起的。所以小编的建议就是,大家都应该避免使用普通的口令,除此之外,大家还应该使用大小写字母混合的方式作为更加强大的口令规则。
技巧五:禁用IP重新定向以及IP路由这两者
重新定向允许数据包从一个接口进来,接下来就从另外一个接口出去。事实上,我们并不需要将一些精心设计的数据包重新定向到专用的内部网路。
技巧六:包过滤
包过滤仅仅只是传递我们允许进入我们的网络的那一种数据包。有非常多的公司仅仅只允许使用80端口(也就是HTTP,超文本传输协议)以及110/25端口(也就是电子邮件)。另外一个方面,我们也能够直接封锁以及允许IP地址和范围。
技巧七:审查安全的记录
仅仅只需要通过简单地利用一些时间审查我们的记录文件,那么大家就会看到一些明显的攻击方式,甚至是一些安全漏洞了。小编相信大家将为我们经历了这么多的攻击感到十分惊奇。
技巧八:不必要的服务
大家一定要永远禁用的一些并不必要的服务,无论是路由器、服务器以及工作站上面的不必要的服务通通都需要禁用。思科的网络设备通过网络操作系统默认地提供一些小的服务,就比如说:echo(回波),chargen(也就是字符发生器协议)以及discard(抛弃协议)。这一些服务,特别是它们的UDP服务(UDP是UserDatagramProtocol的简称,中文名是用户数据报协议),非常少是用于合法的目的。但是,这一些服务能够直接用来实施拒绝服务攻击以及其它的攻击。另外一个方面,包过滤能够直接防止这一些攻击。
技巧九:禁用来自互联网的telnet命令
在大多数的情况下面,我们都不需要来自互联网接口的主动的telnet会话。假如说是从内部访问我们的路由器安全配置相对来说会更加的安全一些。
技巧十:禁用IP定向广播
最后小编要为大家介绍的技巧就是禁用IP定向广播,IP定向广播能够允许对我们的设备实施拒绝服务攻击。一台路由器的内存以及CPU真的难以承受太多的请求,所以这一种结果往往都会导致缓存溢出的情况出现。
小编结语:
今天的教程,小编就已经介绍完毕了,确定在网络里面毗邻路由器非常重要的方法,希望这对大家有所帮助。
