路由器安全设置九部曲

对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。

1.修改默认的口令!

据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

2.关闭IP直接广播(IP Directed Broadcast)

你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

3.如果可能,关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。

4.封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。

5.关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

6.确定你的数据包过滤的需求

封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。

这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。

7.建立准许进入和外出的地址过滤政策

在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。

相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。

然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

9.花时间审阅安全记录

审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。

对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 路由器安全设置九部曲

    对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一.一般来说,大多数网络都有一个主要的接入点.这就是通常与专用防火墙一起使用的"边界路由器". 经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外.如果你愿意的话,这种路由器还能够让好人进入网络.不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点. 在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤.这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门. 1

  • DB2 9数据服务器发展3部曲

    正在看的db2教程是:DB2 9数据服务器发展3部曲. 很难想象,现在还有什么应用跟数据库无关.就连微软的下一代操作系统Vista,也要用其数据库来组织其新式的文件系统.可以说,经过多年的发展,数据已经成为整个信息化进程和下一阶段发展的最可宝贵的资源,而保存和管理数据资源的数据库,其技术的发展和进步,就成为了最值得关心和重视的问题.从层次型数据库到管理关系型数据库,乃至目前的同时支持关系型和XML的混合型数据库DB2 9,数据库管理技术在其发展的将近40年的历程中,大致经历了以上3个阶段. IM

  • 谈宽带共享上网和路由器设置方法

    最近,有不少朋友问及笔者,电信要封闭路由的事件是否属实?据笔者在电信工作的朋友透露,广东电信目前并没有收到任何封闭路由的消息.不过空穴来风,未必无因.不论事件是否属实,起码这招杀鸡警猴还是收到一定的阻吓作用.因此,大家在申报.安装宽带时,如想共享也得考虑再三了. 不过,笔者认为,电信如果真要封闭路由共享,对整个网络行业会带来极端的负面影响,因此在实行中,电信也不得不再三考虑.首先,中国的宽带事业到目前为止,只能对重点城市和一级的县.市普及,在一些农村.贫困地区并未真正普及开来,如果不把价格调低甚

  • 病毒也是宽带路由器死机的罪魁之一

    问题:两台笔记本都是通过无线网卡和无线宽带路由器上网.最近其中的一笔记本一开IE就会弹出一个奇怪的窗口,接着两台笔记本就都不能上网了,重启宽带路由器后正常使用不超过5分钟,再次不能上网.请问这是怎么回事. 回答:如果排除设置问题的话,建议对两台笔记本进行查杀病毒的处理.特别是打开IE就会自动弹出窗口的那部笔记本,很有可能中了病毒.有些网络病毒会专门攻击宽带路由器的特定端口或者在网络中不断发送广播包.当遇到这样的情况时,宽带路由器会因为负载过重而引起死机掉线等问题.跟据你所描述的,重启后正常使用一

  • 如何反编译D-Link路由器固件程序并发现它的后门

    OK,又是周末晚上,没有约会,只有一大瓶Shasta汽水和全是快节奏的音乐-那就研究一下程序吧. 一时兴起,我下载了D-link无线路由器(型号:DIR-100 revA)的固件程序 v1.13.使用工具Binwalk,很快的就从中发现并提取出一个只读SquashFS文件系统,没用多大功夫我就将这个固件程序的web server(/bin/webs)加载到了IDA中: /bin/webs中的字符信息 基于上面的字符信息可以看出,这个/bin/webs二进制程序是一个修改版的thttpd,提供路由

  • Windows 2008 r2 防火墙设置端口例外的方法

    最近入手了win2008 r2的服务器,使用发现,确实比2003性能得到大量提升尤其对于高配置的机器,安全性也加强了,设置更专业,推荐大家以后都使用2008 r2的,32位与64位的软件安装无压力. 防火墙开启可以有效防止外部非法访问,能够很好的保护内网电脑.可是开启防火墙之后,很多应用服务内外网访问都有限制,那么可以通过设置防火墙端口排除例外来解决这个问题,本经验以win2008R2系统截图为例 方法/步骤 1.Windows2008R2系统防火墙在,控制面板里面去找(还可以到服务器管理器里面

  • 网络基础学习之十七路由器原理、分类和选购

    上一篇我们已对路由器的基础方面有一个全面的了解,本篇要继续介绍路由器的其它几个方面.首先要介绍的是路由器的工作原理,只有在充分理解了路由器工作原理基础上,才能正确理解路由器的主要作用. 一.路由器的工作原理 我们知道路由器是用来连接不同网段或网络的,在一个局域网中,如果不需与外界网络进行通信的话,内部网络的各工作站都能识别其它各节点,完全可以通过交换机就可以实现目的发送,根本用不上路由器来记忆局域网的各节点MAC地址.路由器识别不同网络的方法是通过识别不同网络的网络ID号进行的,所以为了保证路由

  • 网络基础学习之十八主要路由器技术

    路由器我们知道是一个相当复杂的设备,它的复杂性并不在于它的硬件如何庞大,而在于它的软件技术相当复杂.目前全球能生产出中.高档路由器的也只有少数的那么几家,国内就更少了.为了对路由器技术有一个较全面的了解,本节就路由器技术的几个重要方面作如下介绍. 一.主要路由协议 路由协议是路由器软件中重要的组成部分.路由器的路由功能就是通过这些路由协议来实现的,路由协议的作用是用来建立以及维护路由表.路由表是记录一些转发数据到已知目的节点的最佳路径,有了它,只需直接按路径转发数据包即可,可大大提高数据转发的速

  • 路由器配置全攻略第1/4页

    第一章 路由器配置基础 一.基本设置方式 二.命令状态 三.设置对话过程 四.常用命令 五.配置IP寻址 六.配置静态路由  第二章 广域网协议设置 一.HDLC 二.PPP 三.X.25 四.Frame Relay 五.ISDN 六.PSTN 第三章 路由协议设置 一.RIP协议 二.IGRP协议 三.OSPF协议 四.重新分配路由 五.IPX协议设置 第四章 服务质量及访问控制 一.协议优先级设置 二.队列定制 三.访问控制 第五章 虚拟局域网(VLAN)路由  一.虚拟局域网(VLAN)

  • 路由器原理及路由协议

    本文通过阐述TCP/IP网络中路由器的基本工作原理,介绍了IP路由器的几大功能,给出了静态路由协议和动态路由协议,以及内部网关协议和外部网关协议的概念,同时简要介绍了目前最常见的RIP.OSPF.BGP和BGP-4这几种路由协议,然后描述了路由算法的设计目标和种类,着重介绍了链路状态法和距离向量法.在文章的最后,扼要讲述了新一代路由器的特征. 近十年来,随着计算机网络规模的不断扩大,大型互联网络(如Internet)的迅猛发展,路由技术在网络技术中已逐渐成为关键部分,路由器也随之成为最重要的网络

随机推荐