|
|
| 路由器的操作系统(IOS)是路由器最核心的部分,及时升级操作系统能有效地修补漏洞、获取新功能并提高性能。
|
|
|
|
|
| 路由器虽然可以提供BOOTP、Finger、NTP、Echo、Discard、Chargen、CDP等网络服务,然而这些服务会给路由器造成安全隐患,为了安全,建议关闭这些服务。下面是一些关闭路由器危险的网络服务的操作方法:
|
|
|
| (1)禁止CDP(Cisco Discovery Protocol)。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| (6)禁止从网络启动和自动从网络下载初始配置文件。
|
|
|
|
|
|
|
|
|
|
|
|
|
| (9)明确地禁止IP Directed Broadcast。
|
|
|
|
|
|
|
|
|
| (11)禁止ICMP协议的IP Unreachables、Redirects、Mask Replies。
|
|
|
|
|
|
|
| 在禁止时必须删除一些SNMP服务的默认配置,或者需要访问列表来过滤。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 在路由器的网络接口上禁止IP直接广播,可以防止smurf攻击。禁止IP直接广播的配置方法如下:
|
|
|
|
|
| 另外,为了防止攻击利用路由器的源路由功能,也应对其禁止使用,其配置方法是:
|
|
|
|
|
|
|
| 路由器给用户提供虚拟终端(VTY)访问,用户可以使用Telnet从远程操作路由器。为了保护路由器的虚拟终端安全使用,要求用户必须提供口令认证,并且限制访问网络区域或者主机。例如,路由器south的安全配置如下:
|
|
|
|
|
| 路由器south通过上述安全配置,用户只有提供正确的口令才能访问VTY,并且只能从网络X.Y.Z登录。
|
|
|
|
|
| 网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器,为了阻断这些攻击,路由器利用访问控制来禁止这些恶意数据包通行。常见的恶意数据包有以下类型:
|
|
|
|
|
|
|
|
|
|
|
|
|
| 下面是一个名为North的路由器的安全配置,其作用是阻断恶意数据包,配置信息如下:
|
|
|
|
|
|
|
| 口令是保护路由器安全的有效方法,但是一旦口令信息泄露就会危及路由器安全。因此,路由器的口令存放应是密文。在路由器配置时,使用Enable secret命令保存口令密文,配置操作如下:
|
|
|
|
|
|
|
| 启用路由器的IPSec功能,对路由器之间传输的信息进行加密。借助IPSec,路由器支持建立虚拟专用网(VPN),因而可以用在公共IP网络上确保数据通信的保密性。由于IPSec的部署简便,只须安全通道两端的路由器支持IPSec协议即可,几乎不需要对网络现有的基础设施进行变动。
|
|
|
|
|
| 修改路由器设备厂商的SNMP默认配置,对于其public和private的验证字一定要设置好,尤其是private的,一定要设置一个安全的、不易猜测的验证字,因为入侵者知道了验证字,就可以通过SNMP改变路由器的配置。
|
|
|
