在互联网的世界里,路由器是不成或缺的主要部件,没有它我们将没有法子和五彩斑斓的外部世界成立联系。是以,路由器的打点一向是收集打点员最主要的日常工作之一。
( U4 G3 r+ }8 e+ ?" v$ U
0 h+ P3 z& E- j本文作者连系自己的工作实践,总结了14条呵护路由器、防止犯警入侵的法子,您不妨一试。 路由器是收集系统的首要设备,也是收集平安的前沿关口。如不美观路由器连自身的平安都没有保障,整个收集也就毫无平安可言。是以在收集平安打点上,必需对路由器进行合理规划、设置装备摆设,采纳需要的平安呵护法子,避免因路由器自身的平安问题而给整个收集系统带来裂痕和风险。 下面是一些增强路由器平安的具体法子,用以阻止对路由器自己的抨击袭击,并提防收集信息被窃取。
/ d: Q" q& G+ {( c* F% Q" K+ r+ A; G8 b/ H
1. 为路由器间的和谈交流增添认证功能,提高收集平安性。
9 f5 Q7 z! T0 f: E$ z) L2 d% O* Q; ~
+ }8 G3 ?/ I( V9 h/ }路由器的一个主要功能是路由的打点和维护,今朝具有必然规模的收集都采用动态的路由和谈,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了不异路由和谈和不异区域标示符的路由器插手收集后,会进修收集上的路由信息表。但此种体例可能导致收集拓扑信息泄露,也可能因为向收集发送自己的路由信息表,侵扰收集上正常工作的路由信息表,严重时可以使整个收集瘫痪。这个问题的解决法子是对收集内的路由器之间彼此交流的路由信息进行认证。当路由器设置装备摆设了认证体例,就会分辩路由信息的收发方。有两种分辩体例,其中“纯文本体例”平安性低,建议使用“MD5体例”。
2 L, z# ]: G/ F4 j" J' H! ]# \
2. 路由器的物理平安提防。 4 F8 J7 v7 i4 t) O
" m2 U6 V e( d. ], T
路由器节制端口是具有非凡权限的端口,如不美观抨击袭击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全节制路由器。
" s& M9 g; L* f* q( V, X' P) Z& N% v+ D2 M, Q" o
3. 呵护路由器口令。 : J, G4 b; h8 m, D& I) n
$ H. {0 Q) {! E6 ]0 i W
在备份的路由器设置装备摆设文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄露,收集也就毫无平安可言。
* U. M5 g9 ~. d3 G& |1 J$ H* r, [' N# i3 s- b
4. 阻止察看路由器诊断信息。
/ @$ ?& K: s, L# `# {0 D
. y& v* N/ ?: d% l8 Q$ u封锁呼吁如下: no service tcp-small-servers no service udp-small-servers
1 _$ a/ u# E4 M+ b; }% Y. i# l- O$ Y3 s3 e8 O; i T
5. 阻止查看到路由器当前的用户列表。 - Q7 V' s/ q2 C8 \" s
$ n0 L: z3 s+ e$ `9 b* F: E1 m
封锁呼吁为:no service finger。
) A7 G9 u5 p' T- [% [
6 p! H5 Q8 A5 d: | O0 h3 X% Q8 H6. 封锁CDP处事。 4 l ?# K9 v3 E4 O% ^
]5 G; u5 x% a5 z$ n
在OSI二层和谈即链路层的基本上可发现对端路由器的部门设置装备摆设信息: 设备平台、操作系统版本、端口、IP地址等主要信息。可以用呼吁: no cdp running或no cdp enable封锁这个处事。 6 ]2 d3 l1 \7 n! z
7 q5 c$ H5 K- U: O1 @! m$ @
7. 阻止路由寡领受带源路由标识表记标帜的包,将带有源路由选项的数据流丢弃。 $ W- G+ d- v( L& @- t; ~* n
& D% Q# j, {5 m( N% o5 w$ W! J D“IP source-route”是一个全局设置装备摆设呼吁,许可路由器措置带源路由选项标识表记标帜的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。封锁呼吁如下: no ip source-route。 |
发表于 2012-8-3 20:03:30
