路由器安全増强技术方法-路由器的安全方法
及時升級操作系統和打補丁
路由器的操作系統(IOS)是路由器最核心的部分,及時升級操作系統能有效地修補漏洞、 獲取新功能并提高性能
關閉不需要的網絡服務
路由器雖然可以提供 BOOTP, Finger、NTP、Echo、Discard、Chargen、CDP 等網絡服務然而這些服務會給路由器造成安全隱患,為了安全,建議關閉這些服務
禁止 CDP (Cisco Discovery Protocol)
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
禁止其他的 TCP、UDP Small 服務
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
禁止 Finger 服務
Router(Config)# no ip finger
Router (Config)# no service finger
禁止 HTTP 服務
Router(Config)# no ip http server
禁止 BOOTP 服務
Router(Config)# no ip bootp server
禁止從網絡啟動和自動從網絡下載初始配置文件
Router(Config)# no boot network
Router(Config)# no service config
禁止 IP Source Routing
Router(Config)# no ip source-route
禁止 ARP-Proxy 服務
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
明確地禁止 IP Directed Broadcast
Router(Config)# no ip directed-broadcast
禁止 IPCIassless
Router(Config)# no ip classless
禁止 ICMP 協議的 IP Unrcachablcs、Redirects、Mask Rcplies
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
禁止 SNMP 協議服務
在禁止時必須刪除一些 SNMP 服務的默認配置,或者需要訪問列表來過濾
Router(Config) # no snmp-server community public Ro
Router(Config) # no snmp-server community admin RW
Router(Config) # no access-list 70
Router(Config) # access-list 70 deny any
Router(Config) # snmp-server community MoreHardPublic Ro 70
Router(Config) # no snmp-server enable traps
Router(Config) # no snmp-server system-shutdown
Router(Config) # no snmp-server trap-anth
Router(Config) # no snmp-server
Router(Config) # end
禁止 WINS 和 DNS 服務
Router(Config)# no ip domain-lookup
明確禁止不使用的端口
Router(Config)# interface eth0/3
Router(Config)# shutdown
禁止 IP 直接廣播和源路由
在路由器的網絡接口上禁止 IP 直接廣播,可以防止 smurf 攻擊
router#interface eth 0/0
router#no ip directed-broadcast
為了防止攻擊利用路由器的源路由功能,也應對其禁止使用,其配置方法是
router#no ip source-route
增強路由器 VTY 安全
路由器給用戶提供虛擬終端(VTY)訪問,用戶可以使用 Telnet 從遠程操作路由器。為了保護路由器的虛擬終端安全使用,要求用戶必須提供口令認證,并且限制訪問網絡區域或者主機。
阻斷惡意數據包
網絡攻擊者經常通過構造一些惡意數據包來攻擊網絡或路由器,為了阻斷這些攻擊,路由器利用 訪問控制來禁止這些惡意數據包通行
常見的惡意數據包有以下類型
- 源地址聲稱來自內部網
- loopback 數據包
- ICMP 重定向包
- 廣播包
- 源地址和目標地址相同
路由器口令安全
口令是保護路由器安全的有效方法,但是一旦口令信息泄露就會危及路由器安全。因此,路由器的口令存放應是密文
Router#Enable secret 2Many-Routes-4-U
傳輸加密
啟用路由器的 IPSec 功能,對路由器之間傳輸的信息進行加密
増強路由器 SNMP 的安全
修改路由器設備廠商的 SNMP 默認配置,對于其 public 和 private 的驗證字一定要設置好, 尤其是 private 的,一定要設置一個安全的、不易猜測的驗證字,因為入侵者知道了驗證字,就 可以通過 SNMP 改 變路由器的配置。
學習參考資料:
信息安全工程師教程(第二版)
建群網培信息安全工程師系列視頻教程
信息安全工程師5天修煉
總結
以上是生活随笔為你收集整理的路由器安全増强技术方法-路由器的安全方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 获取公司主路由器控制权限小记
- 下一篇: Comcast携手英特尔重新定义家庭连接