怎么才能让路由器安全？

全部回答

2017-07-26

45 0

     　1。更新你的路由器操作系统:就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
   　　2。修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。  避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。
   　　3。禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。
    如果你没有使用你的路由器上的SNMP，那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。　　4。封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。
  黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。   　　5。禁用来自互联网的telnet命令:在大多数情况下，你不需要来自互联网接口的主动的telnet会话。
  如果从内部访问你的路由器设置会更安全一些。　　6。禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。  这种结果会导致缓存溢出。
   　　7。禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。　　8。包过滤:包过滤仅传递你允许进入你的网络的那种数据包。
  许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。  此外，你可以封锁和允许IP地址和范围。　　9。审查安全记录:通过简单地利用一些时间审查你的记录文件，你会看到明显的攻击方式，甚至安全漏洞。
  你将为你经历了如此多的攻击感到惊奇。　　10。不必要的服务:永远禁用不必要的服务，无论是路由器、服务器和工作站上的不必要的服务都要禁用。    思科的设备通过网络　　操作系统默认地提供一些小的服务，如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。
  这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。

提交

相关回答

H***

2017-07-26

怎样才能保护路由器远离字典攻击？

  针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器。在本文中，你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击。　　你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的（DoS）攻击可能成功的攻击你的Cisco路由器。
  事实上，我敢打赌，即便是大多数网络管理员没有全部打开这些端口，那么他至少也会打开其中一个端口用于路由器的管理。　　当然，在公网中开放这些端口要比在私网中开放这些端口危险的多。但是，无论是对公网开放还是对私网开放这些端口，你都需要保护你的路由器防止它们受到字典DoS攻击，通过这种攻击，攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。
  　　不过由于在网络操作系统 12。3(4)T以及以后的版本中都有了增强的登陆功能，因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势：　　在发现连续登陆尝试后，创建一个登陆延迟。
  　　如果出现太多的登陆尝试失败的话，将不再允许登陆。　　在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。　　如何知道你的路由器中是否包含这些代码？最简单的查找方法是到"全局配置模式（Global Configuration Mode）并且输入"login（登陆）""，这个命令将返回一个选择列表，具体显示如下：　　block-for--用于设置安静模式活动时间周期。
  　　delay--用于设置连续失败登陆的时间间隔。　　on-failure--用于设置试图登陆失败后的选项。　　on-sucess--用于设置试图登陆成功后的选项。　　quiet-mode--用于设置安静模式的选项。
  　　如果你的路由器中的网络操作系统中没有这个代码，它将返回一个"无法识别的命令"错误。　　如果你的路由器中没有这个功能，那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能（参照Cisco 网络操作系统增强登陆功能）你还可以使用这个工具来查找你所需要的其他功能。
  记住，下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。　　用于配置这些功能的最基本的基表的命令是login block-for命令，这也是唯一的命令。一旦你激活了这个命令，其缺省的登陆延迟时间是一秒。
  在你指定的时间内，如果试图登陆的最大次数超过你所给定的次数的话，系统将拒绝所有的登陆尝试。　　在全局配置模式下，执行下面的命令：　　login block-for （在多长时间内拒绝所有的登陆尝试）　　attempts （如果登陆的次数超过此数）within （在多少秒以内）　　下面给出一个例子　　login block-for 120 attempts 5 within 60　　该命令对系统进行如下配置：如果在60秒以内有五次登陆失败的话，路由器系统将在120秒以内拒绝所有的登陆。
  如果此时你输入show login的话，你将接收到以下输出信息：　　缺省情况下登陆延迟时间是一秒钟。　　没有配置安静模式访问列表。　　路由器激活了登陆攻击监控程序。　　如果在60秒左右的时间内有五次登陆失败的话，　　系统将禁用登陆操作120秒。
  　　路由器目前处于正常模式。　　目前的监控窗口还有54秒钟。　　目前的登陆失败次数为0。　　这些信息显示了你的设置，包括缺省的登陆延迟时间为一秒钟，以及其他的附加信息。它还告诉你目前路由器处于正常模式，这意味着路由器目前还允许你登陆。
  　　如果路由器认为有人对其进行攻击，它将进入安静模式，并且开始拒绝所有的登陆操作。你还可以配置一个ACL，在其中说明这个路由器对哪些主机和网络例外，无论是处于安静模式还是处于其他状态，都允许这些主机和网络登陆路由器。
  　　下面是这些命令中用于配置系统的一些选项：　　登陆延迟（数字）：在失效登陆后增加延迟的秒数。你可以选择1到10之间的任何数字。　　登陆失败和登陆成功：这些选项允许你选择在登陆成功或者失败时使用的日志和SNMP警告的类型。
  　　登陆安静模式访问类（ACL数字）：增加ACL数字，使用这个选项可以增加一个隔绝列表，无论路由器处于安静模式还是处于正常模式，这个列表中的主机和网络都可以登陆路由器。　　通常情况下，为了安全，我建议在所有的路由器上都激活login block-for选项。
  这些新功能将可以帮助你更好的保证路由器的安全。　　如果你正好从事这方面的工作，并且你还没有做好准备的话，那么可以考虑只在路由器上使用SSH并且只允许从内网访问。SSH加密所有从PC到路由器的通信信息（包括用户名和密码）。
   以上是我对于这个问题的解答，希望能够帮到大家。收起

怎么才能让路由器安全？

全部回答

相关回答

怎样才能保护路由器远离字典攻击？

类似问题换一批

热点推荐

热度TOP

热点搜索换一换

怎么才能让路由器安全？

全部回答

相关回答

怎样才能保护路由器远离字典攻击？

类似问题换一批

热点推荐

热度TOP

热点搜索 换一换

热点搜索换一换