路由器已被广泛使用。现在,大多数网民只要上网就需要路由器。它们是
网络连接的基本要素之一。路由器的安全性直接关系到其能否接入互联网,路由器是网络
系统的主要设备,也是网络安全的前沿,如果路由器本身没有安全性,整个网络就不安全。
因此,在网络安全
管理中,我们必须计划和路由器的
配置合理,并采取必要的安全防护措施,避免漏洞和风险对整个网络系统由于路由器自身的安全问题。以下是加强路由器的安全性以防止对路由器本身的攻击及防范网络信息被窃取的一些具体措施。学会用小
编辑在一起。
1。增加路由器间协议交换的认证,提高网络安全性
路由器的一个重要
功能是路由管理和
维护。目前,一个大型网络采用动态路由协议,这是常用的RIP,OSPF,EIGRP,:IS-IS、BGP等。当一个具有相同的路由协议和相同的
区域标识符路由器加入网络,路由信息表在网络上会学到的。但是,这种
方法可能会导致网络拓扑信息泄漏,或者它也可以发送信息表的网络在网络上扰乱正常的路由信息表,这可以使整个网络陷入瘫痪的严重。
解决这个问题的办法是对网络中的路由器之间的路由信息交换。当路由器配置的身份验证方法,路由信息是由接收器
识别。有两种方法鉴定,包括纯
文本模式安全性低,建议使用MD5模式;
2的物理安全卫士。路由器
路由器
控制端口是一个具有特殊特权的端口。如果攻击者与路由器进行物理接触,则在断电后将重新
启动,实现
密码修复过程,然后
登录路由器完全控制路由器。
三.
保护路由器密码
在备份路由器配置
文件中,密码仍然以加密的形式存储,密码仍有可能被破解,一旦密码泄露,网络就不安全了。
4。防止路由器诊断信息的
检查 关闭命令如下:noservicetcp小serversnoserviceudp小型
服务器
5。阻止当前路由器
用户列表的视图
关闭命令是:noservicefinger。
6。关闭CDP服务
在两层OSI协议,链路层的基础上,我们可以
发现终端路由器的一些配置信息,如设备平台、
操作系统版本、端口、IP
地址等重要信息。你可以用命令关闭服务:nocdprunning或nocdpenable。
7。防止路由器接收带有源路由标签的数据包,用源路由
选项丢弃数据流
ipsource route是一个全局配置命令,允许路由器和源路由选项
处理数据流。在源路由选项
启用的源路由信息中指定的
路径使数据流交叉的
默认路由,可以绕过防火墙,关闭命令如下:noipsource路线。
8。关闭路由器的广播包
sumrfd。卷攻击使用路由器广播转发配置作为反射板,占用网络资源,甚至造成网络瘫痪。应该施加在每个端口;noipdirected broadcast关闭路由器广播包。
9。http服务的管理
HTTP服务提供的Web管理
界面。Ldquo;noiphttpserverHTTP服务可以被停止。如果你必须使用HTTP,你必须使用访问列表iphttpaccess class命令严格过滤允许的IP地址,并使用iphttpauthentication,命令来
设置权限。
10。防御欺骗(欺骗)攻击
使用访问控制列表,过滤掉所有
目标地址从内部网络的网络地址和索赔,其实从外包装。路由器端口的ipaccess grouplistinnumber访问控制列表如下:
访问listnumberdenyicmpanyanyredirectaccess - listnumberdenyip127.0.0.00.255.255.255anyaccess - listnumberdenyip224.0.0.031.255.255.255anyaccess - listnumberdenyiphost0.0.0.0any。
注:以上四行命令将过滤数据包的部分在BOOTP和DHCP的应用要充分认识到在一个类似的环境中使用。
11。防止数据包嗅探
黑客
经常入侵的
计算机上
安装的网络嗅探软件,监控网络数据流,从而窃取密码,包括SNMP通信代码,包括路由器的登录名和密码的权限,所以它是为网络
管理员对网络安全很难保证。不登录非路由器加密协议在不可靠的网络。如果路由器
支持的加密协议,使用SSH或kerberizedtelnet,或使用IPSec加密所有的路由器的管理流。
12。验证数据流路径的合法性
使用RPF(reversepathforwarding)逆向路径转发,因为攻击者的地址是非法的,所以攻击数据包被丢弃,从而达到抗欺骗攻击的目的。为反向路径转发RPF的配置命令:ipverifyunicastrpf。注意:第一,支持CEF(ciscoexpressforwarding)快速转发。
13。防止SYN攻击
目前,一些路由器软件平台可以打开tcp侦听功能,防止SYN攻击,将
工作模式分为监听和监听两部分。默认是拦截模式。(拦截模式:路由器响应到达的SYN请求,并发送一个SYN-ACK
消息而不是服务器,然后
等待客户
确认。如果收到ACK,原始SYN报文发送到服务器。监控模式:路由器允许SYN请求直接到达服务器。如果会话不在30秒内建立,路由器将发送一个RST来清除连接。)首先,配置访问列表以打开需要保护的IP地址:
accesslist { } { } |允许1-199否认tcpanydestinationdestination通配符
然后,打开TCP侦听:
iptcpinterceptmodeinterceptiptcpinterceptlistaccesslist - numberiptcpinterceptmodewatch
14。使用安全的SNMP管理方案
SNMP是广泛应用于routers.snmpversion1监控和配置安全性低,不适合用在管理和跨越公共网络应用。使用访问控制列表只允许访问从一个特定的工作站通过此功能增强SNMP服务的安全
性能。配置命令:SNMP servercommunityxxxxxrwxx;XX是访问控制列表的数量snmpversion2使用MD5数字身份认证。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
总之,路由器安全是网络安全的重要组成部分。我们必须配合其他安全防范措施,共同建设一个完整的安全防范工程。