路由器操作系统和网络操作系统一样容易受到黑客攻击。大多数中小企业不聘请路由器工程师,也不把这个功能作为必须外包。因此,
网络管理员和管理者既不完全了解也没有时间来确保路由器的安全性。以下是保证路由器安全的十个基本技巧。
1.更新您的路由器操作系统。
就像网络操作系统一样,路由器操作系统也需要更新,以纠正编程错误、软件缺陷和缓存溢出。请务必向您的路由器制造商咨询最新的更新和操作系统版本。
2.修改默认密码
根据卡内基梅隆大学计算机应急响应小组的数据,80%的安全事件是由弱密码或默认密码引起的。避免使用普通密码,使用大小写字母混合作为更强大的密码规则。
3.禁用HTTP设置和SNMP(简单网络管理协议)。
对于繁忙的网络管理员来说,路由器的HTTP设置部分很容易设置。但是,这也是路由器的安全问题。如果您的路由器有命令行设置,请禁用HTTP模式并使用此设置。
如果您不在路由器上使用SNMP,则不需要启用此功能。Cisco路由器存在易受GRE隧道攻击的SNMP安全漏洞。
4.阻止ICMP(互联网控制消息协议)ping请求。
Ping和其他ICMP功能对于网络管理员和黑客来说是非常有用的工具。黑客可以使用路由器上启用的ICMP功能来查找可用于攻击您网络的信息。
5.禁用来自互联网的telnet命令。
在大多数情况下,您不需要从Internet界面进行活动的telnet会话。从内部访问路由器设置更安全。
6.禁用IP定向广播。
IP定向广播可能允许对您的设备进行拒绝服务攻击。一个路由器的内存和CPU承受不了太多的请求。这种结果会导致缓存溢出。
7.禁用IP路由和IP重定向。
重定向允许数据包从一个接口进入,然后从另一个接口出去。您不需要将精心设计的数据包重定向到私有内部网。
8.包过滤
包过滤只让您允许的数据包进入您的网络。很多公司只允许80端口(HTTP)和110/25端口(email)。此外,您可以阻止和允许IP地址和范围。
9、审查安全记录
只要花点时间查看一下自己的记录,就会发现明显的攻击方法,甚至安全漏洞。你会惊讶自己经历了多少次攻击。
10.不必要的服务
永远禁用不必要的服务,无论是在路由器、服务器还是工作站上。思科设备默认通过网络操作系统提供一些小服务。
如echo、chargen和discard。
