路由器经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下面的指南中,我们将研究如何保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。。
1.修改默认的口令
据国外调查,80%的网络安全突破是由弱密码造成的。网络上大多数路由器的默认密码都有一个很长的列表。你可以肯定某个地方的某个人会知道你的生日。
SecurityStats.com网站维护着一个可用/不可用密码的详细列表和一个密码可靠性测试。
2.关闭IP直接广播(IPDirectedBroadcast)
你的服务器很听话。它做它被告知要做的任何事情,并且不管谁给出指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用一个假的源地址向您的网络广播地址发送“ICMPecho”请求。
这要求所有主机响应此广播请求。这种情况至少会降低你的网络性能。
请参考您的路由器信息文件,了解如何关闭IP直接广播。比如命令“central(config)# noip source-route”会关闭思科路由器的IP直播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要解释的那样,HTTP使用的识别协议相当于向整个网络发送一个未加密的密码。然而,不幸的是,在HTTP协议中没有用于验证密码或一次性密码的有效规定。
虽然这个未加密的密码可能非常方便您从远程位置(比如家里)设置路由器,但是您能做的事情别人也能做。尤其是你还在用默认密码的时候!如果您必须远程管理路由器,
您必须确保使用SNMPv3以上的协议,因为它支持更严格的密码。
4.封锁ICMPping请求
ping的主要目的是识别当前使用的主机。所以ping通常用于更大规模的协同攻击前的侦察活动。通过取消远程用户接收ping请求的应答能力,
您可以更容易地避免那些未被注意到的扫描活动,或者保护自己免受寻找简单目标的“脚本小子”的攻击。
请注意,这实际上并不能保护您的网络免受攻击,但会降低您成为攻击目标的可能性。
5.关闭IP源路由
IP协议允许主机指定数据包通过网络的路由,而不是让网络组件来确定最佳路径。该功能的合法应用是诊断连接故障。但是,这种用法很少使用。
此功能最常见的用途是镜像您的网络以进行侦察,或者让攻击者在您的专用网络中找到后门。除非规定只能用于故障诊断,否则应关闭该功能。
6.确定你的数据包过滤的需求
阻塞端口有两个原因。根据您对网络安全级别的要求,其中一种适合您的网络。
为了高度的网络安全,尤其是在存储或保存机密数据时,通常需要在过滤前获得许可。在此规定中,除了网络功能所需的端口和IP地址外,所有端口和IP地址都必须被阻止。举个例子,
用于web通信的端口80和用于SMTP的端口110/25允许来自指定地址的访问,而所有其他端口和地址都可以关闭。
通过使用“根据拒绝的请求进行过滤”的方案,大多数网络将享有可接受的安全水平。使用此过滤策略时,您可以阻止网络中未使用的端口以及特洛伊木马或侦察活动常用的端口,以增强网络的安全性。举个例子,
阻止端口139和445(TCP和UDP)将使黑客更难对您的网络进行彻底的攻击。阻止端口31337(TCP和UDP)将使BackOrifice特洛伊木马更难攻击您的网络。
这项工作应该在网络规划阶段确定,这时候网络安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,
192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。
这包括回送地址127.0.0.1或者E类(classE)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,
它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,
你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的网络安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
路由器一般情况下,位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
