通过适当的路由器设置,边缘路由器可以将几乎所有最顽固的不良分子阻挡在网络之外。如果你愿意,这个路由器也可以让好人进入网络。但是,没有适当设置的路由器只比完全没有安全措施的路由器稍微好一点。
在下面的指南中,我们将研究9个保护网络安全的便捷步骤。这些步骤可以确保您有一堵砖墙来保护您的网络,而不是一扇敞开的门。
1.修改默认密码。
据国外调查,80%的网络安全漏洞是由弱密码造成的。网络上的大多数路由器都有一个广泛的默认密码列表。你可以肯定某个地方的某个人会知道你的生日。SecurityStats.com网站维护着一个可用/不可用密码的详细列表和一个密码可靠性测试。
2.关闭IP直接广播(IPDirectedBroadcast)
你的服务器很听话。它会做它被告知要做的任何事情,不管是谁下的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用一个虚假的源地址向您的网络广播地址发送“ICMPecho”请求。这要求所有主机响应此广播请求。这种情况至少会降低你的网络性能。
请参考您的路由器信息文件,了解如何关闭IP直接广播。例如,' central(config)# noip source-route '会关闭思科路由器的IP直播地址。
3.如果可能,关闭路由器的HTTP设置。
正如思科的技术规范中简要解释的那样,HTTP使用的识别协议相当于向整个网络发送一个未加密的密码。然而遗憾的是,HTTP协议中没有有效的验证口令或一次性口令的规定。
虽然这个未加密的密码可能非常方便您从远程位置(比如家里)设置路由器,但是您能做的事情别人也能做。尤其是你还在用默认密码的时候!如果您必须远程管理路由器,您必须确保使用SNMPv3或更高版本,因为它支持更严格的密码。
4.阻止ICMPping请求
ping的主要目的是识别当前正在使用的主机。因此,ping通常用于更大规模的协同攻击前的侦察活动。通过取消远程用户响应ping请求的能力,您可以更容易地避免那些无人值守的扫描活动,或者防御寻找简单目标的“脚本小子”。
请注意,这实际上不会保护您的网络免受攻击,但会降低您成为攻击目标的可能性。
5.关闭IP源路由
IP协议允许主机指定数据包通过网络的路由,而不是让网络组件来确定最佳路径。该功能的合法应用是诊断连接故障。但是,这种应用很少使用。此功能最常见的用途是镜像您的网络以进行侦察,或者让攻击者在您的专用网络中找到后门。除非指定只能用于故障排除,否则应关闭此功能。
6.确定您的包过滤需求。
封锁端口有两个原因。根据您对网络安全级别的要求,其中一种适合您的网络。
对于高网络安全性,尤其是在存储或保存机密数据时,通常需要在过滤前获得许可。在此规定中,除了网络功能所需的端口和IP地址外,所有端口和IP地址都必须被阻止。例如,用于web通信的端口80和用于SMTP的端口110/25允许来自指定地址的访问,而所有其他端口和地址都可以关闭。
通过使用“根据拒绝的请求进行过滤”的方案,大多数网络将享有可接受的安全级别。使用此过滤策略时,您可以阻止网络中未使用的端口以及特洛伊木马或侦察活动常用的端口,以增强网络的安全性。例如,阻止端口139和445(TCP和UDP)将使黑客更难对您的网络进行彻底的攻击。拦截端口31337(TCP和UDP)将使BackOrifice特洛伊木马更难攻击您的网络。
这项工作应在网络规划阶段确定,此时对网络安全等级的要求应满足网络用户的需求。查看这些端口的列表,了解它们的正常用途。
7.建立允许进出的地址过滤策略。
在您的边界路由器上建立一个策略,根据IP地址过滤网络内外的安全违规。除了特殊和不寻常的情况,所有试图从网络内部访问互联网的IP地址都应该有一个分配给局域网的地址。例如,地址192.168.0.1可能是通过此路由器访问互联网的合法地址。然而,216.239.55.99的地址可能是欺骗性的,是攻击的一部分。
相反,来自互联网外部的通信源地址不应该是您内部网络的一部分。因此,地址192.168.X.X、172.16.X.X和10。X.X.X应该被屏蔽。
最后,应该允许带有源地址或保留且无法追踪的目的地址的所有流量通过此路由器。这包括环回地址127.0.0.1或classE地址段240.0.0-254.255.255.255。
8.保护路由器的物理安全
从网络嗅探的角度来看,路由器比集线器更安全。这是因为路由器根据IP地址智能地路由数据包,而集线器则向所有节点广播数据。如果连接到该集线器的系统将其网络适配器置于混乱模式,他们可以接收和查看所有广播,包括密码、POP3通信和Web通信。
然后,一定要确保物理访问您的网络设备是安全的,以防止未经授权的嗅探设备(如笔记本电脑)被放置在您的本地子网中。
9.花时间查看安全记录
查看路由器的记录(通过其内置的防火墙功能)是发现安全事件的最有效方法,无论是正在进行的攻击还是未来攻击的症状。您也可以找出特洛伊木马程序和间谍软件程序试图建立外部连接使用日志的传出网络。细心的网络安全管理员可以在病毒传播者做出反应之前发现“红队”和“尼姆达”病毒的攻击。
通常,路由器位于网络的边缘,允许您查看进出网络的所有通信的状态。