路由器操作系统和网络操作系统一样容易受到黑客攻击。大多数中小企业不雇佣路由器工程师,也不把这个功能作为必须外包。所以网络管理员和管理者不是很了解,也没有时间去保证路由器的安全。以下是确保路由器安全的十个基本技巧。
1.更新您的路由器操作系统。
就像网络操作系统一样,路由器操作系统也需要更新,以纠正编程错误、软件缺陷和缓存溢出。请务必向您的路由器制造商咨询最新的更新和操作系统版本。
2.修改默认密码。
根据卡内基梅隆大学计算机应急响应小组的数据,80%的安全事件是由弱密码或默认密码引起的。避免使用普通密码,使用大小写字母混合作为更强的密码规则。
3.禁用HTTP设置和SNMP(简单网络管理协议)
对于繁忙的网络管理员来说,路由器的HTTP设置部分很容易设置。但是,这也是路由器的安全问题。如果您的路由器有命令行设置,请禁用HTTP并使用此设置。如果您的路由器上没有使用SNMP,则不需要启用此功能。Cisco有一个SNMP安全漏洞,容易受到GRE隧道攻击。
4.阻止ICMP(互联网控制消息协议)ping请求
Ping和其他ICMP功能对于网络管理员和黑客来说是非常有用的工具。黑客可以使用路由器上启用的ICMP功能来找出可用于攻击您网络的信息。
5.禁用来自互联网的telnet命令。
在大多数情况下,您不需要从Internet界面进行活动的telnet会话。从内部访问路由器设置更安全。
6.禁用IP定向广播
IP定向广播可能允许对您的设备进行拒绝服务攻击。路由器的内存和CPU无法承受太多的请求。这种结果将导致缓存溢出。
7.禁用IP路由和IP重定向
重定向允许数据包从一个接口进入,然后从另一个接口出去。您不需要将精心设计的数据包重定向到专用的内部网。
8.包过滤
包过滤只传送您允许进入您网络的那种包。很多公司只允许80端口(HTTP)和110/25端口(email)。此外,您可以阻止和允许IP地址和范围。
9.查看安全记录。
只要花些时间查看您的记录文件,您就会发现明显的攻击方法,甚至安全漏洞。你会惊讶于自己经历了多少次攻击。
10.不必要的服务
永远禁用不必要的服务,无论是在路由器、服务器还是工作站上。思科设备通过网络操作系统默认提供一些小服务,比如echo、chargen和discard。