|
|
安全至上 交换机和路由器安全设置方案
对于大多数局域网来说,交换机和路由器已经成为正在使用最多的网络设备之一。在很多管理员眼中,交换机和路由器不过就是一个共享接入Internet的硬件设备,如果忽视了它们的安全设置,整个局域网很可能就是一扇敞开的大门,但是经过下述几方面的设置之后,这扇门也会变成一堵安全的墙。
(1)设置安全的口令。一般来说,路由器的登录口令都是直接采用admin、888888、666666等比较容易猜出的字串,有些路由器会在登录界面以口令明文形式进行提示,甚至还有些路由器必须要手工设置密码,否则直接单击“登录”按钮就可以对路由器进行设置,因此将交换机或者路由器投入使用之前一定要设置安全的口令。
比如需要对阿尔法V8路由器修改密码,可以在IE浏览器中登录路由器之后,依次单击“基本设置→修改密码”链接,此时先输入旧密码,并且输入两次完全一致的新密码,确认之后即可完成密码重新设置的操作。
但是在设置密码的时候需要注意,密码的长度尽可能确保在8位以上,而且尽量不要采用自己的姓名、生日、电话号码之类容易被别人猜测得到的字串作为密码,最好能够采用大小写字母、数字、特殊符号组成的字串作为密码,这样不仅可以避免别人随意猜测密码,即使借助专门的软件进行暴力破解也需要很长的时间,因此把由于交换机和路由器弱口令而导致的局域网隐患下降到最低点。
(2)关闭Ping命令测试。设置好路由器之后,让它做什么它就会做什么,即便对于一些来自于外部网络的攻击命令也不例外。通常黑客进行攻击之前,首先要借助Ping命令识别目前正在使用的计算机,因此Ping通常用于大规模的协同性攻击之前的侦察活动。通过取消远程用户接收Ping请求的应答能力,就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标。在通过Ping获取目标计算机之后,黑客就能够通过各种手段进行攻击。例如Smurf攻击就是一种拒绝服务攻击,在这种攻击中,攻击者使用假冒的源地址向路由器发送一个“ICMP echo”请求,这要求所有的主机对这个广播请求做出回应。虽然这种攻击并不会直接破坏网络的正常运行,但是会降低网络性能。
在阿尔法路由器管理窗口中,依次单击“安全设置→杂项”链接,并且选中“WAN口Ping包过滤”后部的“启用”复选框。经过这样设置之后,凡是外部Internet发送来的Ping请求都会被自动过滤,从而增强了路由器和局域网内部计算机的安全。
(3)关闭虚拟服务器。几乎所有的交换机和路由器都提供了虚拟服务器的功能,虚拟服务器使得外部Internet用户可访问架设在内部局域网其他计算机中的WWW、FTP和其他服务。这种虚拟服务器功能虽然给内部局域网架设服务器带来了诸多便利,但是却给局域网的安全带来了隐患。
例如Web网站所使用的HTTP身份识别协议相当于向整个网络发送一个未加密的口令,但是HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于从远程位置设置路由器也许是非常方便的,可是别人也有可能利用这个漏洞入侵服务器,进而威胁到整个局域网的安全。
在路由器中关闭虚拟服务器的时候,在管理窗口中依次单击“重定向规则→虚拟服务器”链接,并且在如图24-7所示的窗口中取消所有已经开启的虚拟服务。
(4)关闭IP源路由。某些程序需要多条连接,例如Internet游戏、视频会议、网络电话等,但是这些程序需要通过NAT路由才可以正常工作。通常说来,IP协议允许一台主机指定数据包通过路由器,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障,但是这种用途很少应用,反倒便于黑客对内部局域网进行侦察,或者用于攻击者在网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
在路由器管理窗口中依次单击“高级设置→路由表”链接,并且取消所有已经设置的特殊应用程序NAT路由即可。
(5)MAC地址控制。通常交换机和路由器都提供固定IP映射和有线连接控制两种MAC地址控制方法,通过MAC地址设置可以让管理员来设置允许或拒绝用户连接到路由器或者Internet,因此可以增加内部网络计算机的安全性。如果某个用户被拒绝连接到路由器,表示该用户无法存取Internet以及某些网路资源;当某个客户端计算机可以接入路由器,表明它能够接入Internet和使用其他网络资源。
在路由器管理窗口中依次单击“安全设置→MAC地址控制”链接,此时控制列表中有2个客户端,其中客户端1的网卡MAC地址为“00-12-34-56-78-90”、IP地址为手动设置的192.168.1.100;客户端2的网卡MAC地址为“00-12-34-56-78-92”,它将从DHCP服务器中自动获得IP地址。
如果客户端1尝试使用192.168.123.100之外的IP地址,它将被拒绝接入路由器。同样,如果网卡MAC地址不在MAC地址列表中的时候,这些客户端计算机都会被拒绝接入路由器。
(6)确定数据包过滤的需求。确定数据包过滤实际上就是封锁端口,而合适的封闭端口对于提升局域网的安全有着极大的作用。对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必须要封锁。例如,用于Web通信的端口80和用于SMTP的110/25端口之外,所有其他的端口和地址都可以关闭。
大多数路由器都通过使用“按拒绝请求实施过滤”的方案来增强整个局域网的安全性,当使用这种过滤方法时,可以封锁局域网没有使用的端口、特洛伊木马或者侦查活动常用的端口来增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对网络实施穷举攻击;封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击网络。
在路由器管理窗口中依次单击“安全设置→报文过滤”链接,并且选中“拒绝所有数据包通过,匹配以下条件的数据包除外”选项,接着分别设置80、110和25这3个常用端口,这样除非进行浏览网页或者收发电子邮件的操作,其余的网络操作都将会给路由器自动过滤,从而大大提升了内部网络计算机的安全。
(7)保证路由器的物理安全。从网络嗅探的角度看,路由器比集线器更安全,这是因为路由器根据IP地址智能化地路由数据包,而集线器向所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。但是一定要确保物理访问交换机和路由器的客户端计算机是安全的,以防止未经允许的用户将嗅探设备放在内部网络中。
(8)更新固件版本。就像Windows操作系统一样,交换机和路由器的操作系统也需要更新,以便修正编程错误、软件bug和缓存溢出等问题。因此,管理员需要经常登录厂商网站来寻找更新版本的升级文件,并且对交换机和路由器进行升级操作。
在路由器管理窗口中依次单击“工具箱→固件升级”链接,单击“浏览”按钮选择已经下载保存的固件升级文件,最后单击“升级”按钮即可开始路由器升级操作。不过在升级过程中要格外注意电源的稳定性,如果中途意外断电有可能导致路由器无法正常使用。
(9)审阅安全记录。审阅路由器记录是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序,从而在这些恶性软件发作之前有效地进行阻截。
|
|
雷达卡
.gif)
发表于 2011-1-13 16:40
提升卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2011-1-13 16:47
