直是我们关注
问题
如何彻底解决路由器安全问题在这里提供 6个窍门技巧和大家分享希望对大家有用
据卡内基梅隆大学CERT/CC(计算机应急反应小组/控制中心)称80%路由器安全突破事件是由薄弱口令引起 1.修改默认
口令! 据卡内基梅隆大学
CERT/CC(计算机应急反应小组/控制中心)称80%路由器安全突破事件是由薄弱口令引起网络上有大多数路由器广泛默认口令列表你可以肯定在某些地方某个人会知道你生日SecurityStats.com网站WebSite维护个详尽可用/不可用口令列表以及个口令可靠性测试 2.关闭IP直接广播(IP Directed Broadcast)
你
服务器是很听话让它做什么它就做什么而且不管是谁发出指令Smurf攻击是种拒绝服务攻击在这种攻击中攻击者使用假冒源地址向你网络广播地址发送个“ICMPecho”请求这要求所有主机对这个广播请求做出回应这种情况至少会降低你网络性能参考你路由器安全信息文件了解如何关闭IP直接广播例如“Central(config)#noipsource-route”这个指令将关闭思科路由器IP直接广播地址 3.如果可能
关闭路由器HTTP设置 正如思科
技术介绍说明中简要介绍说明那样HTTP使用身份识别协议相当于向整个网络发送个未加密口令然而遗憾是HTTP协议中没有个用于验证口令或者次性口令有效规定 虽然这种未加密
口令对于你从远程位置(例如家里)设置你路由器也许是非常方便但是你能够做到事情其他人也照样可以做到特别是如果你仍在使用默认口令!如果你必须远程管理路由器你定要确保使用SNMPv3以上版本协议
它支持更严格口令 4.封锁ICMPping请求
ping
主要目是识别目前正在使用主机因此ping通常用于更大规模协同性攻击的前侦察活动通过取消远程用户接收ping请求应答能力你就更容易避开那些无人注意扫描活动或者防御那些寻找容易攻击目标“脚本小子”(script kiddies)请注意这样做实际上并不能保护你网络不受攻击但是这将使你不太可能成为个攻击目标 5.关闭IP源路由
IP协议允许
台主机指定数据包通过你网络路由而不是允许网络组件确定最佳路径这个功能合法应用是用于诊断连接故障但是这种用途很少应用这项功能最常用用途是为了侦察目对你网络进行镜像或者用于攻击者在你专用网络中寻找个后门除非指定这项功能只能用于诊断故障否则应该关闭这个功能 6.确定你
数据包过滤需求 封锁端口有两项理由
其中的根据你对路由器安全水平要求对于你网络是合适对于高度路由器安全网络来说特别是在存储或者保持秘密数据时候通常要求经过允许才可以过滤在这种规定中除了网路功能需要的外所有端口和IP地址都必要要封锁例如用于web通信端口80和用于SMTP110/25端口允许来自指定地址访问而所有其它端口和地址都可以关闭 大多数网络将通过使用“按拒绝请求实施过滤”
方案享受可以接受路由器安全水平当使用这种过滤政策时可以封锁你网络没有使用端口和特洛伊木马或者侦查活动常用端口来增强你网络路由器安全性例如封锁139端口和445(TCP和UDP)端口将使黑客更难对你网络实施穷举攻击封锁31337(TCP和UDP)端口将使BackOr
ice木马
更难攻击你网络
最新评论