让路由器摆脱安全困扰
“feiyang”通过精心收集,向本站投稿了7篇让路由器摆脱安全困扰,下面是小编为大家整理后的让路由器摆脱安全困扰,欢迎大家借鉴与参考,希望对大家有所帮助。
篇1:让路由器摆脱安全困扰
很多网络管理员还没有认识到他们的路由器能够成为攻击的热点,路由器操作系统同网络操作系统一样容易受到 的攻击,大多数中小企业没有雇佣路由器工程师,也没有把这项功能当成一件必须要做的事情外包出去。因此,网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。
更新你的路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。
禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞,
封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和 都是非常有用的工具。 能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。
禁用来自互联网的telnet命令:在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。
禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。
禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。
审查安全记录:通过简单地利用一些时间审查你的记录文件,你会看到明显的攻击方式,甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。
不必要的服务:永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络
操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
篇2:让交换机路由器更加安全三种办法
正文:传统的网络安全技术侧重于系统入侵检测,反病毒软件或防火墙。内部安全如何?在网络安全构造中,交换机和路由器是非常重要的,在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能,要了解有些什么,如何工作,如何部署,一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的,出厂时就处于安全设置的状态,特别操作的设置在用户要求时才会被激活,所有其他选项都是关闭的,以减少危险,网管员也无需了解哪些选项应该关闭。
在初始登录时会被强制要求更改密码,也有密码的期限选项及登录尝试的次数限制,而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。交换机及路由器在掉电,热启动、冷启动,升级IOS、硬件或一个模块失败的情况下都必须是安全的,而且在这些事件发生后应该不会危及安全并恢复运作,因为日志的原因,网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变,
抵挡DoS攻击
从可用性出发,交换机和路由器需要能抵挡拒绝服务式Dos攻击,并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。
交换机及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代码漏洞,在漏洞被发现报告后,厂商可以开发、创建、测试、发布升级包或补丁。
基于角色的管理给予管理员最低程序的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。
控制管理权限的最好办法是在授权进入前分权限,可以通过认证和帐户服务器,例如远程接入服务,终端服务,或LDAP服务。
远程连接的加密
很多情况下,管理员需要远程管理交换机及路由器,通常只能从公共网络上访问。为了保证管理传输的安全,需要加密协议,SSH是所有远程命令行设置和文件传输的标准协,基于WEB的则用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则加密此通讯。
SNMP用来发现、监控、配置网络设备,SNMP3是足够安全的版本,可以保证授权的通信。
篇3:让Windows系统摆脱加载尴尬Windows安全
当在系统中频繁安装和卸载一些应用程序,或者频繁对系统进行杀毒操作的话,系统在日后的启动过程中可能会出现相关内容无法加载的尴尬现象,当我们不小心遭遇这样的尴尬现象时,系统启动效率将会受到明显影响;为了提高系统启动效率,本文下面就将一些常见的启动加载错误总结出来,并对它们提出相应的解决办法,希望这些内容能对各位有用!
1、让系统摆脱cnsmin.dll无法加载尴尬
当系统中安装过3721软件,之后又没有正确将它从系统中卸载干净的话,那么系统在日后的启动过程中,可能会遇到cnsmin.dll加载失败的故障提示,面对这种故障提示,我们可以按照下面的操作方法来尝试让系统摆脱cnsmin.dll无法加载的尴尬:
首先依次单击系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“msconfig”,单击回车键后,打开系统的实用程序配置窗口;
其次单击该配置窗口中的“启动”标签,然后在对应的标签页面,检查一下该页面中的“cnsmin”项目是否处于选中状态,一旦选中的话必须及时将它取消选中,再单击“确定”按钮,最后重新启动一下计算机系统,相信这么一来系统就不会出现cnsmin.dll无法加载的尴尬了;
如果上面的方法还无法让系统摆脱cnsmin.dll无法加载尴尬的话,我们可以依次单击系统桌面的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开本地系统的注册表编辑窗口;
在该编辑窗口的左侧列表区域,将鼠标定位于“HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run”注册表子键,然后将该子键下面的3721加载项删除掉,再刷新一下系统注册表接就可以让系统摆脱cnsmin.dll无法加载的尴尬了。
2、让系统摆脱cmicnfg.cpl 无法加载尴尬
有时候系统在启动的过程中会碰到cmicnfg.cpl加载错误的故障提示,同时系统还弹出找不到指定模块的提示,系统之所以会出现这种启动加载尴尬,多半是我们平时不按照正确顺序关闭计算机系统,或者随意使用工具程序对磁盘分区容量进行调整时造成系统文件发生丢失引起的。要想让系统摆脱cmicnfg.cpl无法加载尴尬,我们可以进行下面的尝试操作:
首先用鼠标右键单击系统桌面中的“我的电脑”图标,从弹出的快捷菜单中执行“属性”命令,打开系统的属性设置窗口,单击该窗口中的“硬件”标签,并在对应标签页面中单击“设备管理器”按钮,打开系统的设备列表窗口;
用鼠标展开该窗口中的“声音、视频和游戏控制器”项目,然后用鼠标右键单击该分支项目下面的指定声卡设备,从弹出的快捷菜单中执行“卸载”命令(如图所示),这样一来声卡设备的驱动程序就被自动从系统中彻底卸载干净了;
紧接着将Windows系统的安装光盘放置到物理光驱中,并依次单击系统桌面中的“开始”/“运行”命令,在弹出的系统运行文本框中输入字符串命令“sfc /scannow”,单击回车键后,系统就会自动执行系统文件的修复操作;等到修复操作结束后,将Windows系统的安装光盘从物理光驱中取出来,同时重新启动一下计算机系统,之后再将声卡驱动程序重新安装一
关 键 字:Windows安全
篇4:如何让自己的无线路由器更安全
现在越来越多的人在使用无线路由器功能来来加固自己的网络安全,在那些场合利用无线网络上网会出现安全问题呢?我们该怎样去保护自己的隐私呢?
无线路由器功能 为安全加锁
随着越来越多的朋友进入“无线一派” 这个大家庭,无线网络的安全也就备受大家关注了。相对而言,无线比有线网络更难保护,因为有线网络的固定物理访问点数量有限,而无线网络中信号能够达到的任何一点都可能被使用。
因此各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等手段,但这些安全设置是否真的有效?下面以支持 IEEE 802.11g标准的无线设备为例,通过实测的方式,带领大家将疑问逐一解开。
无线路由器功能:设置网络密钥
无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。现在大多数的无线设备只具备WEP加密,更为安全的WPA加密还未被广泛使用。目前,无线路由器或AP的密钥类型一般有两种。例如,所使用的无线路由器便有64位和128位的加密类型,分别输入10个或26个字符串作为加密密码。
在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防”的摆设。因此,为你的无线网络进行加密设置是极为重要的。测试结果:选用了64位加密方式,实测中,通过Network Stumbler等软件发现了无线网络的存在,但由于无法获取密码,不能使用该无线网络。
无线路由器功能:禁用SSID广播
通俗地说,SSID便是你给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。
无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”,
你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。小提示:通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,认为还是值得的。测试结果:由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,达到了“掩人耳目”的目的。
无线路由器功能:禁用DHCP
DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易地使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。测试结果:由于无法获得IP地址和DNB服务器信息,既使能找到该无线网络信号,仍然不能使用网络。
无线路由器功能:启用MAC地址、IP地址过滤
在无线路由器的设置项中,启用MAC地址过滤功能时,要注意的是,在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项。另外,如果在无线局域网中禁用了DHCP功能,那么建议你为每台使用无线服务的电脑都设置一个固定的IP地址,然后将这些IP地址都输入IP地址允许列表中。启用了无线路由器的IP地址过滤功能后,只有IP地址在列表中的用户才能正常访问网络,其他人只能干瞪眼了。
测试结果:MAC地址过滤和IP地址过滤设置好后,即使有人勉强入侵了无线网络,但由于MAC地址和IP地址被无线路由器的过滤功能禁止掉了,因此无线网络仍然无法使用。
无线路由器功能总结
实际上在实测的过程中发现,前面提到的任一方式都可以保护好自己的无线网络,所以普通用户无须担忧,可以放心使用。另外,如果在机场、会议室等公共场合使用一些公用的无线网络,一定要记住关闭自己的文档和打印共享功能,因为这类共享的文档很容易被同一个局域网内的另外一个客户端所访问。
篇5:网管如何设置网吧路由器让网络更安全
在网吧做网管最重要的一项工作就是杀毒防毒工作,做好安全是件很棘手的事情,但是只要防患于未然,病毒也没有想象中那么难以阻挡,本篇文章我们和大家分享如何设置网吧路由器才能让网吧的电脑更加安全?
首先是在路由器的出口和入口创建访问列表来控制病毒的出入,这些访问控制列表都是基于端口(比如135、136、445、4444等)的。通常情况下,管理员可通过察看数据包的数目,以调整他们的顺序,将转换多的包放在前面可以提高速度。
Router(Config)#Access-list110denytcpanyanyeq135
Router(Config)#Access-list110denyudpanyanyeq135
Router(Config)#Access-list110denytcpanyanyeq136
Router(Config)#Access-list110denyudpanyanyeq136
Router(Config)#Access-list110denytcpanyanyeq445
Router(Config)#Access-list110denyudpanyanyeq445
Router(Config)#Access-list110denytcpanyanyeq4444
Router(Config)#Access-list110denyudpanyanyeq4444
按照上述方式,将列表应用到相应的端口即可以了,
除此之外网吧路由器要做好优化,开启服务越少,安全性越高。因此对于一些不必要的服务要禁止掉。
篇6:让网络更安全 SSH远程管理路由器技巧
路由器的安全非常重要,若一个恶意用户通过类似Sniffer这样的嗅探工具,很容易就能在管理员主机或者适当的接口进行本地监听获取管理员登录思科路由器的密码,其实,我们可以利用SSH加强思科路由器远程管理。
一、嗅探工具的危害
通常Telnet到思科路由器进行远程管理是很多网管的选择,但是通过Telnet传输的数据都是明文,因此这种登录方式存在很大的安全隐患。事实上,只要利用嗅探工具,那么管理员所有在路由器上输入的命令都会被嗅探到,就算是管理员更改了路由器的密码,并且进行了加密但都可以嗅探得到。
二、SSH的作用
SSH的英文全称为Secure Shell,默认的连接端口是22,其传输的数据是经过压缩的,可以加快传输的速度;通过使用SSH,可以把所有传输的数据进行加密,也能够防止DNS和IP欺骗。
SSH不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于SSH远程管理;当下的SSH工具不仅有命令行下的,也有一些GUI图形界面下的工具。
三、SSH在思科路由器上具体部署
利用SSH代替Telnet是必要的,要实现SSH对CISOC的安全管理,还需要在路由器上进行相关设置。
(1)Cisco配置
ra#config terminal
ra(config)#ip domain-name ctocio.com.cn
//配置一个域名
ra(config)#crypto key generate rsa general-keys modulus 1024
//生成一个rsa算法的密钥,密钥为1024位
(提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份,
ra(config)#ip ssh time 120
//设置ssh时间为120秒
ra(config)#ip ssh authentication 4
//设置ssh认证重复次数为4,可以在0-5之间选择
ra(config)#line vty 0 4
//进入vty模式
ra(config-line)#transport input ssh
//设置vty的登录模式为ssh,默认情况下是all即允许所有登录
ra(config-line)#login
ra(config-line)#exit
ra(config)#aaa authentication login default local
//启用aaa认证,设置在本地服务器上进行认证
ra(config-line)#username ctocio password ctocio
//创建一个用户ctocio并设置其密码为ctocio用于SSH客户端登录
SSH思科路由器设置就完成了。
(2)SSH登录
上面设置完成后就不能Telnet到cisco了,必须用专门的SSH客户端进行远程登录,而且所有的数据都进行了加密,我们看不到注入用户、密码等敏感信息。
网络管理安全是第一,SSH能够极大程度地预防来自中间人的攻击,利用SSH可以确保我们远程登录Cisco路由器的安全。
篇7:让你的网络更加安全,路由器安全设置十四步
1. 为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器当前的用户列表。
关闭命令为:no service finger。
6. 关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
7. 阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下: no ip source-route。
8. 关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9. 管理HTTP服务。
HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10. 抵御spoofing(欺骗) 类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。 在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。
11. 防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
13. 防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。) 首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
综述:
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
【让路由器摆脱安全困扰】相关文章:
7.老产品情节困扰
9.摆脱贫困心得体会
10.摆脱贫困读后感
文档为doc格式
