八招搞定企业路由器安全隐患
服务器·网管
企业路由器是企业局域网连接外部网络的闸门,一切数据都要从这里进出,由于其作用的重要性,这里也是黑客们经常光顾的地方。如果不对路由器进行合理设置,黑客就可能轻松地从这里进入企业内网,窃取商业机密,损坏重要文件。
企业路由器的设置非常重要,那么怎样做到企业路由器的合理设置呢?小编马上就教你几招。
第一招 经常更换路由器密码
招数目的:防止企业路由器密码被盗
很多路由器登录界面的默认用户名和默认密码都是“admin”,因此对新购进的企业路由器我们首先要在配置界面里更改登录密码。其次,密码是要经常更换的,企业路由器密码一旦被黑客破解,黑客可以轻松修改路由器配置,企业局域网就很可能全面瘫痪,轻则耽误企业正常工作,重则损坏重要文件。
第二招 关闭HTTP设置和SNMP协议
招数目的:防止HTTP设置和SNMP协议成为漏洞
网管可以非常方便地在企业路由器中进行HTTP设置,因为HTTP使用的身份识别协议是不需要加密验证的。因此,为了防止黑客或者本地局域网的其他人也这样设置,网管必须关闭企业路由器的HTTP设置。同理,SNMP协议可以让你远程管理企业路由器,黑客一旦掌握了你的远程控制密码,你的局域网还会有好日子过吗?因此,关闭HTTP设置的同时,也一定要关闭SNMP协议。
第三招 禁用Telnet命令
招数目的:不让黑客利用Telnet命令
Telnet命令是黑客用来实现远程登录的最常用命令。一般网管远程登录的情况很少,大部分时间是在本地局域网对路由器进行设置,因此我们要禁用Telnet命令。
第四招 升级路由器操作系统
招数目的:修正路由器软件问题
某些路由器和计算机一样也有操作系统(如Cisco 2006),因此路由器操作系统同样也需要更新升级,以不断修正企业路由器经常出现的一些软件错误。网管要经常访问该企业路由器的官方网址,或者电话咨询当前该型号的路由器是否有新的操作系统。
第五招 禁用ICMP 协议
招数目的:防止被Ping
Ping命令是黑客判断被攻击服务器是否在网络中处于开机状态的最常用方式,一旦通过Ping命令判断出你的服务器正在使用,那么,紧接着你的服务器可能很快会被攻击。因此网管应该取消远程用户接受Ping命令应答功能,禁用ICMP协议。这样网管才能更好地防御黑客的扫描。
第六招 禁用IP源路由
招数目的:堵住IP源路由留下的后门
IP协议允许计算机的指定数据包通过企业源路由,这种方法一般用于判断网络连接故障,但用到这种方法的时候很少。用这种方法在诊断网络故障的同时,也给攻击者留下了一个后门,因此如果不是特别地需要,可以关闭这项功能。
第七招 设置数据包过滤
招数目的:阻挡可疑数据包
使用数据包过滤功能后,只能传输允许进入网络的数据包。目前的企业局域网,一般都只设置允许80端口(HTTP)、110端口和25端口的数据包传输,其他端口都已封锁。当然,网管还可以设置允许访问网址的范围。
第八招 关闭不必要的服务
招数目的:防止服务被黑客利用
网管们都熟悉在服务器上关闭不必要的服务,其实在路由器上同样存在相同的问题。比如Cisco企业路由器在路由器操作系统中就提供了一些小服务,如echo(回波)、chargen(字符发生器协议)和discard(抛弃协议)。这些小服务在黑客手中会变为被利用的漏洞,网管关闭这些服务可以防止黑客利用这些服务来进行攻击。
总结:学会上面几招就可以将企业路由器的安全级别提升一个档次了,但也不是绝对的安全。平时网管在维护时要密切关注路由器和局域网内的情况,每天查看企业路由器安全记录,一有情况立即采取措施。只有平时多下功夫,才能将威胁降到最低。