路由器安全増强技术方法-路由器的安全方法

及时升级操作系统和打补丁

路由器的操作系统(IOS)是路由器最核心的部分，及时升级操作系统能有效地修补漏洞、 获取新功能并提高性能

关闭不需要的网络服务

路由器虽然可以提供 BOOTP,Finger、NTP、Echo、discard、Chargen、CDP 等网络服务然而这些服务会给路由器造成安全隐患，为了安全，建议关闭这些服务

禁止 CDP (Cisco discovery Protocol)

禁止 Finger 服务

禁止 HTTP 服务

Router(Config)# no ip http server

禁止 BOOTP 服务

Router(Config)# no ip bootp server

禁止从网络启动和自动从网络下载初始配置文件

禁止 IP Source Routing

Router(Config)# no ip source-route

禁止 ARP-Proxy 服务

明确地禁止 IP Directed broadcast

Router(Config)# no ip directed-broadcast

禁止 IPCIassless

Router(Config)# no ip classless

禁止 ICMP 协议的 IP Unrcachablcs、Redirects、Mask Rcplies

禁止 SNMP 协议服务

在禁止时必须删除一些 SNMP 服务的默认配置，或者需要访问列表来过滤

禁止 WINS 和 DNS 服务

Router(Config)# no ip domain-lookup

明确禁止不使用的端口

Router(Config)# interface eth0/3

Router(Config)# shutdown

禁止 IP 直接广播和源路由

在路由器的网络接口上禁止 IP 直接广播，可以防止 smurf 攻击

router#interface eth 0/0

router#no ip directed-broadcast

为了防止攻击利用路由器的源路由功能，也应对其禁止使用，其配置方法是

router#no ip source-route

增强路由器 VTY 安全

路由器给用户提供虚拟终端(VTY)访问，用户可以使用 Telnet 从远程操作路由器。为了保护路由器的虚拟终端安全使用，要求用户必须提供口令认证，并且限制访问网络区域或者主机。

阻断恶意数据包

网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器，为了阻断这些攻击，路由器利用 访问控制来禁止这些恶意数据包通行

常见的恶意数据包有以下类型

源地址声称来自内部网

loopback 数据包

ICMP 重定向包

广播包

源地址和目标地址相同

路由器口令安全

口令是保护路由器安全的有效方法，但是一旦口令信息泄露就会危及路由器安全。因此，路由器的口令存放应是密文

Router#Enable secret 2Many-Routes-4-U

传输加密

启用路由器的 IPSec 功能，对路由器之间传输的信息进行加密

増强路由器 SNMP 的安全

修改路由器设备厂商的 SNMP 默认配置，对于其 public 和 private 的验证字一定要设置好， 尤其是 private 的，一定要设置一个安全的、不易猜测的验证字，因为入侵者知道了验证字，就 可以通过 SNMP 改 变路由器的配置。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼