在路由器「入口」堵住黑客攻擊
隨著網絡的快速發展,網絡接入方式也變得多種多樣,無論是ISDN、ADSL還是專線,路由器無疑是近年來企業網絡中網絡接入的熱點設備。而如何保障路由器的安全,對於網絡管理員來說也是任重而道遠,一旦黑客獲得了路由器的控制權,針對路由器發動了攻擊,從而浪費路由器的CPU週期,誤導信息流量,最終使整個網絡陷入癱瘓。而加強路由器的安全配置,也是一項非常大的課題,今天,筆者就談談如何從「入口」把關,從而讓我們的路由器盡量減少被黑客攻擊的可能。
一、設置配置密碼
對於路由器來說,配置方法基本上可以分為三種,控制台、AUX和VTY(Telnet),而VTY和AUX默認情況進行配置訪問就需要一個登錄密碼,如果不設置任何密碼,路由器就會拒絕建立會話,並返回一個錯誤消息,說明錯誤的原因是「密碼請求沒有設置」而導致的。而控制台端口默認情況下是不要求密碼,也就是說在沒有進行控制台密碼設置的情況下,任何人只要有一台筆記本和一根控制線,就可以很容易的進入設備修改備置,因此不僅僅為AUX和VTY設置密碼,連控制台端口也要設置登錄密碼。
我們來分別瞭解一種三種密碼類型的語法:
通過控制台設置密碼:
以下是引用片段:
Line console 0
Password password
Login
通過AUX設置密碼:
以下是引用片段:
Line aux 0
Password password
Login
二、用戶名和密碼組合認證
上面只是配置了各種接入方式的密碼,如果企業有多個網絡管理員,需要查看、修改路由器的配置,使用統一的密碼顯示也是不太合適的,且容易造成密碼洩露。為每一個管理員設置一個用戶名及密碼,經過這樣的組合後,安全性會有一定提升。
設置用戶名及密碼的命令如為「username 欲設置的用戶名 password 對應的用戶密碼」,其中password可以使用Secret代替,從而設置加密的(password設置的密碼為明文,所有可以登錄路由器的用戶都可以查看到該密碼)密碼(如圖2)。
小提示:設置的用戶名、密碼都存儲在路由器的數據庫中,其中用戶名不區分大小寫,而密碼是嚴格區分大小寫的,因此在設置密碼時需要注意大小寫狀態。
三、小結
安全似乎是永遠的話題,且對於網絡來說沒有絕對、也沒有永遠的安全。而我們要做的就是盡最大的可能,在現有條件下做到更安全。雖然常有人說密碼不過是只紙老虎,但在實際的使用中,密碼似乎又是我們最好的武器,因此設置好路由器登錄密碼,從「入口」處把關顯得尤為重要。特別是控制台端口的密碼是很多人都掉以輕心的,認為設備放在機櫃中,外人很難接觸到物理設備,但是如果可以多加一道防範,可以更加安全,為什麼不這麼做呢?穩步向前,讓我們的網絡更安全。
通過Telnet遠程設置密碼
以下是引用片段:
Line vty 0 4
Password password
Login
小提示:其中「Line vty 0 4」表示開啟五個虛擬接口,說明同時可以有五個用戶Telnet到這台路由器。
