扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月1日
关键字: 路由器
第一,做好路由器访问控制
企业需要严格控制可以访问路由器的网络管理员,任何一次维护都需要记录备案。同时,建议企业用户不要远程访问路由器。即使需要远程访问路由器,也要使用访问控制列表和高强度的密码控制。另外,对于CON端口的访问,也需要进行物理线路、连接属性、高级密码等手法进行控制。如果企业用户不需要使用AUX端口,则禁止这个端口,并采用权限分级策略。
另外,如果企业用户不需要远程访问,则禁止对VTY的访问。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码,控制连接的并发数目,采用访问列表严格控制访问的地址,采用AAA设置用户的访问控制等。
第二,设置路由器网络服务安全配置
用户可以禁止CDP(对Cisco路由器而言),同时禁止其他的TCP、UDP Small服务。此外,为了尽可能获得安全性,企业网管也可以禁止Finger服务。当然,也有专家建议企业用户禁止HTTP服务。如果企业启用了HTTP服务则需要对其进行安全配置:设置用户名和密码,采用访问列表进行控制。
此外,对企业网安全有影响建议禁止的内容还包括:BOOTp服务,禁止从网络启动和自动从网络下载初始配置文件,禁止IP Source Routing,IP Directed Broadcast,IP Classless,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。另外,如果用户不需要ARP-Proxy服务则同样禁止它。而对于SNMP协议服务,如果禁止,则必须删除一些SNMP服务的默认配置,或者利用访问列表来过滤。
第三,针对路由协议安全配置
企业用户需要首先禁止默认启用的ARP-Proxy,因为它容易引起路由表的混乱。接下来用户可以启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。对于RIP协议的认证,只有RIP-V2支持,RIP-1不支持。建议企业网管启用RIP-V2,并且采用MD5认证,因为普通认证同样是明文传输的。
也有专家建议用户启用passive-interface命令,以便禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用此命令。但是,在RIP协议中,该命令是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
此外,用户可以启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。同时启用IP Unicast Reverse-Path Verification,它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。