搜索

热门标签:

移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

路由器:保障企业内网具有一道安然收集的砖墙

时间:2013-11-27 10:44来源:TuZhiJiaMi企业信息安全专家 点击:
路由器已成为企业内部局域网正在利用当中的最首要的安然设备之一。在以下指南中,我们将研究一下你可以用来呵护收集安然的9个便利的步调。这些步调可以或许包管你具有一道呵护你的收
Tags应用安全(1006)路由器(60)安全网络(6)  

  路由器已成为企业内部局域网正在利用当中的最首要的安然设备之一。在以下指南中,我们将研究一下你可以用来呵护收集安然的9个便利的步调。这些步调可以或许包管你具有一道呵护你的收集的砖墙,而不是一个敞开的大年夜门。

  1、点窜默许的口令

  据国外查询拜访显示,80%的安然冲破事务是由亏弱的口令引发的。收集上有大年夜大都路由器的遍及的默许口令列表。你可以必定在某些处所的某小我会知道你的生日。SecurityStats.com网站保护一个详实的可用/不成用口令列表,和一个口令的靠得住性测试。

  2、封锁IP直接广播(IP Directed Broadcast)

  你的办事器是很听话的。让它做甚么它就做甚么,并且非论是谁发出的指令。Smurf报复打击是一种拒尽办事报复打击。在这类报复打击中,报复打击者利用假充的源地址向你的收集广播地址发送一个“ICMP echo”要求。这要求所有的主机对这个广播要求做出回应。这类环境起码会降落你的收集机能。

  参考你的路由器信息文件,体味若何封锁IP直接广播。例如,“Central(config)#no ip source-route”这个指令将封锁思科路由器的IP直接广播地址。

  3、假定可能,封锁路由器的HTTP设置

  正如思科的手艺申明中简要申明的那样,HTTP利用的身份辨认和谈相当于向全部收集发送一个未加密的口令。但是,遗憾的是,HTTP和谈中没有一个用于验证口令或一次性口令的有效划定。

  当然这类未加密的口令对你从长途位置(例如家里)设置你的路由器或许是很是便利的,可是,你可以或许做到的工作其他人也照样可以做到。出格是假定你仍在利用默许的口令!假定你必需长途治理路由器,你必然要确保利用SNMPv3以上版本的和谈,因为它撑持更严格的口令。

  4、封锁ICMP ping要求

  ping的首要目标是辨认今朝正在利用的主机。是以,ping凡是常利用于更大年夜范围的协同性报复打击之前的窥伺勾当。经由过程打消长途用户领受ping要求的应对能力,你就更等闲避开那些无人寄望的扫描勾当或防御那些寻觅等闲报复打击的方针的“脚本小子”(script kiddies)。

  请寄望,如许做实际上其实不克不及呵护你的收集不受报复打击,可是,这将使你不太可能成为一个报复打击方针。

  5、封锁IP源路由

  IP和谈承诺一台主机指定命据包经由过程你的收集的路由,而不是承诺收集组件肯定最好的路径。这个功能的合法的利用是用于诊断连接故障。可是,这类用处很少利用。这项功能最常常利用的用处是为了窥伺目标对你的收集进行镜像,或用于报复打击者在你的专用收集中寻觅一个后门。除非指定这项功能只能用于诊断故障,不然应当封锁这个功能。

  6、肯定你的数据包过滤的需求

  封锁端口有两项来由。此中之一按照你对安然程度的要求对你的收集是合适的。

  对高度安然的收集来讲,出格是在存储或保持奥秘数据的时辰,凡是要求颠末承诺才可以过滤。在这类划定中,除网路功能需要的以外,所有的端口和 IP地址都需要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口承诺来自指定地址的拜候,而所有其它端口和地址都可以封锁。

  大年夜大都收集将经由过程利用“按拒尽要求实施过滤”的方案享受可以接管的安然程度。当利用这类过滤政策时,可以封锁你的收集没有益用的端口和特洛伊木马或窥伺勾当常常利用的端口来加强你的收集的安然性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的收集实施穷举报复打击。封锁 31337(TCP和UDP)端口将使Back Orifice木马法度更难报复打击你的收集。

  这项工作应当在收集打算阶段肯定,这时候辰安然程度的要求应当合适收集用户的需求。查看这些端口的列表,体味这些端口正常的用处。

  7、成立准予进进和外出的地址过滤政策

  在你的鸿沟路由器上成立政策以便按照IP地址过滤进出收集的背反安然划定的行动。除特别的不合泛泛的案例以外,所有试图从你的收集内部拜候互联网的IP地址都应当有一个分派给你的局域网的地址。例如,192.168.0.1这个地址或许经由过程这个路由器拜候互联网是合法的。可是,216.239.55.99这个地址很多是棍骗性的,并且是一场报复打击的一部门。

  相反,来自互联网外部的通信的源地址应当不是你的内部收集的一部门。是以,应当封锁进网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

  最后,具有源地址的通信或保留的和没法路由的方针地址的所有的通信都应当承诺经由过程这台路由器。这包含回送地址127.0.0.1或E类(class E)地址段240.0.0.0-254.255.255.255。

  8、保持路由器的物理安然

  从收集嗅探的角度看,路由器比集线器更安然。这是因为路由器按照IP地址智能化地路由数据包,而集线器相所有的节点播出数据。假定连接到那台集线器的一个系统将其收集适配器置于混乱的模式,它们就可以够领受和看到所有的广播,包含口令、POP3通信和Web通信。

  然后,首要的是确保物理拜候你的收集设备是安然的,以避免未经承诺的笔记本电脑等嗅探设备放在你的本地子网中。

  9、花时候核阅安然记实

  核阅你的路由器记实(经由过程其内置的防火墙功能)是查出安然事务的最有效的编制,不管是查出正在实施的报复打击仍是将来报复打击的征候都很是有效。操纵出网的记实,你还可以或许查出试图成立外部连接的特洛伊木马法度和间谍软件法度。专心的安然治理员在病毒传播者作出反应之前可以或许查出“红色代码”和“Nimda”病毒的报复打击。

  别的,一般来讲,路由器位于你的收集的边缘,并且承诺你看到进出你的收集全数通信的状况。

相关文章
------分隔线----------------------------

推荐内容
热点内容