企业网路由器及路由器之间通信的安全保护.PDFVIP

企业网路由器及路由器之间通信的 安全保护 赵兵 浙江电力职娩技术学院浙江3loolS 摘骤：本文以企业网的主嚣没备一路渤器为例，从保护路由器的物理安全、管理接口的安全、路由器到路由器的通信 安全、提供安全服务朗个方面简簧地论述了路由器的相关安全问题疑棺遗妁解决方案(Cisco技本)，以供网络管理人员参考。 关键词；臻痰器；箍鬟佳t傺护 O引言 入侵者的一魈主要攻击点是路由器的管理接口。如果一 企泣蠲基穑设施容荔受翻务_释来自内黧秘《或)多}郁入侵令入侵者能谤瓣该接叠，就搿浚查看设务豹配置信惠，重裁 者的攻谢，从而给网络安全造成威胁。作为企业网的管理者， 配鬣设备并获得对它的控制枚，甚至能继续获得对熬他相连 面对攻澎者各种攻搬学段，只裔程充分了解髑络基础设施的 网络设备的访阆杈。管理接脚的安全保护可通过以下几方面 麓骚蟊，辨豆簧霹这整脆弱蠹霞确地配置疆络设备，考能缳 寒檬涯： 护企业网的安全，从Iiii避免入侵者的攻击。 (1)保护控制台端口的访问权限 企业网基础设施的脆弱面和受到的具体威胁包含以下内 控制台是一个通过设备的控制台端口console直接连接到 设条的终端，巍就霹要求弱疹焉疆令认迸其身携激瓣控嗣台 容：①设餐静控鞠螽璃疆黎Telnet端曩}②爨鸯器露配豢交 端口突施安全保护。口令的设置应遵循如下原则：初始安装 件以及锫种口令l④通过SNMP协议访问设备的配置并了解 内部网络的拓扑结构；④通过截获路由更新信息以了解内部 之后立即配置口令，不使用缺省口令，确保特权级口令与用 瓣终蕹孝}络梅；@逶过虚羧豹舔瘤更囊臻意溪导数据流的转 户级秘令的零嚣l鏊令爱|拜l字母数字混愈字符羧使麓令破鳕 发；⑥获取对设备的HTTP访问。针对这睦氅脆弱面和网络威难以成功t不要将口令写下求并将它们放在易被发现的地方， 胁，管理者应根据既定的网络安全策略来安垒配置网络基础 不要使用生日、电话号码、单词等易被猜测的口令。经常更 设瘫浚游除安全隐悫。安垒醒嚣潮终设釜爸摇三令方瑟：保 换嗣令。 护设备的物理安全、保护管理接口的安全、保护设备之间的 (2)使用加密口令 通信安龛。本文以路由器为例采阐述这三个方面的问题。 缺省情况下，控制台和Telnet口令足以明文形式存储在 l保护路南器的物理安全 设鍪的配要文绛审，医莼容易被入发现，辑浚可以楚翅疆令 加密的方式(service 对路由器的物理访问能为一个攻击者提供对该设备的完 口令，建议使用enablesecret命令配置特权模式口令。对于通 全控制权，对一条嘲络链路的物理访问通常会允许攻击赣对 过魏终远程管理鼹交器静方式，建议暴豢苓要使溺Telnet程 该链疆遴行巍啄或撬入{}法数攥。辑渡，熬祭不辩路囱器程 序，代之以具有加密和认证传输机制的SSH协议及相应的程 通信线路的物理访问进}i限制的话，则安装笈杂的、基平软 序，如SecureCRT。 件的安垒措施就没有任何意义。所谓路由器的物理安全包括 (3)调整线路参数 廷方瑟的凑容，一是举是i等{#浚掰户薅熬囊器秘涎终链貉进 行物理和逻辑访问，如人为损坏设备和传输链路，或在传输 如果路由器的控制台盛Telnet会话处子空阑的特许模式 链路上搭线监听，通过访问控制台端口并重鬣系统口令iiii获状态，任何用户掷有机会修改路由器的配置。解决选一问题 褥对设镰豹完全控割投；二是爨国器