防止黑客接管思科路由器

核心提示： 既然控制了该公司与外网连接的唯一设备路由器，别说一个web服务器，防止黑客接管思科路由器(3)，该公司的所有的internet都被控制了，笔者就以web服务器为例进行了安全测试，当所有的vty用完之后就不能再建立远程连接了，因此我们可以通过exec-timeout命令配置vyt超时，在ci

既然控制了该公司与外网连接的唯一设备路由器，别说一个web服务器，该公司的所有的internet都被控制了。笔者就以web服务器为例进行了安全测试，在cisco路由器安全模式下输入如下命令：

cisco#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

cisco(config)#int

cisco(config)#interface fastEthernet 0/1

cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any

cisco(config)#access-list 101 permit ip any any

上面的cisco命令是创建访问控制列表，阻止通过路由器的fastEthernet 0/1对IP地址为210.224.*.69(web服务器)的访问。(图4)

命令完成后在浏览器中输入http://www.*.co.jp访问，不出所料网页不能打开。(图5)

由于是安全测试，恢复网站的访问，在cisco路由器上输入命令

cisco(config)#int fastEthernet 0/1

cisco(config)#no access-list 101 deny ip host 210.224.*.69 any

2、防范措施

其实上面的测试并非偶然，笔者利用类似的方法就获得过本地电信的两个Cisco路由器的密码，并成功进行登录。那是如何安全部署防止类似的Cisco路由攻击呢?

(1).最小权限。Cisco路由器可以通过conso(控制台)和Vty(终端)进行登录，并且其有多个vty。作为管理员要尽可能地少开启vty，并且根据需要为其赋予不同的权限(0-15)。要遵循最小权限原则，只赋予所需的权限即可。特别是Vty权限的设置一定要注意，因为其可以远程登录。另外，路由器的VTY是有限的，当所有的vty用完之后就不能再建立远程连接了，因此我们可以通过exec-timeout命令配置vyt超时，避免因此造成的针对路由器的DOS攻击。(图6)