防止黑客接管思科路由器

核心提示： (2).口令加强，攻击者控制路由器首先要获取控制台或者终端的登录密码，防止黑客接管思科路由器(4)，一条复杂的密码就能够较大程度上杜绝来自于社会工程学的攻击，除了密码足够复杂外，注意安全细节，希望本文的安全测试能够引起大家最路由器安全的重视，使用enable secret命令口令进行加密，

(2).口令加强。攻击者控制路由器首先要获取控制台或者终端的登录密码，一条复杂的密码就能够较大程度上杜绝来自于社会工程学的攻击。除了密码足够复杂外，使用enable secret命令口令进行加密，这是一定要做的。从上面的安全测试可以看到就是攻击者者下载到路由器的配置文件，如果密码加密他也无可奈何，因为Cisco的密码是128位加密的几乎没有被破解的可能性。另外，可以使用service password-encryption命令对于存储在路由器配置文件中的所有口令和类似的数据进行加密，这样可以避免明文的配置文件被查看。(图7)

(3).访问控制。除了口令加强外，还要做好路由器的访问控制。可以根据安全需要建立相应的访问列表，防范诸如伪造、Dos等恶意攻击。做访问控制，不仅要对外而且要对内的端口进行访问控制，利用我们可以在路由器中建立如下的访问列表

Router(config-if)#access-list 101 deny icmp any any redirect

Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any

Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any

作用是拒绝所有的Icmp重定向，拒绝Loopback的数据包，拒绝多目地址的数据包。(图8)

(4).安全管理。对于cisco路由器的管理，除了可以通过conso和vty之外，有些用户更习惯通过snmp或者http来管理，此时一定要加强安全措施。因为snmp目前使用最多的版本1，是明文认证其采用缺省的community的public和private，上面安全测试中之所以能够下载配置文件就是它导致的，因此我们要尽量采用snmp v2。另外，http也是明文传送的当进行远程口令配置的时候就容易被嗅探，因此我们最好用IP http access-class命令来限定访问地址。(图9)

(5).规划网络。基于安全性的考虑，局域网中最好不要该Cisco路由器公网地址，将其直接暴露在Internet中。如果迫不得已，一定要在网络拓扑是做好安全部署，比如利用硬件防火墙或者类似蜜罐技术来保护路由器的安全。

总结：路由器特别是Cisco这样的核心路由器，其安全性紧扣网络命门。作为管理员人员，一定要做好安全规划和部署，注意安全细节。希望本文的安全测试能够引起大家最路由器安全的重视，文中提供的防范措施能够助大家进一步加固路由器安全。