保护对设备的访问（三）

作者:课课家教育更新于： 2018-03-22 15:46:25

　　其实，与许多计算机一样,路由器会默认启用一些服务,其中的某些服务是不需要和易被攻击者用来收集信息或利用的。操作系统安全保护路由器操作系统的特性及性能。为路由器配置尽可能最大的内存空间。

　　那么内存的可用性能够保护网络不受DoS攻击,同时支持最广泛的安全服务。使用最新的、稳定的操作系统版本以符合网络特性的要求。操作系统中的安全特性随着时间而变化。注意最新版本的操作系统不一定是最稳定的版本。拥有一个路由器操作系统的镜像文件和路由器配置文件的安全的副本。管理访间以管理路由器为目的,因此,确保管理访问的安全是极其重要的安全任务。

　　如果一个未经授权的人获得了路由器的管理访问权限,这个人就能够修改路由器的参数,禁用路由功能,或者发现并获得网络中其他系统的访问权限。务确保对基础设备管理访间的安全性,包括以下几项重要任限制对设备的访问一限制可访问的端口,限制设备间的通信,并且限制访问的方法。对全部的访问做日志和记账一一为了审计的目的,记录下任何访问设备的人,包括在什么时候做了什么。对访问进行验证一一确保访问仅仅是授权给经过验证的用户、组和服务。

　　限制失敗的登录尝试的次数和两次登录之间的时间。动作的授权一限制特定的用户、组和服务的访间动作和视图。呈现法律通知为交互式会话示法律声明,与公司的法律顾间一起协商制定法律声明。确保数据的保密性一保护本地敏感数据不被看到和复制。这需要考虑数据在传输过程中被嗅探、会话劫持和遭受中间人攻击等弱点。有两种出于管理目的而访问设备的方法:本地访问和远程访问。本地访问所有的网络基础设备都能够从本地访问。本地访间一台路由器通常需要将运行终端模拟软件的计算机直接连接在Csco路由器的控制台端口。远程访问有些网络设备可以被远程访问。典型的远程访问词包括使用Telnet、安全外壳壳(ssh)、HTTP、HTTPS或简单网络管理协议(SNMP)从某台计算机连接到路由器。该计算机可以与网络设备在同一子网,也可以在不同子网网。有些远程访问协议以明文发送数据,包括用户名和密码。

　　如果一个攻击者在管理员正在远程登录路由器的过程中能够监测到网络流量,这个攻击者就能够捕获密码或路由器的配由于这个原因,仅允许通过本地方式访问路由器是更好的选择。但是,远程访问也是必要的。当置信息远程访间网络时,要注意防范下列问题。加密管理计算机与路由器之间的流量。例如,不要使用Telnet而使用SSH,或者使用HTT而不要用HTTP协议。建立专用的管理网络。管理网络应该仅包括确定的管理主机和去往路由器专用接口的连接。配置一个数据包过滤器,仅允许确定的管理主机和首选的协议访问路由器。例如,仅允许自管理主机的IP地址通过SSH协议发起连接网络中路由器的请求。

　　小编结语：其实，我们做的这些防范措施是有价值的,但它们也不能完全保护网络,还必须实施其他的防御措施。其中最本和最重要的手段之一是使用安全的密码。