| 企业环境中,特别是站点多而管理人员不足的情况下,网络管理员为了网络维护的方便,一般都开启了路由器的远程管理。这大大减轻了管理员的负担,也为企业节约了维护成本。但万事都有两面性,在方便自己的同时,也方便了某些恶意用户。如果设置不当,安全措施不到位,企业路由器极有可能被黑客接管,整个企业的网络就无安全性可言。那如何做到既安全又方便呢?
一、设置复杂的帐户、健壮的密码
帐户和密码是路由器的第一道安全防线,要想对路由器进行管理,首先要拥有路由器的管理员账号和密码。但默认情况下,路由器的初始账号和密码都比较简单,每种品牌的路由器都有默认的用户名和密码,经过几次测试攻击者就可以马上猜出来。这样在启用了路由器的远程控制功能后,公网中的其他用户就有机会访问到路由器。如果不对路由器的初始账号进行修改,使它变得更为复杂,被攻击者者以猜测和破解,那么路由器就被他们接管了。
设置更改路由器的帐户和密码的操作非常简单,我们以“TL-R4238”路由器为例演示,其它无线、有线路由器的设置类似。在企业局域网某站点内的一台客户机上运行IE浏览器,在地址栏中输入“http://192.168.1.1/”后并回车(“192.168.1.1”为宽带路由器的默认地址),然后输入路由器管理员账号和密码,登录宽带路由器管理界面。依次展开“系统工具→修改登录口令”,进入“修改登录口令”管理页面,即可对账号进行修改。新的管理员账号和密码一定要足够复杂,符合密码健壮性原则,以免被攻击者轻易破解,最后点击“保存”即可。(图1)
二、设置隐蔽的端口、特定的IP
为宽带路由器设置了复杂的访问账号,但这只是为远程安全管理路由器打下了好的基础。然而,很多路由器默认是没有启用“远程控制”功能的,因此还要手工启用,而且在启用过程中还有很多增强安全的技巧和方法。
在宽带路由器管理界面中,依次点击“安全设置→远端Web管理”,进入“远端Web管理”设置界面。接下来就可启用远程控制功能。默认情况下,路由器使用“80”端口来提供远程管理功能,但这非常不安全,容易被攻击者猜到。因此,可修改端口号,使用一个不常用的端口来提供远程管理功能,在“Web管理端口”栏中修改远程管理使用的端口号(如“2012”)。现在,攻击者就很难猜到端口号了。接下来,在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制的公网计算机的IP地址。最安全的做法是允许某个使用特定IP地址的机器远程登录路由器,将该参数设置为管理员在总部使用的IP地址(如“61.178.*.*”)。现在只有该IP的主机能在公司总部的机器上远程登录路由器,而其他公网机器则不行。 (图2)
三、精心设置防火墙
通过以上设置,路由器远程管理的安全性大大增强了,但面对网络中无时无刻都在涌现的病毒和木马,攻击者同样有办法控制路由器。因此,利用路由器内置的“防火墙”为路由器的远程控制安全加上“双保险”,就可以极大地提高路由器的安全性。
在宽带路由器管理界面中,依次点击“安全设置→防火墙设置”,在右侧的设置框中选中“开启防火墙”选项,点击“保存”按钮后启用路由器的防火墙功能。接着点击“高级安全设置”,进入“高级安全设置”页面。这里提供了一些更具体的安全防御功能,如防御DoS攻击、ICMP-FLOOD攻击过滤和TCP-SYN-FLOOD攻击过滤等。启用这些功能,就可以进一步增强路由器的防御能力。 (图3)
四、其他安全措施
升级:更新路由器操作系统,就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向路由器厂商查询或者登录他们的网站下载更新当前的路由器系统的版本。
禁用:关闭telnet命令登录,在大多数情况下,并不需要来自互联网接口的主动的telnet会话,如果开启了Web登录方式完全可以关闭该登录方式,减少被黑客攻击的可能性。禁用IP定向广播,IP定向广播使得攻击者对路由器实施拒绝服务攻击。因此要禁用,避免当攻击者不能登录路由器而采取DDOS攻击,因为一台路由器的内存和CPU难以承受太多的请求,这种结果会导致缓存溢出,从而路由器沦陷。同样的也要禁用IP路由和IP重新定向,因为重定向允许数据包从一个接口进来然后从另一个接口出去,攻击者可以把精心设计的数据包重新定向到专用的内部网路,危害内部网络的安全。
过滤:包过滤技术仅传递管理员允许进入企业局域网的那种数据包,一般的公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。因此,其余的端口都可以禁止。此外,管理员还通过IP地址进行过滤,设置封锁和允许IP地址的范围。
审查:网络管理员可以通过查看分析某一时段的记录文件,以便及时发现攻击并判断采用的攻击方式,从而亡羊补牢,把损失减到最少。另外一定要重新设置路由器的日志管理密码,这是事后安全检测的重要信息。黑客在攻击后一般都要删除日志文件,设置健壮的密码后,从而保存黑客入侵的“罪证”,在一定的程度上对黑客起到威慑效果。
总结:笔者在写文章之前随意对某些IP端进行扫描,发现开启路由器远程管理的IP很多,测试中发现有不少路由器没有更改默认的用户名和密码,可以登录进去。因此,一定要做好路由器的安全设置,这可是企业网络安全的第一道防线,千万不能让其被入侵者非法接管。 |
