(1)設(shè)置安全的口令。一般來說,路由器的登錄口令都是直接采用admin、888888、666666等比較容易猜出的字串,有些路由器會在登錄界面以口令明文形式進行提示,甚至還有些路由器必須要手工設(shè)置密碼,否則直接單擊“登錄”按鈕就可以對路由器進行設(shè)置,因此將交換機或者路由器投入使用之前一定要設(shè)置安全的口令。
比如需要對阿爾法V8路由器修改密碼,可以在IE瀏覽器中登錄路由器之后,依次單擊“基本設(shè)置→修改密碼”鏈接,此時先輸入舊密碼,并且輸入兩次完全一致的新密碼,確認之后即可完成密碼重新設(shè)置的操作,如圖24-5所示。
 |
| 圖24-5 設(shè)置路由器密碼 |
但是在設(shè)置密碼的時候需要注意,密碼的長度盡可能確保在8位以上,而且盡量不要采用自己的姓名、生日、電話號碼之類容易被別人猜測得到的字串作為密碼,最好能夠采用大小寫字母、數(shù)字、特殊符號組成的字串作為密碼,這樣不僅可以避免別人隨意猜測密碼,即使借助專門的軟件進行暴力破解也需要很長的時間,因此把由于交換機和路由器弱口令而導致的局域網(wǎng)隱患下降到最低點。
(2)關(guān)閉Ping命令測試。設(shè)置好路由器之后,讓它做什么它就會做什么,即便對于一些來自于外部網(wǎng)絡(luò)的攻擊命令也不例外。通常黑客進行攻擊之前,首先要借助Ping命令識別目前正在使用的計算機,因此Ping通常用于大規(guī)模的協(xié)同性攻擊之前的偵察活動。通過取消遠程用戶接收Ping請求的應(yīng)答能力,就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標。在通過Ping獲取目標計算機之后,黑客就能夠通過各種手段進行攻擊。例如Smurf攻擊就是一種拒絕服務(wù)攻擊,在這種攻擊中,攻擊者使用假冒的源地址向路由器發(fā)送一個“ICMP echo”請求,這要求所有的主機對這個廣播請求做出回應(yīng)。雖然這種攻擊并不會直接破壞網(wǎng)絡(luò)的正常運行,但是會降低網(wǎng)絡(luò)性能。
在阿爾法路由器管理窗口中,依次單擊“安全設(shè)置→雜項”鏈接,并且選中“WAN口Ping包過濾”后部的“啟用”復(fù)選框,如圖24-6所示。經(jīng)過這樣設(shè)置之后,凡是外部Internet發(fā)送來的Ping請求都會被自動過濾,從而增強了路由器和局域網(wǎng)內(nèi)部計算機的安全。
(3)關(guān)閉虛擬服務(wù)器。幾乎所有的交換機和路由器都提供了虛擬服務(wù)器的功能,虛擬服務(wù)器使得外部Internet用戶可訪問架設(shè)在內(nèi)部局域網(wǎng)其他計算機中的WWW、FTP和其他服務(wù)。這種虛擬服務(wù)器功能雖然給內(nèi)部局域網(wǎng)架設(shè)服務(wù)器帶來了諸多便利,但是卻給局域網(wǎng)的安全帶來了隱患。
