2024年4月30日发(作者:)
安全咖啡屋
50
计算机与网络创新生活
、
瓣 馨镰 路霸辫螯垒
身份和令牌通行码。其他验证解决方
案涉及在路由器安全外壳( ★★)或
IPSec内传送安全证书。
禁用不必要服务
对于黑客来说。利用路由器的漏
主机无法到达的、端口无法到达的、
包太大的、源抑制的以及超出生存时
洞发起攻击通常是一件比较容易的
事情。路由器攻击会浪费CPU周期,
误导信息流量,使网络陷于瘫痪。好
的路由器本身会采取一个好的路由
器安全机制来保护自己,但是仅此一
点是远远不够的。保护路由器安全还
需要网管员在配置和管理路由器过
程中采取相应的路由器安全措施。
堵住安全漏洞
限制系统物理访问是确保路由
间(TTL)的。此外,逻辑访问控制还应
禁止ICMP流量以外的所有流量。
使用入站访问控制将特定服务
拥有众多路由服务是件好事,但
近来许多路由器安全事件都凸显了
禁用不需要本地服务的重要性。需要
注意的是。禁用路由器上的CDP可
能会影响路由器的性能。另一个需要
用户考虑的因素是定时。定时对有效
引导至对应的服务器。例如,只允许
SMTP流量进入邮件服务器;DNS流
量进入DSN服务器:通过路由器安
全套接协议层(SSL)的HTTP(HTTP/
S)流量进入Web服务器。为了避免
操作网络是必不可少的。即使用户确
保了部署期间时间同步,经过一段时
间后,时钟仍有可能逐渐失去同步。
用户可以利用名为网络时间协议
(NTP)的服务,对照有效准确的时间
路由器成为DoS攻击目标,用户应该
拒绝以下流量进入:没有IP地址的
器安全的最有效方法之一。限制系统
物理访问的一种方法就是将控制台
和终端会话配置成在较短闲置时间
后自动退出系统。避免将调制解调器
连接至路由器的辅助端口也很重要。
一
包、采用本地主机地址、广播地址、多
播地址以及任何假冒的内部地址的
包。虽然用户无法杜绝DoS攻击,但
用户可以限制DoS的危害。用户可以
采取增加SYN AcK队列长度、缩短
AcK超时等措施来保护路由器免受
TCP SYN攻击。
源以确保网络上的设备时针同步。不
过,确保网络设备时钟同步的最佳方
式不是通过路由器。而是在防火墙保
护的非军事区(DMZ)的网络区段放
一
旦限制了路由器的物理访问.用户
定要确保路由器的安全补丁是最
一
新的。漏洞常常是在供应商发行补丁
之前被披露。这就使得黑客抢在供应
商发行补丁之前利用受影响的系统,
这需要引起用户的关注。
避免身份危机
黑客常常利用弱口令或默认口
台NTP服务器,将该服务器配置 用户还可以利用出站访问控制
限制来自网络内部的流量。这种控制
可以防止内部主机发送ICMP流量,
只允许有效的源地址包离开网络。这
成仅允许向外面的可信公共时间源
提出时间请求。在路由器上,用户很
少需要运行其他服务,如SNMP和
DHCP。只有绝对必要的时候才使用
这些服务。
有助于防止IP地址欺骗,减小黑客
利用用户系统攻击另一站点的可能
性。
令进行攻击。加长口令、选用30到
60天的口令有效期等措施有助于防
止这类漏洞。另外,一旦重要的IT员
工辞职,用户应该立即更换口令。用
户应该启用路由器上的口令加密功
能.这样即使黑客能够浏览系统的配
限制逻辑访问
限制逻辑访问主要是借助于合
理处置访问控制列表。限制远程终端
监控配置更改
用户在对路由器配置进行改动
之后。需要对其进行监控。如果用户
使用SNMP,那么一定要选择功能强
会话有助于防止黑客获得系统逻辑
访问。尤其是优先的逻辑访问方法,
但如果无法避免Telnet。不妨使用终
端访问控制,以限制只能访问可信主
置文件。他仍然需要破译密文口令。
实施合理的验证控制以便路由器安
全地传输证书。在大多数路由器上,
用户可以配置一些协议,如远程验证
大的共用字符串,最好是使用提供消
息加密功能的SNMP。如果不通过
SNMP管理对设备进行远程配置,用
户最好将SNMP设备配置成只读。拒
机。因此,用户需要给Telnet在路由
器上使用的虚拟终端端口添加一份
拨入用户服务,这样就能使用这些协
议结合验证服务器提供经过加密、验
证的路由器访问。验证控制可以将用
访问列表。
控制消息协议(ICMP)有助于排
绝对这些设备进行写访问,用户就能
防止黑客改动或关闭接口。此外,用
户还需将系统日志消息从路由器发
送至指定服务器。
除故障。但也为攻击者提供了用来浏
览网络设备、确定本地时间戳和网络
掩码以及对OS修正版本作出推测
的信息。为了防止黑客搜集上述信
息.只允许以下类型的ICMP流量进
入用户网络:ICMP网无法到达的、
户的验证请求转发给通常在后端网
络上的验证服务器。验证服务器还可
为进一步确保路由器安全管理,
用户可以使用 ★★等加密机制,利用
以要求用户使用双因素验证,以此加
强验证系统。双因素的前者是软件或
硬件的令牌生成部分,后者则是用户
★★与路由器建立加密的远程会话。
为了加强保护,用户还应该限制★★★
《计算机与网络》2011年第24期
计算机与网络创新生活lE毪lIl1.】-I丽 l骚疆唧啊。5‘
耋渤撬 避电脑瘸霉入爨垒燕略
关于网购: 为部分第三方应用软件在需要联络 略。
1.在使用淘宝购物时,请不要接
收卖家的不明文件;此外,文件必须
要看后缀名,类似tt相片.ex。”的文件
网络时都会自动调用IE。
4.浏览器都设有收藏夹,对于一
些常用网站,建议收藏,需要的时候
10.各种应用软件都要及时更新
至最新版,以Adobe Flase P1ayer为
例,目前,除了Chrome浏览器可自动
极有可能含有病毒。
2.平常请将IE安全设置为“中高
再从收藏夹点击进入。
5.使用聊天工具时对于陌生人传
更新该软件外,其他浏览器用户均需
要手动更新该软件至最新版本。
级别”,在需要使用网银支付的时候,
将设置调至为“低安全级别”,方便加
载网银控件和u盾驱动程序。支付
输的文件需要谨慎对待,目前较为猖
狂的QQ黏虫便是通过文件传输进
行传播。
关于杀毒软件:
1.使用正版杀毒软件,切勿使用
破解版。
完成后,将设置重新调回至‘‘中高级
别”。
3.网购支付时请留意支付网站
地址,注意页面是否是否存在异常,
如:IE9浏览器环境下注意地址栏
SSL链接的挂锁标识,银行页面的完
整性及各种防护标识等等。
6.使用U盘时,建议最好先用压
缩软件查看U盘里面的内容,请尽
量不要点击U盘内来历不明的文
件。
7.账户与密码尽量不要明文保
存,尽量不要使用浏览器自带的记住
密码功能,以防黑客攻击浏览器窃取
2.使用具有多重防护能力的安全
软件,如诺顿网络安全特警(NIS)这
种具有多重防护体系,有考虑到普通
用户计算机硬件水平的安全软件便
是不错的选择。
3.使用搜索引擎时,请开启诺顿
网页安全,如果搜索出来的内容不安
4.下载安全Active控件时请慎
重。目前有一种新型支付宝诈骗手
段,会通过自动跳转诱惑支付,此类
钓鱼网站一般都是通过Active控件
加载进行操作。
关于手动设置:
1.定期清除c0okies,LE用户可使
密码。
8.接收邮件时不要随便点击陌生
邮件内的网页链接,尽量不要下载不
明内容的附件。
9.Windows的系统默认设置难免
存在缺陷,以XP系统为例,建议将
“文件夹选项”设置中的“隐藏已知文
全或存在安全隐患,诺顿会预先给予
提示。
4.对于下载的软件如果诺顿报读
不要轻易排除,尽量在确认是误报的
文件后才设置排除。
5.请尽量保持安全软件中病毒定
义库的及时性,定期进行全盘系统扫
用“Inprivate浏览”模式,以免产生
cooki。。
件类型扩展名”的勾选去掉;非局域
网环境下,建议将“Service”里面的
描。
6.请养成定期备份的好习惯,备
2.使用Windows ur,date进行补
丁更新。建议将系统更新设置为自
动。以防黑客利用系统漏洞入侵计算
机。
“Computer Browser”,”Remote Reg-
istry”,”Server服务”关闭;系统属性里
面关闭“允许从这台计算机发送远程
协议邀请”的选项;为了防止感染u
份方法有很多,如:移动硬盘,网盘以
及含有备份功能的安全软件。
7.安装虚拟机,平时遇到非常想
使用但不能确定安全性的软件,以及
3.对于未使用IE浏览器的用户,
同样需要更新与IE相关的补丁,因
会话协商。只允许会话用于同用户经
常使用的几个可信系统进行通信。
盘之类的自动运行病毒,需要运行
gpedit.IIISC,建议启用关闭自动播放策
任何路由更新都是正确的。
实施配置管理
很可疑但又急于想发文的网站可以
在虚拟机中运行。
本,脚本能够在配置服务器到路由器
之间建立会话、登录系统、关闭控制
配置管理的一个重要部分就是
确保网络使用合理的路由协议。避免
使用路由信息协议(RIP),RIP很容易
用户应该实施控制存放、检索及
更新路由器配置的配置管理策略,并
将配置备份文档妥善保存在安全服
器日志功能、显示配置、保存配置到
本地文件以及退出系统;另外一种方
法是在配置服务器到路由器之间建
被欺骗而接受不合法的路由更新。用
户可以配置边界网关协议(BGP)和开
放最短路径优先协议(OSPF)等协议,
以便在接受路由更新之前,通过发送
口令的MD5散列,使用口令验证对
方。以上措施有助于确保系统接受的
务器上,以防新配置遇到问题时用户
需要更换、重装或回复到原先的配
置。
用户可以通过两种方法将配置
文档存放在支持命令行接口(CLI)的
路由器平台上。一种方法是运行脚
立IPSec隧道,通过该安全隧道内的
TFTP将配置文件拷贝到服务器。用
户还应该明确哪些人员可以更改路
由器配置、何时进行更改以及如何进
行更改。在进行任何更改之前,制订
详细的逆序操作规程。 .
/
2011年第24期《计算机与网络》
发布评论