路由器設(shè)置 病毒阻斷措施二

(1)端口加固

要想路由器這座城墻固若金湯，密碼的設(shè)置當(dāng)然非常重要。一般情況下，網(wǎng)絡(luò)管理人員可以通過路由器的Console Aux和Ethernet口登錄到路由器，然后進(jìn)行配置。這種情況雖然方便了管理，但非法之徒也可以乘虛而入，所以給相應(yīng)的端口加上密碼是必須的常規(guī)配置方法。以Aux端口為例，命令如下：

Router#configure terminal  
 
Enter configuration commands, one per line. End with CNTL/Z.  
 
Router(config)#line aux 0  
 
Router(config-line)#password test54ee  
 
Router(config-line)#login 

顯然，配置密碼時(shí)應(yīng)該加強(qiáng)密碼的混合度使非法入侵者不那么輕松破門而入進(jìn)行大肆攻擊路由器。不少管理員對(duì)超級(jí)用戶密碼進(jìn)行設(shè)置時(shí)使用配置命令enable password，這就埋下了一大安全隱患。鑒于此，推薦用戶使用enable secret命令對(duì)密碼進(jìn)行加密，這種加密采用了MD5散列算法較前一配置更為安全。

Router(config)#enable secret test54ee

(2)過濾ICMP報(bào)文

惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址，然后通過路由器來進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個(gè) ping的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在特權(quán)用戶模式下查看該表時(shí)，若是用戶看到大量的ICMP的NAT的session就應(yīng)該警惕地想到是否已經(jīng)中招(即遭到拒絕服務(wù)攻擊)。

如果病毒惡性的發(fā)動(dòng)ICMP的ping攻擊，在幾秒鐘內(nèi)發(fā)出上萬個(gè)ping報(bào)文則會(huì)在NAT表中占用了大量的NAT的Session的連接。而 UDP的NAT的SESSlON的存在時(shí)間為5秒，TCP連接的NAT的SESSION的保存時(shí)間為24小時(shí)，這種惡性的ping攻擊便可能將NAT的 SESSION的值全部占用。造成的后果是，正常的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務(wù)會(huì)造成無法進(jìn)行正常的網(wǎng)絡(luò)通訊。因此，我們可以采用訪問列表的方式將ICMP的報(bào)文過濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。我們可以通過下面命令屏蔽來自外部和內(nèi)部的ICMP包。

Router(Config)#access-list 110 deny icmp any any echo log  
 
Router(Config)#access-list 110 deny icmp any any redirect log  
 
Router(Config)#access-list 110 deny icmp any any mask-request log  
 
Router(Config)#access-list 110 permit icmp any any  
 
Router(Config)#access-list 111 permit icmp any any echo  
 
Router(Config)#access-list 111 permit icmp any any Parameter-problem  
 
Router(Config)#access-list 111 permit icmp any any packet-too-big  
 
Router(Config)#access-list 111 permit icmp any any source-quench  
 
Router(Config)#access-list 111 deny icmp any any log 

(3)端口過濾

在路由器的出口和入口創(chuàng)建訪問列表來控制病毒的出入，這些訪問控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下，管理員可通過察看數(shù)據(jù)包的數(shù)目，以調(diào)整他們的順序，將轉(zhuǎn)換多的包放在前面可以提高速度。

Router(Config)#Access-list 110 deny tcp any any eq 135  
 
Router(Config)#Access-list 110 deny udp any any eq 135  
 
Router(Config)#Access-list 110 deny tcp any any eq 136  
 
Router(Config)#Access-list 110 deny udp any any eq 136  
 
Router(Config)#Access-list 110 deny tcp any any eq 445  
 
Router(Config)#Access-list 110 deny udp any any eq 445  
 
Router(Config)#Access-list 110 deny tcp any any eq 4444  
 
Router(Config)#Access-list 110 deny udp any any eq 4444 

按照上述方式，將列表應(yīng)用到相應(yīng)的端口即可以了。

病毒的阻斷措施不止以上介紹的內(nèi)容，更多的內(nèi)容請(qǐng)看：巧設(shè)路由器，阻斷局域網(wǎng)病毒傳播路徑 上

【編輯推薦】

1. 路由器的POS接入技術(shù)及解決方案
2. 路由器日志信息記錄的配置方法 續(xù)
3. 初學(xué)者必看：CISCO路由器教程講解
4. 解答通過路由器在內(nèi)網(wǎng)上設(shè)置rootkit
5. 詳細(xì)講解路由器設(shè)置 讓安全陪伴左右 
6. 軟路由應(yīng)用技巧：架設(shè)跨網(wǎng)段訪問橋梁