네트워크 라우터 기본 설정으로 보다 안전 하 게

라우터 외부 네트워크에 연결 하는 LAN에 대 한 중요 한 교량은, 네트워크 시스템 및 네트워크 보안의 국경 관문에 불가 결 한 부분 이다. 하지만 라우터의 유지 보수 거의 평가. 그냥 상상, 라우터 자체 보안도 보증 하지 않습니다, 만약 말을 보안은 전체 네트워크. 따라서, 네트워크 보안 관리에 라우터 제대로 계획이 고 구성 라우터 허점과 위험을가지고 전체 네트워크 시스템의 보안 문제를 방지 하려면 필요한 보안 조치를 취할 수 있습니다. 우리는 여기 측정값 및 우리의 네트워크를 보다 안전 하 게 하는 방법의 보안을 강화 하는 라우터 중 일부를 소개 하는. 1. 대 한 인증 기능을 증가 하는 라우터 간의 프로토콜 exchange 네트워크 보안을 향상 시킬. 라우터는 관리의 중요 한 기능 및 경로의 유지 보수, 현재 네트워크에 일반적으로 사용 되는 동적 라우팅 프로토콜의 특정 크기:, OSPF, RIP, EIGRP는-은, BGP 등. 동일한 라우팅 프로토콜 및 동일한 지역 지정 라우터는 네트워크에 가입 하는 경우 그것은 네트워크에 라우팅 정보 테이블을 배운다. 그러나, 이러한 방법은 누출, 네트워크 토폴로지 정보를 발생할 수 있습니다 또는 그것은 네트워크에서 정상적인 작업 라우팅 정보 테이블을 방해 하는 자신의 라우팅 정보 테이블을 전송 하 여 전체 네트워크를 중단 될 수 있습니다. 이 문제를 해결 하려면 네트워크에서 라우터 간에 교환 되는 라우팅 정보를 인증 하는 것입니다. 라우터는 인증 방법으로 구성 되어, 발신자와 수신자의 라우팅 정보 식별 됩니다. 2. 라우터의 물리적 보안 감시. 라우터 제어 포트는 특별 한 권한이 있는 포트 실제 공격자가 라우터, 전원 사이클, 구현 "암호 복구 프로세스"의 접촉 다음 로그인 하는 경우 라우터에 완전히 라우터를 제어할 수 있습니다. 3. 라우터 암호를 보호 합니다. 백업 라우터 구성 파일에 암호는 암호화 된 형태로 저장 하는 경우에, 금이 될 수 있습니다. 암호가 손상 되 면 네트워크에 보안이 있다. 4. 라우터 진단 정보 보기를 방지 합니다. 닫는 명령어는 다음과 같습니다: 없음 서비스 tcp-소형-서버 서비스 Udp-작은-서버 5. 라우터에 사용자의 현재 목록 볼 수 없습니다. 명령 해제는: 없는 서비스 손가락. 6. CDP 서비스 해제. 링크 계층은 OSI 2 계층 프로토콜에 근거 하 여 엔드-투-엔드 라우터의 일부 구성 정보를 찾을 수 있습니다: 장치 플랫폼, 운영 체제 버전, 포트, IP 주소 및 기타 중요 한 정보. 명령을 사용할 수 있습니다:이 서비스를 해제 하려면 아무 CDP 실행 또는 아무 CDP 활성화. 7. 소스 경로 토큰, 원본 라우팅 옵션 함께 데이터 스트림을 삭제 패킷을에서 라우터를 방지 합니다. IP 소스 경로 라우터가 원본 라우팅 옵션 토큰 데이터 스트림을 처리할 수 있도록 글로벌 구성 명령. 원본 라우팅 옵션을 활성화 하면 소스 라우팅 정보에 의해 지정 된 경로는 방화벽을 우회할 수 있습니다 기본 경로 사용 하지 않으려면 데이터 스트림을 수 있습니다. 닫기 명령은 다음과 같습니다: 내가P 소스-루트입니다. 8. 라우터 브로드캐스트 패킷 전달을 해제 합니다. SUMRF D.O.s 라우터 브로드캐스트 전달 반사 경으로 구성 된 공격 네트워크 리소스를 점유 하 고, 심지어 네트워크 마비를 일으킬. "아니 IP 브로드캐스트" 라우터 브로드캐스트 패킷을 해제 하려면 각 포트에 적용 되어야 한다. 9. HTTP 서비스를 관리 합니다. HTTP 서비스는 웹 관리 인터페이스를 제공합니다. 아니 IP HTTP 서버는 HTTP 서비스를 중지할 수 있습니다. HTTP를 사용 해야 하는 경우 액세스 목록 IP http 액세스 클래스 명령을 사용 하 여 엄격 하 게 허용된 된 IP 주소를 필터링 하 고 IP HTTP 인증 명령 권한 제한을 설정 해야 합니다. 10. 스푸핑 (속임수) 공격 방어. 웹캐스트 및 내부 네트워크 외부 패키지에서 실제로 발생 하는 클레임에 대 한 모든 대상 주소 필터링 액세스 제어 목록을 사용 합니다. 라우터 포트 구성에서: IP 액세스-그룹 목록 번호 액세스 제어 목록에는 다음과 같습니다: 액세스 목록 번호 거부 모든 리디렉션 액세스 목록 번호 거부 나 ICMP P 127.0.0.0 0.255.255.255 어떤 액세스 목록 번호 거부 IP를 224.0.0.0 31.255.255.255 어떤 액세스 목록 번호 거부 IP 호스트 0.0. 0.0 어떤 참고: 위의 4 개의 라인 BOOTP/DHCP 응용 프로그램에서 패킷 일부를 필터링 하 고 비슷한 환경에서 사용 될 때 완벽 하 게 알고 있어야. 11. 가방 스니핑 하는 것을 방지 합니다. 해커는 종종 네트워크에 해킹 있다, 네트워크 데이터 스트림을 모니터링 및 SNMP 통신 암호 및 라우터 로그인 및 권한 암호를 네트워크 관리자가 네트워크 보안을 위해 어려운 시키는 포함 하는 암호를 도용 하는 컴퓨터에 스니퍼 소프트웨어를 설치 합니다. 하지 로그온 않는 라우터를 신뢰할 수 없는 네트워크에서 암호화 되지 않은 프로토콜. 라우터가 암호화 프로토콜을 지 원하는 경우 kerberized, 텔넷 또는 SSH를 사용 하 여 또는 IPSec를 사용 하 여 라우터에 대 한 모든 관리 흐름을 암호화. 12. 데이터 흐름 경로의 적법성을 확인 합니다. RPF (역 경로 포워딩) 역 위상 전달 사용 하 여, 공격 패킷은 공격자의 주소는 불법, 따라서 스푸핑 공격에 대 한 방어 때문에 삭제 됩니다. RPF 역 상 경로 전달 구성 명령: IP 유니캐스트 RPF를 확인 합니다. 참고: 먼저, CEF (시스 코 익스프레스 전달) 지원빠른 운송입니다. 13. SYN 공격 방지. 현재, 일부 라우터 소프트웨어 플랫폼 수 TCP 차단 기능 설정, SYN 공격을 방지, 모드 두 종류 절편 및 모니터 작업, 기본값은 차단 모드. (차단 모드: 라우터 들어오는 SYN 요청에 응답 하 고 서버 대신 SYN ACK 메시지를 보내는 클라이언트 ACK.에 대 한 대기) ACK 수신 되 면 원래 SYN 메시지; 서버에 전송 됩니다. 모니터링 모드: 라우터 SYN 요청을 서버에 직접 연결을 허용 하 고 라우터 연결을 삭제 하려면 RST 보냅니다 경우 30 초 이내 세션이 설정 되지. 먼저, 구성 IP 주소를 보호 하 여 액세스 목록: 액세스 목록 [1-199] [거부 | 허용] TCP 대상 대상-와일드 카드 다음, 설정 TCP 차단: Ip TCP 나 ntercept 모드 차단 IP TCP 인터셉트 목록 액세스 목록 번호 IP TCP 인터셉트 모드 14 시계. 안전한 SNMP 관리 시나리오를 사용 합니다. SNMP 모니터링 및 라우터 구성에 널리 사용 됩니다. SNMP 버전 1은 덜 안전 하 고 공용 네트워크를 통해 응용 프로그램을 관리 사용을 위해 부적 한. 이 기능을 사용 하 여 SNMP 서비스의 보안 성능 향상을 위해 특정 워크스테이션 에서만에서 SNMP 액세스를 허용 하는 액세스 목록. 구성 명령: Snmp를 서버 커뮤니티 xxxxx RW XX 액세스 제어 목록 수 SNMP 버전 2 사용 하 여 MD5 디지털 인증 방법입니다. 다른 라우터 장치 전반적인 보안 성능을 개선 하는 효과적인 수단입니다, 다른 디지털 서명으로 구성 됩니다. 요약: 전체 네트워크의 핵심 장비, 보안 문제는 우리의 특별 한 관심 필요. 물론, 경우에 우리의 네트워크를 보호 하는 이러한 방법에 의존 하는 충분 하지 않습니다, 하지만 또한 보안 예방 조치의 좋은 일을 할 다른 장비와 함께 안전 하 고 안정적인 정보를 만든 우리의 네트워크 플랫폼 교환. "관련된 문서" 항목: 라우터 보안 구성 기술 "책임 편집기: Yutie 전화: (010) 68476606" 원본: 네트워크 라우터 재단을 통해 네트워크 보안 홈 페이지를 반환 하는 것이 안전 하 게