(1)设置安全的口令。一般来说,路由器的登录口令都是直接采用admin、888888、666666等比较容易猜出的字串,有些路由器会在登录界面以口令明文形式进行提示,甚至还有些路由器必须要手工设置密码,否则直接单击“登录”按钮就可以对路由器进行设置,因此将交换机或者路由器投入使用之前一定要设置安全的口令。
比如需要对阿尔法V8路由器修改密码,可以在IE浏览器中登录路由器之后,依次单击“基本设置→修改密码”链接,此时先输入旧密码,并且输入两次完全一致的新密码,确认之后即可完成密码重新设置的操作,如图24-5所示。
图24-5 设置路由器密码 |
但是在设置密码的时候需要注意,密码的长度尽可能确保在8位以上,而且尽量不要采用自己的姓名、生日、电话号码之类容易被别人猜测得到的字串作为密码,最好能够采用大小写字母、数字、特殊符号组成的字串作为密码,这样不仅可以避免别人随意猜测密码,即使借助专门的软件进行暴力破解也需要很长的时间,因此把由于交换机和路由器弱口令而导致的局域网隐患下降到最低点。
(2)关闭Ping命令测试。设置好路由器之后,让它做什么它就会做什么,即便对于一些来自于外部网络的攻击命令也不例外。通常黑客进行攻击之前,首先要借助Ping命令识别目前正在使用的计算机,因此Ping通常用于大规模的协同性攻击之前的侦察活动。通过取消远程用户接收Ping请求的应答能力,就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标。在通过Ping获取目标计算机之后,黑客就能够通过各种手段进行攻击。例如Smurf攻击就是一种拒绝服务攻击,在这种攻击中,攻击者使用假冒的源地址向路由器发送一个“ICMP echo”请求,这要求所有的主机对这个广播请求做出回应。虽然这种攻击并不会直接破坏网络的正常运行,但是会降低网络性能。
在阿尔法路由器管理窗口中,依次单击“安全设置→杂项”链接,并且选中“WAN口Ping包过滤”后部的“启用”复选框,如图24-6所示。经过这样设置之后,凡是外部Internet发送来的Ping请求都会被自动过滤,从而增强了路由器和局域网内部计算机的安全。
(3)关闭虚拟服务器。几乎所有的交换机和路由器都提供了虚拟服务器的功能,虚拟服务器使得外部Internet用户可访问架设在内部局域网其他计算机中的WWW、FTP和其他服务。这种虚拟服务器功能虽然给内部局域网架设服务器带来了诸多便利,但是却给局域网的安全带来了隐患。