從“入口”把關(guān)讓路由器更安全

隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)接入方式也變得多種多樣，無論是ISDN、ADSL還是專線，路由器無疑是近年來企業(yè)網(wǎng)絡(luò)中網(wǎng)絡(luò)接入的熱點(diǎn)設(shè)備。而如何保障路由器的安全，對于網(wǎng)絡(luò)管理員來說也是任重而道遠(yuǎn)，一旦黑客獲得了路由器的控制權(quán)，針對路由器發(fā)動了攻擊，從而浪費(fèi)路由器的CPU周期，誤導(dǎo)信息流量，終使整個網(wǎng)絡(luò)陷入癱瘓。而加強(qiáng)路由器的安全配置，也是一項(xiàng)非常大的課題，今天，筆者就談?wù)勅绾螐摹叭肟凇卑殃P(guān)，從而讓我們的路由器盡量減少被黑客攻擊的可能。
    一、設(shè)置配置密碼
    對于路由器來說，配置方法基本上可以分為三種，控制臺、AUX和VTY （Telnet），而VTY和AUX默認(rèn)情況進(jìn)行配置訪問就需要一個登錄密碼，如果不設(shè)置任何密碼，路由器就會拒絕建立會話，并返回一個錯誤消息，說明錯誤的原因是“密碼請求沒有設(shè)置”而導(dǎo)致的。而控制臺端口默認(rèn)情況下是不要求密碼，也就是說在沒有進(jìn)行控制臺密碼設(shè)置的情況下，任何人只要有一臺筆記本和一根控制線，就可以很容易的進(jìn)入設(shè)備修改備置，因此不僅僅為AUX和VTY設(shè)置密碼，連控制臺端口也要設(shè)置登錄密碼。
    我們來分別了解一種三種密碼類型的語法：
    通過控制臺設(shè)置密碼：
    Line console 0
    Password password
    Login
    通過AUX設(shè)置密碼：
    Line aux 0
    Password password
    Login
    通過Telnet遠(yuǎn)程設(shè)置密碼
    Line vty 0 4
    Password password
    Login
    有了這個基礎(chǔ)后，我們就可以來看看具體的設(shè)置過程了（圖1）
    
    小提示：其中“Line vty 0 4”表示開啟五個虛擬接口，說明同時可以有五個用戶Telnet到這臺路由器。
    二、用戶名和密碼組合認(rèn)證
    上面只是配置了各種接入方式的密碼，如果企業(yè)有多個網(wǎng)絡(luò)管理員，需要查看、修改路由器的配置，使用統(tǒng)一的密碼顯示也是不太合適的，且容易造成密碼泄露。為每一個管理員設(shè)置一個用戶名及密碼，經(jīng)過這樣的組合后，安全性會有一定提升。
    設(shè)置用戶名及密碼的命令如為“username 欲設(shè)置的用戶名 password 對應(yīng)的用戶密碼”，其中password可以使用Secret代替，從而設(shè)置加密的（password設(shè)置的密碼為明文，所有可以登錄路由器的用戶都可以查看到該密碼）密碼（如圖2）。
    
    圖 2
    小提示：設(shè)置的用戶名、密碼都存儲在路由器的數(shù)據(jù)庫中，其中用戶名不區(qū)分大小寫，而密碼是嚴(yán)格區(qū)分大小寫的，因此在設(shè)置密碼時需要注意大小寫狀態(tài)。
    三、小結(jié)
    安全似乎是永遠(yuǎn)的話題，且對于網(wǎng)絡(luò)來說沒有絕對、也沒有永遠(yuǎn)的安全。而我們要做的就是盡大的可能，在現(xiàn)有條件下做到更安全。雖然常有人說密碼不過是只紙老虎，但在實(shí)際的使用中，密碼似乎又是我們好的武器，因此設(shè)置好路由器登錄密碼，從 “入口”處把關(guān)顯得尤為重要。特別是控制臺端口的密碼是很多人都掉以輕心的，認(rèn)為設(shè)備放在機(jī)柜中，外人很難接觸到物理設(shè)備，但是如果可以多加一道防范，可以更加安全，為什么不這么做呢？穩(wěn)步向前，讓我們的網(wǎng)絡(luò)更安全。