理员来说,这是一项艰巨的任务。因此,建议管理员在选择使用某个厂家的路由器时,应该选择公认的运行比较稳定的软件版本,尽量不要选择最新的版本,因为这些新版本的软件并没有经过时间的考验。
管理员对路由器的操作大都是通过远程操作来完成的。在缺省情况下,路由器只是凭借一个密码来进行身份认证,一些黑客软件可以针对Telnet进行密码暴力破解,很容易得到单薄的密码。为此,建议管理员使用基于用户名+密码的认证方式,这样至少可以增加黑客猜测用户名的时间,减少被攻破的可能。管理员通常使用Telnet进行远程操作,该过程密码和操作数据都是以明码传输的,攻击者使用sniffer之类的抓包软件就可以轻易获得管理员密码。管理员应该建立如图2所示的网管局域网,每台路由器上最好都采用专门的接口连接网管局域网,这样管理员的远程操作直接传送到路由器,而不需要跨越网段,不易被监听。目前,很多路由器都支持SSH远程操作,推荐使用,它使用加密传送密码和数据。更先进的方法是在网管机器和路由器之间建立IPSec通道,专门用来传送路由器操作数据。
相对于路由器本地验证,AAA(认证, 授权, 审计)认证机制是目前身份认证的理想选择。它能够集中管理所有操作页码:[1] [2] [3] [4] [5] [6] [7] [8] 第3页、共8页 |
