オペレーティングシステムは、デフォルトで、echo(echo)、gen(character generator protocol)、discard(discard protocol)などの小規模なサービスを提供しています。これらのサービス、特にそれらのUDPサービスは、正当な目的のためにめったに使用されません。ただし、これらのサービスを使用してサービス拒否攻撃やその他の攻撃を実行することができます。パケットフィルタリングはこれらの攻撃を防ぎます。
1.ルータのオペレーティングシステムをアップデートする:ネットワークのオペレーティングシステムと同様に、ルータのオペレーティングシステムもプログラミングエラー、ソフトウェアの欠陥、およびバッファオーバーフローを修正するためにアップデートする必要があります。最新のアップデートおよびオペレーティングシステムのバージョンについては、必ずルータの製造元に確認してください。
2.デフォルトのパスワードを変更する:Carnegie Mellon UniversityのComputer Emergency Response Teamによると、セキュリティ問題の80%は、弱いパスワードまたはデフォルトのパスワードが原因です。通常のパスワードの使用を避け、より強力なパスワード規則として大文字と小文字の混在を使用してください。
3. HTTP設定とSNMP(簡易ネットワーク管理プロトコル)を無効にする:あなたのルーターのHTTP設定セクションは忙しいネットワーク管理者のために簡単に設定できます。ただし、これはルータにとってもセキュリティ上の問題です。ルーターにコマンドライン設定がある場合は、HTTPモードを無効にしてこの設定を使用してください。ルータでSNMPを使用していない場合は、この機能を有効にする必要はありません。 CiscoルータにはGREトンネル攻撃に対して脆弱なSNMPの脆弱性があります。
4. ICMP(インターネット制御メッセージプロトコル)ping要求をブロックする:pingやその他のICMP機能は、ネットワーク管理者やハッカーにとって非常に便利なツールです。ハッカーは、ルーターで有効になっているICMP機能を使用して、ネットワークを攻撃するために使用できる情報を見つけることができます。
5.インターネットからtelnetコマンドを無効にする:ほとんどの場合、インターネットインターフェイスからアクティブにtelnetセッションを開く必要はありません。内部的にあなたのルーター設定にアクセスする方が安全でしょう。
6. IPダイレクトブロードキャストを無効にする:IPダイレクトブロードキャストを使用すると、デバイスへのサービス拒否攻撃が可能になります。ルータのメモリとCPUは、あまりにも多くの要求に耐えることが困難です。この結果、バッファオーバーフローが発生する可能性があります。
7. IPルーティングとIPリダイレクションを無効にする:リダイレクションを使用すると、パケットはあるインターフェイスから着信し、次に別のインターフェイスから発信されます。適切に設計されたパケットを専用の内部ネットワークにリダイレクトする必要はありません。
8.パケットフィルタリング:パケットフィルタリングは、あなたがあなたのネットワークに入ることを許可された種類のパケットのみを通過させます。多くの企業はポート80(HTTP)とポート110/25(Eメール)のみを許可しています。さらに、IPアドレスと範囲をブロックして許可することもできます。
9.セキュリティレコードを確認する:ログファイルを確認するためにしばらく時間を利用するだけで、明らかな攻撃やセキュリティホールさえ見られます。あなたがどれほど多くの攻撃を経験したかにあなたは驚かれるでしょう。
10.不要なサービス:ルーター、サーバー、およびワークステーションの不要なサービスに関係なく、不要なサービスを常に無効にします。 Ciscoのデバイスはネットワークを通過します
多くのネットワーク管理者は、ルータが攻撃のホットスポットになる可能性があることを認識していません。ほとんどの中小企業はルーターエンジニアを雇っていませんし、必須機能としてこの機能を外注することもありません。したがって、ネットワーク管理者や管理者はそれについてあまり知らず、ルータのセキュリティを保証する時間がありません。ルータを安全にするための10の基本的なヒントを紹介します。