问:我应该如何改变路由器密码?防御路由器安全密码攻击的最佳做法是什么?
答:保护路由器密码的两条基本规则是:总是要更改新的路由器的默认密码以及只通过安全和加密的连接登录路由器。
黑客不但知道市场上的常见路由器的所有默认密码,而且他们还把这些密码上传到了网站上。如果你认为这不是他们攻击路由器的第一步,然后不要改变默认密码,看一下会发生什么。
当然还有,使用强大的密码——不能是字典上的单词,至少要八位长度,包括大写和小写字母和数字。还有,确保在不同的系统上使用不同的密码。如果在网络上使用相同的密码,它就会受到攻击,然后呢?整个网络都会受到攻击。
至于加密连接,只能使用SSH等协议,它可以创建安全的路由器连接。Telnet和TFTP等协议和服务都没有加密,所以很容易受到攻击。路由器上不好的一点是可以允许用户ID和密码的明文传送,而且可以很容易就被探测到。
另一方面,思科的IOS在配置文件中有两种方法加密密码,而这些配置文件是存储在路由器上的。思科可以以三种方法在配置文件中存储密码:铭文、Vignere加密和MD5哈希算法。Vignere是比MD5稍弱的一种加密算法,而和MD5不同的它是可逆的,也就是说它可以被破解。
思科路由器由三种加密密码的命令:服务密码加密、激活密码和激活秘密。第一种方法使用Vignere加密,而另两种使用MD5哈希加密。激活秘密命令是思科路由器中的一种较新的功能,比激活密码还要强大一些。激活密码命令只能保持向后的兼容性,而服务密码加密,虽然较弱,但是有些旧的网络协议仍然需要它的兼容性。
这些命令还可以允许密码在不同的访问权限级别中设置和加密,这取决于管理员分派给员工的权限。
如果可能,可以使用思科加密命令来保护路由器密码。在思科的网站上有大量的详细的文件。如果你使用的是其它牌子的路由器,就要坚持SSH或者其他的加密连接。
更多问答,点击进入专家答疑首页
