所以不要以为加密了就可以放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界得到。且设定enable secret和service password-encryption。
二. 控制交互式访问
任何人登录到路由器上都能够显示一些重要的配置信息。一个攻击者可以将路由器作为攻击的中转站。所以需要正确控制路由器的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例外,如直连的控制台终端等。
控制台端口具有非凡的权限。非凡注重的是,当路由器重启动的开始几秒假如发送一个Break信号到控制台端口,则利用口令恢复程式可以很轻易控制整个系统。这样假如一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem、终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。
除了通过控制台登录路由器外还有很多的方法,根据配置和操作系统版本的不同,可以支持如Telnet、rlogin、Ssh以及非基于IP的网络协议如LAT、MOP、X.29和V.120等或者Modem拨号。所有这些都涉及到TTY,本地的异步终端和拨号Modem用标准的"TTYs"。远地的网络连结不管采用什么协议都是虚拟的TTYs,即"VTYs"。要控制路由器的访问,最好就是控制这些TTYs或VTYs,加上一些认证或利用login、no password命令禁止访问。
1.控制TTY
缺省的情况下一个远端用户可以连结到一个TTY,称为"反向Telnet",答应远端用户和连接到这个TTY上的终端或Modem进行交互。但是这些特征答应一个远端用户连接到一个本地的异步终端口或一个拨入的Modem端口,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用transport input none设置任何异步或Modem不接收来自网络用户的连结。假如可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。