cisco路由器关闭一些不必要服务

cisco路由器关闭一些不必要服务一、Cisco发觉 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 CDP是一个Cisco专用协议，运行在所有Cisco产品的第二层，用来和其他直截了当相连的Cisco设备共享差不多的设备信息。独立于介质和协议。黑客再勘测攻击中使用CDP信息，这种可能性是比较小的。因为必须在相同的广播域才能查看CDP组播帧。因此，建议在边界路由器上关闭CDP，或至少在连接到公共网络的接口上关闭CDP.缺省情形下是启用的。全局关闭CDP，使用nocdprun命令，关闭之后，应该使用showcdp验证CDP是否已被关闭。二、TCP禾口UDP低端口服务TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都差不多过时：如日期和时刻（daytime，端口13），测试连通性（echo,端口7）和生成字符串（chargen,端口19）。要在路由器上关闭这些服务，使用下面的配置：Router（config）#noservicetcp-small-serversRouter（config）#noserviceudp-small-servers三、FingerFinger协议（端口79）承诺网络上的用户获得当前正在使用特定路由选择设备的用户列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，显示的信息包括系统中运行的进程、链路号、连接名、闲置时刻和终端位置。通过showuser命令来提供的。Finger是一个检测谁登录到一台主机的UNIX程序，而不用亲自登录到设备来查看。（connectfinger）Router（config）#noipfingerRouter（config）#noservicefinger当对路由器执行一个finger操作时，路由器以showusers命令的输出来作为响应。要阻止响应，使用noipfinger命令，将关闭finger服务。在较老的版本中，使用noservicefinger命令。在较新版本中，两个命令都适用。四、IdentDIP鉴不支持对某个TCP端口身份的查询。能够 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 一个发起TCP连接的客户端身份，以及响应该连接的主机的身份。IdentD承诺远程设备为了识不目的查询一个TCP端口。是一个不安全的协议，旨在关心识不一个想要连接的设备。一个设备发送要求到Ident端口（TCP113），目的设备用其身份信息作为响应，如主机和设备名。如果支持IP鉴不，攻击者就能够连接到主机的一个TCP端口上，公布一个简单的字符串以要求信息，得到一个返回的简单字符串响应。要关闭IdentD服务，使用下面的命令：Router（config）#noipidentd五、IP源路由应该在所有的路由器上关闭，包括边界路由器。能够使用下面的命令：Router（config）#noipsource-route禁止对带有源路由选项的IP数据包的转发。六、FTP和TFTP路由器能够用作FTP服务器和TFTP服务器，能够将映像从一台路由器复制到另一台。建议不要使用那个功能，因为FTP和TFTP差不多上不安全的协议。默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍旧建议在路由器上执行以下命令：Router（config）#noftp-serverwrite-enable（12.3版本开始）Router（config）#noftp-serverenable能够通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的连接。七、HTTPCisco安全设备治理器（SecurityDeviceManager,SDM）用HTTP访咨询路由器，如果要用SDM来治理路由器，就不能关闭HTTP服务。如果选择用HTTP做治理，应该用iphttpaccess-class命令来限制对IP地址的访咨询。此外，也应该用iphttpauthentication命令来配置认证。关于交互式登录，HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器，这能够幸免将enable口令用作HTTP口令。八、SNMPSNMP能够用来远程监控和治理Cisco设备。然而，SNMP存在专门多安全咨询题，专门是SNMPv1和v2中。要关闭SNMP服务，需要完成以下三件事：*从路由器配置中删除默认的团体字符串；*关闭SNMP陷阱和系统关机特点；*关闭SNMP服务。要查看是否配置了SNMP命令，执行showrunning-config命令。前两个命令删除了只读和读写团体字符串（团体字符串可能不一样）。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后，使用showsnmp命令验证。九、域名解析缺省情形下，Cisco路由器DNS服务会向广播地址发送名字查询。应该幸免使用那个广播地址，因为攻击者可能会借机假装成一个DNS服务器。如果路由器使用DNS来解析名称，会在配置中看到类似的命令：Router（config）#hostnamesantaRoute（rconfig）#ipdomain-nameclaus.govRouter（config）#ipname-server（config）#ipdomain-lookup能够使用showhosts命令来查看差不多解析的名称。因为DNS没有固有的安全机制，易受到会话攻击，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常忽略第二个回复。十、BootPBootP是一个UDP服务，能够用来给一台无盘工作站指定地址信息，以及在专门多其他情形下，在设备上加载操作系统（用它来访咨询另一个运行有BOOTP服务的路由器上的IOS拷贝，将IOS下载到BOOTP客户端路由器上）。该协议发送一个本地广播到UDP端口67（和DHCP相同）。要实现这种应用，必须配置一个BootP服务器来指定IP地址信息以及任何被要求的文件。Cisco路由器能作为一台BootP服务器，给要求的设备提供闪存中的文件，因为以下3个缘故，应该在路由器闪关闭BootP：*不再有使用BootP的真正需求；*BootP没固有的认证机制。任何人都能从路由器要求文件，不管配置了什么，路由器都将作出回复；*易受DoS攻击。默认地，该服务是启用的。要关闭BootP，使用下面的配置：Router（config）#noipbootpserver十一、DHCPDHCP承诺从服务器猎取所有的IP地址信息，包括IP地址、子网掩码、域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。Cisco路由器既能作为DHCP客户端，也能作为服务器。在将Cisco路由器作为边界路由器时，应该设置该路由器为DHCP客户端的唯独的情形是，如果是通过DSL和线缆调制解调器连接到ISP，而ISP使用DHCP指定地址信息。否则，决不要将路由器设置为DHCP客户端。同样地，应该设置路由器为一台DHCP服务器地唯独的情形是，当在一个SOHO环境中使用路由器，在这种小型的网络中差不多上这台路由器是能够给PC指定地址的唯独设备。如果如此做，确保在路由器外部接口上过滤UDP端口67,这将阻止来自外部的DHCP和BootP要求。一样DHCP服务器是默认打开的。使用下面的配置关闭：Router（config）#noservicedhcp这阻止路由器成为一台DHCP服务器或者中继代理。PAD能给黑客提供有用的功能。假设黑客能获得直截了当连接在路由器上的设备的操纵权，而如果路由器在运行PAD服务，它将同意任何PAD连接。要关闭那个服务，使用下面的命令：Router（config）#noservicepad十三、配置自动加载Cisco路由器启动时，在显现CLI提示符之前，将经历几个测试时期、发觉CiscoIOS和配置文件。路由器启动时，通常会通过以下5个步骤：*加载并执行POST，发觉ROM，测试硬件组件，如闪存和接口；*加载并执行引导自举程序；*引导自举程序发觉并加载CiscoIOS映像文件。这些映像文件能够来自闪存、TFTP服务器或者闪存；*加载了CiscoIOS之后，发觉并执行一个配置文件：配置文件储存在NVRAM中，但如果NVRAM是空的，系统配置对话框开始，或者路由器使用TFTP来猎取一个配置文件；*给用户CLIEXEC提示符。在发觉一个CiscoIOS文件时，假定在NVRAM中没有bootsystem命令，路由器第一在闪存中查找有效的CiscoIOS映像文件。如果闪存中没有IOS映像文件，路由器执行TFTP启动，或者网络启动；发送本地广播要求从TFTP服务器上猎取操作系统文件。如果那个过程也失败了，路由器从内存中加载IOS映像文件。Router（config）#nobootnetworkremote-url-ftp：[[[//[username：[：password]@]location]/directory]/filename]-rcp：[[[//[username@]/location]/directory]/filename]-tftp：[[[//location]/directory]/filename加载了IOS映像之后，开始发觉一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配置选项：使用TFTP广播来发觉配置文件。因此，应该使用以下的命令关闭该特性：Router（config）#noserviceconfig十四、关闭无按照ARP大多数Cisco路由器（缺省情形下）都会向外发送无按照的ARP消息，不管客户端何时连接并基于PPP连接协商一个IP地址。ARP毒害攻击要紧利用的确实是这种ARP消息。即使客户端从一个本地地址池收到地址，Cisco路由器也会生成一个无按照的ARP传送。禁止无按照ARP传送，使用下面的命令：Router（config）#noipgratuitous-arps十五、关闭IP无类不路由选择服务路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包，如果启用了IP无类不服务时，会将这些数据包转发给最有可能路由的超网。要关闭IP无类不路由选择，在全局配置模式下使用noipclassless命令。