强化路由器IOS安全-禁用不必要的服务

  • A+
所属分类:未分类

 Cisco Discovery Protocol

CDP:思科发现协议(CDP:Cisco Discovery Protocol),CDP 基本上是用来获取直连设备的协议地址以及发现这些设备的平台。支持ATM, Ethernet, FDDI, frame relay, HDLC, PPP, token ring.
CDP 协议能获取如下信息:
1.     cisco设备名字
2.     cisco设备类型,型号
3.     设备运行IOS的version
4.     设备功能,Eg:路由器,交换机或是其他
5.     三层接口地址
6.     设备获取cdp信息来源
 
Eg:
Router#show cdp neighbors detail
-------------------------
Device ID: R1
Entry address(es):
  IP address: 12.12.12.1
Platform: Cisco 7206VXR,  Capabilities: Router
Interface: FastEthernet1/0,  Port ID (outgoing port): FastEthernet1/0
Holdtime : 166 sec
 
Version :
Cisco IOS Software, 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 11-Jul-08 04:22 by prod_rel_team
 
advertisement version: 2
Duplex: full
 
禁用CDP协议:边界路由器一般都需要关闭该功能
Router(config)#no cdp run--------全局模式下,对所有接口生效
 
Router(config-if)#no cdp enable-------------接口模式下禁用,针对当前接口
 
==============================================================================TCP and UDP Small Servers
 
关闭TCP和UDP的一些无用的小服务,这些小服务的端口小于19,通常用在以前的UNIX环境中,如chargen,daytime等。
Eg:
R1#telnet 12.12.12.1 daytime
Trying 12.12.12.1, 13 ... Open
Saturday, July 7, 2012 23:57:19-UTC
 
[Connection to 12.12.12.1 closed by foreign host]
 
Router(config)#no service tcp-small-servers
Router(config)#no service udp-small-servers
R1#telnet 12.12.12.1 daytime
Trying 12.12.12.1, 13 ...
% Connection refused by remote host
 
思科IOS 默认是关闭的服务TCP小型服务器
==============================================================================
Finger
常用在UNIX中,用来确定谁登陆到设备上,现在被E-mail和messenger取代。
Eg:
Router#telnet 12.12.12.1 finger
Trying 12.12.12.1, 79 ... Open
 
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:00:02  
*  2 vty 0                idle                 00:00:00 12.12.12.2
 
  Interface    User               Mode         Idle     Peer Address
 
[Connection to 12.12.12.1 closed by foreign host]
 
R1(config)# no ip finger
R1(config)#no service finger
 
Router#telnet 12.12.12.1 finger
Trying 12.12.12.1, 79 ...
% Connection refused by remote host
 
在绝大多数的IOS版本中,该特性默认是禁用的,无论如何建议禁用该特性。
 
==============================================================================
IdentD
一个设备发送一个请求到Ident接口(TCP 113), 目标会回答一个身份识别,如host名称或者设备名称。
Router(config)# no ip identd
 
通过telnet 113端口测试设备是否启用了该服务:
Router#telnet 12.12.12.1 113
Trying 12.12.12.1, 113 ... Open
 
IdentD默认情况下是禁用的。
 
 
 
=============================================================== 
IP Source Routing
 ip source-routing欺骗类似ARP攻击:A在内网, B,C在外网,A信任B, C想访问A上的数据.... 于是它修改了自己的源IP地址,告诉A自己是B... 并加入源路由信息,记下了来时的路径这样A按数据来的路返回给了C。
 如果 no 了 ip source-route A发出的包会自己去寻找B,这样,C还是得不到想要的。
 
默认情况下该特性是开启的,禁用该特性:
Router(config)# no ip source-route
 
==============================================================================
FTP and TFTP
路由能提供FTP和TFTP的功能,通过该功能可以从一台路由器copy Ios到另一条路由器。强烈建议禁止此功能。
 
默认情况该功能是禁止的,禁止命令:Router(config)# no ftp-server enable
 
亿恩科技地址(ADD):郑州市黄河路129号天一大厦608室 邮编(ZIP):450008 传真(FAX):0371-60123888
   联系:亿恩小凡
   QQ:89317007
   电话:0371-63322206

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: