Cisco路由器威脅對策

來源:本站原創 CISCO 超過1,599 views圍觀 0條評論

Cisco路由器威脅對策

關閉BOOTP服務

    缺省情況下是啟用的

       No ip bootp server

關閉CDP服務

    缺省情況下是啟用的

       No cdp run:全局禁用CDP  

    在接口模式下實施:no cdp enable:用于關閉特定接口下的CDP服務

關閉配置自動加載服務

    該服務缺省是關閉的

       No boot network remote-url      

       No service config

限制DNS服務

       DNS查詢服務缺省是啟用的.

       No ip domain-lookup

       Ip name-server server-address1 [server-address2 … server-address6]

關閉FTP服務器

       No ftp-server enable:IOS12.3之前的版本使用該命令

       No ftp-server write-enable : IOS12.3之后的版本使用該命令

關閉Finger服務

       Finger服務缺省是啟用的.

       No ip finger 或 no service finger :用于關閉路由器的Finger服務.

關閉無根據ARP

    缺省情況下是啟用的

       No ip gratuitous-arps

關閉HTTP服務

Cisco安全設備管理器SDM使用HTTP訪問路由器,如果使用SDM就不要禁止HTTP.如果啟用HTTP作為管理,最好使用 ip http access-class 命令來限制對恰當的IP地址開放 訪問權限.此外也應該使用 ip http authentication 來配置認證.

       No ip http server用于關閉路由器的HTTP服務.

關閉IP無類別路由選擇服務

    該服務缺省是啟用的.

       No ip classless 用于關閉該服務.

關閉IP定向廣播

       IOS 12.0之前的版本是缺省啟用的.IOS 12.0之后的版本缺省是禁用的.

       IP定向廣播常見于smurf和fraggle DoS攻擊中.

       No ip directed-broadcast:接口模式下使用該命令,用于關閉接口的IP定向廣播的支持.

關閉IP鑒別

       No ip identd

關閉ICMP掩碼應答

       Cisco IOS缺省是禁用掩碼應答的.

       No ip mask-reply:接口模式下實施.

關閉ICMP重定向

       Cisco IOS缺省啟用了ICMP重定向.應該在通往不可信網絡的接口上明確禁止該功能.

       No ip redirect :接口模式下使用

關閉IP源路由選擇

    缺省啟用了IP源路由選擇

       No ip source-route

關閉ICMP不可達消息

    缺省啟用了ICMP不可達消息

       No ip unreachable: 在接口模式下實施.

    使用no ip unreachable將會是系統排障變得復雜

關閉MOP服務

    在大多數Cisco路由器的以太網接口上,DEC的維護操作協議:MOP缺省是啟用的.

       No mop enable:接口模式下使用.

關閉NTP服務

    缺省NTP服務是啟用的.

       Ntp disable:接口模式下使用,禁用某接口接收NTP包.

關閉PAD服務

    數據包裝配/分解:PAD在大多數Cisco路由器上是缺省啟用的.

    如果不需要X.25網絡操作的話,應該明確禁止PAD服務.

       No service pad

關閉代理ARP

Cisco路由器缺省在所有接口上都啟用了代理ARP(ARP Proxy);在內網接口上關閉ARP Proxy可能導致問題,所以最好只在外網接口上關閉ARP Proxy.

No ip proxy-arp: 在接口模式下實施.

關閉SNMP服務

    缺省是啟用SNMP服務的;

    完全禁止對路由器的SNMP訪問,需要一下六個步驟:

       1,去掉現有的snmp的community字符串

              Router(config)#no snmp-server community public ro

              Router(config)#no snmp-server community config rw

       2,創建一個ACL,明確禁止所有流量

              Router(config)#access-list 60 deng any

       3,創建一個難以破解的只讀和讀寫snmp community,并引用步驟二的ACL

              Router(config)#snmp-server community welj235 ro 60

              Router(config)#snmp-server community asdfjk7 rw 60

       4,禁用所有的SNMP traps服務

              Router(config)#no snmp-server enable traps [notification-type]

       5,禁止SNMP系統停機功能

              Router(config)#no snmp-server system-shutdown

       6,全局禁用SNMP服務

              Router(config)#no snmp-server

關閉小型服務器

       Cisco IOS 12.0之后的版本缺省都關閉了小型服務.

       No service udp-small-servers

       No service tcp-small-servers

啟用TCP Keep alive

       Keep alive非常重要,它可以防止孤兒會話.

       Service tcp-keepalive-in:檢測并刪除一個由遠程主機建立的不活動的交互會話.

       Service tcp-keepalive-out:檢測并刪除一個由本地用戶建立的不活動的交互會話.

關閉TFTP服務器

       No tftp-server flash:禁用falsh內存TFTP服務器.

       No tftp-server flash [device:] [partition-number:] file-name

              Cisco 1600&3600上的no tftp-server falsh命令語法如上.

       No tftp-server flash device:file-name

Cisco 7200路由器上的no tftp-server flash命令的語法如上.

       No tftp-server {flash[partition-number:] file-name1 | rom alias file-name2}

       其他Cisco路由器上的no tftp-server flash 命令語法如上.

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=390轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏