- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
强化路由器IOS安全-禁用不必要的服务 |
| 发布时间: 2012/7/28 18:51:53 |
|
Cisco Discovery Protocol CDP:思科发现协议(CDP:Cisco Discovery Protocol),CDP 基本上是用来获取直连设备的协议地址以及发现这些设备的平台。支持ATM, Ethernet, FDDI, frame relay, HDLC, PPP, token ring.
CDP 协议能获取如下信息:
1. cisco设备名字
2. cisco设备类型,型号
3. 设备运行IOS的version
4. 设备功能,Eg:路由器,交换机或是其他
5. 三层接口地址
6. 设备获取cdp信息来源
Eg:
Router#show cdp neighbors detail
-------------------------
Device ID: R1
Entry address(es):
IP address: 12.12.12.1
Platform: Cisco 7206VXR, Capabilities: Router
Interface: FastEthernet1/0, Port ID (outgoing port): FastEthernet1/0
Holdtime : 166 sec
Version :
Cisco IOS Software, 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 11-Jul-08 04:22 by prod_rel_team
advertisement version: 2
Duplex: full
禁用CDP协议:边界路由器一般都需要关闭该功能
Router(config)#no cdp run--------全局模式下,对所有接口生效
Router(config-if)#no cdp enable-------------接口模式下禁用,针对当前接口
==============================================================================TCP and UDP Small Servers
关闭TCP和UDP的一些无用的小服务,这些小服务的端口小于19,通常用在以前的UNIX环境中,如chargen,daytime等。
Eg:
R1#telnet 12.12.12.1 daytime
Trying 12.12.12.1, 13 ... Open
Saturday, July 7, 2012 23:57:19-UTC
[Connection to 12.12.12.1 closed by foreign host]
Router(config)#no service tcp-small-servers
Router(config)#no service udp-small-servers
R1#telnet 12.12.12.1 daytime
Trying 12.12.12.1, 13 ...
% Connection refused by remote host
思科IOS 默认是关闭的服务TCP小型服务器
==============================================================================
Finger
常用在UNIX中,用来确定谁登陆到设备上,现在被E-mail和messenger取代。
Eg:
Router#telnet 12.12.12.1 finger
Trying 12.12.12.1, 79 ... Open
Line User Host(s) Idle Location
0 con 0 idle 00:00:02
* 2 vty 0 idle 00:00:00 12.12.12.2
Interface User Mode Idle Peer Address
[Connection to 12.12.12.1 closed by foreign host]
R1(config)# no ip finger
R1(config)#no service finger
Router#telnet 12.12.12.1 finger
Trying 12.12.12.1, 79 ...
% Connection refused by remote host
在绝大多数的IOS版本中,该特性默认是禁用的,无论如何建议禁用该特性。
==============================================================================
IdentD
一个设备发送一个请求到Ident接口(TCP 113), 目标会回答一个身份识别,如host名称或者设备名称。
Router(config)# no ip identd
通过telnet 113端口测试设备是否启用了该服务:
Router#telnet 12.12.12.1 113
Trying 12.12.12.1, 113 ... Open
IdentD默认情况下是禁用的。
===============================================================
IP Source Routing
ip source-routing欺骗类似ARP攻击:A在内网, B,C在外网,A信任B, C想访问A上的数据.... 于是它修改了自己的源IP地址,告诉A自己是B... 并加入源路由信息,记下了来时的路径这样A按数据来的路返回给了C。
如果 no 了 ip source-route A发出的包会自己去寻找B,这样,C还是得不到想要的。
默认情况下该特性是开启的,禁用该特性:
Router(config)# no ip source-route
==============================================================================
FTP and TFTP
路由能提供FTP和TFTP的功能,通过该功能可以从一台路由器copy Ios到另一条路由器。强烈建议禁止此功能。
默认情况该功能是禁止的,禁止命令:Router(config)# no ftp-server enable
亿恩科技地址(ADD):郑州市黄河路129号天一大厦608室 邮编(ZIP):450008 传真(FAX):0371-60123888 联系:亿恩小凡 QQ:89317007 电话:0371-63322206 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
