強化路由器IOS安全-禁用不必要的服務

CDP：思科發現協議（CDP：Cisco Discovery Protocol）,CDP 基本上是用來獲取直連設備的協議地址以及發現這些設備的平臺。支持ATM, Ethernet, FDDI, frame relay, HDLC, PPP, token ring.

CDP 協議能獲取如下信息:

1.     cisco設備名字

2.     cisco設備類型，型號

3.     設備運行IOS的version

4.     設備功能，Eg:路由器，交換機或是其他

5.     三層接口地址

6.     設備獲取cdp信息來源

 

Eg:

Router#show cdp neighbors detail

-------------------------

Device ID: R1

Entry address(es):

  IP address: 12.12.12.1

Platform: Cisco 7206VXR,  Capabilities: Router

Interface: FastEthernet1/0,  Port ID (outgoing port): FastEthernet1/0

Holdtime : 166 sec

 

Version :

Cisco IOS Software, 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2008 by Cisco Systems, Inc.

Compiled Fri 11-Jul-08 04:22 by prod_rel_team

 

advertisement version: 2

Duplex: full

 

禁用CDP協議：邊界路由器一般都需要關閉該功能

Router(config)#no cdp run--------全局模式下，對所有接口生效

 

Router(config-if)#no cdp enable-------------接口模式下禁用，針對當前接口

 

==============================================================================TCP and UDP Small Servers

 

關閉TCP和UDP的一些無用的小服務，這些小服務的端口小于19，通常用在以前的UNIX環境中，如chargen，daytime等。

Eg：

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ... Open

Saturday, July 7, 2012 23:57:19-UTC

 

[Connection to 12.12.12.1 closed by foreign host]

 

Router(config)#no service tcp-small-servers

Router(config)#no service udp-small-servers

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ...

% Connection refused by remote host

 

思科IOS 默認是關閉的服務TCP小型服務器

==============================================================================

Finger

常用在UNIX中，用來確定誰登陸到設備上,現在被E-mail和messenger取代。

Eg：

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ... Open

 

    Line       User       Host(s)              Idle       Location

   0 con 0                idle                 00:00:02  

*  2 vty 0                idle                 00:00:00 12.12.12.2

 

  Interface    User               Mode         Idle     Peer Address

 

[Connection to 12.12.12.1 closed by foreign host]

 

R1(config)# no ip finger

R1(config)#no service finger

 

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ...

% Connection refused by remote host

 

在絕大多數的IOS版本中，該特性默認是禁用的，無論如何建議禁用該特性。

 

==============================================================================

IdentD

一個設備發送一個請求到Ident接口（TCP 113), 目標會回答一個身份識別，如host名稱或者設備名稱。

Router(config)# no ip identd

 

通過telnet 113端口測試設備是否啟用了該服務：

Router#telnet 12.12.12.1 113

Trying 12.12.12.1, 113 ... Open

 

IdentD默認情況下是禁用的。

 

 

 

=============================================================== 

IP Source Routing

 ip source-routing欺騙類似ARP攻擊：A在內網， B,C在外網，A信任B， C想訪問A上的數據.... 于是它修改了自己的源IP地址，告訴A自己是B... 并加入源路由信息，記下了來時的路徑這樣A按數據來的路返回給了C。

 如果 no 了 ip source-route A發出的包會自己去尋找B，這樣，C還是得不到想要的。

 

默認情況下該特性是開啟的，禁用該特性：

Router(config)# no ip source-route

 

==============================================================================

FTP and TFTP

路由能提供FTP和TFTP的功能，通過該功能可以從一臺路由器copy Ios到另一條路由器。強烈建議禁止此功能。

 

默認情況該功能是禁止的，禁止命令：Router(config)# no ftp-server enable
 

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206