cisco路由器之关闭一些不必要的服务 上篇
cisco路由器—Cisco发现协议
CDP是一个Cisco专用协议,运行在所有Cisco产品的第二层,用来和其他直接相连的Cisco设备共享基本的设备信息。独立于介质和协议。
黑客再勘测攻击中使用CDP信息,这种可能性是比较小的。因为必须在相同的广播域才能查看CDP组播帧。所以,建议在边界路由器上关闭CDP,或至少在连接到公共网络的接口上关闭CDP.
缺省情况下是启用的。全局关闭CDP,使用no cdp run命令,关闭之后,应该使用show cdp验证CDP是否已被关闭。
cisco路由器—TCP和UDP低端口服务
TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都已经过时:如日期和时间(daytime,端口13),测试连通性(echo,端口7)和生成字符串(chargen,端口19)。
下面显示了一个打开的连接,被连接的路由器上打开了chargen服务:
Router#telnet 192.168.1.254 chargen
要在路由器上关闭这些服务,使用下面的配置:
- Router(config)#no service tcp-small-servers
- Router(config)#no service udp-small-servers
关闭了这些服务之后,用下面方法进行测试,如:
Router(config)#telnet 192.168.1.254 daytime
cisco路由器—Finger
Finger协议(端口79)允许网络上的用户获得当前正在使用特定路由选择设备的用户列表,显示的信息包括系统中运行的进程、链路号、连接名、闲置时间和终端位置。通过show user命令来提供的。
Finger是一个检测谁登录到一台主机的UNIX程序,而不用亲自登录到设备来查看。
下面显示了一个验证finger服务被打开和如何关闭的例子:
- Router#telnet 192.168.1.254 finger(connect 192.168.1.254 finger)
- Router(config)#no ip finger
- Router(config)#no service finger
当对路由器执行一个finger操作时,路由器以show users命令的输出来作为响应。要阻止响应,使用no ip finger命令,将关闭finger服务。在较老的版本中,使用no service finger命令。在较新版本中,两个命令都适用。
cisco路由器—IdentD
IP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份,以及响应该连接的主机的身份。
IdentD允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议,旨在帮助识别一个想要连接的设备。一个设备发送请求到Ident端口(TCP 113),目的设备用其身份信息作为响应,如主机和设备名。
如果支持IP鉴别,攻击者就能够连接到主机的一个TCP端口上,发布一个简单的字符串以请求信息,得到一个返回的简单字符串响应。
要关闭IdentD服务,使用下面的命令:
Router(config)#no ip identd
可以通过Telnet到设备的113端口来进行测试。
cisco路由器—IP源路由
应该在所有的路由器上关闭,包括边界路由器。可以使用下面的命令:
Router(config)#no ip source-route
禁止对带有源路由选项的IP数据包的转发。
cisco路由器关闭服务的更多资源请读者阅读:
cisco路由器之关闭一些不必要的服务 中篇
cisco路由器之关闭一些不必要的服务 下篇
【编辑推荐】
- 网络命令学习基础之Route
- 思科基础知识:广域网协议(1)
- 思科基础知识:使用访问列表管理流量
- 网络命令学习基础之在cmd下更改ip地址