鲨鱼网
cisco路由器之关闭一些不必要的服务 中篇
创始人
2024-07-31 02:30:40
0

cisco路由器—FTP和TFTP

路由器可以用作FTP服务器和TFTP服务器,可以将映像从一台路由器复制到另一台。建议不要使用这个功能,因为FTP和TFTP都是不安全的协议。

默认地,FTP服务器在路由器上是关闭的,然而,为了安全起见,仍然建议在路由器上执行以下命令:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable可以通过使用一个FTP客户端从PC进行测试,尝试建立到路由器的连接。

cisco路由器—HTTP

测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下,使用下面的命令来进行测试:

  1. Router#telnet 192.168.1.254 80  
  2.  
  3. Router#telnet 192.168.1.254 443 

要关闭以上两个服务以及验证,执行以下的步骤:

  1. Router(config)#no ip http server  
  2.  
  3. Router(config)#no ip http secure-server  
  4.  
  5. Router#telnet 192.168.1.254 80  
  6.  
  7. Router#telnet 192.168.1.254 443 

Cisco安全设备管理器(Security Device Manager,SDM)用HTTP访问路由器,如果要用SDM来管理路由器,就不能关闭HTTP服务。

如果选择用HTTP做管理,应该用ip http access-class命令来限制对IP地址的访问。此外,也应该用ip http authentication命令来配置认证。对于交互式登录,HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器,这可以避免将enable口令用作HTTP口令。

SNMP可以用来远程监控和管理Cisco设备。然而,SNMP存在很多安全问题,特别是SNMP v1和v2中。要关闭SNMP服务,需要完成以下三件事:

1.从路由器配置中删除默认的团体字符串;

2.关闭SNMP陷阱和系统关机特征;

3.关闭SNMP服务。

要查看是否配置了SNMP命令,执行show running-config命令。

下面显示了用来完全关闭SNMP的配置:

  1. Router(config)#no snmp-server community public RO
  2. Router(config)#no snmp-server community private RW
  3. Router(config)#no snmp-server enable traps
  4. Router(config)#no snmp-server system-shutdown
  5. Router(config)#no snmp-server trap-auth
  6. Router(config)#no snmp-server 

前两个命令删除了只读和读写团体字符串(团体字符串可能不一样)。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后,使用show snmp命令验证。

 

缺省情况下,Cisco路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址,因为攻击者可能会借机伪装成一个DNS服务器。

如果路由器使用DNS来解析名称,会在配置中看到类似的命令:

  1. Router(config)#hostname santa  
  2.  
  3. Router(config)#ip domain-name claus.gov  
  4.  
  5. Router(config)#ip name-server 200.1.1.1 202.1.1.1  
  6.  
  7. Router(config)#ip domain-lookup 

可以使用show hosts命令来查看已经解析的名称。因为DNS没有固有的安全机制,易受到会话攻击,在目的DNS服务器响应之前,黑客先发送一个伪造的回复。如果路由器得到两个回复,通常忽略第二个回复。

解决这个问题,要么确保路由器有一个到DNS服务器的安全路径,要么不要使用DNS,而使用手动解析。使用手动解析,可以关闭DNS,然后使用ip host命令静态定义主机名。如果想阻止路由器产生DNS查询,要么配置一个具体的DNS服务器(ip name-server),要么将这些查询作为本地广播(当DNS服务器没有被配置时),使用下面的配置:

  1. Router#telnetwww.quizware.com80 (测试)  
  2.  
  3. Router(config)#no ip domain-lookup  
  4.  
  5. Router#telnetwww.cisco.com80 

cisco路由器关闭服务的更多资源请读者阅读:

cisco路由器之关闭一些不必要的服务 上篇

cisco路由器之关闭一些不必要的服务 下篇

【编辑推荐】

  1. 网络命令学习基础之Route
  2. 思科基础知识:广域网协议(1)
  3. 思科基础知识:使用访问列表管理流量
  4. 网络命令学习基础之在cmd下更改ip地址

 

cisco路由器—域名解析

 

cisco路由器—SNMP

上一篇:cisco路由器之关闭一些不必要的服务 上篇

下一篇:cisco路由器之关闭一些不必要的服务 下篇

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
Windows恶意软件20年“... 在Windows的早期年代,病毒游走于系统之间,偶尔删除文件(但被删除的文件几乎都是可恢复的),并弹...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
2009 IBM动态架构新动力...
通过 XML 进行内容发布
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
着眼MAC地址,解救无法享受D... 在安装了DHCP服务器的局域网环境中,每一台工作站在上网之前,都要先从DHCP服务器那里享受到地址动...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...