路由器服务安全

1.2网络服务安如何关闭不需要的服TheCiscoDiscoveryProtocol是cisco路由器用来识别LAN网段中其它设备的协议。它Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#nocdprunCentral(config)#Central#show%CDPisnot令nocdpenable来禁用CDP。TCPandUDPSmall必支持这些服务，应该禁用。下例表示了如何关闭TCP和UDPsmallservers。Central#!ifconnectsuccess,thentcp-small-serversareCentral#connect50Trying50,13...Monday,April3,200011:48:39-EDT[Connectionto50closedbyforeignhost]Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noservicetcp-small-serversCentral(config)#noserviceudp-small-serversCentral(config)#exitCentral#connect50Trying50,13%ConnectionrefusedbyremotehostFingerIOSfingerUnix的‘finger’协议，它用来请求一个主机已登录用户的信息。在cisco路由器上，用showusers命令可以列出登录的用户。一般来说，未登录路由器的用户不需要知道谁登录了。下例表示了如何使用和禁用fingerserver。Trying50,79...etotheCENTRALLineUserHost(s)IdleLocation130vty000:00:00goldfish*131vty1idle00:00:00[Connectionto50closedbyforeignhost]Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipfingerCentral(config)#noserviceCentral(config)#Central#connect50Trying50,79%ConnectionrefusedbyremotehostHTTP较新的ciscoIOS版本支持使用HTTP协议的基于web管理功能。因为在大多数cisco路由器的IOS版本中，web功能还没有完善，它们可以被利用来、配置和一个路由器。如果不需要基于web的管理的话，应该像下面一样禁用它。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noiphttpserverCentral(config)#Central#connect50Trying50,80%Connectionrefusedbyremotehost如果某些网络操作中需要使用到基于web管理，那么应该作如下限制webHTTP基本认证要求用户名和口令（不巧的是，ciscoIOS还不支持超级HTTP认证标准）。如果可能，使用AAA用户控制，AAA可以提供地控制和更好的审核。设置和使用一个IP列表来限制对于web服务器的。配置和打开sysloglogging。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#!Addwebadminusers,thenturnonhttpauthCentral(config)#usernamenzWebpriv15password0C5-A1rCarg0Central(config)#iphttpauthlocalCentral(config)#!CreateanIPaccesslistforwebCentral(config)#noaccess-listCentral(config)#access-list29permithostCentral(config)#access-list29permitCentral(config)#access-list29denyCentral(config)#!ApplytheaccesslistthenstarttheCentral(config)#iphttpaccess-class29Central(config)#iphttpserverCentral(config)#exitBootpBootpcisco设备，Cisco路由器能够作为bootp服务器使用。这个工具支持一种使用策略，路由器可以作为IOS库来响应其它路由器。实际上，bootp很少用，它提供了者IOS拷贝的能力。可以用下面所列命令关闭bootp服务。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipbootpserverCentral(config)#ConfigurationAuto-ciso路由能够从本地器或者从网络上载入artuponfiguratn从网络上载入不太安全，最好在一个完全任的网络上(例如独立启动的实验网络)。下面表明了如何artupofguraion。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#nobootnetworkCentral(config)#noserviceCentral(config)#IPSource数据包能够凭借Sourcerouting功能来识别路由。这个功能可以用在几种不同的进攻。Cisco路由器可以接受和执行源路由。除非网络需要源路由，在路由器上应该源路由。下面显示了如何禁用IP源路由。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipsource-routeCentral(config)#ProxyCisco路由器在所有的接口上默认地执行ARP。在不需要的每个接口上或者在闲置的noipproxy-arp。下例显示了如何在四个接口上禁用Central#showipinterfaceInterfaceIP-AddressOK?MethodStatusProtocolEthernet0/050YESNVRAMupupEthernet0/150YESNVRAMupupEthernet0/2unassignedYESunsetdowndownEthernet0/3unassignedYESunsetdowndownCentral#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#interfaceeth0/0Central(config-if)#exitCentral(config)#interfaceeth0/1Central(config-if)#exitCentral(config)#interfaceeth0/2Central(config-if)#exitCentral(config)#interfaceeth0/3Central(config-if)#endIPDirectedLANLAN网段上发起一个物理广播。这种技术常用在一些较早的服务，ciscoIOS默认配置关闭定向广播。在接口上使用noipdirected-broadcast命令关闭定向广播ICMP（TheInternetControlMessageProtocol）通过传递路径、路由和网络情况的信息支持IP通信。Cisco路由器在很多情况下会自动发送ICMP信息。采用网络或者方式的ICMP信息：主机不可达、重定向和掩码响应。应该在所有接口，特别是连到不任的网络上的接口上自动发送这些信息。下例说明了在接口上如何关闭。Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#interfaceeth0/0Central(config-if)#noipredirectCentral(config-if)#noipmask-replyCentral(config-if)#endNTPCisco路由器和其它的主机采用NTP（网络时间协议）来保持它们时钟的准确和同步。如NTPNTP层次在网络中不可用，用下面的方法禁用North#showipinterfaceInterfaceIP-AddressOK?MethodStatusProtocolEthernet0/00YESNVRAMupupEthernet1/050YESNVRAMupupNorth#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.North(config)#interfaceeth0/0North(config-if)#nontpenableNorth(config-if)#exitNorth(config-if)#nontpenableNorth(config-if)#endSNMP下面的例子显示了如何禁用snmp来实现这些步骤。首先，列出当前配置来发现snmpcommunitystringsciscoIOS中没有别的办法来显示已配置的snmpcommunitystrings。Central#showrunning-Building..snmp-servercommunitypublicROsnmp-servercommunityadmin..Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#!removeoldcommunitystringsCentral(config)#nosnmpcommunitypublicROCentral(config)#nosnmpcommunityadminRWCentral(config)#!createaveryrestrictiveaccesslistCentral(config)#noaccess-list70Central(config)#access-list70denyCentral(config)#!makeSNMPread-onlyandsubjecttoaccesslistCentral(config)#snmpcommunityaqiytj1726540942ro70Central(config)#!disableandsystem-shutdownfeaturesCentral(config)#nosnmpenabletrapsCentral(config)#nosnmpsystem-shutdownCentral(config)#no-authCentral(config)#!disabletheSNMPserviceCentral(config)#nosnmp-serverCentral(config)#end运用一个简单的snmp列表来全部通信禁用snmp系统shutdown和trap功能例子中的最后一个命令nosnmp-server，关闭了路由器的所有SNMP进程。当关闭了SNMP进程后，SNMP配置将不会显示在runningconfiguration列表中，但是它仍然在那儿！确保进攻者不能使用SNMP的最安全的方法是按照上面列出的全部命令过程。RouterNameandDNSNameResolutionciscoIOS用DNS支持查找主机名，默认地，请求被发到广播地址55。如果网络上有一个或者多个服务器，你想在IOS命令中可以使用名字，那么用全局配置命令ipname-serveraddresses来设置服务器地址。否则，用命令noipname-serveraddresses关闭DNS解析方式。用usename命令给路由器起个名字是个好主意，你给路router#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameCentral(config)#ipname-serverCentral(config)#Configuration从中心路由器到主机上的配置文本文件的格式显示的。 IPandnetworkservicesnocdpnoipsubnet-zeronoipclasslessnoservicetcp-small-servnoserviceudp-small-servnoip