路由器关闭一些不必要服务

1、cisco 路由器关闭一些不必要服务一、 Cisco 发现协议CDP是一个 Cisco 专用协议，运行在所有 Cisco 产品的第二层，用来 和其他直接相连的 Cisco 设备共享基本的设备信息。独立于介质和协议。黑客再勘测攻击中使用 CDP信息，这种可能性是比较小的。因为必须 在相同的广播域才能查看 CDP组播帧。所以，建议在边界路由器上关闭 CDP， 或至少在连接到公共网络的接口上关闭 CDP.缺省情况下是启用的CDP，使用 no cdp run命令，关闭之后，应该使用 show cdp 验证 CDP是否已被关闭、 TCP和 UDP低端口服务TCP和 UDP低端口服务是运行在设备上的端口

2、19 和更低端口的服务。 所有这些服务都已经过时：如日期和时间（daytime ，端口 13），测试连通性（ echo，端口 7）和生成字符串（ chargen ，端口 19）。面显示了一个打开的连接，被连接的路由器上打开了 chargen 服务：Router#telnet chargen要在路由器上关闭这些服务，service tcp-small-serversRouter udp-small-servers使用下面的配置： Router（ config ）#no（ config ）#no service关闭了这些服务之后，用下面方法进行测试，如：Router （ config ）#teln

3、et daytime三、FingerFinger 协议（端口 79）允许网络上的用户获得当前正在使用特定路 由选择设备的用户列表，显示的信息包括系统中运行的进程、链路号、连 接名、闲置时间和终端位置。通过 show user 命令来提供的。Finger 是一个检测谁登录到一台主机的 UNIX 程序，而不用亲自登录 到设备来查看。下面显示了一个验证 finger 服务被打开和如何关闭的例子： Router#telnet finger（ connect finger ）Router（config ）#no ip fingerRouter （config ） #no service finger当对

4、路由器执行一个 finger 操作时，路由器以 show users 命令的输 出来作为响应。要阻止响应，使用 no ip finger 命令，将关闭 finger 服 务。在较老的版本中，使用 no service finger 命令。在较新版本中，两 个命令都适用。四、IdentDIP 鉴别支持对某个 TCP端口身份的查询。 能够报告一个发起 TCP连接的客户端身份，以及响应该连接的主机的身份。IdentD 允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议，旨在帮助识别一个想要连接的设备。一个设备发送请求到 Ident 端口（ TCP 113），目的设备用其身份信息作为响应，

5、如主机和设备名。如果支持 IP 鉴别，攻击者就能够连接到主机的一个 TCP端口上，发 布一个简单的字符串以请求信息，得到一个返回的简单字符串响应。要关闭 IdentD 服务，使用下面的命令： Router（config ）#no ip identd 可以通过 Telnet 到设备的 113 端口来进行测试。五、IP 源路由应该在所有的路由器上关闭， 包括边界路由器。 可以使用下面的命令： Router （config ） #no ip source-route 禁止对带有源路由选项的 IP 数据 包的转发。六、FTP和 TFTP路由器可以用作 FTP服务器和 TFTP服务器，可以将映像从一台路

6、由 器复制到另一台。建议不要使用这个功能，因为FTP和 TFTP都是不安全的协议。默认地， FTP服务器在路由器上是关闭的，然而，为了安全起见，仍 然建议在路由器上执行以下命令： Router （config ）#no ftp-server write-enable （版本开始） Router （ config ）#no ftp-server enable可以通过使用一个 FTP客户端从 PC进行测试，尝试建立到路由器的连接。七、HTTP测试方法可以使用一个 Web浏览器尝试访问路由器。还可以从路由器 的命令提示符下，使用下面的命令来进行测试： Router#telnet 80Router#t

7、elnet 443要关闭以上两个服务以及验证，执行以下的步骤：Router （ config ）#no ip http serverRouter（ config ）#no ip httpsecure-serverRouter#telnet 80Router#telnet 443Cisco 安全设备管理器（ Security Device Manager， SDM）用 HTTP访 问路由器，如果要用 SDM来管理路由器，就不能关闭 HTTP服务。如果选择用 HTTP做管理，应该用 ip http access-class命令来限制对 IP 地址的访问。此外，也应该用 ip http authen

8、tication 命令来配置 认证。对于交互式登录， HTTP认证最好的选择是使用一个 TACACS或+ RADIUS 服务器，这可以避免将 enable 口令用作 HTTP口令。八、SNMPSNMP可以用来远程监控和管理 Cisco 设备。然而， SNMP存在很多安 全问题，特别是 SNMP v1和 v2 中。要关闭 SNMP服务，需要完成以下三件事：*从路由器配置中删除默认的团体字符串；* 关闭 SNMP陷阱和系统关机特征；* 关闭 SNMP服务。要查看是否配置了 SNMP命令，执行 show running-config 命令。下面显示了用来完全关闭 SNMP的配置： Router （

9、config ）#no snmp-server community public RORouter （config ） #no snmp-server community private RWRouter （config ）#no snmp-server enable trapsRouter （config ）#no snmp-server system-shutdownRouter （ config ） #no snmp-server trap-authRouter（ config ）#no snmp-server前两个命令删除了只读和读写团体字符串 （团体字符串可能不一样） 。 接下来三个

10、命令关闭 SNMP陷阱、系统关机和通过 SNMP的认证陷阱。最后 在路由器上关闭 SNMP服务。关闭 SNMP服务之后，使用 show snmp 命令验 证。九、域名解析缺省情况下， Cisco 路由器 DNS服务会向广播地址发送名字查询。应 该避免使用这个广播地址， 因为攻击者可能会借机伪装成一个 DNS服务器。如果路由器使用 DNS来解析名称，会在配置中看到类似的命令： Router （ config ）#hostname santaRouter （ config ）#ip domain-name （config ） #ip name-server Router（config ） #ip

11、domain-lookup可以使用 show hosts 命令来查看已经解析的名称因为 DNS没有固有的安全机制，易受到会话攻击，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常 忽略第二个回复。解决这个问题，要么确保路由器有一个到DNS服务器的安全路径，要么不要使用 DNS，而使用手动解析。使用手动解析，可以关闭DNS，然后使用 ip host 命令静态定义主机名。如果想阻止路由器产生DNS查询，要么配置一个具体的 DNS服务器（ ip name-server ），要么将这些查询作为 本地广播（当 DNS服务器没有被配置时） ，使用下面的配置： Router

12、#? （测 试） Router （config ）#no ip domain-lookupRouter#十、 BootPBootP 是一个 UDP服务，可以用来给一台无盘工作站指定地址信息， 以及在很多其他情况下，在设备上加载操作系统（用它来访问另一个运行 有 BOOTP服务的路由器上的 IOS拷贝，将 IOS 下载到 BOOTP客户端路由器 上）。该协议发送一个本地广播到 UDP端口 67（和 DHCP相同）。要实现这 种应用，必须配置一个 BootP 服务器来指定 IP 地址信息以及任何被请求 的文件。Cisco 路由器能作为一台 BootP 服务器，给请求的设备提供闪存中的 文件，因为以

13、下 3 个原因，应该在路由器闪关闭 BootP：* 不再有使用 BootP 的真正需求； *BootP 没固有的认证机制。任何人都能从路由器请求文件， 无论配置了什么，路由器都将作出回复； * 易受 DoS攻击。默认地，该服务是启用的。要关闭 BootP，使用下面的配置： Router （ config ）#no ip bootp server十一、 DHCPDHCP允许从服务器获取所有的 IP 地址信息， 包括 IP 地址、子网掩码、 域名、DNS服务器地址、 WINS服务器地址哈、 TFTP服务器地址和其他信息。 Cisco 路由器既能作为 DHCP客户端，也能作为服务器。在将 Cisco

14、 路由器作为边界路由器时，应该设置该路由器为DHCP客户端的唯一的情形是，如果是通过 DSL和线缆调制解调器连接到 ISP ，而 ISP 使用 DHCP指定地址信息。 否则， 决不要将路由器设置为 DHCP客户端。同样地，应该设置路由器为一台 DHCP服务器地唯一的情形是，当在 一个 SOHO环境中使用路由器，在这种小型的网络中基本上这台路由器是 可以给 PC指定地址的唯一设备。如果这样做，确保在路由器外部接口上 过滤 UDP端口 67，这将阻止来自外部的 DHCP和 BootP 请求。一般 DHCP服务器是默认打开的。使用下面的配置关闭： Router （ config ）#no servi

15、ce dhcp 这阻止路由器成为一台 DHCP服务器或者中 继代理。十二、 PAD 数据包组合 / 分拆( packet assembler/ disassembler， PAD)用在网络上。以提供远程站点间的可靠连接。PAD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上 的设备的控制权， 而如果路由器在运行 PAD服务，它将接受任何 PAD连接。要关闭这个服务， 使用下面的命令： Router （config ）#no service pad十三、配置自动加载Cisco 路由器启动时， 在出现 CLI 提示符之前， 将经历几个测试阶段、 发现 Cisco IOS 和配置文件。路由器

16、启动时，通常会经过以下 5 个步骤： *加载并执行 POST，发现 ROM，测试硬件组件，如闪存和接口； * 加载并执 行引导自举程序； *引导自举程序发现并加载 Cisco IOS 映像文件。这些 映像文件可以来自闪存、 TFTP服务器或者闪存； * 加载了 Cisco IOS之后， 发现并执行一个配置文件：配置文件储存在NVRAM中，但如果 NVRAM是空的，系统配置对话框开始，或者路由器使用TFTP来获取一个配置文件； *给用户 CLI EXEC 提示符。在发现一个 Cisco IOS 文件时，假定在 NVRAM中没有 boot system 命 令，路由器首先在闪存中寻找有效的 Cis

17、co IOS 映像文件。如果闪存中没 有 IOS 映像文件，路由器执行 TFTP启动，或者网络启动；发送本地广播 请求从 TFTP服务器上获取操作系统文件。如果这个过程也失败了，路由器从内存中加载 IOS 映像文件因为启动过程中用到 TFTP，而对加载过程没有安全保护。所以，不应该允许路由器使用该功能。要阻止该功能，使用下面的配置：Router （config ） #no boot network remote-url-ftp：/username ： ：passwordlocation/directory/filename-rcp ：/username/location/directory/filename-tftp ：/location/directory/filename加载了 IOS 映像之后，开始发现一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配 置选项：使用 TFTP广播来发现配置文件。所以，应该使用以下的命令关 闭该特性： Router （config ）#no service config十四、关闭无根据 ARP大多数 Cisco 路由器（缺省情况下） 都会向外发送无根据的 ARP消息， 无论客户端何时连接并