路由器关闭一些不必要服务

1、cisco路由器关闭一些不必要服务一、Cisco发现协议CDP是一个Cisco专用协议，运行在所有 Cisco产品的第二层，用来和其他直接相连的Cisco设备共享基本的设备信息。独立于介质和协议。黑客再勘测攻击中使用 CDP言息，这种可能性是比较小的。因为必须在相同的广播域才能查看 CDP组播帧。所以，建议在边界路由器上关闭 CDP或至少在连接到公共网络的接口上关闭CDP.缺省情况下是启用的CDP 使用 no cdp run命令，关闭之后，应该使用show cdp验证CDF是否已被关闭、TCP和UDP氐端口服务TCP和UDP氐端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都已经

2、过时：如日期和时间（ daytime，端口 13），测试连通性（echo，端口 7）和生成字符串（chargen，端口 19）。F面显示了一个打幵的连接,被连接的路由器上打幵了chargen服务:Router#te Inet charge n要在路由器上关闭这些服务,service tcp-small-serversRouter udp-small-servers使用下面的配置：Router (config ) #no(config ) #no service关闭了这些服务之后，用下面方法进行测试，如：Router （ config ）#telnet daytime三、FingerFinger

3、 协议（端口 79）允许网络上的用户获得当前正在使用特定路 由选择设备的用户列表，显示的信息包括系统中运行的进程、链路号、连 接名、闲置时间和终端位置。通过 show user 命令来提供的。Finger 是一个检测谁登录到一台主机的 UNIX 程序，而不用亲自登录 到设备来查看。下面显示了一个验证 finger 服务被打开和如何关闭的例子： Router#telnet finger（ connect finger ）Router（config ）#no ip fingerRouter （config ） #no service finger当对路由器执行一个 finger 操作时，路由器以

4、show users 命令的输 出来作为响应。要阻止响应，使用 no ip finger 命令，将关闭 finger 服 务。在较老的版本中，使用 no service finger 命令。在较新版本中，两 个命令都适用。四、IdentDIP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份，以及响应该连接的主机的身份。IdentD允许远程设备为了识别目的查询一个TCP端 口。是一个不安全 的协议，旨在帮助识别一个想要连接的设备。一个设备发送请求到 Ident 端口（ TCP 113），目的设备用其身份信息作为响应，如主机和设备名。如果支持IP鉴别，攻击者就能够连接到主

5、机的一个TCP端口上，发布一个简单的字符串以请求信息，得到一个返回的简单字符串响应。要关闭 IdentD 服务，使用下面的命令： Router（config ）#no ip identd 可以通过 Telnet 到设备的 113端口来进行测试。五、IP 源路由应该在所有的路由器上关闭， 包括边界路由器。 可以使用下面的命令： Router （config ）#no ip source-route 禁止对带有源路由选项的 IP 数据 包的转发。六、FTP和 TFTP路由器可以用作FTP服务器和TFTP服务器，可以将映像从一台路由 器复制到另一台。建议不要使用这个功能，因为FTP和TFTP都是不安

6、全的协议。默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍 然建议在路由器上执行以下命令： Router （config ）#no ftp-server write-enable （版本开始） Router （config ）#no ftp-server enable可以通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的 连接。七、 HTTP测试方法可以使用一个 Web浏览器尝试访问路由器。还可以从路由器 的命令提示符下，使用下面的命令来进行测试： Router#telnet 80Router#telnet 443要关闭以上两个服务以及验证，执行以下的步骤：Router

7、（ config ）#no ip http serverRouter （ config ）#no ip http secure-serverRouter#telnet 80Router#telnet 443Cisco 安全设备管理器（Security Device Manager, SDM 用 HTTP访 问路由器，如果要用 SDM来管理路由器，就不能关闭 HTTP服务。如果选择用HTTP故管理，应该用ip http access-class命令来限制对 IP 地址的访问。此外，也应该用 ip http authentication 命令来配置 认证。对于交互式登录，HTTF认证最好的选择是使

8、用一个 TACACS或 RADIUS 服务器，这可以避免将 enable 口令用作HTTP口令。八、SNMPSNM阿以用来远程监控和管理 Cisco设备。然而，SNMF存在很多安 全问题，特别是SNMP v1和v2中。要关闭SNMP艮务，需要完成以下三件事：*从路由器配置中删除默认的团体字符串；*关闭SNMP!阱和系统关机特征；*关闭SNMP艮务。要查看是否配置了 SNMP命令，执行show running-config命令。下面显示了用来完全关闭SNMP勺配置：Router （ config ）#nosnmp-server community public RORouter （ config

9、 ） #no snmp-server community private RWRouter （ config ） #no snmp-server enable trapsRouter （ config ）#no snmp-server system-shutdownRouter （ config ） #no snmp-server trap-authRouter （ config ）#no snmp-server前两个命令删除了只读和读写团体字符串 （团体字符串可能不一样） 。 接下来三个命令关闭 SNMP自阱、系统关机和通过 SNMP勺认证陷阱。最后 在路由器上关闭SNMP艮务。关闭SNMP

10、艮务之后，使用show snmp命令验 证。九、域名解析缺省情况下，Cisco路由器DNS服务会向广播地址发送名字查询。应 该避免使用这个广播地址，因为攻击者可能会借机伪装成一个DNS®务器。如果路由器使用DNS来解析名称，会在配置中看到类似的命令：Router（ config ）#hostname santaRouter （ config ）#ip domain-name （ config ） #ip name-server Router （ config ）#ip domain-lookup可以使用 show hosts 命令来查看已经解析的名称因为DNS没有固有的安全机制，易受

11、到会话攻击，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常 忽略第二个回复。解决这个问题，要么确保路由器有一个到DNS服务器的安全路径，要么不要使用DNS而使用手动解析。使用手动解析，可以关闭DNS然后使用ip host命令静态定义主机名。如果想阻止路由器产生DNS查询，要么配置一个具体的 DNS服务器（ip name-server ），要么将这些查询作为 本地广播（当DNS服务器没有被配置时），使用下面的配置：Router#?（测 试） Router （ config ） #no ip domain-lookupRouter#十、 BootPBootP是一

12、个UDP服务，可以用来给一台无盘工作站指定地址信息， 以及在很多其他情况下，在设备上加载操作系统（用它来访问另一个运行 有BOOTP艮务的路由器上的IOS拷贝，将IOS下载到BOOT客户端路由器 上）。该协议发送一个本地广播到 UDP端口 67 （和DHCP相同）。要实现这 种应用，必须配置一个 BootP 服务器来指定 IP 地址信息以及任何被请求 的文件。Cisco路由器能作为一台BootP服务器，给请求的设备提供闪存中的文件，因为以下 3 个原因，应该在路由器闪关闭 BootP： *不再有使用 BootP 的真正需求； *BootP 没固有的认证机制。任何人都能从路由器请求文件，无论配置

13、了什么，路由器都将作出回复；*易受DoS攻击。默认地，该服务是启用的。要关闭BootP，使用下面的配置：Router（ config ）#no ip bootp server十一、 DHCPDHCP允许从服务器获取所有的IP地址信息，包括IP地址、子网掩码、 域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。 Cisco路由器既能作为DHCP客户端，也能作为服务器。在将Cisco路由器作为边界路由器时，应该设置该路由器为 DHCP客 户端的唯一的情形是，如果是通过 DSL和线缆调制解调器连接到ISP，而 ISP使用DHCPt定地址信息。否则，决不要将路由器设置为 DH

14、C喀户端。同样地，应该设置路由器为一台DHCF服务器地唯一的情形是，当在一个SOHC环境中使用路由器，在这种小型的网络中基本上这台路由器是 可以给PC指定地址的唯一设备。如果这样做，确保在路由器外部接口上 过滤UDP端口 67，这将阻止来自外部的 DHC侨口 BootP请求。一般DHCF服艮务器是默认打幵的。使用下面的配置关闭：Router（config ）#no service dhcp 这阻止路由器成为一台 DHCPK务器或者中 继代理。十二、 PAD 数据包组合 / 分拆（packet assembler/ disassembler , PAD 用在网络上。以提供远程站点间的可靠连接。P

15、AD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上 的设备的控制权，而如果路由器在运行PAD服务，它将接受任何PAD连接。要关闭这个服务， 使用下面的命令： Router （config ）#no service pad十三、配置自动加载Cisco 路由器启动时， 在出现 CLI 提示符之前， 将经历几个测试阶段、 发现 Cisco IOS 和配置文件。路由器启动时，通常会经过以下 5 个步骤： *加载并执行POST发现ROM测试硬件组件，如闪存和接口；*加载并执行引导自举程序； *引导自举程序发现并加载 Cisco IOS 映像文件。这些 映像文件可以来自闪存、TFTP服务器或者闪

16、存；*加载了 Cisco IOS之后， 发现并执行一个配置文件：配置文件储存在NVRAM3,但如果NVRA是空的，系统配置对话框幵始，或者路由器使用TFTP来获取一个配置文件；*给用户CLI EXEC提示符。在发现一个 Cisco IOS文件时，假定在 NVRAM3没有boot system 命 令，路由器首先在闪存中寻找有效的 Cisco IOS 映像文件。如果闪存中没 有IOS映像文件，路由器执行 TFTP启动，或者网络启动；发送本地广播 请求从TFTP服务器上获取操作系统文件。如果这个过程也失败了，路由 器从内存中加载IOS映像文件因为启动过程中用到 TFTP,而对加载过程没有安全保护。

17、所以，不应该允许路由器使用该功能。要阻止该功能，使用下面的配置：Router （config ） #no boot network remote-url-ftp：/username ： ： passwordlocation/directory/filename-rcp ：/username/location/directory/filename-tftp ：/location/directory/filename加载了 IOS映像之后，幵始发现一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配 置选项：使用TFTP广播来发现配置文件。所以，应该使用以下的命令关 闭该特性： Router （config ）#no service config十四、关闭无根据 ARP大多数Cisco路由器（缺省情况下）都会向外发送无根据的 ARP消息, 无论客户端何时连接并基