程序员经验分享-hwhale

强化路由器IOS安全-禁用不必要的服务

2023-05-16

Cisco Discovery Protocol

CDP:思科发现协议(CDPCisco Discovery Protocol,CDP 基本上是用来获取直连设备的协议地址以及发现这些设备的平台。支持ATM, Ethernet, FDDI, frame relay, HDLC, PPP, token ring.

CDP 协议能获取如下信息:

1.     cisco设备名字

2.     cisco设备类型,型号

3.     设备运行IOSversion

4.     设备功能,Eg:路由器,交换机或是其他

5.     三层接口地址

6.     设备获取cdp信息来源

 

Eg:

Router#show cdp neighbors detail

-------------------------

Device ID: R1

Entry address(es):

  IP address: 12.12.12.1

Platform: Cisco 7206VXR,  Capabilities: Router

Interface: FastEthernet1/0,  Port ID (outgoing port): FastEthernet1/0

Holdtime : 166 sec

 

Version :

Cisco IOS Software, 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2008 by Cisco Systems, Inc.

Compiled Fri 11-Jul-08 04:22 by prod_rel_team

 

advertisement version: 2

Duplex: full

 

禁用CDP协议:边界路由器一般都需要关闭该功能

Router(config)#no cdp run--------全局模式下,对所有接口生效

 

Router(config-if)#no cdp enable-------------接口模式下禁用,针对当前接口

 

==============================================================================TCP and UDP Small Servers

 

关闭TCPUDP的一些无用的小服务,这些小服务的端口小于19,通常用在以前的UNIX环境中,如chargendaytime等。

Eg

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ... Open

Saturday, July 7, 2012 23:57:19-UTC

 

[Connection to 12.12.12.1 closed by foreign host]

 

Router(config)#no service tcp-small-servers

Router(config)#no service udp-small-servers

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ...

% Connection refused by remote host

 

思科IOS 默认是关闭的服务TCP小型服务器

==============================================================================

Finger

常用在UNIX中,用来确定谁登陆到设备上,现在被E-mailmessenger取代。

Eg

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ... Open

 

    Line       User       Host(s)              Idle       Location

   0 con 0                idle                 00:00:02  

*  2 vty 0                idle                 00:00:00 12.12.12.2

 

  Interface    User               Mode         Idle     Peer Address

 

[Connection to 12.12.12.1 closed by foreign host]

 

R1(config)# no ip finger

R1(config)#no service finger

 

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ...

% Connection refused by remote host

 

在绝大多数的IOS版本中,该特性默认是禁用的,无论如何建议禁用该特性。

 

==============================================================================

IdentD

一个设备发送一个请求到Ident接口(TCP 113), 目标会回答一个身份识别,如host名称或者设备名称。

Router(config)# no ip identd

 

通过telnet 113端口测试设备是否启用了该服务:

Router#telnet 12.12.12.1 113

Trying 12.12.12.1, 113 ... Open

 

IdentD默认情况下是禁用的。

 

 

 

=============================================================== 

IP Source Routing

 ip source-routing欺骗类似ARP***:A在内网, B,C在外网,A信任B C想访问A上的数据.... 于是它修改了自己的源IP地址,告诉A自己是B... 并加入源路由信息,记下了来时的路径这样A按数据来的路返回给了C

 如果 no  ip source-route A发出的包会自己去寻找B,这样,C还是得不到想要的。

 


默认情况下该特性是开启的,禁用该特性:  


Router(config)# no ip source-route

 

==============================================================================

FTP and TFTP

路由能提供FTPTFTP的功能,通过该功能可以从一台路由器copy Ios到另一条路由器。强烈建议禁止此功能。


   

默认情况该功能是禁止的,禁止命令:Router(config)# no ftp-server enable

 

==============================================================================

HTTP/HTTPS

验证路由器是否有启用web服务:

Router#telnet 12.12.12.1 80 -------------------------ISP一般都会封掉80端口,需确认HTTP服务是否指定到了其它端口。

Trying 12.12.12.1, 80 ... Open

 

Router#telnet 12.12.12.1 443

Trying 12.12.12.1, 443 ... Open

 

禁用web服务进程:


Router(config)# no ip http server  


   

Router(config)# no ip http secure-server

 

Router#telnet 12.12.12.1 80

Trying 12.12.12.1, 80 ...

% Connection refused by remote host

 

Router#telnet 12.12.12.1 443

Trying 12.12.12.1, 443 ...

% Connection refused by remote host

 

==============================================================================

SNMP

在路由器上禁用snmp需执行如下操作:

Remove the default community strings from your router's configuration

Disable SNMP traps and the system shutdown feature

Disable the SNMP service


确认路由器是否启用了SNMP  


Router# show running-config | include snmp  


   

Building configuration...  


   

snmp-server community public RO  


   

snmp-server community private RW  


   

Router#  


 

 


在路由器上禁用SNMP服务:  


Eg  


Router(config)# no snmp-server community public RO  


Router(config)# no snmp-server community private RW  


Router(config)# no snmp-server enable traps  


Router(config)# no snmp-server system-shutdown  


Router(config)# no snmp-server trap-auth  


Router(config)# no snmp-server

 


Eg  


Router# show snmp  


   

%SNMP agent not enabled  


默认情况下,该服务是关闭的

 

=============================================================================

Name Resolution

路由器使用DNS解析域名:

Router(config)#ip domain-name cisco.com    

Router(config)#ip name-server 202.96.128.86

Router(config)#ip domain-lookup

 

在路由器上禁止DNS查询:


Router(config)# no ip domain-lookup

 

==============================================================================

BootP

BootP通常用在无盘网络环境中,为工作站提供ip地址。

目前BootP在网络环境中使用得很少

没有认证机制,任何人都能对BootP服务的路由器提出请求,容易遭遇Dos***

 

禁用BootP服务:


Router(config)# no ip bootp server

 

==============================================================================

DHCP

DHCP服务在IOS中默认都是禁止的,禁用命令:


Router(config)# no service dhcp------------禁止路由器充当Dhcp server或提供Dhcp中继服务

 

==============================================================================

PAD

PAD服务一般用在X.25网络中为远端站点提供可靠连接,PAD服务提供对异步设备(terminals, IC-card readers, computers to public/private X.25 networks)的支持。

 


Router(config)# no service pad

 

=============================================================================

关闭自动加载:

Router(config)#  no boot network-------------------------------------关闭路由器通过TFTP加载IOS启动
Router(config)#  no service config-------------------------关闭路由器加载IOS成功后通过TFTP加载配置文件

 

==============================================================================

Proxy ARP

IOSProxy ARP缺省是打开的,通过在接口下no ip proxy-arp关闭

通过show ip interface查看接口是否使用了Proxy ARP

Eg

Router#show ip interface fastEthernet 1/0

FastEthernet1/0 is up, line protocol is up

  Internet address is 12.12.12.1/24

  Broadcast address is 255.255.255.255

  Address determined by setup command

  MTU is 1500 bytes

  Helper address is not set

  Directed broadcast forwarding is disabled

  Outgoing access list is not set

  Inbound  access list is not set

  Proxy ARP is disabled

  Local Proxy ARP is disabled

 

==============================================================================

Directed Broadcasts

不同于本地广播,直连广播是能够被路由的,某些DoS***通过在网络中泛洪直连广播来***网络。


查看是否启用了直连广播:Router# show ip interface

Eg

Router#show ip interface fastEthernet 1/0

FastEthernet1/0 is up, line protocol is up

  Internet address is 12.12.12.1/24

  Broadcast address is 255.255.255.255

  Address determined by setup command

  MTU is 1500 bytes

  Helper address is not set

  Directed broadcast forwarding is disabled

 

禁用接口上的直连广播:


Router(config-if)# no ip directed-broadcast

 

==============================================================================

ICMP Messages

网络***能够通过如下三种icmp messages***或勘察网络:

ICMP unreachables

ICMP redirects

ICMP mask replies

 

禁用ICMP

Router(config-if)# no ip unreachable


Router(config-if)# no ip redirect  


Router(config-if)# no ip mask-reply  


   

Eg  


Router#show ip interface ethernet 1/0  


Ethernet1/0 is up, line protocol is up  


  Internet address is 12.12.12.1/24  


  Broadcast address is 255.255.255.255  


  Address determined by setup command  


  MTU is 1500 bytes  


  Helper address is not set  


  Directed broadcast forwarding is disabled  


  Outgoing access list is not set  


  Inbound  access list is not set  


  Proxy ARP is enabled  


  Local Proxy ARP is disabled  


  Security level is default  


  Split horizon is enabled  


  ICMP redirects are always sent  


  ICMP unreachables are always sent  


  ICMP mask replies are never sent

 

==============================================================================

 

Maintenance Operation Protocol

MOP协议广泛应用在DEC设备中,主要有一下几个功能:

1.  上传或下载的系统软件

2.  远程测试

3.  问题故障诊断

 

关闭路由器对二层DECnet协议的支持:


Router(config)# interface type [slot_#/]port_#  


Router(config-if)# no mop enable  


   

==============================================================================

在关闭某些服务之前应了解网络中是否要只用这些服务,以免关闭后出现意想不到的问题。

参考:

Cisco Router Firewall Security   By Richard A. Deal

转载于:https://blog.51cto.com/luost/929375

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

强化路由器IOS安全-禁用不必要的服务 的相关文章

  • 【C#学习笔记】类构造函数使用

    using System namespace ConsoleApplication class stu private string name private int age public stu name 61 34 34 age 61

  • VS2010(VS2008)下安装配置OpenCV

    研究生课题做嵌入式图像处理方向 xff0c 所以主要涉及的知识就是嵌入式Linux 43 OpenCV 43 QT xff0c 主要OpenCV和QT都是跨平台的 xff0c 而且充分利用好的话再后期的算法设计和功能扩展上就方便很多 只是之

  • iOS开发基础篇--CAShapeLayer的strokeStart和strokeEnd属性

    一 案例演示 最近有一个小需求 xff0c 就是要做一个圆形进度条 xff0c 大概样子如下 xff1a 1 gif 在不知道有CAShapeLayer的strokeStart和strokeEnd属性的时候 xff0c 我采取的方法就是实时

  • 排序算法——选择排序法(Select Sorting)

    选择排序 xff08 Select Sorting xff09 基本介绍 选择排序也属于内部排序法 xff0c 是从预排序的数据中 xff0c 按指定的规则选出某一元素 xff0c 再依规定交换位置后达到排序的目的 选择排序思想 选择排序

  • 面试时,你被问到过 TCP/IP 协议吗?

    前言 精通 TCP IP xff0c 熟练使用 Socket 进行网路编程 看到这句话 xff0c 有没有感到很熟悉呀 xff1f 相信很多人在投递简历的时候都看到过这条要求 xff0c 很多人会觉得我们在实际开发中一般用不到这些知识 xf

  • Storyboard使用TableView进行页面跳转传值

    2019独角兽企业重金招聘Python工程师标准 gt gt gt 场景 StoryBoard中 A 界面 TableView B界面 明细页面 A amp B通过Cell的Section Action事件进行页面跳转 Controller

  • jsp九大内置对象和四种属性范围介绍

    一般对象需要实例化才可以调用 xff0c 而JSP的内置对象是不用实例化就可以直接调用的对象 总共有9个 xff0c 对应如下表 xff1a 序号 对象 类型 1 pageContext javax servlet jsp PageCont

  • Android Lint扫描规则说明(一)

    主要内容 对Android Studio支持的六类Android Lint规则 xff0c 本文主要对Accessibility 和 Internationalization 两中类型所包含的14个项的说明 xff0c 主要内容都是文档翻译

  • openstack 构建availability-zone

    首先介绍一下的的环境 xff1a manager节点的服务 xff1a keystone xff0c mysql xff0c nova所有组件 xff0c glance xff0c quantum server xff0c nova com

  • ubuntu/debian终端不支持中文解决办法

    为什么80 的码农都做不了架构师 xff1f gt gt gt aptitude install locales dpkg reconfigure locales 配置编码进入选择 xff1a 空格键是选择 xff0c 不是ENTER xf

  • PHP十进制数字转换为26进制字母函数

    很久以前为导出EXCEL写过一个字母累加的函数 xff0c 今天追加一个数字转为字母的 也就是十进制转26进制 1234567891011121314151617 for i 61 1 i lt 200 i 43 43 echo i 39

  • SVG.js 元素操作整理(一)

    一 属性操作Attributes var draw 61 SVG 39 svg1 39 size 300 300 attr 属性操作 设置属性的值 var rect 61 draw rect 100 100 rect attr 39 x 3

  • JS 比较两个数组是否相等 是否拥有相同元素

    Javascript怎么比较两个数组是否相同 xff1f JS怎么比较两个数组是否有完全相同的元素 xff1f Javascript不能直接用 61 61 或者 61 61 61 来判断两个数组是否相等 xff0c 无论是相等还是全等都不行

  • Win11 安卓子系统安装过程

    1 环境要求 xff1a 系统为windows 11版本为22000 xx或者以上版本 xff1b 建议系统内存为16G或者以上 xff1b 2 安装windows虚拟化支持 功能 进入设置 应用 可选功能 更多 Windows 功能 xf

  • java 取小数点后两位 不四舍五入,怎么做

    java 取小数点后两位 不四舍五入 怎么做 正常版 正常版 import java text DecimalFormat import java math RoundingMode DecimalFormat formater 61 ne

  • 华为硬件研发笔试题

    华为硬件笔试题1 一 选择 13个题目 没有全部抄下来 涉及的课程有电路 模拟电路 数字电路 信号与系统 微机原理 网络 数字信号处理 1 微分电路 2 CISC RISC 3 数据链路层 二 填空 10个题目 没有全部抄下来 涉及的课程有

  • es6数组去重(连重复的对象也可以去掉)

    1 xff0c 去除简单类型 ES6中新增了Set数据结构 xff0c 类似于数组 xff0c 但是 它的成员都是唯一的 xff0c 其构造函数可以接受一个数组作为参数 xff0c 如 xff1a span class hljs built

  • MySQL中varchar,varbinary的区别

    2019独角兽企业重金招聘Python工程师标准 gt gt gt MySQL中varchar xff0c varbinary的区别 varchar是可变长度字符类型 如果对应的数据库排序规则是utf8 general ci xff0c 那

  • 是谁发明了光纤?光纤的发明发展历史

    一 光纤通信的发展历史 1880年 xff0c 亚历山大 贝尔Alexander Graham Bell发明了 光话机 1887年 xff0c 英国科学家Charles Vernon Boys在实验室里拉出了第一条光纤 1938年 xff0

  • vs 2010 专业版 密钥

    YCFHQ 9DWCY DKV88 T2TMH G7BHP 转载于 https www cnblogs com daretodream archive 2013 04 02 2995147 html

随机推荐

  • 公历,阴历转换

    公历 xff0c 阴历转换 static inline void ValidCtrCheck ThsDivineCalendar new ThsDivineCalendar NULL fastcall ThsDivineCalendar T

  • pytorch---情感分析

    前言 xff1a 这个系列一共有8个部分 主要参考了github上的几个代码 使用工具有torchtext xff0c pytorch 数据集主要是烂番茄电影评论数据集https www kaggle com c sentiment ana

  • 【three.js练习程序】旋转物体自身

    lt DOCTYPE html gt lt html gt lt head gt lt meta charset 61 34 utf 8 34 gt lt title gt ceshi lt title gt lt script type

  • Linux系统检查查看桌面环境

    Linux的桌面系统系统多达十几种 xff0c 像gnome kde mate cinnamon lxde xfce jwm等 比较常用的一般是gnome kde xfce等 那么如何判断Linux系统安装了哪种桌面环境组件呢 xff1f

  • Ubuntu18.04.4 安装xrdp 远程桌面

    因为工作的关系 xff0c 需要远程桌面使用Linux xff0c 安装了最新的Ubuntu18 04 4版本 参考了网上一堆的VNC和安装xubuntu等 xff0c 都不是自己想要的 xff0c ubuntu原生的桌面就非常的好 只是安

  • 小米手机android_id如何查看,一篇文章看懂如何通过手机上小米社区查Mi ID?

    作为小米社区的老用户都知道 xff0c 早先在老的小米社区App或者电脑版个人主页就可以直接查看到用户的Mi ID 而现在的新版本小米社区无论是App版本或者电脑端都无法再直接地查看到个人或者其他人Mi ID 本期Flashcer就和大家分

  • 使用寄存器点亮LED——编程实战

    stm32的编程和stc89c51还是存在着很多思想上的不同的 xff0c 在51单片机中 xff0c 我们点亮LED灯 xff0c 只用给对应IO高低电平就可以了 xff0c 而stm32中 xff0c 就一个简单的GPIO xff0c

  • 【转载】取消Debian系统自动锁屏

    Linux的自动锁屏功能 xff0c 会在你离开屏幕的两分钟 xff0c 甚至更短的时候内 xff0c 将屏幕锁住 xff0c 需要输入密码才能进入Linux系统 可按下图设置 xff0c 关掉Linux自动锁屏功能 System gt P

  • 如何cout输出CString对象?

    CString str 61 34 HeyLook 34 char pch 61 new char str GetLength 43 1 pch 61 str GetBuffer str GetLength 43 1 str Release

  • python中Tuple详解

    python中Tuple详解 另外 还有一个和list 很像的数据tuple 中文叫元组 他和list的主要区别就是 tuple是一开始就定义好的 即 assign first 之后就永远不能被改变了 所以 一般全局比较重要的数据 我们都是

  • 自动分析局域网内网速慢的电脑---结合IPERF,TASK SCHEDULE,PYTHON,MAIL

    今天写的 用IPERF作测试局域网速度的工具 用AD域组策略推送给客户端 xff0c xcopy y XXX XXX Iperf c Iperf 然后 xff0c 客户端会在每次LOGON的执行测试网速的BAT文件 xff0c 并将结果存放

  • 对IIC总线时序的一点理解以及ACK和NACK(NAK)

    参考自 xff1a http blog chinaunix net uid 16100003 id 3059814 html 关于IIC的响应问题 xff1a 对于每一个接收设备 xff08 从设备 xff0c slaver xff09 x

  • Permutation test(排列(组合)检验)

    2019独角兽企业重金招聘Python工程师标准 gt gt gt 对Permutation test 的首次描述可追溯到上个世纪30年代 Fisher 1935 和Pitman 1937 介绍了其在线性统计模型中的应用 但该法计算工作量过

  • windows全局变量设置

    今天安装jave RE xff0c 需要设置全局变量 xff0c 除了图形界面的配置外 xff0c 有没有其他的方式设置呢 xff0c 开始以为set可以 xff0c 看了半天没整明白到网上search下 xff0c 见到了几种方法 xff

  • ProxmoxVE 单机模式安装(2台服务器非集群)

    上面左边是我的个人微信 xff0c 如需进一步沟通 xff0c 请加微信 右边是我的公众号 Openstack私有云 xff0c 如有兴趣 xff0c 请关注 公司有两台测试服务器 xff0c 是华为的RH2288 V3 xff0c 配置6

  • Desktop.ini

    类型1 ShellClassInfo IconFile 61 abc exe abc ico IconIndex 61 0 类型2 ShellClassInfo IconResource 61 abc exe abc ico 0 类型2 的

  • linux下安装ntop

    Ntop是一种监控网络流量工具 xff0c 用ntop显示网络的使用情况比其他一些网络管理软件更加直观 详细 Ntop甚至可以列出每个节点计算机的网络带宽利用率 他是一个灵活的 功能齐全的 xff0c 用来监控和解决局域网问题的工具 xff

  • iOS学习24之UIControl及其子类

    1 UIControl初识 1 gt 概述 UIControl 是有控制功能 的视图 如UIButton UISlider UISegmentedControl等 的父类 只要跟控制有关的控件 都是继承于该类 UIControl 这个类通常

  • URL中“#” “?” &“”号的作用

    1 10年9月 xff0c twitter改版 一个显著变化 xff0c 就是URL加入了 34 34 符号 比如 xff0c 改版前的用户主页网址为http twitter com username改版后 xff0c 就变成了http t

  • 强化路由器IOS安全-禁用不必要的服务

    Cisco Discovery Protocol CDP xff1a 思科发现协议 xff08 CDP xff1a Cisco Discovery Protocol xff09 CDP 基本上是用来获取直连设备的协议地址以及发现这些设备的平

热门标签