cisco关闭不必要的服务

  *关闭BOOTP 服务器 BOOTP 是一个UDP服务,CISCO 路由器用它来访问另一个运行BOOTP服务的CISCO路由器上的IOS 拷贝。 这项服务可能使攻
 
击者有机会下载一台路由器配置的COPY.缺省情况下,该服务开启的
 
  config t
 
  no ip bootp server *
 
  ___________________________________________________________
 
  .关闭CDP 服务 在全局模式下关闭CDP config t no cdp run 在接口模式下关闭CDP config t interface e0/1 no cdp enable 3.关闭配
 
置自动加载服务 no service config
 
  ______________________________________________________________
 
  *关闭DNS服务
 
  no ip domain-lookup
 
  _____________________________________________________________
 
  *.关闭HTTP服务(缺省启用)
 
  config t
 
  no ip http server
 
  _____________________________________________________________
 
  *关闭ICMP重定向(缺省启用) CISCO IOS缺省是启动重定向消息,这种消息可以让一个端节点用特定路由器作为通向特定目的 的路径。 
 
config t
 
  inerface e0/0
 
  no ip redirect
 
  _____________________________________________________________
 
  *关闭IP 源路由选择 IP 协议支持源路由选择,允许IP 报文的发送者控制报文到达最终目的地的路径。 可以在全局配置模式下禁止 
 
config t
 
  no ip source-route
 
  ____________________________________
 
  *关闭ICMP不可达信息(缺省启用) ICMP 不可达信息可以向发送这通告不正确(不可达)的 IP地址,攻击者能够借此映射网络。 接口
 
模式关闭
 
  config t
 
  interface e0/0 no ip unreachable
 
  _____________________________________________
 
  *关闭代理ARP(缺省启用) 如果路由器上启用了代理ARP,路由器就扮演了第二层(数据链路层)地址解析代理的角色,使 得网络跨多个
 
接口得以扩展。 攻击者可能会利用代理 ARP的信任特性,伪装成一台可信主机,中途截获数据包。
 
  在端口模式下关闭
 
  config t
 
  interface e0/0 no ip proxy-arp
 
  _____________________________
 
  *.关闭小型服务器 (IOS11.3 之后缺省禁用) 一个攻击者可能发送一个 DNS 包,源地址伪装成一台可达的 DNS服务器,源端口伪装成 
 
DNS服 务端口(端口53),如果这样的数据包发往 CISCO路由器 UDP echo 端口,路由器就会向可疑的 服务器发送一个 DNS 数据包。这样的
 
数据包会被当作路由器本身生成,不会进行外出 ACL 检查。关闭小型TCP UDP 服务
 
  在全局模式
 
  config t
 
  no service tcp-small-servers
 
  no service udp-small-servers
 
  __________________________________________
 
  *关闭TFTP服务器 对路由器的 TFTP 访问可用来获取路由器文件系统的访问权,因此路由器或网络本身有被攻击 的危险。
 
  要禁用FLASH 内存TFTP服务器,可使用全局配置命令
 
  conf t
 
  no tftp-server fla

你可能感兴趣的:(cisco关闭不必要的服务)