《cisco关闭不必要的服务.docx》由会员分享,可在线阅读,更多相关《cisco关闭不必要的服务.docx(2页珍藏版)》请在三一办公上搜索。
1、cisco关闭不必要的服务cisco关闭不必要的服务 *关闭BOOTP 服务器 BOOTP 是一个UDP服务,CISCO 路由器用它来访问另一个运行BOOTP服务的CISCO路由器上的IOS 拷贝。 这项服务可能使攻击者有机会下载一台路由器配置的COPY.缺省情况下,该服务开启的 config t no ip bootp server * 关闭CDP 服务 在全局模式下关闭CDP config t no cdp run 在接口模式下关闭CDP config t interface e0/1 no cdp enable 3.关闭配置自动加载服务 no service config *关闭DNS服
2、务 no ip domain-lookup *.关闭HTTP服务 config t no ip http server *关闭ICMP重定向 CISCO IOS缺省是启动重定向消息,这种消息可以让一个端节点用特定路由器作为通向特定目的 的路径。 config t inerface e0/0 no ip redirect *关闭IP 源路由选择 IP 协议支持源路由选择,允许IP 报文的发送者控制报文到达最终目的地的路径。 可以在全局配置模式下禁止 config t no ip source-route *关闭ICMP不可达信息 ICMP 不可达信息可以向发送这通告不正确的 IP地址,攻击者能够
3、借此映射网络。 接口模式关闭 config t interface e0/0 no ip unreachable *关闭代理ARP 如果路由器上启用了代理ARP,路由器就扮演了第二层地址解析代理的角色,使得网络跨多个接口得以扩展。 攻击者可能会利用代理 ARP的信任特性,伪装成一台可信主机,中途截获数据包。 在端口模式下关闭 config t interface e0/0 no ip proxy-arp *.关闭小型服务器 一个攻击者可能发送一个 DNS 包,源地址伪装成一台可达的 DNS服务器,源端口伪装成DNS服 务端口,如果这样的数据包发往 CISCO路由器 UDP echo 端口,路由器就会向可疑的 服务器发送一个 DNS 数据包。这样的数据包会被当作路由器本身生成,不会进行外出 ACL 检查。关闭小型TCP UDP服务在全局模式 config t no service tcp-small-servers no service udp-small-servers *关闭TFTP服务器 对路由器的 TFTP 访问可用来获取路由器文件系统的访问权,因此路由器或网络本身有被攻击 的危险。 要禁用FLASH 内存TFTP服务器,可使用全局配置命令 conf t no tftp-server fla
