思科進(jìn)修主要是為了可以或許讓人人更純熟的操縱思科的相關(guān)裝備和更多的其他廠商的裝備����,本篇文章主要是給人人總結(jié)了一些有關(guān)思科路由器中需要封鎖一些耗損資源�����,不須要的處事��,對(duì)路由器的優(yōu)化浸染�����,但愿對(duì)人人有些輔佐!
cisco路由器—FTP和TFTPlinux論壇
路由器可以用作FTP處事器和TFTP處事器�����,可以將映像從一臺(tái)路由器復(fù)制到另一臺(tái)����。發(fā)起不要利用這個(gè)成果,因?yàn)镕TP和TFTP都是不安詳?shù)膮f(xié)議���。
默認(rèn)地��,F(xiàn)TP處事器在路由器上是封鎖的��,然而����,為了安詳起見����,仍然發(fā)起在路由器上執(zhí)行以下呼吁:Router(config)#no ftp-server write-enable (12.3版本開始)Router(config)#no ftp-server enable可以通過利用一個(gè)FTP客戶端從PC舉辦測(cè)試,實(shí)驗(yàn)成立到路由器的毗連�����。
cisco路由器—HTTP
測(cè)試要領(lǐng)可以利用一個(gè)Web賞識(shí)器實(shí)驗(yàn)會(huì)見路由器�。還可以從路由器的呼吁提示符下,利用下面的呼吁來舉辦測(cè)試:
Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 要封鎖以上兩個(gè)處事以及驗(yàn)證��,執(zhí)行以下的步調(diào):
Router(config)#no ip http server Router
(config)#no ip http secure-server
Router#telnet 192.168.1.254 80
Router#telnet 192.168.1.254 443
Cisco安詳裝備打點(diǎn)器(Security Device Manager,SDM)用HTTP會(huì)見路由器���,若是要用SDM來打點(diǎn)路由器�����,就不能封鎖HTTP處事����。
若是選擇用HTTP做打點(diǎn),應(yīng)該用ip http access-class呼吁來限制對(duì)IP地點(diǎn)的會(huì)見�����。另外�����,也應(yīng)該用ip http authentication呼吁來設(shè)置認(rèn)證��。對(duì)付交互式登錄�,HTTP認(rèn)證最好的選擇是利用一個(gè)TACACS+或RADIUS處事器,這可以制止將 enable口令用作HTTP口令��。
SNMP可以用來長途監(jiān)控和打點(diǎn)Cisco裝備���。然而��,SNMP存在許多安詳問題�����,出格是SNMP v1和v2中�。要封鎖SNMP處事,需要完成以下三件事:
1.從路由器設(shè)置中刪除默認(rèn)的集體字符串;
2.封鎖SNMP陷阱和系統(tǒng)關(guān)機(jī)特征;
3.封鎖SNMP處事���。
要查察是否設(shè)置了SNMP呼吁���,執(zhí)行show running-config呼吁����。
下面顯示了用來完全封鎖SNMP的設(shè)置:
Router(config)#no snmp-server community public RORouter
(config)#no snmp-server community private RWRouter
(config)#no snmp-server enable trapsRouter
(config)#no snmp-server system-shutdownRouter
(config)#no snmp-server trap-authRouter
(config)#no snmp-server
前兩個(gè)呼吁刪除了只讀和讀寫集體字符串(集體字符串大概紛歧樣)。接下來三個(gè)呼吁封鎖SNMP陷阱���、系統(tǒng)關(guān)機(jī)和通過SNMP的認(rèn)證陷阱�。最后在路由器上封鎖SNMP處事��。封鎖SNMP處事之后�����,利用show snmp呼吁驗(yàn)證����。
缺省情形下,Cisco路由器DNS處事會(huì)向255.255.255.255廣播地點(diǎn)發(fā)送名字查詢����。應(yīng)該制止利用這個(gè)廣播地點(diǎn)���,因?yàn)檫M(jìn)攻者大概會(huì)借機(jī)偽裝成一個(gè)DNS處事器。
若是路由器利用DNS來理會(huì)名稱�,會(huì)在設(shè)置中看到類似的呼吁:
Router(config)#hostname santa
Router(config)#ip domain-name claus.gov
Router(config)#ip name-server 200.1.1.1 202.1.1.1
Router(config)#ip domain-lookup
可以利用show hosts呼吁來查察已經(jīng)理會(huì)的名稱。因?yàn)镈NS沒有固有的安詳機(jī)制�,易受到會(huì)話進(jìn)攻,在目的DNS處事器響應(yīng)之前�����,黑客先發(fā)送一個(gè)偽造的回覆����。若是路由器獲得兩個(gè)回覆,凡是忽略第二個(gè)回覆��。
辦理這個(gè)問題�����,要么確保路由器有一個(gè)到DNS處事器的安詳路徑�����,要么不要利用DNS,而利用手動(dòng)理會(huì)。利用手動(dòng)理會(huì)���,可以封鎖DNS,然后利用ip host呼吁靜態(tài)界說主機(jī)名��。若是想阻止路由器發(fā)生DNS查詢���,要么設(shè)置一個(gè)詳細(xì)的DNS處事器(ip name-server),要么將這些查詢作為內(nèi)地廣播(當(dāng)DNS處事器沒有被設(shè)置時(shí))�,利用下面的設(shè)置:
Router#telnetwww.quizware.com80 (測(cè)試)
Router(config)#no ip domain-lookup
Router#telnetwww.cisco.com80 cisco
