思科進修主要是為了可以或許讓人人更純熟的操縱思科的相關(guān)裝備和更多的其他廠商的裝備,本篇文章主要是給人人總結(jié)了一些有關(guān)思科路由器中需要封鎖一些耗損資源,不須要的處事,對路由器的優(yōu)化浸染,但愿對人人有些輔佐!


  cisco路由器—FTP和TFTPlinux論壇


  路由器可以用作FTP處事器和TFTP處事器,可以將映像從一臺路由器復(fù)制到另一臺。發(fā)起不要利用這個成果,因為FTP和TFTP都是不安詳?shù)膮f(xié)議。


  默認地,F(xiàn)TP處事器在路由器上是封鎖的,然而,為了安詳起見,仍然發(fā)起在路由器上執(zhí)行以下呼吁:Router(config)#no ftp-server write-enable (12.3版本開始)Router(config)#no ftp-server enable可以通過利用一個FTP客戶端從PC舉辦測試,實驗成立到路由器的毗連。


  cisco路由器—HTTP


  測試要領(lǐng)可以利用一個Web賞識器實驗會見路由器。還可以從路由器的呼吁提示符下,利用下面的呼吁來舉辦測試:


  Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 要封鎖以上兩個處事以及驗證,執(zhí)行以下的步調(diào):


  Router(config)#no ip http server Router


  (config)#no ip http secure-server


  Router#telnet 192.168.1.254 80


  Router#telnet 192.168.1.254 443


  Cisco安詳裝備打點器(Security Device Manager,SDM)用HTTP會見路由器,若是要用SDM來打點路由器,就不能封鎖HTTP處事。


  若是選擇用HTTP做打點,應(yīng)該用ip http access-class呼吁來限制對IP地點的會見。另外,也應(yīng)該用ip http authentication呼吁來設(shè)置認證。對付交互式登錄,HTTP認證最好的選擇是利用一個TACACS+或RADIUS處事器,這可以制止將 enable口令用作HTTP口令。


  SNMP可以用來長途監(jiān)控和打點Cisco裝備。然而,SNMP存在許多安詳問題,出格是SNMP v1和v2中。要封鎖SNMP處事,需要完成以下三件事:


  1.從路由器設(shè)置中刪除默認的集體字符串;


  2.封鎖SNMP陷阱和系統(tǒng)關(guān)機特征;


  3.封鎖SNMP處事。


  要查察是否設(shè)置了SNMP呼吁,執(zhí)行show running-config呼吁。


  下面顯示了用來完全封鎖SNMP的設(shè)置:


  Router(config)#no snmp-server community public RORouter


  (config)#no snmp-server community private RWRouter


  (config)#no snmp-server enable trapsRouter


  (config)#no snmp-server system-shutdownRouter


  (config)#no snmp-server trap-authRouter


  (config)#no snmp-server


  前兩個呼吁刪除了只讀和讀寫集體字符串(集體字符串大概紛歧樣)。接下來三個呼吁封鎖SNMP陷阱、系統(tǒng)關(guān)機和通過SNMP的認證陷阱。最后在路由器上封鎖SNMP處事。封鎖SNMP處事之后,利用show snmp呼吁驗證。


  缺省情形下,Cisco路由器DNS處事會向255.255.255.255廣播地點發(fā)送名字查詢。應(yīng)該制止利用這個廣播地點,因為進攻者大概會借機偽裝成一個DNS處事器。


  若是路由器利用DNS來理會名稱,會在設(shè)置中看到類似的呼吁:


  Router(config)#hostname santa


  Router(config)#ip domain-name claus.gov


  Router(config)#ip name-server 200.1.1.1 202.1.1.1


  Router(config)#ip domain-lookup


  可以利用show hosts呼吁來查察已經(jīng)理會的名稱。因為DNS沒有固有的安詳機制,易受到會話進攻,在目的DNS處事器響應(yīng)之前,黑客先發(fā)送一個偽造的回覆。若是路由器獲得兩個回覆,凡是忽略第二個回覆。


  辦理這個問題,要么確保路由器有一個到DNS處事器的安詳路徑,要么不要利用DNS,而利用手動理會。利用手動理會,可以封鎖DNS,然后利用ip host呼吁靜態(tài)界說主機名。若是想阻止路由器發(fā)生DNS查詢,要么設(shè)置一個詳細的DNS處事器(ip name-server),要么將這些查詢作為內(nèi)地廣播(當DNS處事器沒有被設(shè)置時),利用下面的設(shè)置:


  Router#telnetwww.quizware.com80 (測試)


  Router(config)#no ip domain-lookup


  Router#telnetwww.cisco.com80 cisco


分享到

yangkun

相關(guān)推薦