思科认证:cisco路由器关闭不必要的服务
" \! @3 C3 x% H1 q$ Pcisco路由器关闭不必要的服务4 Z' R0 y+ z, x3 u
一、Cisco发现协议6 G" L/ A# U' t1 X
CDP是一个Cisco专用协议,运行在所有Cisco产品的第二层,用来和其他直接相连的Cisco设备共享基本的设备信息。独立于介质和协议。) y! o" ?0 |5 s& [( O8 L B; g
黑客再勘测攻击中使用CDP信息,这种可能性是比较小的。因为必须在相同的广播域才能查看CDP组播帧。所以,建议在边界路由器上关闭CDP,或至少在连接到公共网络的接口上关闭CDP.
' P1 s% c4 N( b2 r7 O- I缺省情况下是启用的。全局关闭CDP,使用no cdp run命令,关闭之后,应该使用show cdp验证CDP是否已被关闭。
$ _' k7 ]6 B( I4 C6 I二、TCP和UDP低端口服务! [; T3 B' s: G1 a7 m1 V
TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都已经过时:如日期和时间(daytime,端口13),测试连通性(echo,端口7)和生成字符串(chargen,端口19)。
5 N1 J z; Q. p; y+ T下面显示了一个打开的连接,被连接的路由器上打开了chargen服务:Router#telnet 192.168.1.254 chargen
% j0 |5 k$ z8 O. x* v要在路由器上关闭这些服务,使用下面的配置:Router(config)#no service tcp-small-serversRouter(config)#no service udp-small-servers
$ m! z3 F) i5 A1 w5 L4 R0 C; Z关闭了这些服务之后,用下面方法进行测试,如:Router(config)#telnet 192.168.1.254 daytime9 L& G) a' X8 B
三、Finger
( C9 J$ }% q y4 E) t9 e# GFinger协议(端口79)允许网络上的用户获得当前正在使用特定路由选择设备的用户列表,显示的信息包括系统中运行的进程、链路号、连接名、闲置时间和终端位置。通过show user命令来提供的。
# \ Z2 ^& ]# v8 R6 x/ LFinger是一个检测谁登录到一台主机的UNIX程序,而不用亲自登录到设备来查看。
& }; s- y+ ~6 l下面显示了一个验证finger服务被打开和如何关闭的例子:Router#telnet 192.168.1.254 finger
4 V# }7 s3 b/ V1 n# `(connect 192.168.1.254 finger)Router(config)#no ip fingerRouter(config)#no service finger1 q0 t/ h# W6 M/ |
当对路由器执行一个finger操作时,路由器以show users命令的输出来作为响应。要阻止响应,使用no ip finger命令,将关闭finger服务。在较老的版本中,使用no service finger命令。在较新版本中,两个命令都适用。
4 t: X" ]0 J5 V0 o四、IdentD
& W: s6 Z( R, F/ a8 Q8 s( gIP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份,以及响应该连接的主机的身份。
( A1 I* Y2 E& V8 r1 U2 ^IdentD允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议,旨在帮助识别一个想要连接的设备。一个设备发送请求到Ident端口(TCP 113),目的设备用其身份信息作为响应,如主机和设备名。
2 K0 g& r. g: j, d如果支持IP鉴别,攻击者就能够连接到主机的一个TCP端口上,发布一个简单的字符串以请求信息,得到一个返回的简单字符串响应。
; v) M+ `3 c" r5 }要关闭IdentD服务,使用下面的命令:Router(config)#no ip identd. \$ C T6 L; m/ j0 t
可以通过Telnet到设备的113端口来进行测试。$ r$ P, O3 H: u% K: S
& c* v& O0 ?0 ?4 D' k& C) H; T& F0 w2 L4 X! m
五、IP源路由+ q, r! M# q5 U" x! U
应该在所有的路由器上关闭,包括边界路由器。可以使用下面的命令:Router(config)#no ip source-route禁止对带有源路由选项的IP数据包的转发。 六、FTP和TFTP
^6 \8 ] Q( M p4 i& K7 U1 G( j路由器可以用作FTP服务器和TFTP服务器,可以将映像从一台路由器复制到另一台。建议不要使用这个功能,因为FTP和TFTP都是不安全的协议。$ }* J4 o' i! X, n' L
默认地,FTP服务器在路由器上是关闭的,然而,为了安全起见,仍然建议在路由器上执行以下命令:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable
: @7 L% s4 @1 _! P9 Y9 k" J可以通过使用一个FTP客户端从PC进行测试,尝试建立到路由器的连接。
7 w: n6 @4 J( Z+ N( }七、HTTP% x: R) X% I! N" \, d3 t B
测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下,使用下面的命令来进行测试:Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443
5 o" a: e9 M, J" N8 i: U3 X& M8 h要关闭以上两个服务以及验证,执行以下的步骤:Router(config)#no ip http serverRouter(config)#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443
! a5 }8 M/ R: u& P# J7 TCisco安全设备管理器(Security Device Manager,SDM)用HTTP访问路由器,如果要用SDM来管理路由器,就不能关闭HTTP服务。
9 B# L& e5 m o. E: P! R: _4 C* z/ w0 F如果选择用HTTP做管理,应该用ip http access-class命令来限制对IP地址的访问。此外,也应该用ip http authentication命令来配置认证。对于交互式登录,HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器,这可以避免将enable口令用作HTTP口令。
9 s% R6 q, j1 j4 O9 g, T八、SNMP! w/ e" ~. a( q( V) A
SNMP可以用来远程监控和管理Cisco设备。然而,SNMP存在很多安全问题,特别是SNMP v1和v2中。要关闭SNMP服务,需要完成以下三件事:/ L3 w$ {$ G9 U
*从路由器配置中删除默认的团体字符串;/ s: n& z: P, H+ B, ?1 ?
*关闭SNMP陷阱和系统关机特征;
( C2 w/ G! c: b" q: a5 w D# l/ j*关闭SNMP服务。6 z% b% X5 J' F# B. d) N
要查看是否配置了SNMP命令,执行show running-config命令。6 W* R6 a9 E3 f/ A* M0 S' r% q" Y
下面显示了用来完全关闭SNMP的配置:Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWRouter(config)#no snmp-server enable trapsRouter(config)#no snmp-server system-shutdownRouter(config)#no snmp-server trap-authRouter(config)#no snmp-server
7 Z- S- v2 N4 F9 D% E前两个命令删除了只读和读写团体字符串(团体字符串可能不一样)。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后,使用show snmp命令验证。
- x0 G4 M! |) H九、域名解析
! S, Z; ^6 v K( \ ] G% D缺省情况下,Cisco路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址,因为攻击者可能会借机伪装成一个DNS服务器。
+ B- l& o ]* V. m8 L: u7 L: Q如果路由器使用DNS来解析名称,会在配置中看到类似的命令:Router(config)#hostname santaRouter(config)#ip domain-name claus.govRouter(config)#ip name-server 200.1.1.1 202.1.1.1Router(config)#ip domain-lookup
0 c/ v9 K4 S% i4 X5 B: ]可以使用show hosts命令来查看已经解析的名称。
' t+ y! k' i' i9 A: d0 T因为DNS没有固有的安全机制,易受到会话攻击,在目的DNS服务器响应之前,黑客先发送一个伪造的回复。如果路由器得到两个回复,通常忽略第二个回复。7 |( c. O- [5 L9 g0 t1 q3 {
解决这个问题,要么确保路由器有一个到DNS服务器的安全路径,要么不要使用DNS,而使用手动解析。使用手动解析,可以关闭DNS,然后使用ip host命令静态定义主机名。如果想阻止路由器产生DNS查询,要么配置一个具体的DNS服务器(ip name-server),要么将这些查询作为本地广播(当DNS服务器没有被配置时),使用下面的配置:Router#telnetwww.quizware.com80 (测试)Router(config)#no ip domain-lookupRouter#telnetwww.cisco.com80
. F- y$ G: L7 t( v十、BootP
: B' d' o6 z. eBootP是一个UDP服务,可以用来给一台无盘工作站指定地址信息,以及在很多其他情况下,在设备上加载操作系统(用它来访问另一个运行有BOOTP服务的路由器上的IOS拷贝,将IOS下载到BOOTP客户端路由器上)。
' e6 J, p! ~+ o. s该协议发送一个本地广播到UDP端口67(和DHCP相同)。要实现这种应用,必须配置一个BootP服务器来指定IP地址信息以及任何被请求的文件。
# Q) q1 `- \" E1 O7 ^Cisco路由器能作为一台BootP服务器,给请求的设备提供闪存中的文件,因为以下3个原因,应该在路由器闪关闭BootP:*不再有使用BootP的真正需求;*BootP没固有的认证机制。任何人都能从路由器请求文件,无论配置了什么,路由器都将作出回复;*易受DoS攻击。, u# o6 m2 Z2 u: ^
默认地,该服务是启用的。要关闭BootP,使用下面的配置:Router(config)#no ip bootp server, g, P) Q& }3 e/ e5 k3 K/ J4 t
十一、DHCP
# R8 i& A# O3 ~, iDHCP允许从服务器获取所有的IP地址信息,包括IP地址、子网掩码、域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。Cisco路由器既能作为DHCP客户端,也能作为服务器。
6 I3 y7 E: T7 l8 S4 H" N: l9 t' S在将Cisco路由器作为边界路由器时,应该设置该路由器为DHCP客户端的唯一的情形是,如果是通过DSL和线缆调制解调器连接到ISP,而ISP使用DHCP指定地址信息。否则,决不要将路由器设置为DHCP客户端。
7 L. O# Y) j% b- N; v4 T2 T同样地,应该设置路由器为一台DHCP服务器地唯一的情形是,当在一个SOHO环境中使用路由器,在这种小型的网络中基本上这台路由器是可以给PC指定地址的唯一设备。如果这样做,确保在路由器外部接口上过滤UDP端口67,这将阻止来自外部的DHCP和BootP请求。! |+ a8 Y- C2 _6 [+ i3 \& g
一般DHCP服务器是默认打开的。使用下面的配置关闭:Router(config)#no service dhcp这阻止路由器成为一台DHCP服务器或者中继代理。
3 p7 A. v, f# c, r* P x十二、PAD
( y2 z/ A6 }6 R3 q& H2 C; n/ d数据包组合/分拆(packet assembler/disassembler,PAD)用在X.25网络上。以提供远程站点间的可靠连接。* n/ o, X0 P; {$ Y# c
PAD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上的设备的控制权,而如果路由器在运行PAD服务,它将接受任何PAD连接。
/ P9 H3 \; C: T要关闭这个服务,使用下面的命令:Router(config)#no service pad
. {% S5 |; [4 X十三、配置自动加载
" E4 w- \ U# g2 W4 E/ m/ yCisco路由器启动时,在出现CLI提示符之前,将经历几个测试阶段、发现Cisco IOS和配置文件。路由器启动时,通常会经过以下5个步骤:*加载并执行POST,发现ROM,测试硬件组件,如闪存和接口;*加载并执行引导自举程序;*引导自举程序发现并加载Cisco IOS映像文件。这些映像文件可以来自闪存、TFTP服务器或者闪存;*加载了Cisco IOS之后,发现并执行一个配置文件:配置文件储存在NVRAM中,但如果NVRAM是空的,系统配置对话框开始,或者路由器使用TFTP来获取一个配置文件;*给用户CLI EXEC提示符。
8 Z; [/ k+ v, @6 }" M+ _在发现一个Cisco IOS文件时,假定在NVRAM中没有boot system命令,路由器首先在闪存中寻找有效的Cisco IOS映像文件。如果闪存中没有IOS映像文件,路由器执行TFTP启动,或者网络启动;发送本地广播请求从TFTP服务器上获取操作系统文件。如果这个过程也失败了,路由器从内存中加载IOS映像文件。
E8 R8 }5 Z' H- Y因为启动过程中用到TFTP,而对加载过程没有安全保护。所以,不应该允许路由器使用该功能。要阻止该功能,使用下面的配置:
1 o8 X B) N' T, T QRouter(config)#no boot network remote-url-ftp:
& w- I) v) g4 {# \& @. L( m[[[//[username:[:password]@]location]/directory]/filename]-rcp:
9 b" z% } N+ ^& u D/ q[[[//[username@]/location]/directory]/filename]-tftp:
2 G: w) I/ p+ S( Q& V- F" P( R' q[[[//location]/directory]/filename
* \# q, x* [$ n9 X! [加载了IOS映像之后,开始发现一个配置文件。如果在NVRAM中没有配置文件,路由器会使用系统配置对话框来建立配置文件,或使用网路配置选项:使用TFTP广播来发现配置文件。所以,应该使用以下的命令关闭该特性:Router(config)#no service config. R& J/ N& x* b
十四、关闭无根据ARP
9 b0 |2 _+ F' t( @大多数Cisco路由器(缺省情况下)都会向外发送无根据的ARP消息,无论客户端何时连接并基于PPP连接协商一个IP地址。ARP毒害攻击主要利用的就是这种ARP消息。
9 K) q1 f2 j/ z# `, C. _即使客户端从一个本地地址池收到地址,Cisco路由器也会生成一个无根据的ARP传送。
/ [$ x+ e$ Q2 A* w% Q禁止无根据ARP传送,使用下面的命令:Router(config)#no ip gratuitous-arps 十五、关闭IP无类别路由选择服务
4 d( L+ r5 g8 n) X路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包,如果启用了IP无类别服务时,会将这些数据包转发给最有可能路由的超网。
* U+ \( m2 t8 D0 k% ~要关闭IP无类别路由选择,在全局配置模式下使用no ip classless命令 |
发表于 2012-8-3 20:03:30
