路由器服務(wù)安全

1.2網(wǎng)絡(luò)服務(wù)安如何關(guān)閉不需要的服TheCiscoDiscoveryProtocol是cisco路由器用來識別LAN網(wǎng)段中其它設(shè)備的協(xié)議。它Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#nocdprunCentral(config)#Central#show%CDPisnot令nocdpenable來禁用CDP。TCPandUDPSmall必支持這些服務(wù)，應(yīng)該禁用。下例表示了如何關(guān)閉TCP和UDPsmallservers。Central#!ifconnectsuccess,thentcp-small-serversareCentral#connect50Trying50,13...Monday,April3,200011:48:39-EDT[Connectionto50closedbyforeignhost]Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noservicetcp-small-serversCentral(config)#noserviceudp-small-serversCentral(config)#exitCentral#connect50Trying50,13%ConnectionrefusedbyremotehostFingerIOSfingerUnix的‘finger’協(xié)議，它用來請求一個主機已登錄用戶的信息。在cisco路由器上，用showusers命令可以列出登錄的用戶。一般來說，未登錄路由器的用戶不需要知道誰登錄了。下例表示了如何使用和禁用fingerserver。Trying50,79...etotheCENTRALLineUserHost(s)IdleLocation130vty000:00:00goldfish*131vty1idle00:00:00[Connectionto50closedbyforeignhost]Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipfingerCentral(config)#noserviceCentral(config)#Central#connect50Trying50,79%ConnectionrefusedbyremotehostHTTP較新的ciscoIOS版本支持使用HTTP協(xié)議的基于web管理功能。因為在大多數(shù)cisco路由器的IOS版本中，web功能還沒有完善，它們可以被利用來、配置和一個路由器。如果不需要基于web的管理的話，應(yīng)該像下面一樣禁用它。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noiphttpserverCentral(config)#Central#connect50Trying50,80%Connectionrefusedbyremotehost如果某些網(wǎng)絡(luò)操作中需要使用到基于web管理，那么應(yīng)該作如下限制webHTTP基本認證要求用戶名和口令（不巧的是，ciscoIOS還不支持超級HTTP認證標準）。如果可能，使用AAA用戶控制，AAA可以提供地控制和更好的審核。設(shè)置和使用一個IP列表來限制對于web服務(wù)器的。配置和打開sysloglogging。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#!Addwebadminusers,thenturnonhttpauthCentral(config)#usernamenzWebpriv15password0C5-A1rCarg0Central(config)#iphttpauthlocalCentral(config)#!CreateanIPaccesslistforwebCentral(config)#noaccess-listCentral(config)#access-list29permithostCentral(config)#access-list29permitCentral(config)#access-list29denyCentral(config)#!ApplytheaccesslistthenstarttheCentral(config)#iphttpaccess-class29Central(config)#iphttpserverCentral(config)#exitBootpBootpcisco設(shè)備，Cisco路由器能夠作為bootp服務(wù)器使用。這個工具支持一種使用策略，路由器可以作為IOS庫來響應(yīng)其它路由器。實際上，bootp很少用，它提供了者IOS拷貝的能力?？梢杂孟旅嫠忻铌P(guān)閉bootp服務(wù)。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipbootpserverCentral(config)#ConfigurationAuto-ciso路由能夠從本地器或者從網(wǎng)絡(luò)上載入artuponfiguratn從網(wǎng)絡(luò)上載入不太安全，最好在一個完全任的網(wǎng)絡(luò)上(例如獨立啟動的實驗網(wǎng)絡(luò))。下面表明了如何artupofguraion。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#nobootnetworkCentral(config)#noserviceCentral(config)#IPSource數(shù)據(jù)包能夠憑借Sourcerouting功能來識別路由。這個功能可以用在幾種不同的進攻。Cisco路由器可以接受和執(zhí)行源路由。除非網(wǎng)絡(luò)需要源路由，在路由器上應(yīng)該源路由。下面顯示了如何禁用IP源路由。Central#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#noipsource-routeCentral(config)#ProxyCisco路由器在所有的接口上默認地執(zhí)行ARP。在不需要的每個接口上或者在閑置的noipproxy-arp。下例顯示了如何在四個接口上禁用Central#showipinterfaceInterfaceIP-AddressOK?MethodStatusProtocolEthernet0/050YESNVRAMupupEthernet0/150YESNVRAMupupEthernet0/2unassignedYESunsetdowndownEthernet0/3unassignedYESunsetdowndownCentral#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#interfaceeth0/0Central(config-if)#exitCentral(config)#interfaceeth0/1Central(config-if)#exitCentral(config)#interfaceeth0/2Central(config-if)#exitCentral(config)#interfaceeth0/3Central(config-if)#endIPDirectedLANLAN網(wǎng)段上發(fā)起一個物理廣播。這種技術(shù)常用在一些較早的服務(wù)，ciscoIOS默認配置關(guān)閉定向廣播。在接口上使用noipdirected-broadcast命令關(guān)閉定向廣播ICMP（TheInternetControlMessageProtocol）通過傳遞路徑、路由和網(wǎng)絡(luò)情況的信息支持IP通信。Cisco路由器在很多情況下會自動發(fā)送ICMP信息。采用網(wǎng)絡(luò)或者方式的ICMP信息：主機不可達、重定向和掩碼響應(yīng)。應(yīng)該在所有接口，特別是連到不任的網(wǎng)絡(luò)上的接口上自動發(fā)送這些信息。下例說明了在接口上如何關(guān)閉。Central#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#interfaceeth0/0Central(config-if)#noipredirectCentral(config-if)#noipmask-replyCentral(config-if)#endNTPCisco路由器和其它的主機采用NTP（網(wǎng)絡(luò)時間協(xié)議）來保持它們時鐘的準確和同步。如NTPNTP層次在網(wǎng)絡(luò)中不可用，用下面的方法禁用North#showipinterfaceInterfaceIP-AddressOK?MethodStatusProtocolEthernet0/00YESNVRAMupupEthernet1/050YESNVRAMupupNorth#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.North(config)#interfaceeth0/0North(config-if)#nontpenableNorth(config-if)#exitNorth(config-if)#nontpenableNorth(config-if)#endSNMP下面的例子顯示了如何禁用snmp來實現(xiàn)這些步驟。首先，列出當前配置來發(fā)現(xiàn)snmpcommunitystringsciscoIOS中沒有別的辦法來顯示已配置的snmpcommunitystrings。Central#showrunning-Building..snmp-servercommunitypublicROsnmp-servercommunityadmin..Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Central(config)#!removeoldcommunitystringsCentral(config)#nosnmpcommunitypublicROCentral(config)#nosnmpcommunityadminRWCentral(config)#!createaveryrestrictiveaccesslistCentral(config)#noaccess-list70Central(config)#access-list70denyCentral(config)#!makeSNMPread-onlyandsubjecttoaccesslistCentral(config)#snmpcommunityaqiytj1726540942ro70Central(config)#!disableandsystem-shutdownfeaturesCentral(config)#nosnmpenabletrapsCentral(config)#nosnmpsystem-shutdownCentral(config)#no-authCentral(config)#!disabletheSNMPserviceCentral(config)#nosnmp-serverCentral(config)#end運用一個簡單的snmp列表來全部通信禁用snmp系統(tǒng)shutdown和trap功能例子中的最后一個命令nosnmp-server，關(guān)閉了路由器的所有SNMP進程。當關(guān)閉了SNMP進程后，SNMP配置將不會顯示在runningconfiguration列表中，但是它仍然在那兒！確保進攻者不能使用SNMP的最安全的方法是按照上面列出的全部命令過程。RouterNameandDNSNameResolutionciscoIOS用DNS支持查找主機名，默認地，請求被發(fā)到廣播地址55。如果網(wǎng)絡(luò)上有一個或者多個服務(wù)器，你想在IOS命令中可以使用名字，那么用全局配置命令ipname-serveraddresses來設(shè)置服務(wù)器地址。否則，用命令noipname-serveraddresses關(guān)閉DNS解析方式。用usename命令給路由器起個名字是個好主意，你給路router#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameCentral(config)#ipname-serverCentral(config)#Configuration從中心路由器到主機上的配置文本文件的格式顯示的。 IPandnetworkservicesnocdpnoipsubnet-zeronoipclasslessnoservicetcp-small-servnoserviceudp-small-servnoip