马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
路由器可以用作FTP处事器和TFTP处事器,可以将映像从一台路由器复制到另一台。发起不要利用这个成果,因为FTP和TFTP都是不安详的协议。
默认地,FTP处事器在路由器上是封锁的,然而,为了安详起见,仍然发起在路由器上执行以下呼吁:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable可以通过利用一个FTP客户端从PC举办测试,实验成立到路由器的毗连。
cisco路由器—HTTP
测试要领可以利用一个Web赏识器实验会见路由器。还可以从路由器的呼吁提示符下,利用下面的呼吁来举办测试:
Router#telnet 192.168.1.254 80 Router#telnet 要封锁以上两个处事以及验证,执行以下的步调:
Router(config)#no ip http server Router(config)#no ip http secure-server Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 Cisco安详装备打点器(Security Device Manager,SDM)用HTTP会见路由器,若是要用SDM来打点路由器,就不能封锁HTTP处事。
若是选择用HTTP做打点,应该用ip http access-class呼吁来限制对IP地点的会见。另外,也应该用ip http authentication呼吁来设置认证。对付交互式登录,HTTP认证最好的选择是利用一个TACACS+或RADIUS处事器,这可以制止将 enable口令用作HTTP口令。
SNMP可以用来长途监控和打点Cisco装备。然而,SNMP存在许多安详问题,出格是SNMP v1和v2中。要封锁SNMP处事,需要完成以下三件事:
1.从路由器设置中删除默认的集体字符串;
2.封锁SNMP陷阱和系统关机特征;
3.封锁SNMP处事。
要查察是否设置了SNMP呼吁,执行show running-config呼吁。
下面显示了用来完全封锁SNMP的设置:
Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWRouter(config)#no snmp-server enable trapsRouter(config)#no snmp-server system-shutdownRouter(config)#no snmp-server trap-authRouter(config)#no snmp-server前两个呼吁删除了只读和读写集体字符串(集体字符串大概纷歧样)。接下来三个呼吁封锁SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上封锁SNMP处事。封锁SNMP处事之后,利用show snmp呼吁验证。
缺省情形下,Cisco路由器DNS处事会向255.255.255.255广播地点发送名字查询。应该制止利用这个广播地点,因为进攻者大概会借机伪装成一个DNS处事器。
若是路由器利用DNS来理会名称,会在设置中看到类似的呼吁:
Router(config)#hostname santa Router(config)#ip domain-name claus.gov Router(config)#ip name-server 200.1.1.1 202.1.1.1 Router(config)#ip domain-lookup可以利用show hosts呼吁来查察已经理会的名称。因为DNS没有固有的安详机制,易受到会话进攻,在目的DNS处事器响应之前,黑客先发送一个伪造的回覆。若是路由器获得两个回覆,凡是忽略第二个回覆。
办理这个问题,要么确保路由器有一个到DNS处事器的安详路径,要么不要利用DNS,而利用手动理会。利用手动理会,可以封锁DNS,然后利用ip host呼吁静态界说主机名。若是想阻止路由器发生DNS查询,要么设置一个详细的DNS处事器(ip name-server),要么将这些查询作为内地广播(当DNS处事器没有被设置时),利用下面的设置:
(测试)
Router(config)#no ip domain-lookup Router# |
QQ好友和群
收藏
转播
支持
反对
