发新帖

优化cisco路由器 封锁须要的处事

[复制链接]
850 4 打印 上一主题 下一主题

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
路由器可以用作FTP处事器和TFTP处事器,可以将映像从一台路由器复制到另一台。发起不要利用这个成果,因为FTP和TFTP都是不安详的协议。

默认地,FTP处事器在路由器上是封锁的,然而,为了安详起见,仍然发起在路由器上执行以下呼吁:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable可以通过利用一个FTP客户端从PC举办测试,实验成立到路由器的毗连。

cisco路由器—HTTP

测试要领可以利用一个Web赏识器实验会见路由器。还可以从路由器的呼吁提示符下,利用下面的呼吁来举办测试:

Router#telnet 192.168.1.254 80   Router#telnet  要封锁以上两个处事以及验证,执行以下的步调:

Router(config)#no ip http server   Router(config)#no ip http secure-server Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 Cisco安详装备打点器(Security Device Manager,SDM)用HTTP会见路由器,若是要用SDM来打点路由器,就不能封锁HTTP处事。

若是选择用HTTP做打点,应该用ip http access-class呼吁来限制对IP地点的会见。另外,也应该用ip http authentication呼吁来设置认证。对付交互式登录,HTTP认证最好的选择是利用一个TACACS+或RADIUS处事器,这可以制止将 enable口令用作HTTP口令。

SNMP可以用来长途监控和打点Cisco装备。然而,SNMP存在许多安详问题,出格是SNMP v1和v2中。要封锁SNMP处事,需要完成以下三件事:

1.从路由器设置中删除默认的集体字符串;

2.封锁SNMP陷阱和系统关机特征;

3.封锁SNMP处事。

要查察是否设置了SNMP呼吁,执行show running-config呼吁。

下面显示了用来完全封锁SNMP的设置:

Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWRouter(config)#no snmp-server enable trapsRouter(config)#no snmp-server system-shutdownRouter(config)#no snmp-server trap-authRouter(config)#no snmp-server前两个呼吁删除了只读和读写集体字符串(集体字符串大概纷歧样)。接下来三个呼吁封锁SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上封锁SNMP处事。封锁SNMP处事之后,利用show snmp呼吁验证。

缺省情形下,Cisco路由器DNS处事会向255.255.255.255广播地点发送名字查询。应该制止利用这个广播地点,因为进攻者大概会借机伪装成一个DNS处事器。

若是路由器利用DNS来理会名称,会在设置中看到类似的呼吁:

Router(config)#hostname santa Router(config)#ip domain-name claus.gov Router(config)#ip name-server 200.1.1.1 202.1.1.1 Router(config)#ip domain-lookup可以利用show hosts呼吁来查察已经理会的名称。因为DNS没有固有的安详机制,易受到会话进攻,在目的DNS处事器响应之前,黑客先发送一个伪造的回覆。若是路由器获得两个回覆,凡是忽略第二个回覆。

办理这个问题,要么确保路由器有一个到DNS处事器的安详路径,要么不要利用DNS,而利用手动理会。利用手动理会,可以封锁DNS,然后利用ip host呼吁静态界说主机名。若是想阻止路由器发生DNS查询,要么设置一个详细的DNS处事器(ip name-server),要么将这些查询作为内地广播(当DNS处事器没有被设置时),利用下面的设置:
(测试)

Router(config)#no ip domain-lookup Router#

精彩评论4

沙发
纠纷的金苹果  新手上路  发表于 2012-5-13 22:35:43 | 只看该作者
做个记号.哈哈              
3
我动了你地琴弦  新手上路  发表于 2012-5-14 04:58:30 | 只看该作者
作为一个无知又无谓的的半仙,我是无论如何必须顶LZ的!
4
死神幽冥  新手上路  发表于 2012-5-14 11:24:54 | 只看该作者
做人要厚道,不能总恶搞
5
langyawang  乞丐  发表于 2013-11-24 10:12:35 | 只看该作者
学习了,谢谢分享、、、
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表