cisco路由器之關閉一些不必要的服務 下篇
cisco路由器—BootP
BootP是一個UDP服務,可以用來給一臺無盤工作站指定地址信息,以及在很多其他情況下,在設備上加載操作系統(用它來訪問另一個運行有BOOTP服務的路由器上的IOS拷貝,將IOS下載到BOOTP客戶端路由器上)。
該協議發送一個本地廣播到UDP端口67(和DHCP相同)。要實現這種應用,必須配置一個BootP服務器來指定IP地址信息以及任何被請求的文件。
Cisco路由器能作為一臺BootP服務器,給請求的設備提供閃存中的文件,因為以下3個原因,應該在路由器閃關閉BootP:
不再有使用BootP的真正需求;
BootP沒固有的認證機制。任何人都能從路由器請求文件,無論配置了什么,路由器都將作出回復;
易受DoS攻擊;
默認地,該服務是啟用的。要關閉BootP,使用下面的配置:
Router(config)#no ip bootp server
cisco路由器—DHCP
DHCP允許從服務器獲取所有的IP地址信息,包括IP地址、子網掩碼、域名、DNS服務器地址、WINS服務器地址哈、TFTP服務器地址和其他信息。Cisco路由器既能作為DHCP客戶端,也能作為服務器。
在將Cisco路由器作為邊界路由器時,應該設置該路由器為DHCP客戶端的唯一的情形是,如果是通過DSL和線纜調制解調器連接到ISP,而ISP使用DHCP指定地址信息。否則,決不要將路由器設置為DHCP客戶端。
同樣地,應該設置路由器為一臺DHCP服務器地唯一的情形是,當在一個SOHO環境中使用路由器,在這種小型的網絡中基本上這臺路由器是可以給PC指定地址的唯一設備。如果這樣做,確保在路由器外部接口上過濾UDP端口67,這將阻止來自外部的DHCP和BootP請求。
一般DHCP服務器是默認打開的。使用下面的配置關閉:Router(config)#no service dhcp這阻止路由器成為一臺DHCP服務器或者中繼代理。
數據包組合/分拆(packet assembler/disassembler,PAD)用在X.25網絡上。以提供遠程站點間的可靠連接。PAD能給黑客提供有用的功能。假設黑客能獲得直接連接在路由器上的設備的控制權,而如果路由器在運行PAD服務,它將接受任何PAD連接。要關閉這個服務,使用下面的命令:Router(config)#no service pad
cisco路由器—配置自動加載
Cisco路由器啟動時,在出現CLI提示符之前,將經歷幾個測試階段、發現Cisco IOS和配置文件。路由器啟動時,通常會經過以下5個步驟:*加載并執行POST,發現ROM,測試硬件組件,如閃存和接口;*加載并執行引導自舉程序;*引導自舉程序發現并加載Cisco IOS映像文件。這些映像文件可以來自閃存、TFTP服務器或者閃存;*加載了Cisco IOS之后,發現并執行一個配置文件:配置文件儲存在NVRAM中,但如果NVRAM是空的,系統配置對話框開始,或者路由器使用TFTP來獲取一個配置文件;*給用戶CLI EXEC提示符。
在發現一個Cisco IOS文件時,假定在NVRAM中沒有boot system命令,路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒有IOS映像文件,路由器執行TFTP啟動,或者網絡啟動;發送本地廣播請求從TFTP服務器上獲取操作系統文件。如果這個過程也失敗了,路由器從內存中加載IOS映像文件。
因為啟動過程中用到TFTP,而對加載過程沒有安全保護。所以,不應該允許路由器使用該功能。要阻止該功能,使用下面的配置:
- Router(config)#no boot network remote-url-ftp:
- [[[//[username:[:password]@]location]/directory]/filename]-rcp:
- [[[//[username@]/location]/directory]/filename]-tftp:
- [[[//location]/directory]/filename
加載了IOS映像之后,開始發現一個配置文件。如果在NVRAM中沒有配置文件,路由器會使用系統配置對話框來建立配置文件,或使用網路配置選項:使用TFTP廣播來發現配置文件。所以,應該使用以下的命令關閉該特性:
Router(config)#no service config
cisco路由器—關閉無根據ARP
大多數Cisco路由器(缺省情況下)都會向外發送無根據的ARP消息,無論客戶端何時連接并基于PPP連接協商一個IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。即使客戶端從一個本地地址池收到地址,Cisco路由器也會生成一個無根據的ARP傳送。
禁止無根據ARP傳送,使用下面的命令:Router(config)#no ip gratuitous-arps 十五、關閉IP無類別路由選擇服務,路由器可能會收到一些發往一個沒有網絡缺省路由的子網的數據包,如果啟用了IP無類別服務時,會將這些數據包轉發給最有可能路由的超網。要關閉IP無類別路由選擇,在全局配置模式下使用no ip classless命令。
cisco路由器關閉服務的更多資源請讀者閱讀:
【編輯推薦】
cisco路由器—PAD
