cisco路由器安全-GYv2.docxVIP

一、路由器网络服务安全配置 1.1部分协议未关闭 路由器未关闭部分服务。 建议禁止CDP、TCP\UPD 小服务、Finger、HTTP、BOOTp、Arp-proxy、IP-Directed-Broadcast、Classless、ICMP协议的IP Unreachables, Redirects, Mask Replies、Wins和DNS等服务和协议。如果需开启诸如HTTP服务，需要对其进行安全配置：设置用户名和密码或采用访问列表进行控制。 Router(Config)#no cdp run Router(Config-if)# no cdp enable Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ip http server （(该服务在主机名为Bao_Xie_C2811_BRI0_200.207.STB和WKRT02的路由器上开启并进行认证 Ip http server Ip http authentication local Ip http timeout-policy idle 60 life 86400 requests 10000） Router(Config)# no ip bootp server Router(Config)# no ip source-route Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp Router(Config)# no ip directed-broadcast Router(Config)# no ip classless Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply Router(Config)# no ip domain-lookup (该服务在主机名为Bao_Xie_C2811_BRI0_200.207.STB和WKRT02的路由器上均已关闭) 协议/服务介绍 CDP(Cisco Discovery Protocol)—在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。 TCP、UDP小服务检查—该服务用于查看路由器诊断信息。 Finger服务检查—Finger服务用于查看路由器当前用户列表。 BOOTp服务检查—禁止从网络启动和自动从网络下载初始配置文件。 IP Source Routing服务检查—IP source-route是一个全局配置命令，允许路由器处理带源路由选项标记的数据流。启用源路由选项后，源路由信息指定的路由使数据流能够越过默认的路由，这种包就可能绕过防火墙。 ARP-Proxy服务检查—建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的，它容易引起路由表的混乱。 IP Directed Broadcast服务开启时，攻击者可以使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 IP Classless服务检查—路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务，路由器会将这些数据包转发给最有可能路由的超网(supernet)，由于缺省情况下这些服务是开启的，这种服务可能被各种攻击利用，在进行安全检查时应检查时建议关闭该服务。 禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。 IP Unreachables(不可达消息)服务开启时，可以向发送者通告(不可达地方)的ip地址，攻击者能够借此映射网络。 Redirects(重定向消息)服务开启时，可以让一个端节点用特定的路由器做为通向特定目的地路径。正常的ip网络中，一台路由器只向位于自己本地子网的主机发送重定向消息，端节点不会发送这种消息，此消息也不会超过一个网络跳数的地方发送。 Mask Replies(掩码应答)服务开启时，cisco ios会向icmp掩码要求发送icmp掩码应答的消息，其中包括接口的ip地址掩码。 SNMP协议服务检查—SNMP广泛应用在路由器的监控、配置方面。SNMP Versi