cisco路由器優(yōu)化[1]

  一、Cisco發(fā)現(xiàn)協(xié)議

  CDP是一個Cisco專用協(xié)議，運行在所有Cisco產(chǎn)品的第二層，用來和其他直接相連的Cisco設(shè)備共享基本的設(shè)備信息。獨立于介質(zhì)和協(xié)議。

  黑客再勘測攻擊中使用CDP信息，這種可能性是比較小的。因為必須在相同的廣播域才能查看CDP組播幀。所以，建議在邊界路由器上關(guān)閉CDP，或至少在連接到公共網(wǎng)絡(luò)的接口上關(guān)閉CDP.

  缺省情況下是啟用的。全局關(guān)閉CDP，使用no cdp run命令，關(guān)閉之后，應(yīng)該使用show cdp驗證CDP是否已被關(guān)閉。

  二、TCP和UDP低端口服務(wù)

  TCP和UDP低端口服務(wù)是運行在設(shè)備上的端口19和更低端口的服務(wù)。所有這些服務(wù)都已經(jīng)過時：如日期和時間（daytime，端口13），測試連通性（echo，端口7）和生成字符串（chargen，端口19）。

  下面顯示了一個打開的連接，被連接的路由器上打開了chargen服務(wù)：Router#telnet 192.168.1.254 chargen

  要在路由器上關(guān)閉這些服務(wù)，使用下面的配置：Router（config）#no service tcp-small-serversRouter（config）#no service udp-small-servers

  關(guān)閉了這些服務(wù)之后，用下面方法進(jìn)行測試，如：Router（config）#telnet 192.168.1.254 daytime

  三、Finger

  Finger協(xié)議（端口79）允許網(wǎng)絡(luò)上的用戶獲得當(dāng)前正在使用特定路由選擇設(shè)備的用戶列表，顯示的信息包括系統(tǒng)中運行的進(jìn)程、鏈路號、連接名、閑置時間和終端位置。通過show user命令來提供的。

  Finger是一個檢測誰登錄到一臺主機(jī)的UNIX程序，而不用親自登錄到設(shè)備來查看。

  下面顯示了一個驗證finger服務(wù)被打開和如何關(guān)閉的例子：Router#telnet 192.168.1.254 finger

  （connect 192.168.1.254 finger）Router（config）#no ip fingerRouter（config）#no service finger

  當(dāng)對路由器執(zhí)行一個finger操作時，路由器以show users命令的輸出來作為響應(yīng)。要阻止響應(yīng)，使用no ip finger命令，將關(guān)閉finger服務(wù)。在較老的版本中，使用no service finger命令。在較新版本中，兩個命令都適用。

[1]  [2]  [3]  [4]  [5]