cisco路由器優(yōu)化[2]

  四、IdentD

  IP鑒別支持對某個TCP端口身份的查詢。能夠報告一個發(fā)起TCP連接的客戶端身份，以及響應(yīng)該連接的主機(jī)的身份。

  IdentD允許遠(yuǎn)程設(shè)備為了識別目的查詢一個TCP端口。是一個不安全的協(xié)議，旨在幫助識別一個想要連接的設(shè)備。一個設(shè)備發(fā)送請求到Ident端口（TCP 113），目的設(shè)備用其身份信息作為響應(yīng)，如主機(jī)和設(shè)備名。

  如果支持IP鑒別，攻擊者就能夠連接到主機(jī)的一個TCP端口上，發(fā)布一個簡單的字符串以請求信息，得到一個返回的簡單字符串響應(yīng)。

  要關(guān)閉IdentD服務(wù)，使用下面的命令：Router（config）#no ip identd

  可以通過Telnet到設(shè)備的113端口來進(jìn)行測試。

  五、IP源路由

  應(yīng)該在所有的路由器上關(guān)閉，包括邊界路由器?？梢允褂孟旅娴拿睿篟outer（config）#no ip source-route禁止對帶有源路由選項(xiàng)的IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。

  六、FTP和TFTP

  路由器可以用作FTP服務(wù)器和TFTP服務(wù)器，可以將映像從一臺路由器復(fù)制到另一臺。建議不要使用這個功能，因?yàn)镕TP和TFTP都是不安全的協(xié)議。

  默認(rèn)地，F(xiàn)TP服務(wù)器在路由器上是關(guān)閉的，然而，為了安全起見，仍然建議在路由器上執(zhí)行以下命令：Router（config）#no ftp-server write-enable （12.3版本開始）Router（config）#no ftp-server enable

  可以通過使用一個FTP客戶端從PC進(jìn)行測試，嘗試建立到路由器的連接。

  七、HTTP

  測試方法可以使用一個Web瀏覽器嘗試訪問路由器。還可以從路由器的命令提示符下，使用下面的命令來進(jìn)行測試：Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  要關(guān)閉以上兩個服務(wù)以及驗(yàn)證，執(zhí)行以下的步驟：Router（config）#no ip http serverRouter（config）#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  Cisco安全設(shè)備管理器（Security Device Manager，SDM）用HTTP訪問路由器，如果要用SDM來管理路由器，就不能關(guān)閉HTTP服務(wù)。

  如果選擇用HTTP做管理，應(yīng)該用ip http access-class命令來限制對IP地址的訪問。此外，也應(yīng)該用ip http authentication命令來配置認(rèn)證。對于交互式登錄，HTTP認(rèn)證最好的選擇是使用一個TACACS+或RADIUS服務(wù)器，這可以避免將enable口令用作HTTP口令。

[1]  [2]  [3]  [4]  [5]