思科培训:优化cisco路由器封锁


  思科进修主要是为了可以或许让人人更纯熟的操纵思科的相关装备和更多的其他厂商的装备,本篇文章主要是给人人总结了一些有关思科路由器中需要封锁一些耗损资源,不须要的处事,对路由器的优化浸染,但愿对人人有些辅佐!


  cisco路由器—FTP和TFTPlinux论坛


  路由器可以用作FTP处事器和TFTP处事器,可以将映像从一台路由器复制到另一台。发起不要利用这个成果,因为FTP和TFTP都是不安详的协议。


  默认地,FTP处事器在路由器上是封锁的,然而,为了安详起见,仍然发起在路由器上执行以下呼吁:Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable可以通过利用一个FTP客户端从PC举办测试,实验成立到路由器的毗连。


  cisco路由器—HTTP


  测试要领可以利用一个Web赏识器实验会见路由器。还可以从路由器的呼吁提示符下,利用下面的呼吁来举办测试:


  Router#telnet 192.168.1.254 80 Router#telnet 192.168.1.254 443 要封锁以上两个处事以及验证,执行以下的步调:


  Router(config)#no ip http server Router


  (config)#no ip http secure-server


  Router#telnet 192.168.1.254 80


  Router#telnet 192.168.1.254 443


  Cisco安详装备打点器(Security Device Manager,SDM)用HTTP会见路由器,若是要用SDM来打点路由器,就不能封锁HTTP处事。


  若是选择用HTTP做打点,应该用ip http access-class呼吁来限制对IP地点的会见。另外,也应该用ip http authentication呼吁来设置认证。对付交互式登录,HTTP认证最好的选择是利用一个TACACS+或RADIUS处事器,这可以制止将 enable口令用作HTTP口令。


  SNMP可以用来长途监控和打点Cisco装备。然而,SNMP存在许多安详问题,出格是SNMP v1和v2中。要封锁SNMP处事,需要完成以下三件事:


  1.从路由器设置中删除默认的集体字符串;


  2.封锁SNMP陷阱和系统关机特征;


  3.封锁SNMP处事。


  要查察是否设置了SNMP呼吁,执行show running-config呼吁。


  下面显示了用来完全封锁SNMP的设置:


  Router(config)#no snmp-server community public RORouter


  (config)#no snmp-server community private RWRouter


  (config)#no snmp-server enable trapsRouter


  (config)#no snmp-server system-shutdownRouter


  (config)#no snmp-server trap-authRouter


  (config)#no snmp-server


  前两个呼吁删除了只读和读写集体字符串(集体字符串大概纷歧样)。接下来三个呼吁封锁SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上封锁SNMP处事。封锁SNMP处事之后,利用show snmp呼吁验证。


  缺省情形下,Cisco路由器DNS处事会向255.255.255.255广播地点发送名字查询。应该制止利用这个广播地点,因为进攻者大概会借机伪装成一个DNS处事器。


  若是路由器利用DNS来理会名称,会在设置中看到类似的呼吁:


  Router(config)#hostname santa


  Router(config)#ip domain-name claus.gov


  Router(config)#ip name-server 200.1.1.1 202.1.1.1


  Router(config)#ip domain-lookup


  可以利用show hosts呼吁来查察已经理会的名称。因为DNS没有固有的安详机制,易受到会话进攻,在目的DNS处事器响应之前,黑客先发送一个伪造的回覆。若是路由器获得两个回覆,凡是忽略第二个回覆。


  办理这个问题,要么确保路由器有一个到DNS处事器的安详路径,要么不要利用DNS,而利用手动理会。利用手动理会,可以封锁DNS,然后利用ip host呼吁静态界说主机名。若是想阻止路由器发生DNS查询,要么设置一个详细的DNS处事器(ip name-server),要么将这些查询作为内地广播(当DNS处事器没有被设置时),利用下面的设置:


  Router#telnetwww.quizware.com80 (测试)


  Router(config)#no ip domain-lookup


  Router#telnetwww.cisco.com80 cisco