Огляд сервісів Tcp/ip для маршрутизаторів фірми Cisco
В цій статті перерахуємо основні директиви управління для сервісів
Tcp/ip в роутерах Cisco. Дані команди вірні для маршрутизаторів Cisco
800 Series [1], Cisco 1800 Series [2], Cisco 1900 Series [3], Cisco 2900 Series і більшості інших no service
tcp-small-servers -
Закриває доступ до деяких сервісів TCP, які дозволяють хостам мережі
робити запити Chargen, Echo, Daytime і Discard для портів. По
умовчанню всі сервери TCP для сервісів Chargen, Echo, Daytime і Discard
активні. Якщо їх вимкнути, то на відповідний запит для порту ПО
CISCO IOS у відповідь відправить TCP-пакет RESET і відмовиться обробляти
пакет даних, що поступив. no service udp-small-servers -
Закриває доступ до деяких сервісів UDP, які дозволяють ущлам мережі
робити запити Chargen, Echo, Daytime і Discard для портів. За умовчанням
сервери UDP в частині сервісів Echo, Discard, Chargen і Daytime
актівізірованни. всі сервери UDP для сервісів Chargen, Echo, Daytime і
Discard активні.
Якщо їх вимкнути, то на відповідний запит для порту ПО CISCO IOS в
відповідь відправить UDP-пакет RESET і відмовиться обробляти , що поступив
пакет даних. no service finger - Відключає
запити для finger-протокола (який визначений в RFC 742) методом
блокування запитів видалених користувачів мережі. no ip domain-lookup - Забороняє
трансляцію імен DNS в маршрутизаторі периметра для окремої IP-адреса. no ip source-route - Вимикає
від джерела IP-маршрутизацию. no ip tcp selective-ack -
Вимикає вибіркове (селективне) підтвердження TCP (дивитеся в RFC
2018) no ip bootp server - Вимикає
BOOTP-сервис (протокол стартового самозавантаження (Bootstrap Protocol)) в
хосте. no mop enable - Вимикає роботу
протоколу MOP (Maintenance Operation Protocol -
протокол операцій супроводу); крім того, застосовується до конкретного
інтерфейсу. no cdp run - Вимикає Cisco
Dicovery Protocol. no ip rsh-enable - Конфігурує
маршрутизатор так, що видаленим користувачам неможливо виконувати
команди rsh на даному пристрої. no ip rcmd rep-enable -
Конфігурує маршрутизатор так, що видаленим користувачам неможливе
копіювати файли в маршрутизатор і з нього за допомогою команди rcp. no ip identd - Вимикає
підтримку ідентифікації, це блокує повернення інформації, яка
ідентифікує TCP-порт. no ip proxy-arp - Вимикає
прокси-услугу ARP (Address Resolution Protocol - протокол дозволу
адрес) для вказаного інтерфейсу. no ip redirects - Вимикає
відправлення повідомлень з командою перенаправлення, коли засоби Cisco
IOS SOFTWARE переотправляют цей пакет в рамках інтерфейсу, по якому
він отриманий. Обмежує дані, що посилаються маршрутизатором при
скануванні портів. no ip tcp path-mtu-dicovery -
Вимикає сервіс Path MTU Discovery для всіх майбутніх з'єднань TCP для
маршрутизатора по цьому інтерфейсу. Відсутність такої заборони
збільшує вірогідність успішних атак, пов'язаних з блокуванням сервісу. no ip unreachable - Вимикає
генерацію повідомлень ICMP Unreachable для цього інтерфейсу. no ip route-cache - Відключає
кешування даних автономної комутації і/або швидкої комутації для
маршрутизації IP. no ip mroute-cache - (Активний по
умовчанню.) Вимикає групову швидку комутацію IP, відправляючи пакети
на рівні процесу. Необхідний для обробки списків доступу і
збереження повідомлень відладки. no cdp enable - Вимикає CDP
(Cisco Discovery Protocol) для цього інтерфейсу. no ip directed-broadcast -
(Активний за умовчанням.) Вимикає керовану групову розсилку IP, що
забезпечує заборону використання маршрутизатора як широкомовного
підсилювача при атаках, що мають мету блокувати сервіс.
[1]Каталог
Cisco 800 Series
[2]Каталог Cisco 1800 Series
[3]Каталог Cisco
1900 Series
Джерело: Cisco. com
|
