cisco路由器安全（轉）

剛剛轉到乙方作網絡設備的巡檢，看到巡檢單子上面的各個項目，而後找了點資料，以爲有點用，而後轉載下來：

cisco路由器安全配置下面將逐一介紹路由器提供的各項服務及其最優配置方式。
1.        TCP、UDP Small Server
Cisco路由器提供部分TCP、UDP Small Server的服務，如daytime、chargen、echo等，這些服務都是從UNIX系統中引入的，介紹以下：
        Daytime（TCP 端口13 / UDP端口13）：向請求者提供當前時間；
        Chargen（TCP 端口19 / UDP端口19）：Character Generator的意思，顧名思義，在接受到請求之後，系統會響應一串字符流；
        Echo（TCP 端口7 / UDP端口7）：系統在接受到請求之後，會對請求進行響應。
一般這些服務對一個提供數據轉發的設備來講都毫無用處，而這些服務因爲開發時間很早，安全性考慮不足，容易引發Fraggle***（DoS***的一種）， ***者僞造受害者的IP地址向網絡上開放chargen或echo服務的路由器發出chargen或echo的請求（這一般很容易實現，作一次端口掃描即 可），因而全部開放這類服務的路由器將向受害者作出響應，從而使大量無用數據堵塞受害者的網絡，造成DoS***。
所以，爲了不路由器成爲惡意破壞者使用的工具，應中止TCP/UDP small server服務。Cisco IOS 11.3版本之後缺省設置爲禁止，但咱們建議工程師應顯式地執行此命令以防止配置遺漏。
下面的例子描述如何測試和禁止TCP/UDP small server服務：
Test# ! 若是鏈接成功，則代表TCP/UDP small server服務開啓
Test# connect 187.4.253.19 daytime
Trying 187.4.253.19, 13 ... Open
Monday, April 3, 2000 11:48:39-EDT
[Connection to 187.4.253.19 closed by foreign host]
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# no service tcp-small-servers
Test(config)# no service udp-small-servers
Test(config)# exit
Test# connect 187.4.253.19 daytime
Trying 187.4.253.19, 13 ... % Connection refused by remote host
Test#
2.        Finger Server
Finger服務一樣來自UNIX系統，它使用TCP/UDP 79端口，功能主要是用於查詢一個主機上的登錄用戶。一個惡意的用戶能夠經過finger服務知道當時登陸到路由器的用戶名，從而使其掌握更多關於路由器的信息，以這些用戶名爲突破口，進行進一步的惡意行動。
Cisco路由器全部版本缺省開放finger服務，所以如無必要，應在路由器上禁止finger服務。
下面的例子描述如何測試和禁止finger服務：
Test# connect 187.4.253.19 finger
Trying 187.4.253.19, 79 ... Open
Welcome to the TEST router.
Line      User                 Host(s)     Idle         Location
130 vty 0                     187.4.252.6     00:00:00    zhinengwang
*131 vty 1 下                 idle          00:00:00    zhkf
[Connection to 187.4.253.19 closed by foreign host]
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# no ip finger
Test(config)# no service finger
Test(config)# exit
Test# connect 187.4.253.19 finger
Trying 187.4.253.19, 79 ... % Connection refused by remote host
Test#
3.        HTTP Server
多個系列的Cisco路由器提供http服務，供用戶瀏覽一些路由器的基本信息，但沒法進行配置。http服務是最常被利用發起***的服務，所以路由器的http服務不該開啓。
Cisco路由器缺省不開啓http服務。
下面的例子描述如何測試和禁止http服務：
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# no ip http server
Test(config)# exit
Test# connect 187.4.253.19 www
Trying 187.4.253.19, 80 ... % Connection refused by remote host
Test#
Cisco不少中低端交換機提供web配置界面，此功能至關強大，易於使用，對於不喜歡命令行界面的管理員來講，尤爲好用，建議能夠開啓http功能，可是必須創建嚴格的訪問控制規則，只容許指定的源經過http訪問設備。
下面的例子描述如何設置http服務的訪問控制：
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# ! 添加一個web用戶，打開http本地認證
Test(config)# username Webuser priv 15 password 0
Test(config)# ip http auth local
Test(config)# ! 創建一條web訪問控制列表
Test(config)# no access-list 29
Test(config)# access-list 29 permit host 187.4.253.18
Test(config)# access-list 29 permit 187.4.253.0 0.0.0.255
Test(config)# access-list 29 deny any
Test(config)# ! 將訪問控制列表賦值給http服務並啓動hettp服務
Test(config)# ip http access-class 29
Test(config)# ip http server
Test(config)# exit
Test#
4.        Bootp Server
Bootp服務的全稱bootstrap protocol，設計的初衷是令某些主機能夠經過網絡加載*做系統，其服務端口有兩個：
        Bootps：TCP/UDP 67端口）    Bootstrap Protocol Server
        Bootpc：（TCP/UDP 67端口）   Bootstrap Protocol Client
如今咱們常常用到的DHCP（動態主機配置協議）也用到這些端口。
Cisco路由器缺省開啓bootp服務，用於向其餘路由器提供IOS軟件映像（p_w_picpath）服務，其餘路由器在啓動時能夠從這臺路由器中取得IOS映像，此服務極少使用，並且會使IOS p_w_picpath泄漏，通常狀況下應禁止使用。
下面的例子描述如何禁止bootp服務：
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# no ip bootp server
Test(config)# exit
5.        自動配置下載
自動配置下載功能使路由器能自動到網絡上的服務器取配置文件，從網絡上下載配置文件使不安全的，很難保證下載配置來源的安全性，此服務增長路由器配置被篡改可能，所以通常狀況下應禁止。
下面的例子描述如何禁止自動配置下載服務：
Test# config t
Enter configuration commands, one per line. End with CNTL/Z.
Test(config)# no boot network
Test(config)# no service config
Test(config)# exit
Test#

轉自：http://bbs.tech-lab.cn/forum.php?mod=viewthread&tid=4255