cisco路由器优化[2]

  四、IdentD

  IP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份，以及响应该连接的主机的身份。

  IdentD允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议，旨在帮助识别一个想要连接的设备。一个设备发送请求到Ident端口（TCP 113），目的设备用其身份信息作为响应，如主机和设备名。

  如果支持IP鉴别，攻击者就能够连接到主机的一个TCP端口上，发布一个简单的字符串以请求信息，得到一个返回的简单字符串响应。

  要关闭IdentD服务，使用下面的命令：Router（config）#no ip identd

  可以通过Telnet到设备的113端口来进行测试。

  五、IP源路由

  应该在所有的路由器上关闭，包括边界路由器。可以使用下面的命令：Router（config）#no ip source-route禁止对带有源路由选项的IP数据包的转发。

  六、FTP和TFTP

  路由器可以用作FTP服务器和TFTP服务器，可以将映像从一台路由器复制到另一台。建议不要使用这个功能，因为FTP和TFTP都是不安全的协议。

  默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍然建议在路由器上执行以下命令：Router（config）#no ftp-server write-enable （12.3版本开始）Router（config）#no ftp-server enable

  可以通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的连接。

  七、HTTP

  测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下，使用下面的命令来进行测试：Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  要关闭以上两个服务以及验证，执行以下的步骤：Router（config）#no ip http serverRouter（config）#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  Cisco安全设备管理器（Security Device Manager，SDM）用HTTP访问路由器，如果要用SDM来管理路由器，就不能关闭HTTP服务。

  如果选择用HTTP做管理，应该用ip http access-class命令来限制对IP地址的访问。此外，也应该用ip http authentication命令来配置认证。对于交互式登录，HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器，这可以避免将enable口令用作HTTP口令。

[1]  [2]  [3]  [4]  [5]