cisco路由器优化[3]

  八、SNMP

  SNMP可以用来远程监控和管理Cisco设备。然而，SNMP存在很多安全问题，特别是SNMP v1和v2中。要关闭SNMP服务，需要完成以下三件事：

  *从路由器配置中删除默认的团体字符串；

  *关闭SNMP陷阱和系统关机特征；

  *关闭SNMP服务。

  要查看是否配置了SNMP命令，执行show running-config命令。

  下面显示了用来完全关闭SNMP的配置：Router（config）#no snmp-server community public RORouter（config）#no snmp-server community private RWRouter（config）#no snmp-server enable trapsRouter（config）#no snmp-server system-shutdownRouter（config）#no snmp-server trap-authRouter（config）#no snmp-server

  前两个命令删除了只读和读写团体字符串（团体字符串可能不一样）。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后，使用show snmp命令验证。

  九、域名解析

  缺省情况下，Cisco路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址，因为攻击者可能会借机伪装成一个DNS服务器。

  如果路由器使用DNS来解析名称，会在配置中看到类似的命令：Router（config）#hostname santaRouter（config）#ip domain-name claus.govRouter（config）#ip name-server 200.1.1.1 202.1.1.1Router（config）#ip domain-lookup

  可以使用show hosts命令来查看已经解析的名称。

  因为DNS没有固有的安全机制，易受到会话攻击，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常忽略第二个回复。

  解决这个问题，要么确保路由器有一个到DNS服务器的安全路径，要么不要使用DNS，而使用手动解析。使用手动解析，可以关闭DNS，然后使用ip host命令静态定义主机名。如果想阻止路由器产生DNS查询，要么配置一个具体的DNS服务器（ip name-server），要么将这些查询作为本地广播（当DNS服务器没有被配置时），使用下面的配置：Router#telnetwww.quizware.com80  （测试）Router（config）#no ip domain-lookupRouter#telnetwww.cisco.com80

[1]  [2]  [3]  [4]  [5]