Обзор сервисов TCP/IP для маршрутизаторов фирмы Cisco

В этой статье перечислим основные директивы управления для сервисов TCP/IP в роутерах Cisco. Данные команды верны для маршрутизаторов Cisco 800 Series [1], Cisco 1800 Series [2], Cisco 1900 Series [3], Cisco 2900 Series и большинства других

no service tcp-small-servers - Закрывает доступ к некоторым сервисам TCP, которые позволяют хостам сети делать запросы Chargen, Echo, Daytime и Discard для портов. По умолчанию все серверы TCP для сервисов Chargen, Echo, Daytime и Discard активны. Если их выключить, то на соответствующий запрос для порта ПО CISCO IOS в ответ отправит TCP-пакет "RESET" и откажется обрабатывать поступивший пакет данных.

no service udp-small-servers - Закрывает доступ к некоторым сервисам UDP, которые позволяют ущлам сети делать запросы Chargen, Echo, Daytime и Discard для портов. По умолчанию серверы UDP в части сервисов Echo, Discard, Chargen и Daytime активизированны. все серверы UDP для сервисов Chargen, Echo, Daytime и Discard активны. Если их выключить, то на соответствующий запрос для порта ПО CISCO IOS в ответ отправит UDP-пакет "RESET" и откажется обрабатывать поступивший пакет данных.

no service finger - Отключает запросы для finger-протокола (который определен в RFC 742) методом блокирования запросов удалённых пользователей сети.

no ip domain-lookup - Запрещает трансляцию имён DNS в маршрутизаторе периметра для отдельного IP-адреса.

no ip source-route - Выключает от источника IP-маршрутизацию.

no ip tcp selective-ack - Выключает выборочное (селективное) подтверждение TCP (смотрите в RFC 2018)

no ip bootp server - Выключает BOOTP-сервис (протокол стартовой самозагрузки (Bootstrap Protocol)) в хосте.

no mop enable - Выключает работу протокола MOP (Maintenance Operation Protocol -
протокол операций сопровождения); кроме того, применяется к конкретному интерфейсу.

no cdp run - Выключает Cisco Dicovery Protocol.

no ip rsh-enable - Конфигурирует маршрутизатор так, что удалённым пользователям невозможно выполнять команды rsh на данном устройстве.

no ip rcmd rep-enable - Конфигурирует маршрутизатор так, что удалённым пользователям невозможно копировать файлы в маршрутизатор и с него с помощью команды rcp.

no ip identd - Выключает поддержку идентификации, это блокирует возвращение информации, которая идентифицирует TCP-порт.

no ip proxy-arp - Выключает прокси-услугу ARP (Address Resolution Protocol - протокол разрешения адресов) для указанного интерфейса.

no ip redirects - Выключает отправление сообщений с командой перенаправления, когда средства Cisco IOS SOFTWARE переотправляют этот пакет в рамках интерфейса, по которому он получен. Ограничивает данные, посылаемые маршрутизатором при сканировании портов.

no ip tcp path-mtu-dicovery - Выключает сервис Path MTU Discovery для всех будущих соединений TCP для маршрутизатора по этому интерфейсу. Отсутствие такого запрещения увеличивает вероятность успешных атак, связанных с блокировкой сервиса.

no ip unreachable - Выключает генерацию сообщений ICMP Unreachable для этого интерфейса.

no ip route-cache - Отключает кэширование данных автономной коммутации и/или быстрой коммутации для маршрутизации IP.

no ip mroute-cache - (Активен по умолчанию.) Выключает групповую быструю коммутацию IP, отправляя пакеты на уровне процесса. Необходим для обработки списков доступа и сохранения сообщений отладки.

no cdp enable - Выключает CDP (Cisco Discovery Protocol) для этого интерфейса.

no ip directed-broadcast - (Активен по умолчанию.) Выключает управляемую групповую рассылку IP, что обеспечивает запрет использования маршрутизатора как широковещательного усилителя при атаках, имеющих цель блокировать сервис.


[1] Каталог Cisco 800 Series [2] Каталог Cisco 1800 Series [3] Каталог Cisco 1900 Series Источник: Cisco.com



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки: