forthis.ruОбзор сервисов TCP/IP для маршрутизаторов фирмы Cisco
В этой статье перечислим основные директивы управления для сервисов TCP/IP в роутерах Cisco. Данные команды верны для маршрутизаторов Cisco 800 Series [1], Cisco 1800 Series [2], Cisco 1900 Series [3], Cisco 2900 Series и большинства другихno service tcp-small-servers - Закрывает доступ к некоторым сервисам TCP, которые позволяют хостам сети делать запросы Chargen, Echo, Daytime и Discard для портов. По умолчанию все серверы TCP для сервисов Chargen, Echo, Daytime и Discard активны. Если их выключить, то на соответствующий запрос для порта ПО CISCO IOS в ответ отправит TCP-пакет "RESET" и откажется обрабатывать поступивший пакет данных.
no service udp-small-servers - Закрывает доступ к некоторым сервисам UDP, которые позволяют ущлам сети делать запросы Chargen, Echo, Daytime и Discard для портов. По умолчанию серверы UDP в части сервисов Echo, Discard, Chargen и Daytime активизированны. все серверы UDP для сервисов Chargen, Echo, Daytime и Discard активны. Если их выключить, то на соответствующий запрос для порта ПО CISCO IOS в ответ отправит UDP-пакет "RESET" и откажется обрабатывать поступивший пакет данных.
no service finger - Отключает запросы для finger-протокола (который определен в RFC 742) методом блокирования запросов удалённых пользователей сети.
no ip domain-lookup - Запрещает трансляцию имён DNS в маршрутизаторе периметра для отдельного IP-адреса.
no ip source-route - Выключает от источника IP-маршрутизацию.
no ip tcp selective-ack - Выключает выборочное (селективное) подтверждение TCP (смотрите в RFC 2018)
no ip bootp server - Выключает BOOTP-сервис (протокол стартовой самозагрузки (Bootstrap Protocol)) в хосте.
no mop enable - Выключает работу протокола MOP (Maintenance Operation Protocol -
протокол операций сопровождения); кроме того, применяется к конкретному интерфейсу.
no cdp run - Выключает Cisco Dicovery Protocol.
no ip rsh-enable - Конфигурирует маршрутизатор так, что удалённым пользователям невозможно выполнять команды rsh на данном устройстве.
no ip rcmd rep-enable - Конфигурирует маршрутизатор так, что удалённым пользователям невозможно копировать файлы в маршрутизатор и с него с помощью команды rcp.
no ip identd - Выключает поддержку идентификации, это блокирует возвращение информации, которая идентифицирует TCP-порт.
no ip proxy-arp - Выключает прокси-услугу ARP (Address Resolution Protocol - протокол разрешения адресов) для указанного интерфейса.
no ip redirects - Выключает отправление сообщений с командой перенаправления, когда средства Cisco IOS SOFTWARE переотправляют этот пакет в рамках интерфейса, по которому он получен. Ограничивает данные, посылаемые маршрутизатором при сканировании портов.
no ip tcp path-mtu-dicovery - Выключает сервис Path MTU Discovery для всех будущих соединений TCP для маршрутизатора по этому интерфейсу. Отсутствие такого запрещения увеличивает вероятность успешных атак, связанных с блокировкой сервиса.
no ip unreachable - Выключает генерацию сообщений ICMP Unreachable для этого интерфейса.
no ip route-cache - Отключает кэширование данных автономной коммутации и/или быстрой коммутации для маршрутизации IP.
no ip mroute-cache - (Активен по умолчанию.) Выключает групповую быструю коммутацию IP, отправляя пакеты на уровне процесса. Необходим для обработки списков доступа и сохранения сообщений отладки.
no cdp enable - Выключает CDP (Cisco Discovery Protocol) для этого интерфейса.
no ip directed-broadcast - (Активен по умолчанию.) Выключает управляемую групповую рассылку IP, что обеспечивает запрет использования маршрутизатора как широковещательного усилителя при атаках, имеющих цель блокировать сервис.
[1] Каталог Cisco 800 Series [2] Каталог Cisco 1800 Series [3] Каталог Cisco 1900 Series Источник: Cisco.com
Отзывы и комментарии