اخیرا
با مروری که روی برخی ویژگی های IOS انجام شد مواردی مشخص گردید که ممکن است شما نیز روی روتر خود با آن مواجه شده باشید.
بسیاری
از این ویژگی ها بصورت پیش فرض فعال هستند و می توانند امنیت شبکه شما را کاهش
دهند.برای از بین بردن این ریسک شما می توانید آن هارا بررسی نموده و در صورت عدم
نیاز آنها را غیر فعال یا محدود نمایید که لیست این ویژگی ها در ذیل ذکر شده است :
- CDP (Cisco Discovery Protocol) or LLDP (Link Layer
Discovery Protocol): You
are probably familiar with CDP or LLDP. It’s very useful to discover
(Cisco) neighbor devices but it also gives away a lot of information like
your (router) model, IP address, IOS version etc. If you don’t use it it’s
better to disable it globally or on certain interfaces.
- TCP Small servers: This
is some TCP standard network services like echo, disable it.
- UDP Small Servers:
Same for UDP, best to disable it.
- Finger: User
lookup service, originally for Unix. Can be used remotely to list logged
in users. Nobody needs to know this kind of information remotely…
- HTTP server: very
nice for in a labbut not a good idea in a production environment.
- Bootp server: Allows
other routers to boot from this router, hardly ever used…
- Configuration auto-loading: Your router will try to boot up from a TFTP, i’ve only
used this once so my regular 2600′s could boot the XM image in a lab…not
gonna use it in production.
- PAD service: Router
will support X.25, not gonna use it.
- IP Source routing: allows
the creator of an IP packet to choose the route, you don’t want this.
- Proxy ARP: Your
router will answer (proxy) for L2 ARP requests, don’t use this.
- IP directed broadcasts: Allows you to send packets to the broadcast address of
another subnet, allows “smurf attacks”. Used for DOS attacks…so disable
this.
- IP Unreachable notifications: Your router will notify a sender of incorrect IP
addresses, gives away information.
- IP Mask reply: Router
will send the subnet mask of an interface in response to a ICMP mask
request, gives away information.
- IP Redirects: Your
router will send an ICMP redirect in response to some router IP packets.
- Maintenance Operations Protocol (MOP): Old management protocol, part of DECNET.
- NTP service: Your
router can become a time server, perhaps not needed.
- SNMP: If
you don’t use SNMP, I’d suggest to disable/block it.
- DNS: Routers
can perform DNS lookups, if you don’t use this i’d disable it.
منبع : http://networklessons.com/security/cisco-ios-features-that-you-should-disable-or-restrict
وبلاگت خبرنامه نداره از آپ شدنش خبردار بشم؟
لطفا وبلاگت رو توی دایرکتوری وبلاگم لینک کن تا هر روز بهت سر بزنم. ممنون
سلام دوست گرامی
تقریبا هروز سعی می کنم یک مطلب جدید بذارم اگر سرم شلوغ نباشه
جدیدا وبلاگم عوض کردم و رنک وبلاگ پایینه یکم زمان میبره تا به حالت اول برگرده
من وبلاگم تو لینک های شما ادد کردم
ممنون از اینکه به وبلاگم سر میزنید