Все про комп'ютери
 
Останні записи

  • инцест
  • консультация юриста вопрос-ответ.
  • цикличность

     

    Огляд сервісів Tcp/ip для маршрутизаторів фірми Cisco


    В цій статті перерахуємо основні директиви управління для сервісів

    Tcp/ip в роутерах Cisco. Дані команди вірні для маршрутизаторів Cisco

    800 Series [1], Cisco 1800 Series [2], Cisco 1900 Series [3], Cisco 2900 Series і більшості інших no service tcp-small-servers -

    Закриває доступ до деяких сервісів TCP, які дозволяють хостам мережі

    робити запити Chargen, Echo, Daytime і Discard для портів. По

    умовчанню всі сервери TCP для сервісів Chargen, Echo, Daytime і Discard

    активні. Якщо їх вимкнути, то на відповідний запит для порту ПО

    CISCO IOS у відповідь відправить TCP-пакет RESET і відмовиться обробляти

    пакет даних, що поступив. no service udp-small-servers -

    Закриває доступ до деяких сервісів UDP, які дозволяють ущлам мережі

    робити запити Chargen, Echo, Daytime і Discard для портів. За умовчанням

    сервери UDP в частині сервісів Echo, Discard, Chargen і Daytime

    актівізірованни. всі сервери UDP для сервісів Chargen, Echo, Daytime і

    Discard активні.

    Якщо їх вимкнути, то на відповідний запит для порту ПО CISCO IOS в

    відповідь відправить UDP-пакет RESET і відмовиться обробляти

    , що поступив

    пакет даних. no service finger - Відключає

    запити для finger-протокола (який визначений в RFC 742) методом

    блокування запитів видалених користувачів мережі. no ip domain-lookup - Забороняє

    трансляцію імен DNS в маршрутизаторі периметра для окремої IP-адреса. no ip source-route - Вимикає

    від джерела IP-маршрутизацию. no ip tcp selective-ack -

    Вимикає вибіркове (селективне) підтвердження TCP (дивитеся в RFC

    2018) no ip bootp server - Вимикає

    BOOTP-сервис (протокол стартового самозавантаження (Bootstrap Protocol)) в

    хосте. no mop enable - Вимикає роботу

    протоколу MOP (Maintenance Operation Protocol -

    протокол операцій супроводу); крім того, застосовується до конкретного

    інтерфейсу. no cdp run - Вимикає Cisco

    Dicovery Protocol. no ip rsh-enable - Конфігурує

    маршрутизатор так, що видаленим користувачам неможливо виконувати

    команди rsh на даному пристрої. no ip rcmd rep-enable -

    Конфігурує маршрутизатор так, що видаленим користувачам неможливе

    копіювати файли в маршрутизатор і з нього за допомогою команди rcp. no ip identd - Вимикає

    підтримку ідентифікації, це блокує повернення інформації, яка

    ідентифікує TCP-порт. no ip proxy-arp - Вимикає

    прокси-услугу ARP (Address Resolution Protocol - протокол дозволу

    адрес) для вказаного інтерфейсу. no ip redirects - Вимикає

    відправлення повідомлень з командою перенаправлення, коли засоби Cisco

    IOS SOFTWARE переотправляют цей пакет в рамках інтерфейсу, по якому

    він отриманий. Обмежує дані, що посилаються маршрутизатором при

    скануванні портів. no ip tcp path-mtu-dicovery -

    Вимикає сервіс Path MTU Discovery для всіх майбутніх з'єднань TCP для

    маршрутизатора по цьому інтерфейсу. Відсутність такої заборони

    збільшує вірогідність успішних атак, пов'язаних з блокуванням сервісу. no ip unreachable - Вимикає

    генерацію повідомлень ICMP Unreachable для цього інтерфейсу. no ip route-cache - Відключає

    кешування даних автономної комутації і/або швидкої комутації для

    маршрутизації IP. no ip mroute-cache - (Активний по

    умовчанню.) Вимикає групову швидку комутацію IP, відправляючи пакети

    на рівні процесу. Необхідний для обробки списків доступу і

    збереження повідомлень відладки. no cdp enable - Вимикає CDP

    (Cisco Discovery Protocol) для цього інтерфейсу. no ip directed-broadcast -

    (Активний за умовчанням.) Вимикає керовану групову розсилку IP, що

    забезпечує заборону використання маршрутизатора як широкомовного

    підсилювача при атаках, що мають мету блокувати сервіс.

    [1]Каталог

    Cisco 800 Series

    [2]Каталог Cisco 1800 Series

    [3]Каталог Cisco

    1900 Series

    Джерело: Cisco. com


    BJC-1000 | Cowon W2 | Apple iPad | Picasa | RAID 5