2020-04-12
245
В программном обеспечении маршрутизаторов есть команды для управления сервисами TCP/IP. Применение этих команд уменьшает вероятность успешного проведения таких атак как: подслушивание, блокирование сервиса, несанкционированный доступ.
Команды управления сервисами TCP/IP могут выполняться либо в режиме глобальной конфигурации, либо в подрежиме конфигурации интерфейса.
При этом можно отключить наборы сервисов TCP, UDP, службу DNS, протокол BOOTP и т.д.
При отключении сервиса TCP, на запрос службы, отправителю будет послан TCP -пакет RESET, а поступивший пакет будет отброшен.
При отключении сервиса UDP, на запрос службы, отправителю будет послан пакет " ICMP port unreachable " (порт недоступен), а поступивший пакет будет отброшен.
| команда | функция |
| no service tcp-small-servers | Блокирует доступ к портам сервисов TCP - Echo, Discard, Chargen и Daytime. По умолчанию эти сервисы активны. |
| no service udp-small-servers | Блокирует доступ к портам сервисов UDP - Discard, Chargen и Daytime портов. По умолчанию эти сервисы активны. |
| nо service finger | Блокирует запросы по протоколу finger (RFC 742) посредством блокирования удаленных запросов пользователей |
| no ip domain-lookup | Отключает сервис DNS на маршрутизаторе периметра |
| no ip source-route | Отключает IP -маршрутизацию от источника |
| no ip tcp selective-ack | Отключает селективное подтверждение TCP (RFC 2018). Снижает производительность системы, но повышает защиту от DoS атак. |
| no ip bootp server | Отключает протокол BOOTP (Bootstrap Protocol - протокол начальной самозагрузки узла). |
| no mop enabled | Отключает протокол MOP (Maintenance Operation Protocol — протокол операций сопровождения). |
| no cdp run | Отключает протокол Cisco Discovery Protocol. |
| no ip rsh-enable | Запрещает удаленным пользователям выполнять команды rsh на маршрутизаторе. |
| no ip rcmd rep-enable | Запрещает удаленным пользователям копировать файлы на маршрутизатор и с него с помощью команды rср. |
| no ip identd | Отключает поддержку идентификации, что блокирует возврат информации, идентифицирующей ТСР -порт. |
Для формирования более гибких настроек режима безопасности используются команды управления сервисами TCP/IP в подрежиме конфигурации интерфейса.
| команда | функция |
| no ip proxy-arp | Отключает прокси- ARP (Address Resolution Protocol - протокол разрешения адресов) на интерфейсе |
| no ip redirects | Блокирует отправку сообщений перенаправления в рамках интерфейса, на который этот пакет получен. |
| nо ip tcp path-mtu-discovery | Блокирует Path MTU Discovery для новых соединений TCP от маршрутизатора по данному интерфейсу. |
| no ip unreachable | Блокирует генерацию сообщений ICMP Unreachable на интерфейсе. |
| no ip route-cache | Блокирует кэширование данных автономной коммутации. |
| no ip mroute-cache | Блокирует групповую быструю коммутацию IP, отправляя пакеты на уровне процесса. |
| no cdp enable | Блокирует CDP (Cisco Discovery Protocol) на интерфейсе. |
| no ip directed-broadcast | Блокирует управляемую групповую рассылку IP, что исключает использование маршрутизатора как широковещательного усилителя в DoS атаках. |
Контроль изменений маршрутной информации
