В программном обеспечении маршрутизаторов есть команды для управления сервисами TCP/IP. Применение этих команд уменьшает вероятность успешного проведения таких атак как: подслушивание, блокирование сервиса, несанкционированный доступ.
Команды управления сервисами TCP/IP могут выполняться либо в режиме глобальной конфигурации, либо в подрежиме конфигурации интерфейса.
При этом можно отключить наборы сервисов TCP, UDP, службу DNS, протокол BOOTP и т.д.
При отключении сервиса TCP, на запрос службы, отправителю будет послан TCP -пакет RESET, а поступивший пакет будет отброшен.
При отключении сервиса UDP, на запрос службы, отправителю будет послан пакет " ICMP port unreachable " (порт недоступен), а поступивший пакет будет отброшен.
команда | функция |
no service tcp-small-servers | Блокирует доступ к портам сервисов TCP - Echo, Discard, Chargen и Daytime. По умолчанию эти сервисы активны. |
no service udp-small-servers | Блокирует доступ к портам сервисов UDP - Discard, Chargen и Daytime портов. По умолчанию эти сервисы активны. |
nо service finger | Блокирует запросы по протоколу finger (RFC 742) посредством блокирования удаленных запросов пользователей |
no ip domain-lookup | Отключает сервис DNS на маршрутизаторе периметра |
no ip source-route | Отключает IP -маршрутизацию от источника |
no ip tcp selective-ack | Отключает селективное подтверждение TCP (RFC 2018). Снижает производительность системы, но повышает защиту от DoS атак. |
no ip bootp server | Отключает протокол BOOTP (Bootstrap Protocol - протокол начальной самозагрузки узла). |
no mop enabled | Отключает протокол MOP (Maintenance Operation Protocol — протокол операций сопровождения). |
no cdp run | Отключает протокол Cisco Discovery Protocol. |
no ip rsh-enable | Запрещает удаленным пользователям выполнять команды rsh на маршрутизаторе. |
no ip rcmd rep-enable | Запрещает удаленным пользователям копировать файлы на маршрутизатор и с него с помощью команды rср. |
no ip identd | Отключает поддержку идентификации, что блокирует возврат информации, идентифицирующей ТСР -порт. |
|
|
Для формирования более гибких настроек режима безопасности используются команды управления сервисами TCP/IP в подрежиме конфигурации интерфейса.
команда | функция |
no ip proxy-arp | Отключает прокси- ARP (Address Resolution Protocol - протокол разрешения адресов) на интерфейсе |
no ip redirects | Блокирует отправку сообщений перенаправления в рамках интерфейса, на который этот пакет получен. |
nо ip tcp path-mtu-discovery | Блокирует Path MTU Discovery для новых соединений TCP от маршрутизатора по данному интерфейсу. |
no ip unreachable | Блокирует генерацию сообщений ICMP Unreachable на интерфейсе. |
no ip route-cache | Блокирует кэширование данных автономной коммутации. |
no ip mroute-cache | Блокирует групповую быструю коммутацию IP, отправляя пакеты на уровне процесса. |
no cdp enable | Блокирует CDP (Cisco Discovery Protocol) на интерфейсе. |
no ip directed-broadcast | Блокирует управляемую групповую рассылку IP, что исключает использование маршрутизатора как широковещательного усилителя в DoS атаках. |
|
|
Контроль изменений маршрутной информации