Senior Acquisitions Editor: Kenyon Brown Development Editor: Kim Wimpsett

Appendix C Disabling and Configuring Network Services

Download 11,7 Mb. Pdf ko'rish bet 783/792 Sana 31.03.2022 Hajmi 11,7 Mb. #521163

Bu sahifa navigatsiya:

• Blocking SNMP Packets

Appendix C Disabling and Configuring Network Services   By default, the Cisco IOS runs some services that are unnecessary to its normal operation, and if you don’t disable them, they can be easy targets for denial-of-service (DoS) attacks and break-in attempts. DoS attacks are the most common attacks because they are the easiest to perform. Using software and/or hardware tools such as an intrusion detection system (IDS) and intrusion prevention system (IPS) tools can both warn and stop these simple, but harmful, attacks. However, if we can’t implement IDS/IPS, there are some basic commands we can use on our router to make them more safe. Keep in mind, though, that nothing will make you completely safe in today’s networks. Let’s take a look at the basic services we should disable on our routers. Blocking SNMP Packets The Cisco IOS default configurations permit remote access from any source, so unless you’re either way too trusting or insane, it should be totally obvious to you that those configurations need a bit of attention. You’ve got to restrict them. If you don’t, the router will be a pretty easy target for an attacker who wants to log in to it. This is where access lists come into the game—they can really protect you. If you place the following command on the serial0/0 interface of the perimeter router, it’ll stop any SNMP packets from entering the router or the DMZ. (You’d also need to have a  permit command along with this list to really make it work, but this is just an example.) Lab_B(config)# access-list 110 deny udp any any eq snmp Lab_B(config)# interface s0/0 Lab_B(config-if)# access-group 110 in Disabling Echo In case you don’t know this already, small services are servers (daemons) running in the router that are quite useful for diagnostics. And here we go again—by default, the Cisco router has a series of diagnostic ports enabled for certain UDP and TCP services, including echo, chargen, and discard. When a host attaches to those ports, a small amount of CPU is consumed to service these requests. All a single attacking device needs to do is send a whole slew of requests with different, random, phony source IP addresses to overwhelm the router, making it slow down or even fail. You can use the  no version of these commands to stop a chargen attack: Lab_B(config)# Download 11,7 Mb. Do'stlaringiz bilan baham: