四、IdentD

  IP鑒別支持對某個TCP端口身份的查詢。能夠報告一個發起TCP連接的客戶端身份，以及響應該連接的主機的身份。

  IdentD允許遠程設備為了識別目的查詢一個TCP端口。是一個不安全的協議，旨在幫助識別一個想要連接的設備。一個設備發送請求到Ident端口（TCP 113），目的設備用其身份信息作為響應，如主機和設備名。

  如果支持IP鑒別，攻擊者就能夠連接到主機的一個TCP端口上，發布一個簡單的字符串以請求信息，得到一個返回的簡單字符串響應。

  要關閉IdentD服務，使用下面的命令：Router（config）#no ip identd

  可以通過Telnet到設備的113端口來進行測試。

  五、IP源路由

  應該在所有的路由器上關閉，包括邊界路由器。可以使用下面的命令：Router（config）#no ip source-route禁止對帶有源路由選項的IP數據包的轉發。

  六、FTP和TFTP

  路由器可以用作FTP服務器和TFTP服務器，可以將映像從一臺路由器復制到另一臺。建議不要使用這個功能，因為FTP和TFTP都是不安全的協議。

  默認地，FTP服務器在路由器上是關閉的，然而，為了安全起見，仍然建議在路由器上執行以下命令：Router（config）#no ftp-server write-enable （12.3版本開始）Router（config）#no ftp-server enable

  可以通過使用一個FTP客戶端從PC進行測試，嘗試建立到路由器的連接。

  七、HTTP

  測試方法可以使用一個Web瀏覽器嘗試訪問路由器。還可以從路由器的命令提示符下，使用下面的命令來進行測試：Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  要關閉以上兩個服務以及驗證，執行以下的步驟：Router（config）#no ip http serverRouter（config）#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

  Cisco安全設備管理器（Security Device Manager，SDM）用HTTP訪問路由器，如果要用SDM來管理路由器，就不能關閉HTTP服務。

  如果選擇用HTTP做管理，應該用ip http access-class命令來限制對IP地址的訪問。此外，也應該用ip http authentication命令來配置認證。對于交互式登錄，HTTP認證最好的選擇是使用一個TACACS+或RADIUS服務器，這可以避免將enable口令用作HTTP口令。

[1]  [2]  [3]  [4]  [5]