Bu makalede; aslında ilk bakışta bir sorunmuş gibi görünmeyen ve varsayılan(Default) biçimde gelen bazı servislerden bahsedeceğim ve bu servislerin nasıl kapatılacağından bahsediyor olacağım.
Boot server; Router üzerinde de bootp server hizmeti herbir router üzerinde varsayılan olarak gelen ve herbir router bir başka router için bootp hizmet sağlayıcısı görevindedir. Bu yüzden router üzerindeki işletim sisteminin(ISO) birbaşkası tarafından kopyalanması mümkün olmaktadır. Bu sebebten dolayı bu hizmetin kapatılması gerekmektedir.
Çözüm : no ip bootp server
CDP;CDP’nin (Cisco Discovery Protocol) amacı cihazınıza bağlı olan diğer cihazlar hakkında bilgi almaktır. CDP açık olduğunda CDP komutlarıyla, komşu cihazın modeli, IOS’u, IP adresi gibi önemli bilgilerin elde edilmesi mümkün olduğu için bu servisin kapatılmasında favda var.
Çözüm : no cdp run (global olarak) & no cdp enable (interface altında)
HTTP Konfigürasyonu ve izlemesi; HTTP servisi; router(yönlendirici)’ın web browser üzerinden konfigüre edilebilmesine ve izlenebilmesine imkan veren clear-text bir protokol olduğu için paketler çeşitli capture uygulamaları ile izlenebilir.Bu yüzden bu protokolün engellenmesinde fayda vardır.
Çözüm : no http server
DNS; Cisco Router’lara bir isim girildiğinde bunu 255.255.255.255 adresine broadcast isteği yaparak sorgularlar. Network Trafik İzleme araçlarıyla bu sorgular kötü niyetli kişiler tarafından görüntülenebilir.
Çözüm : no ip domain-lookup
PAD; PAD (Packet Assembler/ Disassembler), networkte X.25 bağlantılarına izin verir. X.25 bağlantılı cihazlar networkte kullanılmıyorsa, bu bir güvenlik açığıdır.
Çözüm : no service pad
ICMP Redirects; ICMP redirect mesajları, router tarafından kullanılan, kullanıcıya (host’a) gönderdiği paket için daha iyi bir yol olduğunu söylediği mesajlardır. Örneğin, Host A, Host B ile konuşurken R1 üzerinden data gönderiyor olsun. R1, bu paketi Host B’ye ulaştırmak için R2′ye gönderiyor. R1, R2′nin Host A’ya direk bağlı olduğunu fark ediyor. Bu durumda R1, Host A’ya redirect mesajı göndererek gideceği bu yol için R2′ye paketi direk göndermenin daha kısa olduğunu söylüyor.Redirect mesajlarını bir hacker kullanarak kendi cihazına yönlendirme yapabilir.
Çözüm : no ip redirects
IP Source Routing; IP source routing, network paketlerinin hangi yoldan gideceğini belirten bir özelliktir. Hacker’lar ip source özelliğini kullanarak paketlerin Firewall, IDS (Intrusion Detection System) gibi güvenlik uygulamalarından bypass edilerek geçmesini sağlayabilirler.
Çözüm : no ip source-route
Finger Service; Finger service, Hacker’ların router’a hangi login name ile girdikleri öğrenmek için kullanabilecekleri bir servistir. (show users komutu ile user bilgileri finger service sayesinde görüntülenebilmektedir.) Bu servis kapatılmalı ya da finger service’in çalıştığı port 79 için Access-list yazılmalıdır.
Çözüm : no service finger , no ip finger ( IOS versiyonuna göre komutlar değişebilmektedir.)
Proxy Arp; Eğer hostta bir default gateway konfigüre edilememişse, router Proxy gibi davranarak Layer 2 adres çözümlemesi yapar. Host bir ARP isteği yaptığında, router kendi MAC adresiyle dönüş yapar. DHCP kullanılan yapılarda bu özellik disable yapılarak güvenlik açığı giderilmelidir.
Çözüm : no ip proxy-arp
IP Directed Broadcast; Directed-Borad cast, hedef adresi bulunduğu subnetin broadcast adresi olan bir ip paketidir. Hacker’ların DoS saldırıları yapmaları için bir güvenlik açığıdır.
Çözüm : no ip directed broadcast 