Cisco IOS 不要なサービスの無効化
Ciscoルータにはデフォルトで有効になっているサービスが存在します。
もし、管理者がどのようなサービスなのかを把握せずに使用していると、そのサービスによってセキュリティの脆弱性を放置することがあります。そのため、不必要なサービスは無効にすることでIOSの最適化ができます。
コマンドモード:グローバルコンフィグレーションモード。
CDP (Cisco Discovery Protocol)の無効化
Router(config)# no cdp run
CDP (Cisco Discovery Protocol) は、隣接するCisco機器を認識するためのCisco独自のプロトコルです。ルータに他のCisco製品が接続していない場合でも、マルチキャストを使用して通信するので、帯域の節約のために無効にすることが多いです。
DNS機能の無効化
Router(config)# no ip domain-lookup
DNSによる名前解決を行う機能です。
コマンドをミスした場合にDNSで名前解決をしようとして、応答までに時間がかかるので無効にします。
HTTP接続の無効化
Router(config)# no ip http server
Cisco機器の管理アクセスの際にHTTP接続できる機能です。
HTTPを利用しない場合は、無効にします。
HTTPS接続の無効化
Router(config)# no ip http secure-server
Cisco機器の管理アクセスの際にHTTPS接続できる機能です。
HTTPSを利用しない場合は、無効にします。
パケットが自身の経路を指定できるようにする機能の無効化
Router(config)# no ip source-route
パケットが自身の経路を指定できるようにする機能です。
悪意のある第三者がIPアドレスを偽装して不正なアクセスを防止するために無効にします。
Cisco IOS セキュリティと管理性の向上
管理性とセキュリティが向上することにより、IOSが最適化されます。
debug出力時に表示させるタイムスタンプ形式の設定
Router(config)# service timestamps debug datetime msec localtime
log出力時に表示させるタイムスタンプ形式の設定
Router(config)# service timestamps log datetime msec localtime
ログメッセージへのシーケンス番号の表示
Router(config)# service sequence-numbers
設定時の排他設定
Router(config)# service sequence-numbers configuration mode exclusive auto
他の人がグローバルコンフィグモードに入っていれば排他するので、コンフィグを変更する管理者は常に1人だけになります。設定者が常に1人になるので、責任の所在が明確になります。
TCPキープアライブ有効化
Router(config)# service tcp-keepalives-in
Router(config)# service tcp-keepalives-out
デバイスからTCPセッションのためのTCP キープアライブを送信できるようにします。
これにより、応答がないTelnet / SSHのセッションをクリアされるようになります。
また、この設定は、2コマンドで1セットのコマンドです。