Cisco Catalyst 3750 使用しないサービスの無効化

シェアする

電源を投入したあとの初期状態で設定されているサービスで使用しないものを無効化します。

使用しないサービスの無効化

設定されているものを無効化にするには、設定パラメータに「no」を先頭につけることで可能です。

12.2(52)SEをベースに確認しています。

参考URL
https://www.cisco.com/c/ja_jp/support/docs/ip/access-lists/13608-21.html#anc18

スモールサービスの無効化

※ 12.0 以降ではデフォルトで無効です。

スモールサービスとは下記のものです。

echo(ポート番号7)
discard(ポート番号9)
daytime(ポート番号13)
chargen(ポート番号19)

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no service tcp-small-server
sw01(config)#no service udp-small-server
Fingerサービスの無効化

※ 12.1(5)および12.1(5)T以降ではデフォルトで無効です。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no ip finger
bootpの無効化

※ 12.2(8)T以降での設定です。

BOOTPリクエストを受信しても無視します。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#ip dhcp bootp ignore
DHCPサービスの無効化

DHCPサービスを無効化します。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no service dhcp
DNSリゾルバサービスの無効化

コマンド入力でタイプミスをした場合、有効にしていると、名前解決をしようとするため、コマンドの再入力するまでに時間がかかってしまいます。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no ip domain-lookup
PAD(Packet Assembler/Disassembler)サービスの無効化

x25の通信を行なう場合に必要となりますが、ほとんどの場合、必要ないでしょう。
※ PADサービスは、初期状態で無効化されていました。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no pad service
HTTP ServerとHTTPS Serverの無効化

Cisco機器の管理で使用可能なHTTP Server(HTTPS Server)機能。

Cisco機器を操作する場合、CLIを使うことがほとんどだと思います。必要なければ、無効化することが好ましいと思います。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no ip http server
sw01(config)#no ip http secure-server
CDP(Cisco Discovery Protocol)の無効化

隣接するCisco製品のネットワーク機器を検出し、各種情報を交換する機能。データリンク層のプロトコル。

CDPパケットは暗号化されないため、設定情報が盗聴されるリスクがあるため、必要がなければ、無効化するのが良い。特に、信頼できないネットワークに接続されている場合、無効化にする。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no cdp run

インターフェース単位で無効化にすることもできる。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#interface fastEthernet 1/0/1
sw01(config-if)#no cdp enable
LLDPの無効化

隣接するCisco製品以外のネットワーク機器を検出し、各種情報を交換します。

セキュリティ観点では、CDPと同様の考え方です。

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#no lldp run

インターフェース単位で無効化する場合

sw01#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
sw01(config)#interface fastEthernet 1/0/1
sw01(config-if)#no lldp transmit
sw01(config-if)#no lldp receive