تعویض پورت تلنت روتر سیسکو

2 920
Telegram_GEEKBOY

یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی مثل خود من با تلنت احساس بهتری دارید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

  • دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
  • کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند که بسیار کاراست.
  • دستور بعدی تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
    و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت.
  • و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود، پس از حروف برگ هم در یوزر استفاده کنید.

و اما قسمت شیرین داستان تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

میبینید که ابتدا با پورت دیفالت 23 کانکشن refused شد ولی با پرت 3001 ، ارتباط برقرار شد !!

این یکی از تریک های ناب سیسکو ست که شما به ندرت میتوانید آنرا در اینترنت به این سادگی و شسته رفتگی بیابید.

اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید ! من در یک ساعت حدود 200 تلاش نافرجام مشاهده کردم.

منبع: shabake

2 نظرات
  1. مهدی زارعی می گوید

    سلام
    خیلی خوب و جالب بود
    ولی بعضی دستوراتی که دیدم بصورت ناقص تایپ شده هر چند صحیحه ولی اگه کامل بنویسید خیلی جالبتر و مفهموم بهتری داره
    با تشکر

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.