نوشته‌ها

تعویض پورت پیش فرض تلنت در روتر سیسکوتعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

/0 دیدگاه /در /توسط

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو :یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشند عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی میخواهید از روش تلنت استفاده کنید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case
  • دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
  • کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند.
  • کامند چهارم تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
  • کامند پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیرد قانونی قرار خواهد گرفت.
  • و کامند آخر باعث میشودکه روتربه حروف بزرگ وکوچک در Username حساس شود،پس ازحروف بزرگ هم استفاده کنید.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدامایک access-list به نام telnet ایجاد میکنیم ودرآن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

مشاهده می‌کنید که ابتدا با پورت پیش‌فرض 23 کانکشن refused شد اما با پورت 3001 ارتباط برقرار شد. اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید، بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید.

منبع: گیک بوی

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]تعریف SSH
راه اندازی SSH در Cisco
دسترسی Telnet به روتر سیسکو[/su_box]

فعال سازی روتیگ در سوئیچ لایه سه سیسکوفعال سازی روتیگ در سوئیچ لایه سه سیسکو

فعال سازی روتینگ در سوئیچ لایه سه سیسکو

/1 دیدگاه/در /توسط

فعال سازی روتینگ در سوئیچ لایه سه سیسکو

فعال سازی روتیگ در سوئیچ لایه سه سیسکو: مبحث روتینگ در سوئیج بسیار جالب است. می‌توان گفت که روتینگ فاصله بین سوئیچ و روتر را کم می‌کند. محصولات جدید سیسکو نه روتر هستند و نه در دسته سوئیچ جای می‌گیرند. به طور مثال سری 6500 امکانات لایه 1 تا 7 را در شرایطی بسیار عالی ارایه می‌کند. این موضوع باعث می‌شود تصویر ذهنی کاربران نسبت به این محصولات تغییر کند.

روتینگ قابلیتی است که به طور معمول آن را در اختیار روترهای سیسکو می‌دانستیم. با عرضه سوئیچ سری Catalyst سیسکو 3550 و امکانات فوق العاده لایه 3 آن، دیدگاه‌ها تغییر کردند. از دید یک کارشناس شبکه، سوئیچ لایه 3 سیسکو ابزاری همه کاره است. این نوع سوئیچ پاسخگوی طیف وسیعی از نیازهای شبکه خواهد بود. همچنین محدودیت تعداد پورت روتر را ندارد و از فناوری ASIC برای پردازش استفاده می‌کند. در نتیجه موجب Load کمتر و سرعت بیشتر است.

این نکته را نباید فراموش کرد که سوئیچ‌ها به طور کلی همان وظایف سوئیچ را دنبال می‌کنند. آن‌ها برای سوئیچینگ بهینه‌سازی شده‌اند. برای مثال RAM یک سوئیچ قابل ارتقا نیست و از ماژول‌های WIC و NM و ارتباطات WAN و فناوری‌های مربوط به آن پشتیبانی نمی‌کند. در واقع سوئیچ‌ها با VLAN فعالیت می‌کنند. به کمک قابلیت‌های روتینگ لایه 3، سوئیچ سیسکو می‌تواند ترافیک VLAN را مسیریابی کند.

سوئیچ سیسکو 3750

روتینگ قابلیت بسیار مهمی است که کمپانی سیسکو از سری 3550 به سوئیچ‌های میان‌رده خود اضافه کرد. پس از آن، سوئیچ سیسکو 3560 با بهبودهای فراوان و سپس سوئیچ سیسکو 3750 با امکانات بسیار و قدرت بالا، راه حل اصلی مشکلات شبکه شد. بنابراین در اکثر شبکه‌ها وجود سوئیچ سیسکو 3750 جزئی جدانشدنی به شمار می‌رود.

تفاوت‌ها و محدودیت‌های بسیاری بین روتر و یک سوئیچ لایه 3 وجود دارد. حتی در شبکه‌های کوچک هم همیشه نیاز به یک روتر احساس می‌شود. به طور مثال امکانات NAT در سوئیچ لایه 3 وجود ندارد؛ اما Dynamic Routing و پشتیبانی از پروتکل‌های EIGRP – OSPF – BGP و همچنین استاتیک روتینگ Policy Based Routing و QOS در سوئیچ‌های لایه 3 وجود دارد.

فعال کردن روتینگ در سوئیچ لایه 3

برای فعال کردن روتینگ در سوئیچ لایه 3 مانند سوئیچ سیسکو 3750 و تبدیل آن به یک روتر، کار زیادی نیاز نیست. ابتدا با دستور IP Routing امکانات روتینگ را فعال کنید. پس از آن می‌توانید به هر پورت IP اختصاص داده یا پورت‌ها را در لایه 2 قرار دهید. سپس به هر VLAN یک IP اختصاص دهید. همچنین امکان فعالسازی DHCP نیز وجود خواهد داشت. پس از فعال کردن روتینگ سوئیچ سیسکو لایه 3 اختلالی در عملکرد لایه 2 آن ایجاد نخواهد شد. حتی تنظیمات لایه 2 نظیر VLAN ها و پورت‌های Trunk و همچنین stp و vtp نیز فعال خواهند بود.

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]لایه بندی شبکه فصل اول
لایه بندی شبکه فصل دوم
آشنایی با پروتکل RIP[/su_box]

دستورات فعال سازی روتینگ در سوئیچ لایه سه سیسکو

R1(config)#ip routing

اختصاص IP به یک پورت خاص

R1(config)#int gi 1/0/20

R1(config-if)#no switchport

R1(config-if)#ip add 217.218.1.1 255.255.255.0

کانفیگ پورت به صورت لایه 2 و اختصاص IP به VLAN مربوطه

R1(config-if)#switchport

R1(config-if)#switchport mode access

R1(config-if)#sw acce vlan 303

R1(config-if)#ip add 217.218.1.1 255.255.255.0

R1(config)#int vlan 303

فعال کردن EIGRP

R1(config)#router eigrp 1

R1(config-router)#network 217.218.1.0 0.0.0.255

R1(config-router)#redistribute connected

R1(config-router)#no auto-summary

نوشتن یک Static Route

R1(config)#ip route 8.8.8.8 255.255.255.255 172.16.64.1

نوشتن یک ACL

R1(config)#ip acce e 110

R1(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any

R1(config-ext-nacl)#per icmp an any

R1(config-ext-nacl)#deny ip any any

R1(config-ext-nacl)#per tcp an an eq 80

R1(config-if)#ip access-group 110 in

R1(config)#int vlan 301

این دستورات تنها مثال‌هایی از دنیای امکانات و قابلیت‌های سوئیچ‌های لایه 3 سیسکو بود. با تمام کارآمدی سوئیچ سیسکو لایه 3 نباید وظیفه اصلی این تجهیزات یعنی سوئیچینگ را فراموش کرد. این سوئیچ‌ها با بهبودهای نرم‌افزاری، وظایف روتینگ را انجام می‌دهند. نمی‌توان از آن‌ها انتظار یک روتر تمام عیار را داشت. در مواردی که نیاز به روتینگ در کنار تعدد پورت باشد؛ به جای استفاده از یک سوئیچ در کنار روتر می‌توان از امکانات ویژه یک سوئیچ لایه سه بهره‌مند شد.

در ویدیوی زیر نحوه فعال‌سازی روتینگ را در سوئیچ سیسکو 3550 یا همان InterVLAN خواهیم دید.

تماشا در آپارات

راه اندازی DHCP بر روی سوئیچ سیسکو

راه اندازی DHCP بر روی سوئیچ سیسکو

/3 دیدگاه /در /توسط

راه اندازی DHCP بر روی سوئیچ سیسکو

راه اندازی DHCP بر روی سوئیچ سیسکو: DHCP یکی از پر کاربرد ترین سرویس های شبکه است که در خفا و پس زمینه مسئول اختصاص آدرس های IP به کلاینت های شبکه است. این سرویس جزء لاینفک شبکه های بزرگ و کوچک بوده و از ابتدایی ترین تراکنش های ارتباطی در شبکه های LAN است.

DHCP سرور

DHCP سرور

هنگامی که شما یک کلاینت را به یک شبکه مرتبط می‌کنید و یا با یک سرور PPP ارتباط برقرار می‌کنید؛ پس از احراز هویت دریافت آدرس IP از ابتدایی ترین واکنش هاست. استفاده از DHCP علاوه بر افزایش کارایی شبکه به افزایش چشمگیر امنیت در شبکه های مبتنی بر سیسکو می انجامد. بدین ترتیب که به عنوان یک مدیر شبکه امکان مدیریت و رصد مشکلات به سادگی امکان پزیر است و همچنین از مشکلاتی نظیر IP Conflict و دسترسی غیر مجاز به آدرس های IP جلوگیری به عمل می آید. پیاده سازی DHCP بر روی روتر ها و سویئچ های سیسکو به سادگی امکان پذیر بوده و ترافیک و لود چندانی را به دستگاه تحمیل نمینماید.

راه اندازی DHCP بر روی سوئیچ سیسکو

شروع کار:

توصیه می‌شود ابتدا یک دیتابیس برای نگهداری واگذاری آدرس های IP ایجاد و دسترسی FTP به آن را میسر نمایید.

Router(config)# ip dhcp database ftp://user:password@172.16.1.1/router-dhcp timeout 80

جلوگیری از اعطای آدرس های 100 تا 103:

Router(config)# ip dhcp excluded-address 172.16.1.100 172.16.1.103
Router(config)# ip dhcp pool 1
Router(dhcp-config)# utilization mark high 80 log
Router(dhcp-config)# network 172.16.0.0 /16
Router(dhcp-config)# domain-name rootlan #domain name
Router(dhcp-config)# dns server 217.218.127.127 217.218.155.155 #dci dns servers
Router(dhcp-config)# default-router 172.16.1.100 172.16.1.101 #this is the Gateway address
Router(dhcp-config)# option 19 hex 01 #additional dhcp option code for example tftp address
Router(dhcp-config)# lease 30 # the lease amount

بدین ترتیب امکان استفاده از امکانات DHCP بر روی روتر و سوئیچ های سیسکو میسر میگردد البته امکانات پیشرفته تری نیز وجود داره که در صورت نیاز میتوانید از آنها استفاده کنید لازم به توضیح است استفاده از سرویس DHCP بر روی شبکه های VLAN که دارای Access Switch و Core Switch هستند بر روی سوئیچ های لایه دسترسی توصیه میشود.

اگر به هر دلیلی مایل به استفاده از دیتابیس جهت ثبت واگذاری IP نبودید میتوانید از این کامند استفاده نمایید:

Router(config)# no ip dhcp conflict logging

توسط این دستور می‌توانید میزان استفاده از منابع IP را مشاهده کنید:

Router(config)# ip dhcp use class

راه اندازی DHCP بر روی سوئیچ سیسکو

شاید این موارد نیز مورد علاقه شما باشد:

پیاده سازی پروتکل مسیریابی RIP

آسیب‌پذیری پروتکل UPnP در برابر حملات DDOS

پروتکل OSPF

آموزش پیکربندی پروتکل های مسیریابی پیشرفته

آموزش پیکربندی پروتکلهای بردار فاصله

پروتکل های مسیریابی Classful vs Classless

پروتکل ISL انحصاری شرکت سیسکو

تغییر firmware تلفن های سیسکو

مفهوم SDN

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکوپیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

/0 دیدگاه /در /توسط

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

 پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو: شرکت سیسکو روز 13 آگوست ۲۰۱۸ به‌روز رسانی امنیتی مهمی را منتشر کرده که این به‌روز رسانی برای سیستم‌عامل IOS و IOS XE خود است و در بسیاری از محصولات سیسکو به کار می‌رود. این آسیب‌پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده‌است، یکی از حملات جدید cryptographic علیه پروتکل IKE است که در IPSec مورد استفاده قرار می‌گیرد. معرفی این حمله جدید که به‌تازگی در مقاله‌ای با نام The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE منتشر شده‌است، هفته آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهدگرفت.

محققان اعلام کردند که پیاده‌سازی این حمله علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-۲۰۱۸-۰۱۳۱، در Huawei با شماره شناسایی CVE-۲۰۱۷-۱۷۳۰۵ ، در Clavister با شماره شناسایی CVE-۲۰۱۸-۸۷۵۳ و در ZyXEL با شماره شناسایی CVE-۲۰۱۸-۹۱۲۹ معرفی خواهند شد. یکی نفز از این محققین  از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب‌پذیری‌ها را به سازندگان محصولات اطلاع داده‌اند که پاسخ سازندگان دستگاه‌های آسیب‌پذیر در پاسخ گفتند به‌روز رسانی‌هایی برای رفع این آسیب‌پذیری‌ها منتشر کرده‌اند.

دراین میان که سیسکوبیشترین محصولات آسیب‌پذیررا دارابوده است،مشخص شده که سیستم عاملIOS و IOS XEآسیب‌پذیرهستندکه باشماره شناساییCVE-۲۰۱۸-۰۱۳۱معرفی شده‌است،

اما سیستم عامل نسخه IOS XR که به‌طورعمده‌تردرمحصولات روترهای سیسکو مورداستفاده قرارمی‌گیرد،به علت تفاوت درنوع کدنویسی آن،آسیب‌پذیرنیست.

امروز سیسکو به‌روز رسانی برای هردوسیستم‌عامل خودمنتشرکردواعلام کردکه دستگاه‌های دارای دوسیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستندآسیب‌پذیرند.

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

بر اساس توضیحات سیسکو، این آسیب‌پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می‌دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv۱ را با موفقیت به‌دست بیاورند. علت وجود این آسیب‌پذیری، اشتباه در عملیات Decryption در نرم‌افزار پاسخ‌دهنده است. نفوذگر می‌تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv۱ طراحی شده‌است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را به دست بیاورد. همچنین نفوذگر می‌تواند با بازآوری IKEv۱ Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می‌گیرد رمزگشایی کنند.

توصیه اکیدبه مدیران شبکه درسازمان‌هاوشرکت‌ها می‌شودکه سریعاًدستگاه‌های خودرا که شامل این آسیب‌پذیری می‌شودبه‌روز رسانی کنند.

 

 

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

منبع خبر: افتانا (پایگاه خبری امنیت فناوری اطلاعات)

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

منبع خبر: افتانا (پایگاه خبری امنیت فناوری اطلاعات)