نوشته‌ها

تعویض پورت پیش فرض تلنت در روتر سیسکوتعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

/0 دیدگاه /در /توسط

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو :یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشند عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی میخواهید از روش تلنت استفاده کنید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case
  • دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
  • کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند.
  • کامند چهارم تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
  • کامند پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیرد قانونی قرار خواهد گرفت.
  • و کامند آخر باعث میشودکه روتربه حروف بزرگ وکوچک در Username حساس شود،پس ازحروف بزرگ هم استفاده کنید.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدامایک access-list به نام telnet ایجاد میکنیم ودرآن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

مشاهده می‌کنید که ابتدا با پورت پیش‌فرض 23 کانکشن refused شد اما با پورت 3001 ارتباط برقرار شد. اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید، بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید.

منبع: گیک بوی

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]تعریف SSH
راه اندازی SSH در Cisco
دسترسی Telnet به روتر سیسکو[/su_box]

آموزش SNMP در روتر و سوئیچ های سیسکوآموزش SNMP در روتر و سوئیچ های سیسکو

آموزش SNMP در روتر و سوئیچ های سیسکو

/4 دیدگاه /در /توسط

آموزش SNMP در روتر و سوئیچ های سیسکو

آموزش SNMP در روتر و سوئیچ های سیسکو Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای جمع‌آوری اطلاعات شبکه و مدیریت شبکه است. از SNMP برای جمع‌آوری اطلاعات مربوط به کانفیگ و تجهیزات شبکه مثل سرور، پرینتر، سوئیچ و روتر بر اساس یک IP، استفاده می‌شود. نکته دیگر این است که به ساختمان داده این پروتکل MIB یا Management Information Base می‌گویند.

دراین مقاله می‌خواهیم روش‌های کنترل دسترسی به SNMP را در سوئیچ سیسکو و روترهای این کمپانی بررسی کنیم.

معرفی SNMP

SNMP به طور پیش‌فرض از پورت‌های UDP 161 برای پیام‌های عمومی و از پورت UDP 162 برای پیام‌های trap استفاده می‌کند. متأسفانه در حال حاضر SNMP ورژن 1 به طور گسترده استفاده می‌شود که خیلی ایمن نیست. در این ورژن، اطلاعات به صورت Clear-text ارسال می‌شود و یکی از ضعف‌های اصلی آن است.

توصیه می‌شود اگر از سیستم‌های مانیتورینگ یا پروتکل SNMP استفاده نمی‌کنید؛ می‌توانید با دستورات زیر این سرویس را غیرفعال کنید:

Switch(config)# no snmp-server community
Switch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

اگر سرویس SNMP را برای سوئیچ‌ها و روترهای داخل شبکه نیاز دارید؛ بهتر است از SNMP ورژن 3 استفاده کنید. این ورژن بسیار امن‌تر از ورژن 1 خواهد بود. ورژن 3 از یک رمزنگاری Hash برای احراز هویت و محافظت از Community String استفاده می‌کند. پیش از کار با دستورات این نسخه، بهتر است تنظیمات ورژن قدیم پاکسازی شود. دستوراتی که در پایین آورده شده است، نشان می‌دهد یک مدل امنیتی برای SNMP V3 چگونه ایجاد می‌شود.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3

تعریف گروه Admin با دسترسی خواندن و نوشتن MIB

Switch(config)# snmp-server group admins v3 auth read adminview write adminview

سپس یک کاربر به عنوان مثال root با یک کلمه عبور برای این گروه تعریف می‌کنیم. این پسوورد می‌تواند با MD5 هش شود. در انتهای دستور اکسس لیست 12 به این کاربر اعمال می‌کنیم:

Switch(config)# snmp-server user root admins v3 auth md5 MyP@ssw0rd access 12

سرانجام می‌توان مشخص کرد adminview به کدام قسمت‌های MIB دسترسی داشته باشد. در دستورات زیر دسترسی به شاخه‌های Internet از MIB وجود دارد. اما به شاخه‌هایی که آدرس‌های IP و اطلاعات مسیریابی را شامل می‌شود خیر.

Switch(config)# snmp-server view adminview internet included
Switch(config)# snmp-server view adminview ipAddrEntry excluded
Switch(config)# snmp-server view adminview ipRouteEntry excluded

اگر فقط snmp ورژن 1 بر روی سوئیچ یا روتر قابل دسترس است؛ با دستورات زیر و با یک اکسس لیست می‌توانیم دسترسی فقط خواندن را به یک سری IP ها اعمال کنیم.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3
Switch(config)# snmp-server community Hash-960301 ro 12

در انتها سرویس SNMP Trap برای مدیریت سوئیچ با دستورات زیر تنظیم می‌شود:

Switch(config)# snmp-server host 172.30.100.2 traps Hash-960301
Switch(config)# snmp-server host 172.30.100.3 traps Hash-960301
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps

آموزش SNMP در روتر و سوئیچ های سیسکو

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]مدیریت سوئیچ روتر سیسکو
دسترسی Telnet به روتر سیسکو
مراحل Boot کردن روتر های سیسکو
برگرداندن روتر یا سوئیچ سیسکو به تنظیمات کارخانه[/su_box]

دسترسی Telnet به روتر سیسکو

دسترسی Telnet به روتر سیسکو

/0 دیدگاه /در /توسط

دسترسی Telnet به روتر سیسکو

دسترسی به CLI از طریق کنسول نیازمند ارتباط فیزیکی و مستقیم به دستگاه است. برای دسترسی به دستگاه از راه دور باید از روش دیگری استفاده کرد. پروتکل Telnet با شماره پورت 23 TCP با استفاده از نرم‌افزارهایی مانند PuTTy و SecureCRT به عنوان Telnet client به روتر استفاده می‌شود. یکی از معایب پروتکل Telnet این است که داده را بدون رمزنگاری بین دستگاه و کابر به صورت Clear Text رد و بدل می‌کند.

پیکربندی پروتکل Telnet

ابتدا باید برای روتر یک آدرس IP به Interface اختصاص داد تا بتوان از راه دور به آن دسترسی داشت.

Router>enable
Router#conf t
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip address 192 .168.1.1 255 .255.255.0
Router(config-if)# no shutdown

برای حالت Privileged Mode روتر، باید password تعیین کرد.

Router(config)# enable secret 123456

با دستور line vty به مد config-line رفته و تعداد session همزمان برای telnet را مشخص کنید. تعداد آن در بیشینه ۱۶ است. یعنی ۱۶ کابر می‌توانند به طور همزمان از طریق Telnet به دستگاه دسترسی داشته باشند. درواقع line vty همان لاین مجازی برای دسترسی چند کاربر به دستگاه است.

Router(config)# line vty 0 15
#(Router(config-line

برای telnet در مد config-line باید password تعیین کنید.

Router(config-line)# password 4444

هنگامی که از طریق telnet به cli متصل هستید؛ اگر به مدت ۵ دقیقه فعالیتی انجام ندهید، به صورت خودکار دسترسی به آن را از دست می‌دهید. می‌توان با دستور exec-timeout در مد config-line زمان دسترسی به دقیقه یا ثانیه را مدیریت کنید.

Router(config-line)# exec-timeout 0 0

با دستور login می‌توانید Telnet را فعال کنید.

Router(config-line)# login

به صوت پیش فرض Telnet در روتر فعال نیست و باید با دستور transport آن را فعال و دسترسی را تعیین کرد.

Router(config-line)# transport input telnet
Router(config-line)# transport output telnet

در حالت transport input تمام کاربران می‌توانند از طریق telnet وارد روتر شوند. اگر قصد دارید از روتر به روتری دیگر دسترسی telnet اشته باشید؛ باید از حالت transport output استفاده کنید. با دستور logging synchronous می‌توان از نمایش پیام‌های syslog که مزاحم پیکربندی هستند، جلوگیری کرد.

Router(config-line)# logging synchronous

مشاهده config مربوط به Telnet

Router#show line vty 0 4
Router#show running-config

با استفاده از نرم‌افزارهای terminal emulator مانند PuTTy و SecureCRT می‌توان به Telnet دسترسی داشت. ابتدا رمز telnet و سپس پسورد روتر وارد شود.

نرم افزارهای terminal emulator 

دستورات CLI

در هر Mode از محیط CLI برای سرعت بخشیدن به ویرایش دستوراتی که در نوشتار خطا دارند، می‌توان از کلیدهای ترکیبی استفاده کرد. آخرین Command را می‌توان با Ctrl+P یا کلید جهت بالا مشاهده کرد. دستورات قبل‌تر را می‌توان با Ctrl+N یا کلید جهت پایین مشاهده کرد.

کلید ترکیبی Ctrl+A اشاره‌گر موس را به اول خط می‌آورد. Ctrl+E نیز اشاره‌گر موس را به آخر خط انتقال می‌دهد. کلید ترکیبی Ctrl+B کاراکتر به کاراکتر رو به عقب و Ctrl+F رو به جلو حرکت می‌کند.

Ctrl+D کاراکتر به کاراکتر command و Ctrl+W آن را کلمه به کلمه حذف می‌کند. با کلید ترکیبی Ctrl+U نیز می‌توان یک خط از دستور را به صورت کامل حذف کرد. دستوراتی که در CLI استفاده می‌شود؛ با ظرفیتی مشخص در History Buffer ذخیره خواهد شد. با دستور show history و show terminal می‌توانید history buffer و تنظیمات ترمینال را مشاهده کنید. به طور پیش‌فرض ظرفیت ۱۰ دستور را در خود دارد.

Router#show history
Router#show terminal

با دستور terminal history size می‌توان ظرفیت history buffer را تغییر داد. بیشترین ظرفیت ۲۵۶ دستور را برای ذخیره دارد.

Router#terminal history size 30

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]معرفی SSH Tunneling
راه اندازی SSH در سوئیچ ها و روتر های سیسکو[/su_box]

دسترسی SSH به روتر

پروتکل SSH یا Secure Shell با شماره پورت ۲۲ مانند پروتکل Telnet با استفاده از نرم‌افزارهای PuTTy و SecureCRT به عنوان SSH Client به روتر استفاده می‌شود. این پروتکل برای دسترسی به دستگاه از راه دور کاربرد دارد. با این تفاوت که پروتکل SSH هنگام ارتباط بین دستگاه و کاربر، داده را رمزنگاری یا encrypt می‌کند. همچنین احراز هویت یا Authentication کاربر را در هنگام اتصال به دستگاه انجام می‌دهد.

پیکربندی پروتکل SSH

اگر در نام IOS image عبارت K9 را به طور مثال به صورت c3750e-universalk9-tar.122-35.SE5.tar مشاهده می‌کنید؛ یعنی سیستم عامل دستگاه قابلیت تنظیم و پشتیبانی از SSH را دارد. برای دسترسی SSH یک IP Address به interface روتر اختصاص دهید.

Router>enable
Router#conf t
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip address 192 .168.1.1 255 .255.255.0
Router(config-if)# no shutdown

با دستور username نام کاربری مشخص می‌شود. با دستور privilege می‌توان سطح دسترسی کاربر و با دستور secret پسورد کاربر را مشخص کرد. دستور privilege برای اولویت سطح دسترسی کاربران استفاده می‌شود. به طور مثال با اولویت ۱۵ که بالاترین است می‌توانید بدون وارد شدن به user mode وارد privileged mode شوید.

Router(config)# username cisco privilege 15 secret 123456

تغییر دادن نام دستگاه با دستور hostname

Router(config)# hostname R1
#(R1(config

با دستور ip domain-name یک دامین دلخواه ایجاد کنید تا FQDN ایجاد شود.

R1(config)# ip domain-name cisco .com

با دستورات crypto key generate rsa و با استفاده از الگوریتم رمزنگاری کلید rsa می‌توان رمز عبور را برای امنیت بیشتر به شکل hash مبدل کرد. همچنین برای پیچیده‌تر شدن کلید rsa می‌توان از ماژول‌های کلید رمزنگاری بیشتر در الگوریتم rsa در اندازه‌های مختلف استفاده کرد. هرچه سایز کلید rsa بیشتر باشد، ماژول‌های این کلید پیچیده‌تر می‌شود.

R1(config)# crypto key generate rsa
The name for the keys will be: R1 .cisco .co
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes

برای استفاده از نسخه ۲ اندازه کلید باید از ۷۶۸ بیت بیشتر باشد. در این مثال از ۲۰۴۸ استفاده می‌کنیم. هرچند به صورت پیش‌فرش ۵۱۲ است.

How many bits in the modulus [512]: 2048

با دستور ip ssh version نوع ورژن v1 یا v2 را می‌توان انتخاب کرد.

R1(config)# ip ssh version ? <1-2> Protocol version R1(config)# ip ssh version 2

با دستور line vty به مد config-line رفته و با کامند login local، برای احراز هویت یا Authentication کاربر هنگام ورود به دستگاه، نام کاربری و رمز عبوری که درون دستگاه ایجاد کردیده اید را فعال کنید.

R1(config)# line vty 0 15 R1(config-line)# login local

با دستور transport input می‌توان نوع پروتکل‌های دسترسی مانند SSH و Telnet را فعال کرد. البته به طور پیش‌فرض دسترسی‌ها غیر فعال هستند.

R1(config-line)# transport input ssh

برای مشاهده و بررسی تنظیمات ssh می‌توان از دستور زیر استفاده کرد:

R1#show ip ssh R1#show ssh

در انتها می‌توان با استفاده از نرم‌افزارهای terminal emulator مانند PuTTy و SecureCRT به SSH دسترسی داشت . پس از ذخیره ماژول‌های کلید (RSA) و ورود نام کاربری و پسورد میسر می‌شود.

SSH

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]معرفی Cisco IOS image
دستورات تنظیمات روتر و سوئیچ سیسکو[/su_box]