از جمله مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.
در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی با تلنت احساس بهتری دارید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.
مراحل کار
ابتدا از کامندهای زیر استفاده کنید:
login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case
- دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
- کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند که بسیار کاراست.
- دستور بعدی تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت. - و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود، پس از حروف برگ هم در یوزر استفاده کنید.
سپس با دستورهای زیر تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 را انجام دهید.
R1-CENTER#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-CENTER(config)#ip acce e telnet
R1-CENTER(config-ext-nacl)#permit tcp any any eq 3001
R1-CENTER(config-ext-nacl)#deny ip any any
R1-CENTER(config-ext-nacl)#exit
R1-CENTER(config)#line vty 0 988
R1-CENTER(config-line)#rotary 1
R1-CENTER(config-line)#access-class telnet in
R1-CENTER(config-line)#^Z
توضیح اینکه ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.
سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.
سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.
سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.
حالا تست میکنیم:
R2-Clinet#telnet 1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host
R2-Client#telnet 1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: pooyeshnet.com
میبینید که ابتدا با پورت دیفالت telnet 23 کانکشن refused شد ولی با پرت 3001 ، ارتباط برقرار شد !!
اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید ! من در یک ساعت حدود 200 تلاش نافرجام مشاهده کردم.
در صورتی که تمایل داشته باشید می توانید مقاله پسورد ریکاوری روتر و سوییچ سیسکو را از اینجا مطالعه نمایید.