Dostep do routera

Wiadomość

Misiekm · #1

Witam

Mam takie pytanie, w jaki sposob mozna zabezpieczyc router przed loginem z konsoli ? Chodzi mi o sytuacje ,iz ktos odłacza go, restartuje z confreg 2142 zgrywa konfig itp po czym router wraca do stanu przed.

Pozdrawiam

enceladus · #2

Chyba tylko blokada sprzętowa - konsola jest po to żeby móc zrobić wszystko ....
Kiedyś cisco stosowało coś takiego:
http://www.cisco.com/univercd/cc/td/doc ... cid2482213

michal · #3

Jeżeli chodzi ci o zabezpieczenie routera przed wyzerowaniem hasła to opis można znaleźć w dokumencie zamieszczonym poniżej na stronie 8.

Ogólnie bardzo fajny opis rozwiązywania problemów z routerami.

http://lukasz.bromirski.net/docs/prezos ... outers.pdf

Pozdrawiam

piotro · #4

Nie testowane (nic pod reka), strzal co pierwsze na mysl przyszlo (do sprawdzenia):
transport preferred none

Chociaz to pewnie tylko przed dostepem po remote console access...

I to chyba ma raczej znaczenie tylko dla polecen wpisywanych z lini komend, kiedy uznawane sa za probe podlaczenia do zdalengo systemu, wtedy cisco moze sobie wybrac protokol jakieog uzyc, wiec raczej odpada w ogole (ale sprawdze jak bede przy sprzecie).

enceladus · #5

piotro pisze:Nie testowane (nic pod reka), strzal co pierwsze na mysl przyszlo (do sprawdzenia):
transport preferred none

To zadziała już po załadowaniu configa - ale break przy ładowaniu IOS-a raczej da się zrobić (nie testowałem)

BTW - inni już też nad tym myśleli

http://seclists.org/security-basics/2002/Dec/0021.html

Metoda z przejściówką jest "ciekawa".

KriS · #6

enceladus pisze:To zadziała już po załadowaniu configa - ale break przy ładowaniu IOS-a raczej da się zrobić (nie testowałem)

Byla jakas opcja do tego, aby ctrl+break nie dalo sie zrobic... wylecialo mi kurde z glowy... ktos podpowie?

michal · #7

KriS pisze: Byla jakas opcja do tego, aby ctrl+break nie dalo sie zrobic... wylecialo mi kurde z glowy... ktos podpowie?

Czyżby chodziło o: router(config)#no service password-recovery

Kyniu · #8

michal pisze: Czyżby chodziło o: router(config)#no service password-recovery

Pewnie dokładnie o to

Ja tylko przypomnę że na niektórych platformach (proszę mnie nie męczyć tylko samemu poszukać na CCO bo ja tak z głowy nie pamiętam) jest to działanie jednostronne - to znaczy raz włączonej opcji nie można wyłączyć. Czemu tak jest - to już pytanie do Cisco. Dla mnie jest to co najmniej dziwne ale uprzedzam że tak jest.

Kyniu

KriS · #9

Ooo tak, tak.. to mialem na mysli

Cytujac za Cisco: http://www.cisco.com/en/US/products/hw/ ... 8113.shtml

Kod: Zaznacz cały

*Routers that have nonvolatile RAM (NVRAM) chips can be removed and reseated. The NVRAM is implemented with battery-backed up static RAM (SRAM). If you remove the SRAM, the contents of NVRAM are erased as well as the no service password-recovery configuration. Be sure to use proper anti-static procedures when you handle the NVRAM. Some of these routers are 3640 and 3660.

*Other routers, such as the 1700, 2600, and 3620, use an electrically erasable programmable read-only memory (EEPROM) in order to hold the configuration. The EEPROM does not erase when you remove it.

*Another method is to reload or boot the router with console access, and press CTRL-BREAK within five to ten seconds of the Cisco IOS software image decompressing or roughly when the "Image text-base:... " part of the banner begins. You are then prompted to reset the router to factory default (erase start-up configuration).

Czyli wszystko miodzio... oprocz opcji trzeciej... ale nie tak do konca, bo to o co pytal Misiekm sie nie stanie - router bedzie mozna tylko wyczyscic do defaulta, ale cfg sie nie sciagnie.
(co prawda pozostaje jeszcze sprawa lokalnego DoS, ale to juz inna sprawa

)