Dostep do routera
Dostep do routera
Witam
Mam takie pytanie, w jaki sposob mozna zabezpieczyc router przed loginem z konsoli ? Chodzi mi o sytuacje ,iz ktos odłacza go, restartuje z confreg 2142 zgrywa konfig itp po czym router wraca do stanu przed.
Pozdrawiam
Mam takie pytanie, w jaki sposob mozna zabezpieczyc router przed loginem z konsoli ? Chodzi mi o sytuacje ,iz ktos odłacza go, restartuje z confreg 2142 zgrywa konfig itp po czym router wraca do stanu przed.
Pozdrawiam
Chyba tylko blokada sprzętowa - konsola jest po to żeby móc zrobić wszystko ....
Kiedyś cisco stosowało coś takiego:
http://www.cisco.com/univercd/cc/td/doc ... cid2482213
Kiedyś cisco stosowało coś takiego:
http://www.cisco.com/univercd/cc/td/doc ... cid2482213
<: Enceladus :>
Jeżeli chodzi ci o zabezpieczenie routera przed wyzerowaniem hasła to opis można znaleźć w dokumencie zamieszczonym poniżej na stronie 8.
Ogólnie bardzo fajny opis rozwiązywania problemów z routerami.
http://lukasz.bromirski.net/docs/prezos ... outers.pdf
Pozdrawiam
Ogólnie bardzo fajny opis rozwiązywania problemów z routerami.
http://lukasz.bromirski.net/docs/prezos ... outers.pdf
Pozdrawiam
Nie testowane (nic pod reka), strzal co pierwsze na mysl przyszlo (do sprawdzenia):
transport preferred none
Chociaz to pewnie tylko przed dostepem po remote console access...
I to chyba ma raczej znaczenie tylko dla polecen wpisywanych z lini komend, kiedy uznawane sa za probe podlaczenia do zdalengo systemu, wtedy cisco moze sobie wybrac protokol jakieog uzyc, wiec raczej odpada w ogole (ale sprawdze jak bede przy sprzecie).
transport preferred none
Chociaz to pewnie tylko przed dostepem po remote console access...
I to chyba ma raczej znaczenie tylko dla polecen wpisywanych z lini komend, kiedy uznawane sa za probe podlaczenia do zdalengo systemu, wtedy cisco moze sobie wybrac protokol jakieog uzyc, wiec raczej odpada w ogole (ale sprawdze jak bede przy sprzecie).
Ostatnio zmieniony 02 sty 2007, 12:03 przez piotro, łącznie zmieniany 2 razy.
To zadziała już po załadowaniu configa - ale break przy ładowaniu IOS-a raczej da się zrobić (nie testowałem)piotro pisze:Nie testowane (nic pod reka), strzal co pierwsze na mysl przyszlo (do sprawdzenia):
transport preferred none
BTW - inni już też nad tym myśleli
http://seclists.org/security-basics/2002/Dec/0021.html
Metoda z przejściówką jest "ciekawa".
<: Enceladus :>
Byla jakas opcja do tego, aby ctrl+break nie dalo sie zrobic... wylecialo mi kurde z glowy... ktos podpowie?enceladus pisze:To zadziała już po załadowaniu configa - ale break przy ładowaniu IOS-a raczej da się zrobić (nie testowałem)
U mnie kupisz LAB'a Cisco .ılı..ılı.http://www.kris.mm.pl
Kupowało juz wielu forumowiczów - kup i TY
Kupowało juz wielu forumowiczów - kup i TY
Pewnie dokładnie o tomichal pisze: Czyżby chodziło o: router(config)#no service password-recovery
Ja tylko przypomnę że na niektórych platformach (proszę mnie nie męczyć tylko samemu poszukać na CCO bo ja tak z głowy nie pamiętam) jest to działanie jednostronne - to znaczy raz włączonej opcji nie można wyłączyć. Czemu tak jest - to już pytanie do Cisco. Dla mnie jest to co najmniej dziwne ale uprzedzam że tak jest.
Kyniu
Ooo tak, tak.. to mialem na mysli
Cytujac za Cisco: http://www.cisco.com/en/US/products/hw/ ... 8113.shtml
Czyli wszystko miodzio... oprocz opcji trzeciej... ale nie tak do konca, bo to o co pytal Misiekm sie nie stanie - router bedzie mozna tylko wyczyscic do defaulta, ale cfg sie nie sciagnie.
(co prawda pozostaje jeszcze sprawa lokalnego DoS, ale to juz inna sprawa )
Cytujac za Cisco: http://www.cisco.com/en/US/products/hw/ ... 8113.shtml
Kod: Zaznacz cały
*Routers that have nonvolatile RAM (NVRAM) chips can be removed and reseated. The NVRAM is implemented with battery-backed up static RAM (SRAM). If you remove the SRAM, the contents of NVRAM are erased as well as the no service password-recovery configuration. Be sure to use proper anti-static procedures when you handle the NVRAM. Some of these routers are 3640 and 3660.
*Other routers, such as the 1700, 2600, and 3620, use an electrically erasable programmable read-only memory (EEPROM) in order to hold the configuration. The EEPROM does not erase when you remove it.
*Another method is to reload or boot the router with console access, and press CTRL-BREAK within five to ten seconds of the Cisco IOS software image decompressing or roughly when the "Image text-base:... " part of the banner begins. You are then prompted to reset the router to factory default (erase start-up configuration).
(co prawda pozostaje jeszcze sprawa lokalnego DoS, ale to juz inna sprawa )
U mnie kupisz LAB'a Cisco .ılı..ılı.http://www.kris.mm.pl
Kupowało juz wielu forumowiczów - kup i TY
Kupowało juz wielu forumowiczów - kup i TY