تعویض پورت تلنت روتر سیسکو

یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد ، عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد . راه حل تعویض پورت تلنت روتر سیسکو است.

تعویض پورت تلنت روتر سیسکو

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ، ولی اگر به هر دلیلی مثل خود من ، با تلنت احساس بهتری دارید ، بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید .

در درجه اول چند کامند :

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

دو کامند اول ، یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند
کامند سوم ، بعد از ورود ۳ ثانیه تاخیر ایجاد میکند ، که بسیار کاراست !
دستور بعدی ، تنها ۱ بار اجازه authenticate به جای ۳ بار Default میدهد
و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود !
شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت .
و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود ، پس از حروف برگ هم در یوزر استفاده کنید !

تعویض پورت تلنت روتر سیسکو

و اما قسمت شیرین داستان ، تعویض پورت پیشفرض تلنت یعنی ۲۳ به مثلا ۳۰۰۱ است !

AkaNet-VG#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
AkaNet-VG(config)#ip acce e telnet
AkaNet-VG(config-ext-nacl)#permit tcp any any eq 3001
AkaNet-VG(config-ext-nacl)#deny ip any any
AkaNet-VG(config-ext-nacl)#exit
AkaNet-VG(config)#line vty ?
<0-988>  First Line number
AkaNet-VG(config)#line vty 0 988
AkaNet-VG(config-line)#rotary 1
AkaNet-VG(config-line)#access-class telnet in
AkaNet-VG(config-line)#^Z

توضیح اینکه ، ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت ۳۰۰۱ را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است .

سپس rotary group 1 را اعمال میکنیم که همان پورت ۳۰۰۱ است ، مثلا ۲ ، ۳۰۰۲ و ….

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت ۳۰۰۱ ، deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم :

Aka-Core-Router#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host
Aka-Core-Router#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
Aka-Networks-VG
User Access Verification
Username:

میبینید که ابتدا با پورت دیفالت ۲۳ ، کانکشن refused شد ، ولی با پرت ۳۰۰۱ ، ارتباط برقرار شد !!

این یکی از تریک های ناب سیسکو ست ، که شما به ندرت میتوانید آنرا در اینترنت به این سادگی و شسته رفتگی بیابید .

اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید ، بسته به تعداد IP های موجود ، تعداد زیادی تلاش جهت ارتباط بر روی پورت ۲۳ خواهید دید ! من در یک ساعت حدود ۲۰۰ تلاش نافرجام مشاهده کردم ، که نشان دهنده تعداد زیادی بدخواه برای اینجانب است !!