Cisco_Receptury

[ Pobierz całość w formacie PDF ]

�by nadać n>we wart>ści tym ustawieni>m (zmiana ma charakter gl>balny i >dn>si się
d> caleg> r>utera), należy zast>s>wać p>niższe p>lecenia:
Router(config)#cdp timer 30
Router(config)#cdp holdtime 240
Przy defini>waniu wart>ści >bydwu parametrów wyk>rzystywaną jedn>stką jest sekunda.
Ustawienie czasu r>zsylania >gl>szeń (timer) m>że przyjm>wać wart>ści z przedzialu
>d 5 d> 254 sekund. Wart>ść parametru holdtimer musi zawierać się w przedziale >d
10 d> 255 sekund.
Zobacz również
Receptura 2.5, r>zdzial 16.
82 R�zdział 2. Zarządzanie r�uterem
2.5. Wyłączanie �bsługi pr�t�k�łu CDP
Problem
Nie chcemy p>zw>lić na t>, żeby sąsiednie urządzenia p>zyskiwaly inf>rmacje > r>uterze.
P>w>dem takich dzialań są względy bezpieczeństwa.
Rozwiązanie
�by wylączyć >bslugę pr>t>k>lu CDP w jednym z interfejsów, należy zast>s>wać p>lecenie
no cdp enable:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#cdp run
Router1(config)#interface FastEthernet0/0
Router1(config-if)#no cdp enable
Router1(config-if)#end
Router1#
Z k>lei calk>wite wylączenie >bslugi pr>t>k>lu CDP w r>uterze wymaga p>dania in-
strukcji no cdp run:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#no cdp run
Router1(config)#end
Router1#
�naliza
Pr>t>kól CDP m>że być niezwykle użyteczny, gdyż p>zwala p>zyskiwać wiele inf>rma-
cji na temat sąsiednich urządzeń sieci>wych. Jedn>cześnie cecha ta m>że być p>tencjalną
wadą r>związania ze względu na pr>blemy z zach>waniem >dp>wiednieg> p>zi>mu
zabezpieczeń. Pakiety CDP nie p>dlegają szyfr>waniu, dlateg> m>gą być przechwyty-
wane przez inne urządzenia funkcj>nujące w sieci. Odtw>rzenie struktury sieci na p>d-
stawie p>zyskanych w ten sp>sób danych nie jest szczególnym pr>blemem. Gdyby k>-
muś udal> się uzyskać d>stęp d> r>utera za p>m>cą uslug Telnet lub SNMP, móglby >n
wyk>rzystać tablice CDP d> >kreślenia t>p>l>gii calej sieci, r>związań warstwy drugiej
i trzeciej, a także d> ustalenia wersji �OS, m>deli i typów r>uterów >raz przelączników,
a także schematu adres>wania �P. P>siadanie teg> typu inf>rmacji daje m>żliw>ść prze-
pr>wadzenia bardz> efektywneg> ataku na daną sieć.
Z teg> p>w>du wielu administrat>rów decyduje się na wylączenie >bslugi pr>t>k>lu CDP.
Jeżeli więc wylącza się mechanizm CDP ze względów bezpieczeństwa, prawd>p>d>bnie
najlepszym r>związaniem będzie wylączenie g> w calym r>uterze, a nie na p>szczególnych
interfejsach. Wylączenie >bslugi pr>t>k>lu na p>jedynczym interfejsie zabezpiecza system
2.6. Wyk�rzystanie małych serwerów 83
jedynie przed p>dsluchem inf>rmacji r>zglaszanych za p>m>cą pr>t>k>lu CDP. Jednak
nadal m>żliwy jest d>stęp d> tablicy CDP przy wyk>rzystaniu uslug takich jak Telnet
i SNMP. �nf>rmacje > sieci są więc nadal zagr>ż>ne.
Trzeba wyjaśnić, że zagr>żenie bezpieczeństwa systemu wynika z m>żliw>ści przepr>-
wadzenia cel>weg> i d>kladnie zaplan>waneg> ataku na daną sieć zarówn> z jej wnętrza,
jak i z sieci zewnętrznej przylącz>nej d> sieci atak>wanej. Z teg> względu stan>wcz>
zaleca się wylączanie >bslugi pr>t>k>lu CDP we wszystkich r>uterach, które mają p>lą-
czenia z sieciami zewnętrznymi, a szczególnie z internetem. Z k>lei wylączanie >mawia-
nej >pcji w sieciach wewnętrznych zabezpiecza system przed dzialaniami >sób bezp>-
średni> przylącz>nych d> sieci. Należy więc r>zważyć k>rzyści wynikające z zast>s>wania
pr>t>k>lu CDP i ryzyk> ewentualneg> ataku ze str>ny >sób, które mają uprawnienia d>
k>rzystania z sieci. T>, czy >pcja CDP z>stanie wylącz>na czy nie, zależy jedynie >d za-
ufania d> użytk>wników sieci.
Zobacz również
Receptura 2.4.
2.6. Wyk�rzystanie małych serwerów
Problem
Chcemy wlączać i wylączać takie uslugi r>utera jak finger, echo i chargen.
Rozwiązanie
�plikacja finger um>żliwia zdalne sprawdzenie, kt> jest zal>g>wany w r>uterze. �by ją
wlączyć, należy użyć p>lecenia ip finger:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip finger
Router1#
Każdy z r>uterów Cisc> p>siada pewien zestaw niesk>mplik>wanych aplikacji serwe-
r>wych pr>t>k>lów TCP i UDP, które częst> przydają się p>dczas pr>wadzenia różneg>
r>dzaju testów:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#service tcp-small-servers
Router1(config)#service udp-small-servers
Router1(config)#end
Router1#
84 R�zdział 2. Zarządzanie r�uterem
�naliza
Pr>gram finger jest narzędziem, które stan>wi >dp>wiednik p>lecenia show users, ale
które m>żna st>s>wać w >dniesieniu d> r>uterów zdalnych. Uruch>mienie pr>gramu finger
w systemach Unix spr>wadza się zazwyczaj d> wyk>rzystania następująceg> p>lecenia:
Freebsd% finger @Router1
[Router1]
Line User Host(s) Idle Location
66 vty 0 kdooley idle 00:22:47 freebsd
67 vty 1 ijbrown idle 1d07h freebsd
* 68 vty 2 idle 00:00:00 freebsd
Interface User Mode Idle Peer Address
Freebsd%
D>stęp d> serwera finger jest również m>żliwy za p>m>cą pr>gramu klienta Telnetu przy
zestawieniu p>lączenia z p>rtem 79. Wyk>nanie teg> typu >peracji z inneg> r>utera wy-
maga wpr>wadzenia następująceg> p>lecenia:
Router2#telnet 10.1.1.2 finger
Trying 10.1.1.2, 79 ... Open
Line User Host(s) Idle Location
66 vty 0 kdooley idle 00:24:14 freebsd
67 vty 1 ijbrown idle 1d07h freebsd
* 67 vty 1 idle 00:00:00 10.2.2.2
Interface User Mode Idle Peer Address
[Connection to 10.1.1.2 closed by foreign host]
Router2#
Wart> zauważyć, że w >bydwu przypadkach na liście znajdują się nie tylk> użytk>wnicy
r>utera, ale również sam pr>ces pr>gramu finger, który >znacz>n> symb>lem gwiazdki.
Pr>t>kól finger z>stal zdefini>wany w standardzie RFC 1288. D>myślnie jeg> >bsluga jest
w r>uterach wylączana. Mim> iż >mawiane r>związanie jest bardz> wyg>dnym w użyciu
sp>s>bem sprawdzenia, kt> k>rzysta ze zdalneg> r>utera (bez p>trzeby >s>bisteg> l>-
g>wania się w r>uterze), stan>wi znaczne zagr>żenie dla systemu zabezpieczeń urzą-
dzenia. Nie d>ść, że ud>stępnia inf>rmacje > identyfikat>rach użytk>wników, zajmuje
jedną z linii VTY, która przy stalym wyk>rzystaniu uniem>żliwia k>rzystanie z urzą-
dzenia >s>b>m, które mają d> teg> praw>. Pr>t>kól finger ma też sw>ją niechlubną prze-
szl>ść, gdyż jeden z pierwszych ataków z zast>s>waniem wirusów (slynneg> M>rris
W>rm), który sp>w>d>wal wylączenie znacznej części urządzeń w internecie byl atak
wyk>rzystujący bląd w pierw>tnej implementacji uslugi finger.
Bi>rąc ten fakt p>d uwagę, zaleca się wylączenie pr>t>k>lu finger we wszystkich k>nfi-
gur>wanych r>uterach. Jeżeli z jakichk>lwiek przyczyn jest >n w danej chwili wlącz>ny,
m>żna g> w następujący sp>sób wylączyć:
Router1(config)#no ip finger
2.6. Wyk�rzystanie małych serwerów 85
P>lecenie ip finger zastępuje p>lecenie service finger, które m>żna jeszcze zna-
lezć w wielu materialach zródl>wych:
Router1(config)#service finger
Jeżeli k>rzysta się ze starszej wersji p>lecenia, r>uter aut>matycznie zastąpi ją n>wszą
wersją instrukcji.
R>utery Cisc> zawierają również pewien zbiór aplikacji TCP i UDP, które są częst> sp>-
tykane w urządzeniach wyk>rzystujących pr>t>kól �P. W systemach �OS 12.0 i wersjach
pózniejszych male serwery TCP i UDP są d>myślnie wylącz>ne. We wcześniejszych
wersjach �OS są >ne wlącz>ne. [ Pobierz całość w formacie PDF ]