tom12 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Hi, leider geht ssh erst ab einem IOS mit DES/3DES Feature.... Was kann ich machen, meine Telnet Sessions "etwas sicherer zu machen"? Wenn möglich auf einem IOS IP-Base oder IP-Plus.. PAM geht erst ab IOS mit CBAC Feature... Telnet mittels Kerberos ers ab eine IOS mit DES Unterstützung... Kann ich telnet auf einem anderen Port konfigurieren? Oder hat jemand irgend eine andere Idee/Vorschlag?? Danke schonmal, Thomas Zitieren Link zu diesem Kommentar
maceis 10 Geschrieben 16. Oktober 2004 Melden Teilen Geschrieben 16. Oktober 2004 Mit den sicherheitsspezifischen Features des IOS kenn ich mich auch nicht so speziell aus. Ich kann Dir nur folgende Denkanstöße geben: - Je nach Umgebung, sollte ein Telnet-Zugang vom Internet her nicht möglich sein (s. access-liste unten). - Wenn der Router über einen Hub angeschlossen ist, kann man mit einem Sniffer mit"horchen", wenn man sich im selben logischen Netz befindet. Da hilft es Dir auch nicht, den Port zu ändern. Es empfiehlt sich daher einen Switch einzusetzen, da das Sniffen in geswitchten Netzen schwieriger ist. - Eine weitere Sicherheitsmaßnahme wäre es, wenn Du die Konfiguration über telnet nur von einer bestimmten IP Adresse aus zulässt; In einem Netzwerk, in dem die Benutzer eigene Geräte (Laptop) anschließen dürfen oder die Netzwerkeinstellungen ihres PC ändern dürfen bringt das nur wenig mehr an Sicherheit. In restriktiven Umgebungen bringt es mehr. So wird es gemacht: --- snip --- conf term access-list 1 permit 192.168.100.10 line vty 0 15 access-class 1 in --- snap --- bei manchen IOS Versionen kannst Du afaik max. 4 vtys verwenden. dann schreibst Du line vty 0 4. Da ich selbst nur Grundkenntnisse besitze, sind diese Vorschläge natürlich ohne Gewähr. Ich hoffe es hilft Dir trotzdem etwas weiter. Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 16. Oktober 2004 Autor Melden Teilen Geschrieben 16. Oktober 2004 Hi, danke, das alles ist schon so implementiert... Voll geswitchtes Netz mit ausschliesslich Cisco Geräten.. Was ich nicht ganz verstehe ist, warum bei Cisco mittlerweile nicht ssh ein Standard-Feature in jedem IOS ist...na ja.. Telnet auf einem anderen Port kännte durchaus Sinn machen: Nimm an jemand snifft alles mit auf einem Link mit durchschnittlichem Traffic von 30-50 Mbit/s. Dann wird dieser böse Bube nach 2 Stunden sniffen sicherlich nach bestimmten Ports suchen (23)..... Und nicht jedes Packet analysieren.. Danke trotzdem Grüsse Thomas Zitieren Link zu diesem Kommentar
maceis 10 Geschrieben 16. Oktober 2004 Melden Teilen Geschrieben 16. Oktober 2004 hallo tom12, ich glaube so wie Du das beschreibst wird das gar nicht so leicht möglich sein. In geswitchten Netzen ist Sniffing nach meinem Kenntnisstand nur noch über den Umweg des MAC-Spoofings möglich. Noch dazu muss man dann dafür sorgen, dass die "abgefangenen" Pakete trotzdem an den Router weitergeleitet werden. Um das zu realisieren ist neben dem nötigen Sachverstand schon so etwas wie eine gewisse "kriminelle Energie" erforderlich. Wer aber den nötigen Sachverstand besitzt, der wird vermutlich nicht nur nach bestimmten Ports suchen sondern nach bestimmten protokoll-spezifischen Schlüsselwörtern. Wenn ich mal von mir ausgehe, würde ich als erstes mal nach dem Suchbegriff "passwort" suchen und die folgenden Pakete genauestens untersuchen ;) Wenn das nicht greift, würde ich mal ein paar Telnet Sessions zu Hause sniffen und nach Auffälligkeiten suchen; spätestens da findet man heraus, wie man eine Telnet Session sicher herausfiltern kann. Ich kann mich täuschen, ich gehe aber davon aus, dass das Ändern des Ports nicht wirklich was bringen wird. Auf der anderen Seite versteh ich natürlich, dass Du nach Möglichkeiten suchst, die Risiken so weit wie möglich einzuschränken. Wenn Du noch was findest, dann poste es doch bitte. Hier noch eine spontane Idee (ins Unreine gesprochen): Vielleicht kannst Du ein Subnetz bilden, das nur zwei hosts erlaubt (den Router - secondary Adresse - und einen Admin-Rechner) und den Telnetzugang nur noch aus diesem Netz heraus erlauben. Das Netz ist aus dem LAN erstmal nicht so leicht zu finden. Wenn Du dafür sorgst, dass beide Adressen immer "besetzt" sind, dann kommt man auch gar nicht so leicht in dieses Netz rein, weil der Angreifer erstmal mit einem IP-Adressen-Konflikt konfrontiert wird. Auch das kann man knacken, aber der Weg ist noch etwas steiniger ;) (Feedback und Kritik erwünscht) Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 17. Oktober 2004 Autor Melden Teilen Geschrieben 17. Oktober 2004 Alles klar....ich denk ich lass alles wie es ist.. Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.