سلام وعرض ادب می دانم قبلا مقالاتی بهتر از این دوستان در این موررد قراردادند و من سعی می کنم به نکات بیشتر در این مقاله اشاره کنم یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی مثل خود من با تلنت احساس بهتری دارید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

• دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
• کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند که بسیار کاراست.
• دستور بعدی تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
  و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت.
• و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود، پس از حروف برگ هم در یوزر استفاده کنید.

و اما قسمت شیرین داستان تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

hellodigi-core#conf t
hellodigi-core#(config)#ip acce e telnet
hellodigi-core#(config-ext-nacl)#permit tcp any any eq 3001
hellodigi-core#(config-ext-nacl)#deny ip any any
hellodigi-core#(config-ext-nacl)#exit
hellodigi-core(config)#line vty 0 988
hellodigi-core(config-line)#rotary 1
hellodigi-core(config-line)#access-class telnet in

توضیح اینکه ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

hellodigi-core2#5.5.5.5
Trying 5.5.5.5 …
% Connection refused by remote host

hellodigi-core2#5.5.5.5 3001
Trying 1.1.1.1, 3001 … Open
hellodigi-core2
User Access Verification
Username: hellodigi

میبینید که ابتدا با پورت دیفالت 23 کانکشن refused شد ولی با پرت 3001 ، ارتباط برقرار شد !!

این یکی از تریک های ناب سیسکو ست که شما به ندرت میتوانید آنرا در اینترنت به این سادگی و شسته رفتگی بیابید.

اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید ! من در یک ساعت حدود 200 تلاش نافرجام مشاهده کردم.