آموزش های تخصصی شبکه و امنیت و ضد امنیت

Securing IGS Cisco Routers 1 
در اين مقاله اطلاعت مفيدي در مورد IGS Cisco Router داده شده . اين نوشته براي كساني است كه قادر به configuring روتر هاي سيسكو باشند ميباشد و آشنايي كامل با يونيكس براي Secure كردن Cisco Router نيز لازم ميباشد .
متاسفانه يكي از مشكلات بزرگ در ايران آشنا نبودن با Config كردن روتر ميباشد كه اكثرا روتر ها بصورت Default نصب ميشوند و به همين دليل داراي امنيت پايين بوده و مورد حمله قرار ميگيرند در اين قسمت شما را با سرويس هاي مختلف آشنا ميكنم و ميتونيد در قسمت دوم مقاله روش ايمن سازي روتر ها را نيز ياد بگيريد .
البته هم اكنون بهترين مدل براي IGS Cisco Router كه جديدترين اون هست IOS ميباشد .كه بطور كل عملكرد هاي متفاوت با مدل هاي قبلي دارد 
در اينجا شما نياز يه nmap داريد .
قبل از شروع من بايد به واژه ي Deamon اشاره كنم كه با اين اصطاح دوستاني كه با روتر كار كردن آشنا هستند ولي براي دوستاني كه آشنا نيستن به اين واژه ( بخش يا سرويس يا قسمتي كه كار مشخصي را انجام ميده ) ميشه گفت .
گرفتن اطلاعات :
در اين قسمت شما نياز به ابزار هاي مختلفي داريد و من براي شما در آخر مقاله لينك هايي گذاشتم كه به دردتون ميخوره .
خوب من هميشه كارمو با استفاده از “nmap -scan شروع ميكنم .. در ابتدا بايد بدونيم چه چيزهايي بر روي هاست اجرا شده من روتري رو انتخاب ميكنم با اي پي ادرس (169.254.0.10 ) . ما بايد سرويس ها رو در اينجا ليست كنيم البته با استفاده از اين روش تمامي UDP ,TCP , IPX , SPX ها بررسي ميشود 
خوب در اينجا كارمون رو با اسكن كردن UDP , TCP آغاز ميكنيم :
از اين دستور در يونيكس استفاده كنيد :
nmap -sT -sU -p 1-65535 169.254.0.10
بعد از اين كار به اينصورت نتيجه ميگيريم :
Port State Service

7/tcp open echo
7/udp open echo
9/tcp open discard
9/udp open discard
23/tcp open telnet
49/udp open tacacs
67udp open bootps
79/tcp open finger
161/udp open snmp
1993/tcp open snmp-tcp-port

اگر ما در اينجا Ftp رو بصورت default در نظر بگيريم پس از TCP/20 و TCP/21 استفاده ميشود .بعضي از Daemons ها فقط 70/TCP استفاده ميكنن ولي معمولا از پرت هاي استاندارد استفاده ميشود البته شما ميتونيد براي Config كردن از پرت هاي دبگه هم استفاده كنيد .
در اينجا دو راه وجود داره براي اينكه پيدا كنيد كه Daemons ها بر روي يك Socket واقعي هستند و اونا رو پيدا كنيد 
1. روتر خودتون را بصورت دستي و manual سرچ كنيد
2. روي Daemon خودتون سرويس تلنت رو امتحان كنيد
من راهي در مورد قسمت 1 پيشنهاد نميكنم ولي قسمت دوم را راهت تر و منطقي تر ميدونم 
حالا يا قسمت هاي مختلف Deamon آشنا شويد :

Echo (7/TCP&UDP)

SorNOT:~ # telnet 169.254.0.10 7
Trying 169.254.0.10...
Connected to 169.254.0.10.
Escape character is '^]'.
hu
hu


echo
echo

اين Deamon تمامي دستورها را به زيبايي Echo ميكنه و خيلي مورد استفاده قرار ميگيره .

Discard (9/TCP&UDP)
اين Deamon براي تفريح است و معمولا هيج استفاده اي از اون نميشه ( من كه نديدم ) و پيشنهاد ميكنم اونو از بين ببريد ! 

Telnet (23/TCP)

lappie:~/IGS # telnet 169.254.0.10 23
Trying 169.254.0.10...
Connected to 169.254.0.10.
Escape character is '^]'.
User Access Verification
Password:
CiscoRouter>


Tacacs (49/UDP)

اين Deamon (Terminal Access Controller ) ميباشد كه هميشه مورد استفاده قرار ميگيره و بسيار كار آمد ميباشد اين Deamon خطوط Dial-up را كنترل ميكنه كه هميشه توسط ISP ها استفاده ميشود و براي ايجاد كانكشن و اكونت اينترنت براي مشتري ها استفاده ميشود 


Bootps (67/UDP

با استفاده از اين پروتوكل شما ميتونيد بصورت مستقيم روتر را Config كنيد اگه روتر شما Config شده است نياز يه فعال كردن اين Deamon نداريد و بهتره اونو نابود كنيد !

Finger (79/TCP

lappie:~/IGS # telnet 169.254.0.10 79
Trying 169.254.0.10...
Connected to 169.254.0.10.
Escape character is '^]'.

Line User Host(s) Idle Location
* 2 vty 0 idle 0 169.254.0.3

Connection closed by foreign host.

اينها اطلاعات با ارزشي از اين روتر هستند در مورد اينكه چه كسي و از كجا كانكشني رو بر روي IGS-CR داير كرده . اين Deamon معمولا يا استفاده از خط فرمان در محيط Shell قابل استفاده است .

SNMP (161/UDP)

اين Deamon معمولا قابل استفاده ميباشد اما روشي خطرناك براي نفوذ هكرها وجود دارد . من پيشنهاد ميكنم در صورت نياز نداشتن به اين Deamon آنرا از بين ببريد .

گرفتن اطلاعات از Local
ما ميتونيم اطلاعاتي رو از Local دريافت كنيم در مورد IGS-CR . البته لازم نيست شما اين بخش را آزار بزاريد و اونو Enable كنيد شما ميتونيد با زدن اين دستور اطلاعات لازم رو دريافت كنيد (show processes)
بصورت زير عمل كنيد :
CiscoRouter#show processes
CPU utilization for one minute: 15%; for five minutes: 15%

PID Q T PC Runtime (ms) Invoked uSecs Stacks TTY Process

1 M E 1019D28 49052 5275 9298 876/1000 0 Net Background
2 L E 102D2EC 0 4 0 880/1000 0 Logger
27 M * F14 548 55 9963 678/1200 2 Virtual Exec
28 L E 10581C8 28 20 1400 824/1000 0 UDP Echo
5 M E 10581C8 0 52 0 898/1000 0 BOOTP Server
6 H E 1010ABA 485848 74667 6506 536/900 0 IP Input
7 M E 1062DA6 68 21114 3 804/1000 0 TCP Timer
8 L E 1063FA4 164 161 1018 766/1000 0 TCP Protocols
9 L E 101E646 1568 2321 675 854/1000 0 ARP Input
10 L E 1010ABA 0 1 0 938/1000 0 Probe Input
29 L E 10581C8 24 20 1200 824/1000 0 UDP Echo
12 M E 1035092 0 2 0 968/1000 0 Timers
13 H E 1010ABA 19472 54616 356 412/500 0 Net Input
14 M T 100E474 336 104907 3 790/1000 0 TTY Background
15 L E 10E2722 0 1 0 896/1000 0 IP SNMP
30 L E 10581C8 0 20 0 946/1000 0 UDP Discard
31 L E 10581C8 0 20 0 946/1000 0 UDP Discard

با استفاده از اين دستور اطلاعات بيشتري دريافت ميكنيد (show stacks )
CiscoRouter#show stacks

Minimum process stacks:
Free/Size Name
734/1000 Init
970/1000 Pakmon Init
962/1000 MOP Protocols
934/1000 UDP Discard
678/1200 Virtual Exec
786/1000 TCP Discard
782/1000 TCP Echo
820/1000 UDP Echo

Interrupt level stacks:
Level Called Free/Size Name
3 417 964/1000 Serial interface state change interrupt
4 580538 886/1000 Network interfaces
5 46 968/1000 Console Uart

دانستن اين اطلاعات لازم است براي كسيكه ميخواهد اقدام يه Secure كردن روتر كنه براي همين در قسمت اول شما را با اين اطلاعات و سرويس ها آشنا كردم در قسمت بعدي روش كامل Secure كردن روتر ها را مي آموزيذ