بایگانی برچسب: s

telnet

تعویض پورت تلنت روتر سیسکو – Change Telnet Port on Cisco Routers

تعویض پورت تلنت روتر سیسکو

 Change Cisco Default Telnet Port

تعویض پورت تلنت روتر سیسکو

یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد ، عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد .

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ، ولی اگر به هر دلیلی مثل خود من ، با تلنت احساس بهتری دارید ، بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید .

در درجه اول چند کامند :

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

دو کامند اول ، یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند
کامند سوم ، بعد از ورود 3 ثانیه تاخیر ایجاد میکند ، که بسیار کاراست !
دستور بعدی ، تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد
و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود !
شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت .
و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود ، پس از حروف برگ هم در یوزر استفاده کنید !

و اما قسمت شیرین داستان ، تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 است !

AkaNet-VG#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
AkaNet-VG(config)#ip acce e telnet
AkaNet-VG(config-ext-nacl)#permit tcp any any eq 3001
AkaNet-VG(config-ext-nacl)#deny ip any any
AkaNet-VG(config-ext-nacl)#exit
AkaNet-VG(config)#line vty ?
<0-988>  First Line number
AkaNet-VG(config)#line vty 0 988
AkaNet-VG(config-line)#rotary 1
AkaNet-VG(config-line)#access-class telnet in
AkaNet-VG(config-line)#^Z

توضیح اینکه ، ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است .

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است ، مثلا 2 ، 3002 و ….

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 ، deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم :

Aka-Core-Router#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host
Aka-Core-Router#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
Aka-Networks-VG
User Access Verification
Username:

میبینید که ابتدا با پورت دیفالت 23 ، کانکشن refused شد ، ولی با پرت 3001 ، ارتباط برقرار شد !!

این یکی از تریک های ناب سیسکو ست ، که شما به ندرت میتوانید آنرا در اینترنت به این سادگی و شسته رفتگی بیابید .

اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید ، بسته به تعداد IP های موجود ، تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید ! من در یک ساعت حدود 200 تلاش نافرجام مشاهده کردم ، که نشان دهنده تعداد زیادی بدخواه برای اینجانب است !!

رمضان الکریم مبارک
     التماس دعاء
  Aka Networks

router family

میزان کارایی روتر های سیسکو ( Cisco Routers Performance )

کارایی روتر سیسکو

کارایی روتر سیسکو

 میزان کارایی روترهای سیسکو ( Cisco Routers Performance )

گاها پیش آمده که از شما به عنوان یک مهندس شبکه سوال شده که مثلا من برای X مقدار پهنای باند ، باید از چه مدل روتری استفاده کنم و یه چه مدل سویچ جوابگوی فلان میزان پهنای باند است ؟!

البته که این سوال از پایه اشتباه است ، چون میزان پهنای باند نمیتواند مکیال و معیار مناسبی برای برسی قدرت یک دیوایس سویچینگ یا مسیریابی باشد .

برای مثال ، شما یک مسیریاب که با سرعت 100 مگابیت به اینترنت متصل است در سر راه دارید و شما از سایت مایکروسافت با سرعت 100 مگابیت اقدام به دانلود میکنید ، اگر میزان لود CPU روتر را برسی کنید ، میبینید که مثلا در یک روتر 2811 ، 20% یوتلایز دارید ، که شاید باعث تعجب بعضی و یا باعث اشتباه در نظر دهی بعدی شود .

میزان پکت ها ، سایز پکت ها ، پروتکل های موجود و استراکچر ها و نوع سرویس های ران شده روی دیوایس ، طرح کننده نیاز شماست …

برای مثال ممکن است یک مسیریاب 1841 سیسکو با 1000 پکت 64 کیلوبایتی ، OVERLOAD شود !

سرویس هایی مثل پکت اسنیفینگ ،  Firewall ، Policy Routing ، ACL ، IP Audit , Nat و … سرویس هایی عمومی است که باعث افزایش لود مسیریاب میشود ، طبق یک قانون کلی اگر مسیریاب شما هیچ استراکچر خاصی را اجرا نمیکند و فقط یک استاتیک روت روی آن تعریف کردید ، هر چه سایز پکت ها کوچکتر و تعداد آنها بیشتر شود ، میزان لود بالاتری میطلبد !

در ذیل مطلب به چند عدد کلی اعلام شده از طرف شرکت سیسکو در مورد مسیریاب های معروف که در محیط آزمایشگاهی با پکت های 64 کیلوباتی و فقط سرویس IP ، میپردازیم .

نکته : CEF بر روی مسیریاب در حال اجراست .

2 Mb/s 4000 PPS Cisco160X
7.5 Mb/s 15000 PPS Cisco 2611
61 Mb/s 120000 PPS Cisco 2811
87 Mb/s 170000 PPS Cisco 2821
180 Mb/s 353000 PPS Cisco 2911
296 Mb/s 580000 PPS Cisco 2951
100 Mb/s 250000 PPS Cisco 3745
256 Mb/s 500000 PPS Cisco 3845
500 Mb/s 982000 PPS Cisco 3945
1 Gb/s 2000000 PPS 7206 G2

در آخر باید به این مطلب اشاره کنم که ، حتما سعی کنید  برآوردهای خود از نیاز های شبکه به یک دیوایس را حداقل 30% بالاتر با نرخ رشد مناسب ارزیابی کنید و همیشه اعداد جدول بالا را 50% اغراق آمیز در نظر بگیرید!

وفقک الله …