1 00:00:01,140 --> 00:00:07,640 È buona norma per la sicurezza disabilitare i servizi utilizzati sui dispositivi di rete. 2 00:00:07,650 --> 00:00:14,430 In altre parole se si dispone di servizi abilitati su dispositivi di rete che non si 3 00:00:14,430 --> 00:00:23,370 utilizzano È una potenziale vulnerabilità che gli hacker possono sfruttare router e switch Cisco con un set predefinito di servizi 4 00:00:23,370 --> 00:00:28,710 abilitati considerati appropriati per la maggior parte delle implementazioni di rete. 5 00:00:28,710 --> 00:00:31,800 Tuttavia potrebbe essere diverso in alcune delle tue reti. 6 00:00:31,950 --> 00:00:36,320 Quindi dovresti disabilitare i servizi non necessari come esempio. 7 00:00:36,370 --> 00:00:42,690 Quindi, i protocolli di rilevamento PDP sono abilitati di default sulla maggior parte dei dispositivi Cisco. 8 00:00:42,690 --> 00:00:50,280 Quindi, a meno che non sia necessario disabilitarlo soprattutto sulle interfacce di Internet disattivando i servizi non necessari, 9 00:00:50,280 --> 00:00:57,540 si preservano le risorse sui dispositivi di rete e si riduce l'area di attacco dei dispositivi 10 00:00:57,570 --> 00:00:58,680 di rete. 11 00:00:58,680 --> 00:01:02,980 In altre parole ci sono meno opportunità di hackerare gli hacker. 12 00:01:03,070 --> 00:01:08,470 In questo esempio ho due router Cisco in esecuzione con ingenius tre che a loro volta 13 00:01:08,470 --> 00:01:15,650 sono collegati a un hub che a sua volta è connesso a un cloud che si connette e 3 alla mia rete fisica. 14 00:01:15,700 --> 00:01:23,610 Diamo un'occhiata ai servizi di Route 1 e route per vedere cosa possiamo 15 00:01:23,710 --> 00:01:35,730 apprendere sulla rete scritta di uno show control plane host porte aperte ci mostrerà quali porte sono attive sul router. 16 00:01:36,060 --> 00:01:42,340 In altre parole, in questo esempio, il router sta ascoltando le sessioni telnet sulla porta 17 00:01:42,360 --> 00:01:53,950 TZP 23 che è una configurazione predefinita su Rotto quella sul router per avere abilitato i vari servizi mostra il controllo aereo le porte aperte dell'host 18 00:01:53,950 --> 00:01:59,290 ci mostra che quei router stanno ascoltando sulla porta TZP 23. 19 00:01:59,410 --> 00:02:09,100 In altre parole, il telnet DNS è stato abilitato in modo che la sua lista su HTP della porta TZP e UDP 53 sia 20 00:02:09,610 --> 00:02:12,960 stata abilitata e così anche il servizio DHP. 21 00:02:13,090 --> 00:02:21,420 Se questi servizi non sono richiesti dovresti disabilitarli mostrare i vicini SCDP ci mostra le informazioni CTP in modo che 22 00:02:22,000 --> 00:02:25,020 possiamo vedere come esempio da Ethernet adottiva. 23 00:02:25,040 --> 00:02:35,270 0 1 c'è un Cisco Unified Communications Manager in esecuzione all'interno di VM dove c'è uno switch 30 750 24 00:02:35,280 --> 00:02:41,470 ci sono due telefoni IP e un router piuttosto uno collegato. 25 00:02:41,560 --> 00:02:45,320 Ethan 00 e rockety. 26 00:02:45,660 --> 00:02:51,760 Ora, a causa di dispositivi non Cisco utilizzati nella topologia, il router potrebbe effettivamente vedere se 27 00:02:51,770 --> 00:02:59,490 stesso con i messaggi CTP offerti da altri switch nella topologia. Il router è disponibile su Foster Ethan a 00 Quindi, 28 00:03:01,140 --> 00:03:07,750 in primo luogo, potremmo lanciare attacchi su questo router usando varie porte che sono aperto qui compresa la 29 00:03:07,750 --> 00:03:08,880 porta 80. 30 00:03:08,990 --> 00:03:16,820 Quindi, come esempio o telnet to router a lato l'indirizzo sulla porta 80 e nota che 31 00:03:19,700 --> 00:03:27,110 la connessione è stata aperta, premo control-C e puoi vedere che il server Cisco IOS 32 00:03:27,470 --> 00:03:29,960 ha ora chiuso la connessione. 33 00:03:29,960 --> 00:03:38,560 Ma il punto è che potrei lanciare un attacco sul router sulla porta 80, la porta 23 è anch'essa aperta. 34 00:03:38,620 --> 00:03:40,550 In altre parole, telnet. 35 00:03:41,080 --> 00:03:43,390 Quindi è la porta 53. 36 00:03:43,440 --> 00:03:46,110 Si noti che la connessione è aperta ma che è stata chiusa. 37 00:03:46,950 --> 00:03:55,170 Ho anche abilitato un'altra porta sul router in modo da poter usare il comando telnet al punto interrogativo 38 00:03:55,170 --> 00:04:04,230 dell'indirizzo IP e posso vedere un elenco di vari numeri di porta, compresa la porta di generazione di caratteri 19. 39 00:04:04,290 --> 00:04:09,400 Questo non è qualcosa che vuoi abilitare su un router. 40 00:04:09,550 --> 00:04:18,740 Quello che sta facendo qui è ottenere il router per generare caratteri che utilizza il CPQ del router. 41 00:04:18,990 --> 00:04:20,990 E lui non aveva mostrato molto uso. 42 00:04:20,990 --> 00:04:29,520 Ma il punto è che, facendo ciò, proviamo a utilizzare i cicli C-p e non è qualcosa che di solito vuoi abilitare 43 00:04:29,520 --> 00:04:31,140 su un router. 44 00:04:31,440 --> 00:04:41,180 Così, ad esempio, ho potuto aprire più sessioni a quel router e ho assistito alla sessione degli spettacoli che mi mostra che ho tre 45 00:04:41,180 --> 00:04:50,260 sessioni aperte su Rodda E su questo round in modo che possiamo guardare le porte aperte e notare che la porta 19 46 00:04:50,260 --> 00:04:56,830 è stabilita tre volte su la serrata ci sono tre sessioni di generazione di personaggi 47 00:04:56,860 --> 00:04:59,170 aperte al Rodda al momento. 48 00:04:59,530 --> 00:05:02,830 Se Telnet era abilitato sul router, 49 00:05:05,980 --> 00:05:11,940 questo router poteva telnet alla porta 23 ed effettuare il login. 50 00:05:12,110 --> 00:05:18,590 Questo è in realtà molto più lento rispetto alle precedenti sessioni di show. 51 00:05:18,640 --> 00:05:21,940 Mi mostra che avrò quattro sessioni aperte 52 00:05:24,870 --> 00:05:31,930 al Rodda nell'output, possiamo vedere una sessione telnet in ascolto, ma possiamo anche vedere una sessione telnet 53 00:05:32,320 --> 00:05:35,830 stabilita così come le sessioni di ricarica stabilite. 54 00:05:36,010 --> 00:05:42,760 Quindi, ad esempio, se riprendo la sessione 1 è la generazione del personaggio che si sta 55 00:05:42,820 --> 00:05:44,620 svolgendo nella prima sessione. 56 00:05:44,620 --> 00:05:50,170 Ancora una volta da un punto di vista della sicurezza, vuoi bloccare o rimuovere servizi non necessari. 57 00:05:50,230 --> 00:05:54,430 Non c'è motivo di avere questi servizi abilitati su un router oggi. 58 00:05:55,460 --> 00:06:04,020 Quindi nessun servizio piccoli server TCAP e piccoli server UDP. 59 00:06:04,020 --> 00:06:10,760 Vogliamo disabilitare quelle sessioni che uno sgabello stabilisce al momento. 60 00:06:10,760 --> 00:06:12,730 Quindi quello che farò è 61 00:06:17,540 --> 00:06:25,490 disconnettere tutte le mie sessioni quelle porte di ricarica sono state rimosse e ora se proviamo a telnet di nuovo al router usando la carica 62 00:06:25,490 --> 00:06:28,030 e la porta che la connessione è rifiutata. 63 00:06:29,250 --> 00:06:30,590 Quello è il porto 19. 64 00:06:30,600 --> 00:06:34,500 Si noti che è rifiutata la porta 80 è 65 00:06:38,090 --> 00:06:41,390 ancora aperta utilizzando il server Cisco Iowas. 66 00:06:41,390 --> 00:06:49,190 Quindi, a meno che non si desideri abilitare un server HDP e generalmente non si esegue semplicemente una ricerca 67 00:06:49,190 --> 00:06:51,080 del comando da mostrare. 68 00:06:51,300 --> 00:06:59,500 Quindi nella configurazione in esecuzione abbiamo attivato il server HGP ma il server HDD sicuro è disabilitato. 69 00:06:59,500 --> 00:07:04,610 In altre parole, HECS è disabilitato e TDP è abilitato. 70 00:07:04,900 --> 00:07:05,770 Tu non vuoi quello. 71 00:07:05,770 --> 00:07:11,960 Ancora una volta HGP è un testo chiaro. L'AGP non è sicuro. 72 00:07:11,960 --> 00:07:13,900 Quindi di solito vuoi spegnerlo. 73 00:07:13,910 --> 00:07:18,390 Si consiglia di non eseguire il servizio PDP. 74 00:07:18,680 --> 00:07:23,330 Potresti voler eseguire il server sicuro o il server SSL in modo molto più 75 00:07:26,940 --> 00:07:32,220 economico, ma generalmente a meno che non ci sia un requisito che desideri disattivare il servizio HGP. 76 00:07:32,220 --> 00:07:35,600 Ora, perché Rodda esegue un servizio DNS. 77 00:07:35,640 --> 00:07:39,230 Non c'è motivo per farlo prima che lo disabiliti. 78 00:07:39,240 --> 00:07:40,230 Notare il cambiamento. 79 00:07:40,230 --> 00:07:46,190 Ora quando provo e telnet alla porta 80, la connessione viene rifiutata. 80 00:07:46,210 --> 00:07:49,320 Mentre in precedenza tale connessione è stata aperta. 81 00:07:49,420 --> 00:07:58,580 Quindi, ancora una volta non c'è un vero motivo per far funzionare un server DNS in produzione su un router. 82 00:07:58,960 --> 00:08:01,850 Devi avere una buona ragione per farlo. 83 00:08:01,930 --> 00:08:11,270 Spegnerà il servizio DNS che la porta è stata rimossa e, ancora una volta, a meno che non sia necessario disabilitare 84 00:08:12,200 --> 00:08:13,090 DHP. 85 00:08:13,170 --> 00:08:19,040 Quindi per mostrare la corsa puoi vedere che l'attrazione ADHD è stata creata. 86 00:08:19,510 --> 00:08:23,970 Quindi lo disabiliterò. 87 00:08:24,220 --> 00:08:30,820 E ora quando guardiamo le porte aperte possiamo vedere che solo il telnet è abilitato. 88 00:08:30,840 --> 00:08:33,100 Generalmente non vuoi usare telnet. 89 00:08:33,150 --> 00:08:39,990 Dovresti usare S-sh perché telnet non è sicuro e possiamo vedere che è in grado di capire perché l'acquisizione di shock Telenet 90 00:08:42,830 --> 00:08:46,020 invia pacchetti in testo chiaro che non è buono. 91 00:08:47,430 --> 00:08:58,530 Può essere OK in una rete interna, ma è consigliabile utilizzare S-sh perché posso 92 00:08:58,860 --> 00:09:03,930 semplicemente catturare la password dal cavo. 93 00:09:04,300 --> 00:09:06,470 Quindi la strada sta chiedendo la password. 94 00:09:08,580 --> 00:09:15,900 E se scorressi verso il basso la pausa vedrebbe che suppongo CEO. 95 00:09:16,380 --> 00:09:18,300 E se guardiamo solo a quella sessione. 96 00:09:18,570 --> 00:09:24,290 Quindi segui il flusso TZP potremo vedere la password e renderla un po 'più grande. 97 00:09:28,600 --> 00:09:35,620 Quindi puoi vedere l'errore che ho fatto e quindi la password effettivamente inserita quando accedi a Rodda 98 00:09:36,860 --> 00:09:43,580 è la password Viti y ed ecco la password di abilitazione o password segreta sul router. 99 00:09:44,020 --> 00:09:53,740 Tutto mostrato in chiaro, quindi telnet non è un modo ideale per gestire le reti a causa dei rischi per la sicurezza. 100 00:09:53,830 --> 00:10:01,300 Ancora una volta mostra il controllo del piano del trattino. Le porte aperte dell'host mostrano quali porte sono aperte sul 101 00:10:01,300 --> 00:10:09,190 Rodda. Inoltre, guarda lo show run per vedere se alcuni servizi sono stati abilitati e non dovrebbero essere abilitati sul tuo router. 102 00:10:09,640 --> 00:10:11,520 Quindi al momento questo sembra migliore. 103 00:10:13,750 --> 00:10:16,180 Non stiamo vedendo nessuno strani servizi abilitati. 104 00:10:18,350 --> 00:10:26,040 Il servizio di comando consente di visualizzare vari servizi che potrebbero essere abilitati su un piccolo server Rodap TCAP mi 105 00:10:26,640 --> 00:10:31,430 ha permesso di utilizzare la generazione dei caratteri su un router. 106 00:10:31,710 --> 00:10:38,910 Assicurati che siano disabilitati per impostazione predefinita in questi giorni, ma tieni presente che qualcuno 107 00:10:39,270 --> 00:10:43,250 potrebbe aver attivato vari servizi sul tuo router. 108 00:10:43,260 --> 00:10:53,880 Quindi, usare nuovamente le porte aperte host del piano di controllo show per verificare quali porte sono aperte su Rodda o su altri 109 00:10:53,880 --> 00:10:55,500 dispositivi di rete.