1
00:00:01,140 --> 00:00:07,640
Dobrą praktyką bezpieczeństwa jest wyłączanie używanych usług na urządzeniach sieciowych.

2
00:00:07,650 --> 00:00:14,430
Innymi słowy, jeśli masz włączone usługi na urządzeniach sieciowych, których nie używasz Jest

3
00:00:14,430 --> 00:00:23,370
to potencjalna luka w zabezpieczeniach, którą hakerzy mogą wykorzystać dla routerów i przełączników Cisco z włączonym domyślnym zestawem

4
00:00:23,370 --> 00:00:28,710
usług, które są uważane za odpowiednie dla większości wdrożeń sieciowych.

5
00:00:28,710 --> 00:00:31,800
Może się to jednak różnić w niektórych sieciach.

6
00:00:31,950 --> 00:00:36,320
Dlatego należy wyłączyć niepotrzebne usługi jako przykład.

7
00:00:36,370 --> 00:00:42,690
Tak więc protokół wykrywania tych PDP jest domyślnie włączony na większości urządzeń Cisco.

8
00:00:42,690 --> 00:00:50,280
Więc jeśli nie chcesz tego wyłączać, zwłaszcza w przypadku interfejsów internetowych, wyłączając niepotrzebne

9
00:00:50,280 --> 00:00:57,540
usługi, zachowuj zasoby na urządzeniach sieciowych, a także zmniejsz obszar ataku urządzeń

10
00:00:57,570 --> 00:00:58,680
sieciowych.

11
00:00:58,680 --> 00:01:02,980
Innymi słowy, szanse hakerów na hakowanie są mniejsze.

12
00:01:03,070 --> 00:01:08,470
W tym przykładzie mam dwa routery Cisco działające z oprogramowaniem ingenius trzy, które z kolei

13
00:01:08,470 --> 00:01:15,650
są podłączone do koncentratora, który z kolei jest podłączony do chmury, która łączy się i 3 do mojej fizycznej sieci.

14
00:01:15,700 --> 00:01:23,610
Przyjrzyjmy się zatem usługom na trasie 1 i trasie, aby zobaczyć, co możemy

15
00:01:23,710 --> 00:01:35,730
się dowiedzieć o sieci, napisanej o jednym otwartym porcie portów hosta sterowania pokazem pokaże nam, które porty są aktywne na routerze.

16
00:01:36,060 --> 00:01:42,340
Innymi słowy, w tym przykładzie router nasłuchuje sesji telnetowych na porcie 23

17
00:01:42,360 --> 00:01:53,950
TZP, który jest domyślną konfiguracją na Rotto na routerze, aby włączyć różne usługi pokazujące otwarte porty hosta w płaszczyźnie sterowania pokazuje

18
00:01:53,950 --> 00:01:59,290
nam, że te routery nasłuchują na porcie 23 TZP.

19
00:01:59,410 --> 00:02:09,100
Innymi słowy, usługa DNS Telnet została włączona, więc jej listing na portach TZP i UDP 53 HTP został

20
00:02:09,610 --> 00:02:12,960
włączony, podobnie jak usługa DHP.

21
00:02:13,090 --> 00:02:21,420
Jeśli te usługi nie są wymagane, należy je wyłączyć. Sąsiedzi SCDP pokazują nam informacje o CTP, co możemy

22
00:02:22,000 --> 00:02:25,020
zobaczyć jako przykład z sieci Ethernet.

23
00:02:25,040 --> 00:02:35,270
0 1 istnieje Cisco Unified Communications Manager działający w VM, gdzie jest przełącznik 30 750, są

24
00:02:35,280 --> 00:02:41,470
dwa telefony IP, a także router, a drugi podłączony.

25
00:02:41,560 --> 00:02:45,320
Ethan 00 oraz rockety.

26
00:02:45,660 --> 00:02:51,760
Teraz z powodu urządzeń innych niż Cisco używanych w topologii router może rzeczywiście widzieć się

27
00:02:51,770 --> 00:02:59,490
z komunikatami CTP uzyskanymi przez inne przełączniki w topologii Router, który jest dostępny na Foster Ethan na 00 Więc

28
00:03:01,140 --> 00:03:07,750
po pierwsze moglibyśmy rozpocząć ataki na ten router przy użyciu różnych portów, które są otwórz tutaj, włączając

29
00:03:07,750 --> 00:03:08,880
port 80.

30
00:03:08,990 --> 00:03:16,820
Tak więc jako przykład lub telnet do routera, aby po stronie adresu na porcie 80

31
00:03:19,700 --> 00:03:27,110
i zauważyć, że połączenie zostało otwarte, wcisnę control-C i zobaczysz, że serwer Cisco

32
00:03:27,470 --> 00:03:29,960
IOS zamknął teraz połączenie.

33
00:03:29,960 --> 00:03:38,560
Ale chodzi o to, że mógłbym rozpocząć atak na router na porcie 80 port 23 również jest otwarty.

34
00:03:38,620 --> 00:03:40,550
Innymi słowy telnet.

35
00:03:41,080 --> 00:03:43,390
Tak samo jest z portem 53.

36
00:03:43,440 --> 00:03:46,110
Zwróć uwagę, że połączenie jest otwarte, ale zostało zamknięte.

37
00:03:46,950 --> 00:03:55,170
Włączyłem też inny port routera, więc mogę użyć polecenia telnet do znaku zapytania

38
00:03:55,170 --> 00:04:04,230
z adresem IP i widzę listę różnych numerów portów, w tym 19 portu generacji znaków.

39
00:04:04,290 --> 00:04:09,400
To nie jest coś, co chcesz włączyć na routerze.

40
00:04:09,550 --> 00:04:18,740
To, co tu robi, polega na tym, aby router generował znaki, które wykorzystują CPQ routera.

41
00:04:18,990 --> 00:04:20,990
I nie pokazywał zbyt wiele.

42
00:04:20,990 --> 00:04:29,520
Chodzi o to, że robiąc to, staramy się wykorzystywać cykle C-P i nie jest to coś, co zwykle chcemy

43
00:04:29,520 --> 00:04:31,140
włączyć na routerze.

44
00:04:31,440 --> 00:04:41,180
Mogę więc jako przykład otworzyć wiele sesji do tego routera, a looed na sesji pokazuje, że mam trzy sesje

45
00:04:41,180 --> 00:04:50,260
otwarte dla Roddy i w tej rundzie, więc możemy spojrzeć na otwarte porty i zauważyć port 19 jest

46
00:04:50,260 --> 00:04:56,830
ustanowiony trzy razy na Serrata są trzy sesje generowania postaci otwarte dla

47
00:04:56,860 --> 00:04:59,170
Roddy w tej chwili.

48
00:04:59,530 --> 00:05:02,830
Jeśli w routerze został włączony

49
00:05:05,980 --> 00:05:11,940
telnet, router może telnetować się do portu 23 i zalogować się.

50
00:05:12,110 --> 00:05:18,590
To w rzeczywistości dużo wolniej niż w poprzednich sesjach.

51
00:05:18,640 --> 00:05:21,940
Pokazuje mi, że będę miał cztery

52
00:05:24,870 --> 00:05:31,930
sesje otwarte dla Roddy w wynikach, które widzimy podczas sesji telnetu, ale możemy także zobaczyć

53
00:05:32,320 --> 00:05:35,830
sesję telnetu, a także ustanowione sesje ładowania.

54
00:05:36,010 --> 00:05:42,760
Jako przykład, jeśli wznowię sesję 1, jest to generacja znaków, która ma miejsce

55
00:05:42,820 --> 00:05:44,620
w pierwszej sesji.

56
00:05:44,620 --> 00:05:50,170
Jeszcze raz z punktu widzenia bezpieczeństwa chcesz zablokować lub usunąć niepotrzebne usługi.

57
00:05:50,230 --> 00:05:54,430
Nie ma powodu, aby te usługi były włączone na routerze już dziś.

58
00:05:55,460 --> 00:06:04,020
Więc nie ma usług TCAP małych serwerów i małych serwerów UDP.

59
00:06:04,020 --> 00:06:10,760
Chcemy wyłączyć te sesje, które obecnie ustanawia stolec.

60
00:06:10,760 --> 00:06:12,730
To, co zrobię, to

61
00:06:17,540 --> 00:06:25,490
odłączyć wszystkie moje sesje, które zostały odłączone od portów ładujących, a teraz jeśli spróbujemy telnetować się z powrotem do routera za pomocą

62
00:06:25,490 --> 00:06:28,030
opłaty i portu, to połączenie zostanie odrzucone.

63
00:06:29,250 --> 00:06:30,590
To jest port 19.

64
00:06:30,600 --> 00:06:34,500
Zauważ, że odmówiono portu 80 jest nadal otwarty

65
00:06:38,090 --> 00:06:41,390
przy użyciu serwera Cisco Iowas.

66
00:06:41,390 --> 00:06:49,190
Więc jeśli nie chcesz, aby serwer HDP był włączony i generalnie nie po prostu wyszukujesz polecenia, aby

67
00:06:49,190 --> 00:06:51,080
ci je pokazać.

68
00:06:51,300 --> 00:06:59,500
W uruchomionym configie mamy włączony serwer HGP, ale bezpieczny serwer HDD jest wyłączony.

69
00:06:59,500 --> 00:07:04,610
Innymi słowy, HECS jest wyłączony, a TDP jest włączony.

70
00:07:04,900 --> 00:07:05,770
Nie chcesz tego.

71
00:07:05,770 --> 00:07:11,960
Po raz kolejny HGP jest przejrzystym tekstem AGP nie jest bezpieczne.

72
00:07:11,960 --> 00:07:13,900
Więc zazwyczaj chcesz to wyłączyć.

73
00:07:13,910 --> 00:07:18,390
Zaleca się, aby nie uruchamiać usługi PDP.

74
00:07:18,680 --> 00:07:23,330
Możesz chcieć uruchomić bezpieczny serwer lub serwer SSL o

75
00:07:26,940 --> 00:07:32,220
wiele tańszy, ale generalnie, chyba że istnieje wymóg, aby wyłączyć usługę HGP.

76
00:07:32,220 --> 00:07:35,600
Teraz dlaczego Rodda uruchamia usługę DNS.

77
00:07:35,640 --> 00:07:39,230
Nie ma powodu, aby to zrobić, zanim to wyłączę.

78
00:07:39,240 --> 00:07:40,230
Zwróć uwagę na zmianę.

79
00:07:40,230 --> 00:07:46,190
Teraz, gdy próbuję telnetować się do portu 80, połączenie zostaje odrzucone.

80
00:07:46,210 --> 00:07:49,320
Podczas gdy wcześniej to połączenie zostało otwarte.

81
00:07:49,420 --> 00:07:58,580
Tak więc nie ma żadnego prawdziwego powodu, aby uruchomić serwer DNS w produkcji na routerze.

82
00:07:58,960 --> 00:08:01,850
Musisz mieć bardzo dobry powód, aby to zrobić.

83
00:08:01,930 --> 00:08:11,270
Wyłącza usługę DNS, z której port został już usunięty i jeszcze raz, chyba że jest to wymagane, aby wyłączyć funkcję

84
00:08:12,200 --> 00:08:13,090
DHP.

85
00:08:13,170 --> 00:08:19,040
Aby wyświetlić przebieg, można zobaczyć ciąg ADHD.

86
00:08:19,510 --> 00:08:23,970
Więc zamierzam to wyłączyć.

87
00:08:24,220 --> 00:08:30,820
A teraz, gdy patrzymy na otwarte porty, widzimy, że tylko telnet jest włączony.

88
00:08:30,840 --> 00:08:33,100
Zwykle nie chcesz używać telnetu.

89
00:08:33,150 --> 00:08:39,990
Powinieneś używać S-sh, ponieważ telnet jest niezabezpieczony i widzimy, że kumplowanie, dlaczego Telenet przechwytuje szok, wysyła pakiety

90
00:08:42,830 --> 00:08:46,020
w czystym tekście, co nie jest dobre.

91
00:08:47,430 --> 00:08:58,530
Może być OK w wewnętrznej sieci, ale zaleca się używanie S-sh, ponieważ mogę po

92
00:08:58,860 --> 00:09:03,930
prostu przechwycić twoje hasło z przewodu.

93
00:09:04,300 --> 00:09:06,470
Droga pyta o hasło.

94
00:09:08,580 --> 00:09:15,900
A jeśli przewiniemy w dół pauzę, zobaczę, że to chyba CEO.

95
00:09:16,380 --> 00:09:18,300
A jeśli tylko spojrzymy na tę sesję.

96
00:09:18,570 --> 00:09:24,290
Podążaj za strumieniem TZP, abyśmy mogli zobaczyć hasło i uczynić je nieco większym.

97
00:09:28,600 --> 00:09:35,620
Możesz więc zobaczyć błąd, który popełniłem, a następnie hasło wprowadzone podczas logowania do urządzenia Rodda

98
00:09:36,860 --> 00:09:43,580
to hasło Viti y, a tutaj hasło dostępu lub tajne hasło na routerze.

99
00:09:44,020 --> 00:09:53,740
Wszystkie wyświetlane w przejrzystym tekście, więc telnet nie jest idealnym sposobem zarządzania sieciami ze względu na zagrożenia bezpieczeństwa.

100
00:09:53,830 --> 00:10:01,300
Ponownie pokaż otwarte porty kontrolne hosta myśliwego sterującego pokazuje, które porty są otwarte na Roddzie, a

101
00:10:01,300 --> 00:10:09,190
także zobacz przebieg show, aby zobaczyć, czy zostały włączone jakieś usługi, które nie powinny być włączone na routerze.

102
00:10:09,640 --> 00:10:11,520
W tej chwili wygląda to lepiej.

103
00:10:13,750 --> 00:10:16,180
Nie widzimy włączonych żadnych dziwnych usług.

104
00:10:18,350 --> 00:10:26,040
Usługa poleceń pozwala zobaczyć różne usługi, które można włączyć na małych serwerach Rodda TCAP,

105
00:10:26,640 --> 00:10:31,430
co pozwoliło mi na generowanie znaków na routerze.

106
00:10:31,710 --> 00:10:38,910
Upewnij się, że to i to są wyłączone, są one domyślnie wyłączone w tych dniach, ale pamiętaj,

107
00:10:39,270 --> 00:10:43,250
że ktoś mógł włączyć różne usługi na routerze.

108
00:10:43,260 --> 00:10:53,880
Tak więc ponownie użyj otwartych portów hosta programu kontroli planu lotu, aby sprawdzić, które porty są otwarte na urządzeniu Rodda lub

109
00:10:53,880 --> 00:10:55,500
innym urządzeniu sieciowym.