Zeznuto, ako nemas neki firewall iza njega da stiti inside, stim sto su tu teoretski ugrozene ostale komunikacije koje imas na samom ruteru.
Preporuka ne raditi osim ako nije namenski ruter za net pristup sa firewallima iza.

Ovaj, na sigurnost cega tacno si misilio? Samog rutera tj. upada na njega - menjanja konfiguracije, ili mreze iza?

Ako mislis da neko ne provali pass na VTY - upotrebi access-class da definises sa koje IP adrese je dozvoljen pristup.

Pa to sam i mislio ... hteo sam da iskoristim taj "port viska" na ruteru umesto da kupujem drugi ruter. Access listom bih ogranicio pristup samo jednoj javnoj adresi (drugi ruter).
Ali da li je to dovoljno? Moze li se razbiti ta vrsta zastite i sasznati pass na VTY?
Mislim ako upadne na ruter upao je i na mrezu, zar ne?



Mene interesuje sta moze da uradi? Recimo da ja hocu da razbijem pass na nekom ruteru koji ima javnu adresu ... sta bih trebao da uradim? Pitam hipoteticki - nemam nameru da radim tako nesto.

Jel to po principu "neću majke mi" ?
Može na razne načine da se kompromituje mrežni uređaj (na javnoj adresi), ali ne bi to trebalo da ti diriguje mrežni koncept - ako ti treba port na javnoj adresi, onda je to potpuno ok. Ne verujem da će ti neko ovde reći kako da ispitaš/naučiš hakerisanje, a i da hoće, pp da bi Admin odreagovao.
U svakom slučaju, stavi pass na telnet/ssh, releventne acl, i uključi neke fw/ips opcije koje bi tvoj cisco trebao da podržava...
I još bolje, ako je ta tvoja firma Wiener Städtische, bio bi red da se otvorite i častite sebe za Novu Godinu sa nekim (hardverskim) firewall-om?
(ako je to ona lokacija u biznis centru, imate vi tamo šta da branite)

Pozdrav

Pretpostavljam da se znamo?
Nemam ni zelju da naucim da hakerisem Cisco ruter vec mi konstatacija "ne znam zasto ali nemoj to da radis." nekako nije dovoljna.
Meni nije sustina da neko dodje i odradi mi posao vec bih zeleo da mi pokaze kako se to radi pa da i ja to znam.
Pa tako i ovo ... nije problem da se kupi neki novi ruter ali bih ja voleo da znam zasto ne ovako.
Sta cu kad sam radoznao!
Siguran sam i da postoje momci/devojke/klinci/odrasli koji "laganica lome" i taj hardware router ali se postavlja pitanje
koliko je realno da se neko sa tako visokim nivoem znanja pozabavi mojim ruterom!?

Znaci postavlja se pitanje da li ovako konfigurisan ruter (access-list) prosto "zove" nekoga da udje na njega ili ce zadovoljiti potrebu
da se korisnik prosecnog (osrednjeg)nivoa znanja onesposobi da udje na njega?
Ili mozda bolje ovako ... da li neko od prisutnih moze sa sigurnoscu da tvrdi da ce takav ruter uspesno hakovati?


<sub>optix:obrisan neoptreban citat

[Ovu poruku je menjao optix dana 26.12.2006. u 18:16 GMT+1]</sub>

Mislim da nemas previse razloga za brigu. Nije da ne postoje exploiti za cisco, ali vecina njih cilja samo usko odredjene platforme, verzije i servise. Uz to, najveci deo exploita je i prilicno star, i ne mogu nista bilo kojoj iole novijoj verziji ios-a. Osim ako javno ne oglasis koja je adresa, tip tog rutera i verziju ios-a koju tera, posao eventualnog hakera je znacajno otezan, da ne kazem i nemoguc ako ruter nije video i zna koji ios radi na njemu. Ruter je verovatno legalno nabavljen, tako da instaliraj najnoviji ios skinut sa cisca, i pretplati se na par mail-ing lista cisto da dobijas nove security advisory (pojavljuju se naravno i novi exploiti )

Ostaje ti da resis pristup preko vty-a. Ako ga dozvolis samo odredjenim IP adresama, sanse za eventualne upade na ruter prakticno si sveo na najmanje moguce. Ne mozes "hakovati" nesto ako ne znas ni sta je iza te i te IP adrese, ni da li uopste radi trenutno, tek da li je neki ranjivi ios tu...metode za upad eksponencijalno opadaju sa kolicinom informacija koju je napadac u stanju da (ne)dobije. Ako pustis vty pristup svima, najveci deo onih koji pokusaju da upadnu (ako ih i bude) bice ljudi kojima je dosadno i to ce eventualno pokusavati bruteforce metodama. U tom slucaju ukljuci aaa new-model, logovanje, organici broj pokusaja login-a, koristi komplikovane sifre, ssh umesto telnet-a.

Zapitaj se i sta bi mogao da uradi neko ko bi dobio enable pristup ruteru? Zavisi od konfiguracije mreze, ali generalno ne mnogo toga. Iskljuci logger proces, prekine forwarding paketa...sta dalje?




_{[Ovu poruku je menjao optix dana 26.12.2006. u 22:01 GMT+1]}

Bas ovakva analiza me i interesovala.
Stoji da "svaka brava ima kljuc" ali se postavlja pitanje i koliko je tesko doci do tog kljuca.

Hvala na iscrpnoj analizi.

Pretpostavljam da se (ipak) ne znamo?

Da, za aaa zaboravih, može/treba i to da se iskoristi. I dalje, IPSec VPN na toj javnoj adresi ako ti odgovara ta tehnologija itd itd. Znači, ako sve pobrojano implementiraš, zaista si realno smanjio rizik tj. otežao posao zlonamernima - tj. definitivno one, kako reče, prosečnog znanja sprečio. Koncept koji je optix spomenuo "a šta dalje" je zaista odlična odbrana čak i od onih koji "laganica lome". Segmentiranje mreže, segmentiranje...

Hm, ipak ne mogu da izdržim a da još jednom ne lamentiram:
za -ozbiljne- firme se ipak traži -ozbiljna- (celishodna) zaštita.

Pozdrav,

Nije neki koncept, vec pitanje. (jedno od onih o kojima bi administrator trebalo da razmislja) Ukoliko neko i pored svega ipak uspe da dobije vty pristup, pa i enable password, steta koju moze da prouzrokuje zavisi od organizacije mreze iza i nacina na koji je taj ruter povezan sa internet-om. Teorijski moze da napravi npr. i GRE tunel do nekog drugog rutera i snifuje ceo saobracaj sa napadnutog. Pitanje je da li ce time uopste dobiti neke relevantne podatke, da li ce takav saobracaj proci, za koliko ce se primetiti da je nesto menjano...
Sve to bi i inace trebalo da bude razmatrano pri (inicijanoj) organizaciji mreze. Situacija u kojoj se nekom interfejsu dodeljuje javna adresa (ili ne), sama po sebi ne bi smela da igra veliku ulogu u sigurnosti jedne ozbiljne mreze, ukoliko se zaista radi o takvoj.

Po cenu da ispadnem glup ...a sta mu dodje to segmentiranje?

Deljenje mreze ma vise manjih celina, sto omogucava bolju kontrolu i bolje performanse...

...........ne ispadaš glup, zašto bi to svatko morao znati.


ovo je samo jedan primjer, a imaš i primjer da na jednom Bridge-u budu vezana dva HUB-a a na svaki HUB po nekoliko PC-a Svaki kompleks Hub-ova sa strane Bridgea je jedan segment.
E sada se možda pitaš Što je to Bridge? To je uređaj koji mrežu dijeli na dva segmenta a Hubovi su na sebe povezali više PC-a u Star ( zvijezda ) topologiju.

Segmentacija mreze se moze raditi na vise nacina (ne samo sa bridgevima). Google ce ti lako dati sasvim solidan uvod.

........da u pravu si, no ovo mi je bilo pri ruci

A to ... pa to vec radim samo nisam znao kako se to zove.