[Cisco IOS] Zugriff auf Port 2001, 2002, 9001 usw. per ACL blockieren

Post by Marco Moock
zu meinem Leidwesen läuft auf Cisco-IOS auf den o.g. Ports jeweils ein
Telnet-Server.

Wenn das ein Switch/Router ist würde ich der klarheit wegen eher von
Sockets reden und nicht von Ports. Letzteres könnte auch die physischen
Switchports meinen. Dafür kennt IOS ja auch einen config parameter.

Und BTW. Hast du schon versucht den/die Telnet-Server über die Konfig
lahm zu legen?

Post by Marco Moock
Wo kann auch den Zugriff auf die anderen Ports blockieren?

Sorry. ACL oder Firewalling bei IOS kenne ich mich nicht aus. Hab nur
ein paar Alte Catalyst mit einem IOS 12.x (das vermutlich eh mehr löcher
als Features hat). :)

Ich weiß aber noch das man WebInterface u.a. per CLI lahm legen konnte.

Wenn das bei dir keine NSA-Backdoor Lösung oder ein vom Hersteller
vergessenes Not-Not-Notfall login dingens ist dann würde ich annehmen
das man den mit einer option aus knipsen kann.

Und es ist ja auch nicht gesagt das diese Sockets auf allen Switchports
und aus allen (V)LANs erreichbar wären.

Wo liegt denn dein Management-Inteface? Untagged Default VID 1?

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

Marco Moock

2022-12-30 19:59:40 UTC

Post by Marco Moock
zu meinem Leidwesen läuft auf Cisco-IOS auf den o.g. Ports jeweils
ein Telnet-Server.

Und BTW. Hast du schon versucht den/die Telnet-Server über die Konfig
lahm zu legen?

Den auf 23 will ich ja haben, die anderen nicht, die kann man aber auch
nicht konfigurieren, oder ich weiß noch nicht, wo. :-)

Post by Kay Martinen
Ich weiß aber noch das man WebInterface u.a. per CLI lahm legen konnte.

no ip http server
no ip secure-server #müsste so sein
schaltet http und https für IPv4 und IPv6 auf allen Router-IPs ab.

Post by Kay Martinen
Wenn das bei dir keine NSA-Backdoor Lösung oder ein vom Hersteller
vergessenes Not-Not-Notfall login dingens ist dann würde ich annehmen
das man den mit einer option aus knipsen kann.

Das geht auf die normale Router-Konfig.

Post by Kay Martinen
Und es ist ja auch nicht gesagt das diese Sockets auf allen
Switchports und aus allen (V)LANs erreichbar wären.

Ist aber bei mir so.

Post by Kay Martinen
Wo liegt denn dein Management-Inteface? Untagged Default VID 1?

Es ist ein Router, der kann Management über alle Interfaces.

--
Gruß
Marco
PS: aioe ist bei mir in de.* gesperrt, weil von da sehr viel Müll
kommt und es den Betreiber nicht kümmert.

Kay Martinen

2022-12-30 20:11:19 UTC

Post by Kay Martinen
Und BTW. Hast du schon versucht den/die Telnet-Server über die Konfig
lahm zu legen?

Den auf 23 will ich ja haben, die anderen nicht, die kann man aber auch
nicht konfigurieren, oder ich weiß noch nicht, wo. :-)

'no telnet ?' vielleicht mal?

Vielleicht gibt's eine 'port' direktive.

N.B. Sind HW/SW so modern das sie einen ssh Server haben? Dann wäre
telnet obsolet.

Post by Marco Moock
Das geht auf die normale Router-Konfig.

Und was hat ein Telnet-Zugang mit einer router-konfig zu tun?

Post by Kay Martinen
Wo liegt denn dein Management-Inteface? Untagged Default VID 1?

Es ist ein Router, der kann Management über alle Interfaces.

Was man aber normalerweise nicht will. Nicht aus dem WAN nicht aus der
DMZ oder anderen Externen.

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

Marco Moock

2022-12-30 20:27:55 UTC

Post by Kay Martinen
N.B. Sind HW/SW so modern das sie einen ssh Server haben? Dann wäre
telnet obsolet.

Ja, aber ich lasse Telnet auf Port 23 gerne als Notfallreserver aktiv.
Die 2001, 6001 usw. sind auch Telnet, aber wohl nicht vty 0-irgendwas.
SSH ist da aber trotzt aktueller FW leider nicht für aktuelle
Schlüsseltauschmethoden geeignet und es ist ne Frage der Zeit, wann man
mit nem normalen SSH-Client nicht mehr zugreifen kann.

Post by Marco Moock
Das geht auf die normale Router-Konfig.

Und was hat ein Telnet-Zugang mit einer router-konfig zu tun?

Über den kann man die Router-Konfig erreichen - so wie auch per RS232
oder SSH.

Post by Kay Martinen
Wo liegt denn dein Management-Inteface? Untagged Default VID 1?

Es ist ein Router, der kann Management über alle Interfaces.

Was man aber normalerweise nicht will. Nicht aus dem WAN nicht aus
der DMZ oder anderen Externen.

Ist aber bei Cisco - leider - Standard. Am liebsten wäre es mir ja,
dass ich die Adresse einstellen kann, auf der so ein Dienst lauscht.
Das packt man auf ne ULA und fertig.
Geht aber da leider nicht...

--
Gruß
Marco
PS: aioe ist bei mir in de.* gesperrt, weil von da sehr viel Müll
kommt und es den Betreiber nicht kümmert.

Kay Martinen

2022-12-30 21:08:25 UTC

Post by Kay Martinen
Und was hat ein Telnet-Zugang mit einer router-konfig zu tun?

Über den kann man die Router-Konfig erreichen - so wie auch per RS232
oder SSH.

Console-Port hab ich auch. Das geht immer. Man braucht nur das Blaue
Kabel, einen PC mit COM und Zugang zum Gerät. Out-of-Band ist eh sicherer.

Post by Marco Moock
Es ist ein Router, der kann Management über alle Interfaces.

Was man aber normalerweise nicht will. Nicht aus dem WAN nicht aus
der DMZ oder anderen Externen.

Ist aber bei Cisco - leider - Standard. Am liebsten wäre es mir ja,
dass ich die Adresse einstellen kann, auf der so ein Dienst lauscht.

??? Ich weiß ja nicht was du da genau für ein Teil hast aber, auf meinen
Catalyst 2924-EN-XL kann man die management-ip in den Adressbereich
eines VLANs legen und dies VLAN dann schlicht nur für's Management
nutzen. Damit ist das, und der Zugang aus dem Default und den VLANs
ausgesperrt.

Post by Marco Moock
Das packt man auf ne ULA und fertig.
Geht aber da leider nicht...

Ich nehme doch an das dein Telnet/SSH auch auf der Management-IP
lauschen. Oder hast du da noch virtuelle IP's o.a. auf der die lauschen?

ULA... bei IPv6 weiß ich nicht. Brauchst du das wirklich im LAN oder ist
das Gerät irgendwie öffentlich - im großen Bözen Internet?

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

Marco Moock

2022-12-31 09:28:11 UTC

Post by Kay Martinen
Und was hat ein Telnet-Zugang mit einer router-konfig zu tun?

Über den kann man die Router-Konfig erreichen - so wie auch per
RS232 oder SSH.

Console-Port hab ich auch. Das geht immer. Man braucht nur das Blaue
Kabel, einen PC mit COM und Zugang zum Gerät. Out-of-Band ist eh sicherer.

Nervt aber, wenn man wegen jedem kleinen Fitzelkram physikalisch ran
muss.

Post by Marco Moock
Es ist ein Router, der kann Management über alle Interfaces.

Was man aber normalerweise nicht will. Nicht aus dem WAN nicht aus
der DMZ oder anderen Externen.

Ist aber bei Cisco - leider - Standard. Am liebsten wäre es mir ja,
dass ich die Adresse einstellen kann, auf der so ein Dienst
lauscht.

??? Ich weiß ja nicht was du da genau für ein Teil hast aber, auf
meinen Catalyst 2924-EN-XL kann man die management-ip in den
Adressbereich eines VLANs legen und dies VLAN dann schlicht nur für's
Management nutzen. Damit ist das, und der Zugang aus dem Default und
den VLANs ausgesperrt.

Das ist bei Cisco-Switchen der Fall (aber nicht bei Routern (und damit
auch nicht bei den dämlich benannten Layer3-Switchen)).
Die Ports 22,23, 2001 usw. lauschen auf allen IPs, die das Teil teil
hat - egal ob Dialer, VLANs usw.

Post by Marco Moock
Das packt man auf ne ULA und fertig.
Geht aber da leider nicht...

Ich nehme doch an das dein Telnet/SSH auch auf der Management-IP
lauschen. Oder hast du da noch virtuelle IP's o.a. auf der die
lauschen?
ULA... bei IPv6 weiß ich nicht. Brauchst du das wirklich im LAN oder
ist das Gerät irgendwie öffentlich - im großen Bözen Internet?

Jedes Gerät ist mit IPv6 im Internet. Ich nutze gerne die ULA für das
Management einzelner Geräte, weil die eben nicht aus dem internet
erreichbar sind.
Die normalen Geräte wie PCs haben keine ULA - ich habe das
Autoconfig-Flag für dieses Präfix abgestellt, sodass das Präfix nur in
die Routingtabelle der Geräte kommt.

--
Gruß
Marco
PS: aioe ist bei mir in de.* gesperrt, weil von da sehr viel Müll
kommt und es den Betreiber nicht kümmert.

Friedemann Stoyan

2022-12-31 10:13:33 UTC

Post by Marco Moock
Das ist bei Cisco-Switchen der Fall (aber nicht bei Routern (und damit
auch nicht bei den dämlich benannten Layer3-Switchen)).
Die Ports 22,23, 2001 usw. lauschen auf allen IPs, die das Teil teil
hat - egal ob Dialer, VLANs usw.

Ja, genau deswegen gibt es auf den Routern ein Management VRF (jedenfalls bei
den neueren Geräten). Hast Du mal mit "sh run all" gekuckt, was da noch alles
enabled ist?

mfg Friedemann

Marco Moock

2022-12-31 10:38:31 UTC