Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkkomponenten

 
Consolen und Telnet Zugänge auf Cisco Switchen deaktivieren

geschrieben am 05.07.2009 um 17:43 von berndb3

Hallo,

wie kann ich auf Cisco Switchen (z.B. den 2950) den Zugriff über den Consolen-Port und über Telnet vollständig deaktivieren?

Würde außerdem gerne wissen wie ich Telnet-Zugänge wieder entfernen kann.
In der Standardkonfiguration gibt es ja die VTY-Lines 0 bis 4, ich habe beim Konfigurieren einfach mal angegeben "line vty 0 15" und habe nun in der "running-config" einen zweiten Eintrag "line vty 5 15" bekommen.
Wie krieg ich diesen Eintrag wieder weg, so das in der running-config wieder nur ein Eintrag "line vty 0 4" steht?

MfG
berndb3
 

geschrieben am 05.07.2009 um 22:06 von Mirko

Was genau hast Du denn vor? Konsole und Telnet zu sperren macht ja kaum Sinn. Wie kommst Du dann auf den Switch? Oder möchtest Du den Zugriff nur absichern? Dafür gibt es reichlich Möglichkeiten wie Kennwörter, Benutzer, ACLs oder TACACS.

Mirko
 

geschrieben am 06.07.2009 um 08:34 von Otaku19

Einträge kannst du mit no .... entfernen, ist aber völlig egal wie viele lines da drin stehen.

Du kannst telnet deaktvieren in dem du in der line vty als input nur ssh angibst:

line vty 0 4
transport input ssh

Somit kann niemand versuchen via telnet drauf zu kommen, was dir Sicherheit nur gegen sniffen von Passwörtern bringt.

Die Konsole an sich lässt sich nicht deaktivieren (wäre ja auch vollkommen schwachsinnig), aber sehr wohl die Passwort Recoveryfunktion, einfach no service password-recovery konfigurieren, fertig. Natürlich gibts da dann Tricks um die Kistewieder zum laufen zu bekommen, aber die sind je nach Modell mehr oder weniger bequem. Überhaupt müsste ein Angreifer erst mal physikalischen Zugang zu der Kiste haben (oder jemand war so dumm und hat den Konsolenserver kacke konfiguriert) und spätestens da mache ich mir andere Sorgen als den Router/Switch.
Ausserdem kannst du auf der Konsole ebenso AAA fahren wie auf virtuellen Lines auch.
 

geschrieben am 06.07.2009 um 22:27 von berndb3

Wollt das mit der Console nur mal ausprobieren, gerade weil es keinen großen Sinn macht hab ich mir die Frage gestellt ob es überhaupt möglich ist.

Das mit den no vor dem "line" hab ich auch schon probiert - hat aber nicht funktioniert. Warum werden die "Lines" 0 bis 4 und 5 bis 15 überhaupt getrennt aufgelistet?

MfG
berndb3
 

geschrieben am 07.07.2009 um 13:47 von bewa

"berndb3" wrote:

Das mit den no vor dem "line" hab ich auch schon probiert - hat aber nicht funktioniert.


Es hat wahrscheinlich die Einträge auf den Standardwert zurück gesetzt. Es löscht aber nicht die line-Einträge.

Quote:
Warum werden die "Lines" 0 bis 4 und 5 bis 15 überhaupt getrennt aufgelistet?


Aus dem Gedächtnis, daher ohne Gewähr: 0 bis 4 sind die Standard-Slots, d.h. bis zu fünf Sessions sind in der Standard-Config gleichzeitig zulässig. Wenn man line 0 bis 15 auf die gleichen Werte konfiguriert, müssten sie in den meisten IOS-Versionen als 0 bis 15 sichtbar sein. Ist wohl mal wieder irgendwie historisch gewachsen...

Bitte vorsichtig sein mit dem no service password-recovery - wenn du das Passwort mal vergessen solltest, wird es "interessant"...
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 15.12.2017