Consolen und Telnet Zugänge auf Cisco Switchen deaktivieren
geschrieben am 05.07.2009 um 17:43 von berndb3
Hallo,
wie kann ich auf Cisco Switchen (z.B. den 2950) den Zugriff über den Consolen-Port und über Telnet vollständig deaktivieren?
Würde außerdem gerne wissen wie ich Telnet-Zugänge wieder entfernen kann.
In der Standardkonfiguration gibt es ja die VTY-Lines 0 bis 4, ich habe beim Konfigurieren einfach mal angegeben "line vty 0 15" und habe nun in der "running-config" einen zweiten Eintrag "line vty 5 15" bekommen.
Wie krieg ich diesen Eintrag wieder weg, so das in der running-config wieder nur ein Eintrag "line vty 0 4" steht?
MfG
berndb3
geschrieben am 05.07.2009 um 22:06 von Mirko
Was genau hast Du denn vor? Konsole und Telnet zu sperren macht ja kaum Sinn. Wie kommst Du dann auf den Switch? Oder möchtest Du den Zugriff nur absichern? Dafür gibt es reichlich Möglichkeiten wie Kennwörter, Benutzer, ACLs oder TACACS.
Mirko
geschrieben am 06.07.2009 um 08:34 von Otaku19
Einträge kannst du mit no .... entfernen, ist aber völlig egal wie viele lines da drin stehen.
Du kannst telnet deaktvieren in dem du in der line vty als input nur ssh angibst:
line vty 0 4
transport input ssh
Somit kann niemand versuchen via telnet drauf zu kommen, was dir Sicherheit nur gegen sniffen von Passwörtern bringt.
Die Konsole an sich lässt sich nicht deaktivieren (wäre ja auch vollkommen schwachsinnig), aber sehr wohl die Passwort Recoveryfunktion, einfach no service password-recovery konfigurieren, fertig. Natürlich gibts da dann Tricks um die Kistewieder zum laufen zu bekommen, aber die sind je nach Modell mehr oder weniger bequem. Überhaupt müsste ein Angreifer erst mal physikalischen Zugang zu der Kiste haben (oder jemand war so dumm und hat den Konsolenserver kacke konfiguriert) und spätestens da mache ich mir andere Sorgen als den Router/Switch.
Ausserdem kannst du auf der Konsole ebenso AAA fahren wie auf virtuellen Lines auch.
geschrieben am 06.07.2009 um 22:27 von berndb3
Wollt das mit der Console nur mal ausprobieren, gerade weil es keinen großen Sinn macht hab ich mir die Frage gestellt ob es überhaupt möglich ist.
Das mit den no vor dem "line" hab ich auch schon probiert - hat aber nicht funktioniert. Warum werden die "Lines" 0 bis 4 und 5 bis 15 überhaupt getrennt aufgelistet?
MfG
berndb3
geschrieben am 07.07.2009 um 13:47 von bewa
Das mit den no vor dem "line" hab ich auch schon probiert - hat aber nicht funktioniert.
Es hat wahrscheinlich die Einträge auf den Standardwert zurück gesetzt. Es löscht aber nicht die line-Einträge.
Warum werden die "Lines" 0 bis 4 und 5 bis 15 überhaupt getrennt aufgelistet?
Aus dem Gedächtnis, daher ohne Gewähr: 0 bis 4 sind die Standard-Slots, d.h. bis zu fünf Sessions sind in der Standard-Config gleichzeitig zulässig. Wenn man line 0 bis 15 auf die gleichen Werte konfiguriert, müssten sie in den meisten IOS-Versionen als 0 bis 15 sichtbar sein. Ist wohl mal wieder irgendwie historisch gewachsen...
Bitte vorsichtig sein mit dem no service password-recovery - wenn du das Passwort mal vergessen solltest, wird es "interessant"...
[ Dieses Thema im Live-Forum aufrufen ]
| 
