De acuerdo

Configuraciones de seguridad de puertos de administración que son fácilmente ignoradas o mal entendidas

Última respuesta jul. 02, 2020 10:19:33 51 1 0 0

Los dispositivos de red expuestos a la red pública generalmente se refieren a dispositivos de red configurados con direcciones IP públicas, como enrutadores WAN y enrutadores de borde. Estos dispositivos están configurados con direcciones IP públicas en las interfaces. El dispositivo VPN como el firewall es fácil de ignorar. El dispositivo VPN está configurado con una dirección IP pública para establecer un túnel VPN con el usuario. La dirección IP pública también se configura en la interfaz de Capa 3 del dispositivo. Por lo tanto, el dispositivo VPN también es un dispositivo de red expuesto a la red pública.


Los puertos de administración de dispositivos de red son puertos de alto riesgo. La exposición a la red pública es muy arriesgada. Si un usuario no autorizado inicia sesión en el dispositivo de red, un comando es suficiente para que todos los servicios se rompan. Durante la rectificación del dispositivo de red, a menudo se encuentra el problema de que los puertos están expuestos a la red pública. Esta sección describe algunas configuraciones de seguridad de puerto que se ignoran o se malinterpretan fácilmente.


1. El VTY 16 ~ VTY 20 no invoca la ACL. Como resultado, la red externa aún puede escanear el puerto de administración del dispositivo de red.


Generalmente, la ACL se utiliza para controlar el permiso de acceso en la interfaz de usuario. La configuración es la siguiente:


acl number 2000

 rule 5 permit source 10.0.0.0 0.255.255.255

 rule 100 deny

#

user-interface vty 0 4

 acl 2000 inbound


Sin embargo, algunos dispositivos, como el enrutador NE40, además del VTY0 ~ VTY4 reservado para usuarios de Telnet y SSH (el valor máximo es VTY0 ~ VTY14), el número reservado VTY 16 ~ VTY 20 está reservado para el NMS.

Si la ACL solo está vinculada a VTY 0 ~ VTY4 o VTY 0 ~ VTY 14, el puerto de administración del dispositivo aún está expuesto a la red externa. Por lo tanto, también debe vincular la ACL al VTY 16 ~ VTY 20.


user-interface vty 16 20

acl 2000 inbound


2. La ACL invocada por la interfaz de usuario no restringe el inicio de sesión web.


La interfaz de usuario incluye la interfaz de usuario de la consola y la interfaz de usuario vty. Es una vista de línea de comandos proporcionada por el sistema. Se utiliza para configurar y administrar todas las interfaces físicas e lógicas que funcionan en modo asíncrono para administrar varias interfaces de usuario de manera unificada. La interfaz lógica es la vty. Se puede ver que la interfaz de usuario vty se utiliza para iniciar sesión en la CLI en modo asíncrono. SSH y Telnet se utilizan en este modo. El inicio de sesión web es una interfaz gráfica en lugar de un modo de línea de comandos. Por lo tanto, la ACL invocada por la interfaz de usuario no restringe el inicio de sesión web.


¿Cuáles son las restricciones en el inicio de sesión web?


Los puertos de administración web son 8443 y 8887. Puede usar cualquiera de los siguientes métodos


(1) Intercepte el acceso al puerto de administración local a través del dispositivo de red ascendente. Los dispositivos de seguridad Ips o firewalls se utilizan para la intercepción.


(2) Use una política para evitar que la dirección IP externa acceda al puerto web de la dirección IP pública local


Por ejemplo, configure las siguientes políticas en la dirección untrust-> local en un firewall:



rule name web_untrust_local_deny

  source-zone untrust

destination-zone local

destination-address x.x.x.x.0 mask 255.255.255.0

service protocol tcp

destination-port 8443

service protocol tcp

destination-port 8887

action deny


3. Vincular una ACL a un nombre de comunidad SNMP no puede evitar que otros usuarios intenten iniciar sesión.


Al analizar los registros, a menudo encontramos que la dirección IP de la red externa intenta iniciar sesión en el dispositivo a través de SNMP. Aunque el puerto SNMP no es un puerto de alto riesgo, la información y el rendimiento del dispositivo pueden leerse después de haber sido descifrados.


La práctica habitual es configurar una ACL para especificar las direcciones IP que pueden acceder a los dispositivos de red a través de SNMP. En general, puede configurar una dirección IP de la intranet para acceder al dispositivo de red, evitar que otras direcciones IP accedan al dispositivo de red y vincular la ACL a la comunidad de agentes snmp.


 snmp-agent community read cipher xxxx mib-view userinfo acl 2000

 snmp-agent community write cipher xxxx mib-view userinfo acl 2000


Sin embargo, se descubre que el problema aún ocurre después de configurar la ACL. Eche un vistazo más de cerca a este comando. El comando se usa para permitir que la dirección IP en la ACL use el nombre de comunidad xxxx para leer y escribir la dirección IP en la vista MIB. Si la dirección IP no está en el rango de ACL, la dirección IP no se puede leer ni escribir con el nombre de la comunidad XXXX. Por lo tanto, la dirección IP que no está en el rango de ACL aún puede llegar al dispositivo, pero no puede verificar el nombre de la comunidad y no puede iniciar sesión.


El método correcto es configurar una ACL globalmente en el agente snmp. Solo los usuarios de SNMP en la ACL pueden acceder al dispositivo. Después de configurar la ACL, la dirección IP que no está en la ACL no puede intentar iniciar sesión en el dispositivo.


snmp-agent acl 2000



  • x
  • convención:

Moderador Publicado 2020-7-2 10:19:33 Útil(0) Útil(0)
Gracias por compartir esta información en el foro. Saludos.
Ver más
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.