Force10 - управление только с разрешенных IP

user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:aeb16189a475a93cc85c594e7172211a' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<img alt=\"Force10 logo\" src=\"http://muff.kiev.ua/files/force10.png\" style=\"height:24px; width:140px\" />\nПо просьбе знакомого, решил разобраться, почему коммутатор Force10 S4810 только через нескольких попыток "разрешает" подключиться по telnet или ssh для управления. После подключения никаких "залипаний" и задержек в работе комутатора не замечалось...\nПросматривая логи, обнаруживаем много вхождений ошибочной авторизации с разных IP-адресов. Тоесть, проблема в следующем... Force10 S4810 - это L3 (Layer3) коммутатор, который поддерживает маршрутизацию и IP-интерфейсы соответственно. В даном случае на коммутаторе присутствуют маршрутизируемые IP-адреса, доступные из сети Internet. Соответственно, имеем банальный brute force из бот-нетов, которые "долбят" комутатор своими подключениями, занимая все свободные VTY (VirtualTeletYpe - виртуальный интерфейс, который обеспечивает удаленный доступ к устройству). В этой модели коммутатора их десять.\nРешением вопроса будет ограничение доступа к VTY коммутатора только с разрешенных IP-адресов. Сделать это не так и сложно.\nПодключаемся к коммутатору через telnet или ssh.\nПереходим в режим конфигурирования:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>S4810# configure terminal</td>\n</tr>\n</tbody>\n</table>\nСоздаем access-list с разрешенными IP-адресами/сетями. Не забываем, что в ACL политика по умолчанию - запретить все, тоесть в конце любого ACL есть невидимое правило "deny ip any any". Соответвенно, достаточно добавить в access-list IP-адреса, с которых мы будем подключаться, а все остальные будут блокироваться:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>S4810(conf)# ip access-list standard VTY_ACCESS \n S4810(config-std-nacl)# remark 0 Deny access to switch \n S4810(config-std-nacl)# seq 10 permit 10.227.206.0/24 \n S4810(config-std-nacl)# seq 15 permit 10.209.139.0/24 \n S4810(config-std-nacl)# seq 20 permit 10.229.67.0/23 \n S4810(config-std-nacl)# seq 25 permit 10.168.207.0/23 \n S4810(config-std-nacl)# seq 30 permit 10.105.41.0/24 \n S4810(config-std-nacl)# exit</td>\n</tr>\n</tbody>\n</table>\nПосле создания access-list необходимо "наложить" его на VTY: \n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>S4810(conf)# line vty 0 9 \n S4810(config-line-vty)# access-class VTY_ACCESS \n S4810(config-line-vty)# exit</td>\n</tr>\n</tbody>\n</table>\nВыходим из режима конфигурации и сохраняем изменения:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>S4810(conf)# exit \n S4810# write memory</td>\n</tr>\n</tbody>\n</table>\n \n \n', created = 1767593925, expire = 1767680325, headers = '', serialized = 0 WHERE cid = '2:aeb16189a475a93cc85c594e7172211a' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a class=\"thickbox\" href=\"/files/imagepicker/1/wake_up_ua.png\"><img alt=\"Вставай, Україно!\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/wake_up_ua.png\" style=\"height:200px; width:150px\" /></a>\n', created = 1767593925, expire = 1767680325, headers = '', serialized = 0 WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:cc913d232116f0426090404133377d88' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a href=\"http://muff.kiev.ua/rss.xml\"><img alt=\"RSS\" width=\"160\" height=\"60\" src=\"http://muff.kiev.ua/files/muf-rss.png\" /></a>\n', created = 1767593925, expire = 1767680325, headers = '', serialized = 0 WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:39649256b636e3d5ded656bc52bd8c01' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.

Опубликовано muff в Пнд, 2017-09-25 23:52

Force10 logo

По просьбе знакомого, решил разобраться, почему коммутатор Force10 S4810 только через нескольких попыток "разрешает" подключиться по telnet или ssh для управления. После подключения никаких "залипаний" и задержек в работе комутатора не замечалось...

Просматривая логи, обнаруживаем много вхождений ошибочной авторизации с разных IP-адресов. Тоесть, проблема в следующем... Force10 S4810 - это L3 (Layer3) коммутатор, который поддерживает маршрутизацию и IP-интерфейсы соответственно. В даном случае на коммутаторе присутствуют маршрутизируемые IP-адреса, доступные из сети Internet. Соответственно, имеем банальный brute force из бот-нетов, которые "долбят" комутатор своими подключениями, занимая все свободные VTY (VirtualTeletYpe - виртуальный интерфейс, который обеспечивает удаленный доступ к устройству). В этой модели коммутатора их десять.

Решением вопроса будет ограничение доступа к VTY коммутатора только с разрешенных IP-адресов. Сделать это не так и сложно.

Подключаемся к коммутатору через telnet или ssh.

Переходим в режим конфигурирования:

S4810# configure terminal

Создаем access-list с разрешенными IP-адресами/сетями. Не забываем, что в ACL политика по умолчанию - запретить все, тоесть в конце любого ACL есть невидимое правило "deny ip any any". Соответвенно, достаточно добавить в access-list IP-адреса, с которых мы будем подключаться, а все остальные будут блокироваться:

S4810(conf)# ip access-list standard VTY_ACCESS
S4810(config-std-nacl)# remark 0 Deny access to switch
S4810(config-std-nacl)# seq 10 permit 10.227.206.0/24
S4810(config-std-nacl)# seq 15 permit 10.209.139.0/24
S4810(config-std-nacl)# seq 20 permit 10.229.67.0/23
S4810(config-std-nacl)# seq 25 permit 10.168.207.0/23
S4810(config-std-nacl)# seq 30 permit 10.105.41.0/24
S4810(config-std-nacl)# exit

После создания access-list необходимо "наложить" его на VTY:

S4810(conf)# line vty 0 9
S4810(config-line-vty)# access-class VTY_ACCESS
S4810(config-line-vty)# exit

Выходим из режима конфигурации и сохраняем изменения:

S4810(conf)# exit
S4810# write memory

Админ не грустный, он завис.

Ваш IP-адрес:

152.53.133.166

Последние комментарии

Re: Linksys SPS224G4 - обновление програмного обеспечения ...
1 год 23 недели назад
Re: Top - интерактивный мониторинг
1 год 48 недель назад
Re: Ubench - "гоняем" железо под FreeBSD
3 года 48 недель назад
Re: D-Link DES-3526 - сброс в дефолт
4 года 18 недель назад
Re: Скрипт удаления файлов старше N дней
4 года 41 неделя назад
Re: Nload - просмотр загрузки канала в консольном режиме
5 лет 5 недель назад
Re: Nload - просмотр загрузки канала в консольном режиме
5 лет 5 недель назад
Re: Icecast - ретрансляция Internet-радиостанций
5 лет 8 недель назад
Re: D-Link DES-3526 - сброс в дефолт
5 лет 20 недель назад
Re: Extreme Networks Summit 200-24 - сброс в дефолт
5 лет 24 недели назад

Создавая "Новую папку", не считайте себя Создателем - это право Вам дано Админом!