با سلام.
ميخواستم بپرسم آيا دستوري هست كه بشه پورت كنسول رو بست به صورتي كه كاربر نتونه از اين طريق(ارتباط حضوري باروتر) پسورد روتر رو ريست كنه ؟ همانطور كه ميدونيد به راحتي ميشه از طريق پورت كنسول ، پسورد روتر را ريست كرد.
Printable View
با سلام.
ميخواستم بپرسم آيا دستوري هست كه بشه پورت كنسول رو بست به صورتي كه كاربر نتونه از اين طريق(ارتباط حضوري باروتر) پسورد روتر رو ريست كنه ؟ همانطور كه ميدونيد به راحتي ميشه از طريق پورت كنسول ، پسورد روتر را ريست كرد.
یک دستور مخفی در IOS ها تعبیه شده که این کار رو انجام می ده:
no service password-recovery
من قبلا از وجود این دستور بی اطلاع بودم...
ولی انگار برای استفاده از این دستور باید ROMMON رو upgrade کنی.
این حاصل اجرای این دستور بروی روتر منه:
Router(config)#no service password-recovery
Password recovery disable mode is not supported by the current ROMMON.
Please upgrade the ROMMON if you want to use this feature.
اطلاعات بیشتر:
[url]http://www.cisco.com/en/US/docs/ios/12_3/12_3y/12_3ya8/gtnsvpwd.html[/url]
این کار رو می شه انجام داد.ولی معمول نیست به هیچ وجه و توصیه نمی شه
[QUOTE]این کار رو می شه انجام داد.ولی معمول نیست به هیچ وجه و توصیه نمی شه [/QUOTE]
با تذکری که دوستان دادن معلوم شد اینکار 100% قابل انجام نیست. یعنی با وجود راه حل بالا پسورد باز قابل ریست شدن هست.
conf ter
line console 0
login
no password
این دستور موقع ریموت شدن از طریق کنسول رجکت می کنه طرف رو
[QUOTE=farhadnia;290527]یک دستور مخفی در IOS ها تعبیه شده که این کار رو انجام می ده:
no service password-recovery
من قبلا از وجود این دستور بی اطلاع بودم...
ولی انگار برای استفاده از این دستور باید ROMMON رو upgrade کنی.
این حاصل اجرای این دستور بروی روتر منه:
Router(config)#no service password-recovery
Password recovery disable mode is not supported by the current ROMMON.
Please upgrade the ROMMON if you want to use this feature.
اطلاعات بیشتر:
[url=http://www.cisco.com/en/US/docs/ios/12_3/12_3y/12_3ya8/gtnsvpwd.html]No Service Password-Recovery - Cisco Systems[/url][/QUOTE]
این کانفیگ مثله قطع کردن کل جنگل مازندرانه واسه درست کردن یه جوجه کباب ! کار پسندیده ای نیست
[QUOTE]conf ter
line console 0
login
no password[/QUOTE]تو که بدترش کردی...
این کانفیگ تو مث لین می مونه که کهکشان رو برای یه شب چهارشنبه سوری نابود کنی ;)
با کانفیگ no service recovery-password فقط اجازه ریست کردن پسورد رو گرفتی... ولی با این کانفیگ شما دیگه هیچ کس نمی تونه به روتر وصل شه از طریق کنسول حتی فردی که رمز کنسول رو هم داره و فقط باید پسورد رو ریست کنی.
از تمامي دوستان تشكر ميكنم .
چنانچه از روشي كه جناب فرهادنيا گفتن عمل كنم ، اگر پسورد كنسول رو فراموش كنم به چه صورت ميشه پسورد رو ريست كرد .
[QUOTE=kambiz2020;290528]این کار رو می شه انجام داد.ولی معمول نیست به هیچ وجه و توصیه نمی شه[/QUOTE]
پس چه روشي رو شما توصيه ميكنيد ؟
[QUOTE]پس چه روشي رو شما توصيه ميكنيد ؟ [/QUOTE]
تقریبا روشی برای این کار وجود نداره...
ولی در صورت استفاده از روش no service recovery-password فرد مهاجم مجبور میشه که کانفیگ رو هم پاک کنه یعنی دیگه کانفیگی براش نمی مونه و تنظیمات به صورت کارخانه بر می گرده.
1 -سوال رو بهتر بخونیم ، گقته چه جوری ارتباط کار بر رو از کنسول قطع کنیم !
آقای فرهاد نیا روش شما به کل پسورد رکاوری رو از کار غیر فعال میکنه . شاید هم من اطلاعاتم کمه . :D
دوست عزیزی که سوال رو پرسیدن روشی که بهتون گفتم دقیقا برای این کاره . شما وقتی از ارتباط کنسول رو غیر فعال کنی راه های رسیدن به خدا بسته نمیشه ،می توننید SSH به روترتون وصل شید و به صورت امن کار کنید .
امید وارم مشکلت حل بشه ، دوست داشتی یه سرچ به صورت
How prevent console accesses to cisco router داشته باش مشکل حل میشه
سوال رو بهتر بخونیم...
[QUOTE]به صورتي كه كاربر نتونه از اين طريق(ارتباط حضوري باروتر) پسورد روتر رو ريست كنه ؟ همانطور كه ميدونيد به راحتي ميشه از طريق پورت كنسول ، پسورد روتر را ريست كرد. [/QUOTE]
درود
می تونید پارامتر های ترمینال رو برای کنسول گرفتن تغییر بدید.
[URL="http://www.cisco.com/en/US/docs/ios/11_0/access/connection/guide/xtrmsess.html"]Cisco Access Connection Guide - Changing Terminal Parameters[/URL]
در ضمن همانطوری که می دونید بله با no service recovery-password می شه Reset کرد [B]ولی[/B] دیگه کانفیگ فعلی در این حالت قابل برگشت نیست. بعد از Recovery ، روتر بدون کانفیگ بالا می یاد.
شما این رو هم در نظر بگیر اگر خود شما پسورد رو فراموش کردید چه باید کرد ؟ اگر نشه Reset Factory کرد شما دیگه قادر به استفاده از Device نیستید.
به نظر من اگر هدف شما محافظت از کانفیگی هست که انجام دادید no service recovery-password راه حل مناسبی هست.
فرق کرد؟ دوستمون گفتن پ به خاطر مسائل امنیتی میخوام کنسول سرویس نده! روشی که گفتم روش فرمال سیسکو است!
اگه روش شما رو روی روترش کانفیگ کرد و از شانس بد خودش پسوردش یادش رفت باید چه کار کنه! جوابش رو من می دونم! This is Disaster mode!!
no login, no password = access allowed without a password
login, no password = access denied (the error message indicates that a password is required but none is set)
no login, password = access allowed without a password
login, password = access allowed only with correct password
[QUOTE=Vfarahani;290689]فرق کرد؟ دوستمون گفتن پ به خاطر مسائل امنیتی میخوام کنسول سرویس نده! روشی که گفتم روش فرمال سیسکو است!
اگه روش شما رو روی روترش کانفیگ کرد و از شانس بد خودش پسوردش یادش رفت باید چه کار کنه! جوابش رو من می دونم! This is Disaster mode!!
no login, no password = access allowed without a password
login, no password = access denied (the error message indicates that a password is required but none is set)
no login, password = access allowed without a password
login, password = access allowed only with correct password[/QUOTE]
دوست من کسی گفت روش شما درست نیست ؟ (من فکر نمی کنم. )
داریم راه حل های مختلف رو دوستانه با هم بررسی می کنیم. شما می گید اگر no service password recovery زده شه هیچ راهی برای برگشت نیست ؟ یعنی باید Device رو انداخت دور ؟
نه می شه ریست کرد ولی تمام کانفیگش می پره
[URL]http://www.persianadmins.ir/v2/articles/cisco/cisco-list/88-the-no-service-password-recovery-command-for-secure-rommon-configuration.html[/URL]
[URL]http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml[/URL]
شما هر Device ای رو دنظر بگیرید یه راه حلی در نظر می گیره که وقتی خود Admin رمز رو فراموش کرد یا نادرست دستوری رو زد و پشیمون شد بتونه ریست کنه. معمولا هم این امکان رو زمانی می ده که شما فیزیکی به Device دسترسی داشته باشید.
مثلا تو Junipre سری SSG 500 به این ترتیب است که شما وقتی رو خود Device با سریال خودش به عنوان Username و Password وارد شید امکان Reset factory رو داریدو غیر از اون یه دکمه رو خودش هم در نظر گرفته. چرا ؟ چون تمام سازندگان اینو در نظر گرفتن شما امنیت فیزیکی رو تامین کردید. حالا تنها کار بیشتری که می تونه براتون انجام بده محافظت از کانفیگه.
که اگر کسی فیزیکی دسترسی پیدا کرد ولی مجاز نبود فقط بتونه Reset Factory کنه و حداقل خود کانفیگو نبینه
در نهایت من هم موافقم اگر نمی تونید مشکلات بعد از فراموش کردن پسورد رو حل کنید از این مکانیزم استفاده نکنید !
کاظم جان من نمیگم راهی نیست واسه ریکاور کردن ، ولی سوال اول این بحث این نیست و راه حلی که شما میگین خطرات دیگه ای داره که مطئنم شما از اون آگاه هستی.
منظورم از DISASTER MODE اینه
اگه خود آدمین یادش رفت ؟
ادمین باید یه مجموعه رو DOWN کنه و کلی کانفیگ رو دوباره انجام بده (اگه کانفیگ اول کاره خودش باشه یا داکیومنت کافی داشته باشه) و ... و.... ...... کلی مصیبت ....
چرا؟ چون فقط می خواستیم دسترسی کنسول رو غیر فعال کنیم @!
:wacko:
سلام
ببینین اگه پسورد رو ریکاوری کنن کلیه تنظیمات پاک میشه یعنی بازم نمیتون اطلاعات به درد بخوری به دست بیاره.
فقط تنها بدیش اینه که چند ساعتی شبکه ات می خوابه.تا زمانی که دوباره پیکربندی کنی.