форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"как запретить break с консоли циски?"

Сообщение от chainik_123 (ok) on 23-Мрт-07, 11:44

Здравствуйте! У меня возникла проблемка, помогите пожалйста если можно :) Есть удаленный офис, расположен далеко (тьмутаракань), там стоит циска 1811. В офисе завелся "слишком умный юзер", который умеет конфигурить циски и знает как пользоваться брейком (к сожалению).  Доступ к вебу юзерам в офисе сильно ограничен несколькими ресурсами, но имеем регулярный попандос на трафик. Предположительно сей юзер ребутает циску, посылает ей брейк, правит слегка акцесслист под себя, но конфиг не сохраняет, наслаждается жизнью а потом уходя домой просто гасит циску или ребутает. Следов никаких, а перерасход трафа есть, по статистике от прова веб трафик на ресурсы доступ к которым запрещен. В мануале от циски http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml сказано, что 8 бит (0х0100) конфиг-регистра типа как отвечает за брейк, и если он установлен то брейк запрещен. Но по дефолту ведь стоит 0х2102, тоесть брейк уже не должен работать, а он при таком значении конфиг-регистра как раз нормально работает. Так что же должно быть чтобы циска никак не реагировала на брейк, и в то же время нормально грузилась и работала? Может наоборот, надо бит сбросить, и тогда в конфиг регистр надо записать что-то типа 0х2002 ?   К сожалению нет под рукой ни одной свободной циски на которой можно было бы потренироваться, а ехать в тьмутаракань совсем нереально :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "как запретить break с консоли циски?"

Сообщение от fantom (??) on 23-Мрт-07, 12:49

>Здравствуйте! > >У меня возникла проблемка, помогите пожалйста если можно :) > >Есть удаленный офис, расположен далеко (тьмутаракань), там стоит циска 1811. В офисе >завелся "слишком умный юзер", который умеет конфигурить циски и знает как >пользоваться брейком (к сожалению).  Доступ к вебу юзерам в офисе >сильно ограничен несколькими ресурсами, но имеем регулярный попандос на трафик. Предположительно >сей юзер ребутает циску, посылает ей брейк, правит слегка акцесслист под >себя, но конфиг не сохраняет, наслаждается жизнью а потом уходя домой >просто гасит циску или ребутает. Следов никаких, а перерасход трафа есть, >по статистике от прова веб трафик на ресурсы доступ к которым >запрещен. В мануале от циски http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml сказано, что 8 бит (0х0100) >конфиг-регистра типа как отвечает за брейк, и если он установлен то >брейк запрещен. Но по дефолту ведь стоит 0х2102, тоесть брейк уже >не должен работать, а он при таком значении конфиг-регистра как раз >нормально работает. Так что же должно быть чтобы циска никак не >реагировала на брейк, и в то же время нормально грузилась и >работала? Может наоборот, надо бит сбросить, и тогда в конфиг регистр >надо записать что-то типа 0х2002 ?   К сожалению нет >под рукой ни одной свободной циски на которой можно было бы >потренироваться, а ехать в тьмутаракань совсем нереально :( Среди дня залезть на кошку и слить run конфиг и start конфиг себе, и сравнить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 23-Мрт-07, 16:51
	>Среди дня залезть на кошку и слить run конфиг и start конфиг >себе, и сравнить. Идея классная, только что мешает "юзеру" заблокировать доступ извне к циске простейшим листом на интерфейсе к прову? Циску включают в 9-00, гасят после 18-00, как идут домой, "задержаться по работе" на пару часиков ему никто не помешает, и работала ли в это время циска или нет фиг узнаешь. Все таки хотелось бы сделать так чтобы доступ к циске поиметь никак низя было бы. не ужели низя запретить вааще брейк с консоли? И нафиг тогда бит в конфиг регистре?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "как запретить break с консоли циски?"
	Сообщение от Дима (??) on 23-Мрт-07, 17:09
	>>Среди дня залезть на кошку и слить run конфиг и start конфиг >>себе, и сравнить. > >Идея классная, только что мешает "юзеру" заблокировать доступ извне к циске простейшим >листом на интерфейсе к прову? Циску включают в 9-00, гасят после >18-00, как идут домой, "задержаться по работе" на пару часиков ему >никто не помешает, и работала ли в это время циска или >нет фиг узнаешь. Все таки хотелось бы сделать так чтобы доступ >к циске поиметь никак низя было бы. не ужели низя запретить >вааще брейк с консоли? И нафиг тогда бит в конфиг регистре? > Поставьте её на мониторинг+Syslog (будет видно когда включалась\выключалась...) Самое простое решение - это ограничить к ней доступ (как минимум в шкаф и на амбарный замок) А брейк и Вам самим с может когданибудь пригодиться...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 23-Мрт-07, 21:49
	>Поставьте её на мониторинг+Syslog (будет видно когда включалась\выключалась...) >Самое простое решение - это ограничить к ней доступ (как минимум в >шкаф и на амбарный замок) нет шкафа, офис - очень громкое название, одна комната и три калеки, один из них юзерь :) опять же, рубим линк к прову, ломаем циску по брейку, отвинчиваем нафиг всякие сислоги и прочую хрень, на интерфей к прову акцесс лист в дени всякие icmp ssh snmp и прочую муть, акцесс на NAT-е правим под себя и усе. Из головного офиса будет видно что кошка в 9-00 включилась и в 18-00 выключилась... >А брейк и Вам самим с может когданибудь пригодиться... Дык, я понимаю если я сам пароль потеряю то потом циску наверное проще будет выкинуть. Я понимаю и согласен с этим. МНЕ НУЖНО ЗАПРЕТИТЬ БРЕЙК, доказать что юзер ломал кошку это второе, да и ну словлю я изменения в конфиге и чо? Шефу покажу дифы двух конфигов? Он один фиг в этом не шарит и нафиг ему оно не нада, он меня скорее "в лес" пошлеть...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "как запретить break с консоли циски?"
	Сообщение от Norvax on 24-Мрт-07, 09:40
	Бред какой то... http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 24-Мрт-07, 15:42
	>Бред какой то... >http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml Спасибо за ссылку, это почти то что нужно :) Для подключения к прову используется обычный ADSL мопед Dlik DSL-300T и pppoe поднятый с циски, в приципе юзерь мог бы не мудрить с циской, а лишь воспользовавшись процедурой восстановления забытого пароля долезть до конфига и вытащить с него пароль на pppoe, переткнуть шнурок от мопеда в свой комп и поднять линк к прову со своего компа не бодая циску... чтож пароль на pppoe поменяем, тута он обломится, конфиг отрихтовать тоже теперь не сможет, одна только беда... полезет он в очердной раз брейкать циску и нажмет со злости "yes" в ответ на предложение сбросить все в фактори дефолт... И все же придется мне ехать в тьмутаракань конфиг на циске подымать... :( Так все же, на циске нельзя выходит погасить этот чертов брейк иначе как спалив консольный порт? Нафиг тогда 8-й бит в конфиг регистре? Для красоты?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "как запретить break с консоли циски?"
	Сообщение от РАЗИ_БАЙ on 26-Мрт-07, 08:21
	>>Бред какой то... >>http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml "Ох уж эти сказочки,ах уж эти сказацники "
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "как запретить break с консоли циски?"
	Сообщение от fantom (??) on 26-Мрт-07, 09:32
	>>Бред какой то... >>http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml > >Спасибо за ссылку, это почти то что нужно :) Для подключения к >прову используется обычный ADSL мопед Dlik DSL-300T и pppoe поднятый с >циски, в приципе юзерь мог бы не мудрить с циской, а >лишь воспользовавшись процедурой восстановления забытого пароля долезть до конфига и вытащить >с него пароль на pppoe, переткнуть шнурок от мопеда в свой >комп и поднять линк к прову со своего компа не бодая >циску... чтож пароль на pppoe поменяем, тута он обломится, конфиг отрихтовать >тоже теперь не сможет, одна только беда... полезет он в очердной >раз брейкать циску и нажмет со злости "yes" в ответ на >предложение сбросить все в фактори дефолт... И все же придется мне >ехать в тьмутаракань конфиг на циске подымать... :( > >Так все же, на циске нельзя выходит погасить этот чертов брейк иначе >как спалив консольный порт? Нафиг тогда 8-й бит в конфиг регистре? >Для красоты? Настроив мониторинг и сислог вы пойете, что происходит, толи юзер перетыкивает шнурок (кстати ломать кошку необязательно, можно повесить горы лапши провайдеровскому саппорту науши и попробовать выведать пароль/логин), толи ломает-тики кошку. В любом случае, если начальство способно воспринимать разумные доводы и обладает властью для принятия волевых решений, можно обьяснить начальству "на пальцах" что происходит, и что, мол например при перерасходе инета например превышение вычитать из зарплаты персонала филиала.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 27-Мрт-07, 11:36
	> >Настроив мониторинг и сислог вы пойете, что происходит, толи юзер перетыкивает шнурок >(кстати ломать кошку необязательно, можно повесить горы лапши провайдеровскому саппорту науши >и попробовать выведать пароль/логин), толи ломает-тики кошку. Логин он так выведать не сможет, супорт по телефону их не отдает, нужно писать официальное письмо.  Я знаю что юзеру проще поломать кошку, потому как точно знаю что он умеет это делать как и умеет их конфигурить. >В любом случае, если начальство способно воспринимать разумные доводы и обладает властью >для принятия волевых решений, можно обьяснить начальству "на пальцах" что происходит, >и что, мол например при перерасходе инета например превышение вычитать из >зарплаты персонала филиала. Посмотрите какой нить сериал, ну например "Не родись красивой". Там персонаж забавный есть, Вика Клочкова. Сколько с ней маялись, а деть никуда не могли. В жизни как оно ни смешно, все выглядит аналогично, и иной раз нужно предьявить циску ударенную как минимум кувалдой чтобы что-то доказать. А за перерасход трафика е...т в первую очередь меня.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "как запретить break с консоли циски?"
	Сообщение от fantom (??) on 26-Мрт-07, 09:35
	>>Бред какой то... >>http://www.cisco.com/en/US/products/hw/routers/ps274/products_configuration_example09186a00801d8113.shtml > >Спасибо за ссылку, это почти то что нужно :) Для подключения к >прову используется обычный ADSL мопед Dlik DSL-300T и pppoe поднятый с >циски, в приципе юзерь мог бы не мудрить с циской, а >лишь воспользовавшись процедурой восстановления забытого пароля долезть до конфига и вытащить >с него пароль на pppoe, переткнуть шнурок от мопеда в свой >комп и поднять линк к прову со своего компа не бодая >циску... чтож пароль на pppoe поменяем, тута он обломится, конфиг отрихтовать >тоже теперь не сможет, одна только беда... полезет он в очердной >раз брейкать циску и нажмет со злости "yes" в ответ на >предложение сбросить все в фактори дефолт... И все же придется мне >ехать в тьмутаракань конфиг на циске подымать... :( > >Так все же, на циске нельзя выходит погасить этот чертов брейк иначе >как спалив консольный порт? Нафиг тогда 8-й бит в конфиг регистре? >Для красоты? Кстати, вот с каким решением столкнулся в одной конторе с большим количеством филиалов. Каждый час со всех кошек сливается run конфиг и сравнивается с "эталоном" на сервере, если есть различия - на кошку перезаливается start конфиг и кошка ребутиться....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 27-Мрт-07, 11:54
	>Кстати, вот с каким решением столкнулся в одной конторе с большим количеством >филиалов. >Каждый час со всех кошек сливается run конфиг и сравнивается с "эталоном" >на сервере, если есть различия - на кошку перезаливается start конфиг >и кошка ребутиться.... Ну уж простите меня чайника плииз :) Но это все фигня, понимаете?  Есть два пути как обомить это решение 1. поломать циску и на время ее юзания под себя запретить такой мониторинг извне. А чтобы не попалиться в момент выполнения таких действий не забыть оторвать аплинк к прову. 2. поломав циску и спалив пароль pppoe оставить ее в покое и поднять конект с винды. Как сие вы будете контролирвать периодическим считыванием конфига? И потом, народ, ну простите меня чайника плииииз, но вопрос поставлен ОЧЕНЬ КОНКРЕТНО: МОЖНО ЛИ ВААЩЕ ЗАПРЕТИТЬ БРЕЙК? ЧТОБЫ НИ ОДНА ДУША, КОТОРАЯ НЕ ЗНАЕТ ПАРОЛЕЙ ДОСТУПА К РОУТЕРУ НИЧЕГО НЕ МОГЛА С НИМ СДЕЛАТЬ, НИ ПОСМОТРЕТЬ КОНФИГ НИ ПОПРАВИТЬ НИ СНЕСТИ! НИЧЕГО!!! В моей ситуации это самое верное решение.... P.S. no service password-recovery включил, пароль на pppoe поменяли, посмотрим что будет далее....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "как запретить break с консоли циски?"
	Сообщение от Димас (??) on 27-Мрт-07, 13:24
	>>Кстати, вот с каким решением столкнулся в одной конторе с большим количеством >>филиалов. >>Каждый час со всех кошек сливается run конфиг и сравнивается с "эталоном" >>на сервере, если есть различия - на кошку перезаливается start конфиг >>и кошка ребутиться.... > >Ну уж простите меня чайника плииз :) > >Но это все фигня, понимаете?  Есть два пути как обомить это >решение > >1. поломать циску и на время ее юзания под себя запретить такой >мониторинг извне. А чтобы не попалиться в момент выполнения таких действий >не забыть оторвать аплинк к прову. >2. поломав циску и спалив пароль pppoe оставить ее в покое и >поднять конект с винды. > >Как сие вы будете контролирвать периодическим считыванием конфига? > >И потом, народ, ну простите меня чайника плииииз, но вопрос поставлен ОЧЕНЬ >КОНКРЕТНО: > >МОЖНО ЛИ ВААЩЕ ЗАПРЕТИТЬ БРЕЙК? ЧТОБЫ НИ ОДНА ДУША, КОТОРАЯ НЕ ЗНАЕТ >ПАРОЛЕЙ ДОСТУПА К РОУТЕРУ НИЧЕГО НЕ МОГЛА С НИМ СДЕЛАТЬ, НИ >ПОСМОТРЕТЬ КОНФИГ НИ ПОПРАВИТЬ НИ СНЕСТИ! НИЧЕГО!!! >В моей ситуации это самое верное решение.... > >P.S. no service password-recovery включил, пароль на pppoe поменяли, посмотрим что будет >далее.... Всё же самый простой способ - поставить настенный шкаф, поставить туда оборудование. Оснастить датчиками на открытие дверей - которые к вам в syslog алармы лить будут на открытие дверей. Запереть всё на замок (можно навесной поставить). Вывести включение выключения оборудования из шкафа (кроме датчиков) на случай перезагрузки залипшего оборудования или просто выключения. Всё равно это Вам не даст 100% гарантии. Либо вариант 2: Пойти в магазин за беисбольной битой, съездить в тот офис и применить её по назначению :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 27-Мрт-07, 15:48
	>Всё же самый простой способ За это башлять никто не будет, ответ один - ты типа как за админа? Тебе ЗП платят? вот и напрягайся. Или покупай за свой счет. >Всё равно это Вам не даст 100% гарантии. Тем паче что это не даст гарантии, нафиг тогда оно? >Либо вариант 2: Если б РФ убиство или причинение тяжких телесных небыло бы уголовно наказуемо то давно бы многое кардинально поменялось в этой стране, но увы и ах... Я вот дурак надеялся что в циске есть средство сделать из роутера черный ящик который без паролей тока молотком можно поломать, но увы, как я понял средства такого нет.. :( Максимум что еще можно сделать так это заклеить консольный порт и опечатать нафик, чтобы если кто убъет конфиг на циске можно было бы потом хотя бы доказать что ты не верблюд...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "как запретить break с консоли циски?"
	Сообщение от punks on 28-Мрт-07, 10:43
	как вариант - поменять скорость на консольном порту. Пусть подбирает -) если конечно додумается...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 01-Апр-07, 00:15
	>как вариант - поменять скорость на консольном порту. Пусть подбирает -) если >конечно додумается... К сожалению, вариантов перебора совсем немного, хорошо с дубовым юзером, но плохо с не совсем дубовым, вернее совсем не дубовым :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "как запретить break с консоли циски?"
	Сообщение от Norvax on 30-Мрт-07, 07:55
	+ поставь NTP синхронизацию и новую(12.3(2)T) фичу clock save interval для low-end платформ http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cr/hif_r/int_a1h.htm#wp1232418 После чего, я надеюсь ты сможешь определить когда последние изменения делались со startup конфигом. Также предварительно сохранись уже на засинхронизированном маршрутизаторе.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "как запретить break с консоли циски?"
	Сообщение от chainik_123 (??) on 01-Апр-07, 00:35
	>+ поставь NTP синхронизацию и новую(12.3(2)T) фичу clock save interval для low-end >После чего, я надеюсь ты сможешь определить когда последние изменения делались со >startup конфигом. Рецепт из серии "как поймать", а мне более по душе "как обломать совсем" потому что: а) что мешает юзеру загрузив циску в режиме пропуска стартап конфига вернуть на место конфиг регистр, сказать copy start run, поправить run и после его не сохранять? б) Что мешает юзеру загрузив циску в режиме пропуска стартап конфига вернуть на место конфиг регистр, далее залить свой конфиг по "копи-пасте" в гипертерминале, тем паче что ему под себя любимого надо то пару десятков строк, далее не сохранять запущенный конфиг? в) что ему мешает спалить пароль pppoe и ваще ничего на циске не править, а поднять канал с винды? Или вы хотите сказать винда хп не знает в упор что такое pppoe? г) босс в цисках не шарит, и если ему втирать что-то сложнее чем два плюс два и еще обмолвиться что это не его потенциальная прибыль, сразу посыл на .... :(   ---------------- Пока что после запрета процедуры восстановления пароля и смены пароля на pppoe трафик вроде как пришел в норму... Как только занесет нелегкая в эту тьмутаракань заклею и опечатаю консольный порт нафиг. Если юзер конечно не успеет сбросить до этого конфиг в фактори дефолт... Других путей я увы не вижу, совсем запретить брейк как я понял нельзя (видимо цискины инженеры побоялись что кто нить запретит брейк и забудет пароль, а потом все претензии будут к ним)  а зачем 8-й бит в конфиг регистре никто не знает. А к то знает либо не ходит сюда либо молчит как партизан...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "как запретить break с консоли циски?"
	Сообщение от Samovar666 on 01-Апр-07, 07:21
	Ты параноик!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]