Khi dùng lock-and-key với từ khóa host, chỉ cho phép 1 host xác định trong access list trigger dynamic entry thì nếu 1 host khác (ko đúng ip) telnet vào router. Router sẽ phản hồi rằng địa chỉ này không đúng với mask được cấu hình, kèm theo địa chỉ được cấu hình trong access-list. Điều này dễ bị tấn công kiểu IP Spoofing.

Có cách nào để router không phản hồi thông tin này mà chỉ đơn thuần là deny thôi không?

Cám ơn

Không có ai có thể giúp mình cái này sao?

Ban co the post router config len day duoc khong?

Thử cấu hình "no ip unreachable" trên interface nối với host xem sao.

Dùng lệnh no ip unreachable vẫn không được bạn à.

Cấu hình của mình:

username hat password 0 hat
username hat autocommand access-enable host timeout 10

interface Ethernet0
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
no ip directed-broadcast

access-list 100 dynamic test permit tcp host 192.168.2.3 host 10.0.0.1 eq telnet
access-list 100 permit ip any host 192.168.2.1
!
!
line con 0
line aux 0
line vty 0 4
login local


Từ pc 192.168.2.3 telnet vào router thì mọi chuyện ok. Nhưng nếu từ PC 192.168.2.4 telnet vào router thì sau khi nhập đúng username/password. Router thông báo:

User Access Verification

Username: hat
Password:
Source 192.168.2.4 is not in mask(192.168.2.3, 0.0.0.0) in the ACL

Connection to host lost.

Mình muốn Router không trả lời dòng này: Source 192.168.2.4 is not in mask(192.168.2.3, 0.0.0.0) in the ACL

Giúp mình với

Cám ơn

Ban co the doi lai nhu sau:

access-list 100 permit tcp host 192.168.2.3 host 192.168.2.1 eq telnet
access-list 100 dynamic test timeout 120 permit tcp host 192.168.2.3 host 10.0.0.1 eq telnet
access-list 100 deny tcp any any eq telnet <- Khong cho bat cu host nao telnet ngoai tru 192.168.2.3.
access-list 100 permit ip any any <- Co the bo luon lenh nay neu chi can telnet.


interface Ethernet0
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
no ip directed-broadcast
no ip unreachables <--Lenh nay khong can thiet co the bo di.

Dynamic access list thuong co dang nhu sau:

R3(192.168.2.3)------------(192.168.2.1)R2-----------(10.0.0.1)R4
R1(192.168.2.4)------^

R2 Dynamic Access List Config:

hostname R2
user hat password hat
interface ethernet0
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
no ip unreachables <- Lenh nay khong can thiet co the bo di.

access-list 100 permit tcp host 192.168.2.3 host 192.168.2.1 eq telnet <- host 192.168.2.3 trigger
access-list 100 dynamic test timeout 120 permit tcp host 192.168.2.3 host 10.0.0.1 eq telnet
access-list 100 deny tcp any any eq telnet <- Khong cho bat cu host nao telnet ngoai tru 192.168.2.3

access-list 100 permit ip any any <- Co the bo luon len nay neu chi can telnet.

line vty 0
login local
autocommand access-enable timeout 5

Cach hoat dong cua dynamic access list nay nhu sau:

Neu telnet tu R3 den R2 voi dung username va password thi sau do se duoc phep telnet tu R3(192.168.2.3) den R4(10.0.0.1). Neu log in khong dung to se khong telnet duoc. Chi cho phep telnet tu R3(192.168.2.3) den R4(10.0.0.1) voi dieu kien la phai telnet tu R3 den R2 truoc de tao dynamic access list, tat ca cac host khac deu khong duoc phep telnet den R4(10.0.0.1).

================================================== ========
Khi chua trigger dynamic access list

Neu dung lenh "no ip unreachables" o R2 ethernet 0:

R3#telnet 10.0.0.1
Trying 10.0.0.1 ...
% Connection timed out; remote host not responding <- Khong telnet den 10.0.0.1 boi vi chua login R2.

Neu khong dung lenh "no ip unreachables" o R2 ethernet 0:

R3#telnet 10.0.0.1
Trying 10.0.0.1 ...
% Destination unreachable; gateway or host down <-Khong telnet den 10.0.0.1 boi vi chua login R2.

================================================== ========
Trigger dynamic access list

R3#telnet 192.168.2.1 <- Telnet den R2
Trying 192.168.2.1 ... Open
User Access Verification
Username: hat
Password:
[Connection to 192.168.2.1 closed by foreign host] <-Login dung, dynamic access list duoc tao

R3#telnet 10.0.0.1
Trying 10.0.0.1 ... Open

User Access Verification

Password:
R4> <- Telnet tu R3 den R4 thanh cong.

================================================== ========
R1(192.168.2.4) khong duoc phep telnet den R4(10.0.0.1)

R1#telnet 10.0.0.1
Trying 10.0.0.1 ...
% Destination unreachable; gateway or host down <- Khong telnet tu R1(192.168.2.4) duoc boi vi dynamic access list chi cho phep 192.168.2.3 duoc telnet den 10.0.0.1.

================================================== ========
R1(192.168.2.4) khong duoc phep trigger dynamic access list

Neu khong dung lenh "no ip unreachables" o R2 ethernet 0:
R1#telnet 192.168.2.1 <- R1(192.168.2.4) khong duoc phep trigger dynamic access list
Trying 192.168.2.1 ...
% Destination unreachable; gateway or host down

Neu khong dung lenh "no ip unreachables" o R2 ethernet 0:
R1#telnet 192.168.2.1 <- R1(192.168.2.4) khong duoc phep trigger dynamic access list
Trying 192.168.2.1 ...
Trying 10.0.0.1 ...
% remote host not responding

Access-list của bạn thì ok. Nhưng không phù hợp với policy của mình. Policy của mình là có thể trigger = telnet từ bất cứ địa chỉ nào chứ không fix 1 địa chỉ nhất định

Neu vay thi doi lai nhu sau:

access-list 100 permit tcp any host 192.168.2.1 eq telnet
access-list 100 dynamic test timeout 120 permit tcp host 192.168.2.3 host 10.0.0.1 eq telnet
access-list 100 deny tcp any any eq telnet
access-list 100 permit ip any any

Nếu đổi lại như bạn thì router sẽ response như mình đã thử.

Ban dang dung router loai nao va IOS version may?

mình dùng 2500 và IOS 12.2

Mình ko có router ở đây, nhưng trong câu lệnh "(config)#ip telnet" hình như có một tham số là "quiet" thì phải. Nó sẽ đưa ra một thông báo chung chung cho mọi loại thông báo lỗi thì phải.

Sorry nếu ko đúng, vì mình ko check đc trên router.
Link của lệnh đó đây.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fdial_r/drfeip.htm#wp1033625

Minh dung IOS nay:

Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 12.2(16) (c2500-js-l.122-16.bin), RELEASE SOFTWARE (fc3)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Fri 07-Mar-03 00:16 by pwade

va dung access-list giong cua ban nhung van khong thay loi do.

R3#show access-list
Extended IP access list 100
Dynamic test permit tcp host 192.168.2.3 host 10.0.0.1 eq telnet
permit ip any host 192.168.2.1 (142 matches)
permit ospf any any (82 matches)

Router1(192.168.2.3)-----(192.168.2.1)Router3--------(10.0.0.1)Router2

Thu doi luon IOS sang Version 12.2(16) (c2500-js-l.122-16.bin), thu xem co giup gi khong. Cho biet toan bo cau hinh cua router 192.168.2.1 va router 10.0.0.1 luon duoc khong? Gan chiu thua roi :-(. Khong biet no mac chung benh gi. Cung co the IOS version cua ban co gi khong on.

Hi sskkb,

Mình đã thử lệnh ip telnet quiet trên 2500, IOS 12.1-3. Nhưng không có tác dụng

Ptran!

192.168.2.1 và 10.0.0.1 là trên cùng 1 router. Cấu hình mình bảo đảm là không có gì đặc biệt vì mình erase start rồi mới thử.

Bạn có thể gởi cho mình xin IOS bạn thử thành công? mail của mình: hat6182@yahoo.com.vn

Cám ơn bạn

HAT

10.0.0.1 la dia chi cua Ethernet hay la Loopback? Ban co the de toan bo cau hinh len day duoc khong?

Spoofing Considerations
Lock-and-key access allows an external event to place an opening in the firewall. After this opening exists, the router is susceptible to source address spoofing. To prevent this, provide encryption support using IP encryption with authentication or encryption.

Và mình thật sự muốn hỏi bạn hat rằng mục đích của bạn là chống Spoofing hay ngăn cản không cho router reply ? Nếu là chống Spoofing thì biện pháp như trên. Còn nếu ngăn cản router, không cho nó reply thì mình thua.

Còn điều nữa. Đó là lock and key không phải là nguyên nhân gây ra Spoofing. Nếu bạn có đọc qua bất kỳ tài liệu nào về Security (tài liệu training) thì nó đều có nói là khi dùng telnet (mặc dù nên tránh, dùng cái khác) thì cần phải encryption (telnet send packet dạng clear text). Vì vậy, mình nghĩ rằng bạn nên encryption đi.

PS : Thật ra nếu dùng IP encryption thì ta sẽ phải đối mặt với DOS. Dù sao đi nữa thì đây cũng là trade-off, bạn buộc phải chọn lựa thôi.