Forum Cisco-BR

Simulados, simuladores, apostilas, forum brasileiro
 
InícioInício  CalendárioCalendário  FAQFAQ  BuscarBuscar  Registrar-seRegistrar-se  MembrosMembros  GruposGrupos  LoginLogin  
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Últimos assuntos
» Preparatório CCNA R&S
Ter Abr 05, 2016 2:10 pm por Sávio Augusto

» Problema roteamento
Ter Mar 22, 2016 5:51 pm por joaormv

» Avaliação do curso de suporte a redes do SENAI
Ter Mar 22, 2016 4:55 pm por joaormv

» Relatório syslog
Ter Mar 22, 2016 4:51 pm por joaormv

» DDNS NO-IP CISCO 1905
Sex Mar 11, 2016 10:23 pm por diegofrancaa

» Air Point Cisco 1041 ACESSAR
Sex Mar 11, 2016 10:08 pm por diegofrancaa

» Luz Power Piscando Direto
Seg Set 28, 2015 1:17 pm por AndreH

» Modem: TP-LINK8816 com roteador Linksys WRT54g: Problema
Sex Set 11, 2015 2:49 pm por lepokoloko

» VIRTUAL SWITCHING SYSTEM - VSS 1440
Ter Set 08, 2015 8:45 am por wstaenle

Navegação
 Portal
 Índice
 Membros
 Perfil
 FAQ
 Buscar
Fórum
Parceiros

Compartilhe | 
 

 desabilitar serviço daytime e chargen (cisco 2500)

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
nilson



Número de Mensagens : 3
Reputação : 0
Pontos : 0
Data de inscrição : 15/05/2008

MensagemAssunto: desabilitar serviço daytime e chargen (cisco 2500)   Qui Maio 15, 2008 4:48 pm

Bom dia a todos.

Passei por uma auditoria e fui informado que necessito fechar os serviços daytime porta 13/TCP e chargen 19/TCP no meu cisco 2500
Verificando o Help, Show e outros comandos, não consegui encontar aonde eu faço isso.
Alquem poderia me ajudar por favor.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Nakano
Admin


Número de Mensagens : 467
Idade : 34
Localização : São Paulo
Reputação : 43
Pontos : 336
Data de inscrição : 21/07/2007

MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Sab Maio 17, 2008 6:43 pm

nilson escreveu:
Bom dia a todos.

Passei por uma auditoria e fui informado que necessito fechar os serviços daytime porta 13/TCP e chargen 19/TCP no meu cisco 2500
Verificando o Help, Show e outros comandos, não consegui encontar aonde eu faço isso.
Alquem poderia me ajudar por favor.

Boa noite,

Bom primeiramente se precisar desta informação posso dizer que entre as recomendações de segurança da cisco, não conheço esta, portanto é uma solução peculiar.

O unico modo que imagino é vc implementar uma access-list in e out na interface de LAN bloqueando estas portas e permitindo todas as demais.

abs

_________________
CCNA / CCDA
Cisco Data Center AS Support Specialist;
Cisco Data Center Support for UC Specialist;
Cisco Routing and Switching Field Specialist;
Cisco Unified Fabric Technology Support Specialist;
Cisco Unified Computing Technology Support Specialist
Cisco Data Center Unified Computing Support Specialist;
Cisco Data Center Storage Networking Support Specialist;
Cisco Data Center Application Services Support Specialist;
Cisco Advanced Data Center Networking Infrastructure Support Specialist;
CCNP / CCIP / CCDP
ITILF v2 / ITILF v3
CCIE SP #34881
CCIE RS Written

-----------------------------------------

Mind Wide Open


Última edição por Admin em Qua Maio 21, 2008 9:11 pm, editado 1 vez(es)
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://cisco.forumeiros.com
nilson



Número de Mensagens : 3
Reputação : 0
Pontos : 0
Data de inscrição : 15/05/2008

MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Seg Maio 19, 2008 5:37 pm

Boa noite,

Bom primeiramente se precisar desta informação posso dizer quen entre as recomendações de segurança da cisco, não conheço esta, portanto é uma solução peculiar.

O unico modo que imagino é vc implementar uma access-list in e out na interface de LAN bloqueando estas portas e permitindo todas as demais.

abs[/quote]

Obrigado pela ajuda.
Mas ainda não ficou muito claro para mim. (desculpa a minha falta de conhecimento)
No caso eu verifiquei aqui e trata-se da porta Ethernet 0 e também verificando com Show conf aparece para mim alguns access-list confome o exemplo abaixo:
Como seria a escrita correta para desabilitar o daytime porta tcp/13 e o chargen porta tcp/19?
Router(config)#access-list
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<200-299> Protocol type-code access list
<700-799> 48-bit MAC address access list

Seria por aí a solução???
Agradeço se puder me ajudar.

Exemplo do meu access-list
access-list 150 deny tcp any any eq echo
access-list 150 deny tcp any any eq discard
access-list 150 deny tcp any any eq telnet
access-list 150 deny tcp any any eq tacacs
access-list 150 deny tcp any any eq 69
access-list 150 deny tcp any any eq finger
access-list 150 deny tcp any any eq 87
access-list 150 deny tcp any any eq sunrpc
access-list 150 deny tcp any any eq login
access-list 150 deny tcp any any eq cmd
access-list 150 deny tcp any any eq lpd
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Nakano
Admin


Número de Mensagens : 467
Idade : 34
Localização : São Paulo
Reputação : 43
Pontos : 336
Data de inscrição : 21/07/2007

MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Qua Maio 21, 2008 9:26 pm

nilson escreveu:
Bom dia a todos.

Passei por uma auditoria e fui informado que necessito fechar os serviços daytime porta 13/TCP e chargen 19/TCP no meu cisco 2500
Verificando o Help, Show e outros comandos, não consegui encontar aonde eu faço isso.
Alquem poderia me ajudar por favor.

Bom em uma interface você só pode aplicar 1 access list, então quando você deu o show conf, o access-list esta no modo global ou aplicado na interface?

Exemplo:
Interface Ethernet0
ip access-group X in
ip access-group X ou

Se não estiver aplicada na interface não tem problema.
O unico detalhe é que a access-list que você for criar não pode ter o mesmo numero da existente.

Duas observações muito importantes:
1 - Sempre coloque no final um permit ip any any, se não colocar o access-list irá bloquear todos os pacotes (access-list = implicito negar tudo)

2 - Sempre configure primeiro a access-list no modo global para depois aplica-la na interface, se você aplicar uma access-list na interface sem que ela exista no modo global, esta interface irá dropar todos os pacotes como se houvesse um deny any

3 - A access-list numerica possui uma pequena falha, não é possivel apagar apenas uma linha, portanto se for altera-la primeiro retire ela da interface.

Seguem dois exemplos, o primeiro com access-list numerica, a segunda nomeada (eu prefiro sempre a nomeada porque nela você pode apagar apenas 1 linha)

Numerica

#conf t
(config)#access-list 150 deny tcp any any eq daytime (daytime porta tcp/13 na porta de destino)
(config)#access-list 150 deny tcp any eq daytime any (daytime porta tcp/13 na porta de origem)
(config)#access-list 150 deny tcp any any eq chargen (chargen porta tcp/19 na porta de destino)
(config)#access-list 150 deny tcp any eq chargen any (chargen porta tcp/19 na porta de origem)
(config)#access-list 150 permit ip any any (permitir os demais pacotes)
(config)#Interface Ethernet0
(config-if)#ip access-group 150 in
(config-if)#ip access-group 150 out
(config-if)#end
#wr


ou

#conf t
(config)#access-list 150 deny tcp any any eq 13 (daytime porta tcp/13 na porta de destino)
(config)#access-list 150 deny tcp any eq 13 any (daytime porta tcp/13 na porta de origem)
(config)#access-list 150 deny tcp any any eq 19 (chargen porta tcp/19 na porta de destino)
(config)#access-list 150 deny tcp any eq 19 any (chargen porta tcp/19 na porta de origem)
(config)#access-list 150 permit ip any any (permitir os demais pacotes)
(config)#Interface Ethernet0
(config-if)#ip access-group 150 in
(config-if)#ip access-group 150 out
(config-if)#end
#wr

Nomeada
#conf t
(config)#ip access-list extended PROTEGE
(config-ext-nacl)#deny tcp any eq 13 any
(config-ext-nacl)#deny tcp any any eq 13
(config-ext-nacl)#deny tcp any eq 19 any
(config-ext-nacl)#deny tcp any any eq 19
(config)#Interface Ethernet0
(config-if)#ip access-group PROTEGE in
(config-if)#ip access-group PROTEGE out
(config-if)#end
#wr

ou

#conf t
(config)#ip access-list extended PROTEGE
(config-ext-nacl)#deny tcp any eq daytime any
(config-ext-nacl)#deny tcp any any eq daytime
(config-ext-nacl)#deny tcp any eq chargen any
(config-ext-nacl)#deny tcp any any eq chargen
(config)#Interface Ethernet0
(config-if)#ip access-group PROTEGE in
(config-if)#ip access-group PROTEGE out
(config-if)#end
#wr
Na verdade não há a necessidade do in e ou, já que você ja colocou as portas como origem e destino, mas para garntir pode aplicar de qualquer destes modos, não há problema nem impacto.

abs

_________________
CCNA / CCDA
Cisco Data Center AS Support Specialist;
Cisco Data Center Support for UC Specialist;
Cisco Routing and Switching Field Specialist;
Cisco Unified Fabric Technology Support Specialist;
Cisco Unified Computing Technology Support Specialist
Cisco Data Center Unified Computing Support Specialist;
Cisco Data Center Storage Networking Support Specialist;
Cisco Data Center Application Services Support Specialist;
Cisco Advanced Data Center Networking Infrastructure Support Specialist;
CCNP / CCIP / CCDP
ITILF v2 / ITILF v3
CCIE SP #34881
CCIE RS Written

-----------------------------------------

Mind Wide Open
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://cisco.forumeiros.com
nilson



Número de Mensagens : 3
Reputação : 0
Pontos : 0
Data de inscrição : 15/05/2008

MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Sex Maio 23, 2008 10:11 am

Cara muito obrigado mesmo.
Funcionou perfeitamente. Fiz conforme você explicou e ficou tudo ok.
Gostei muito desse Forum e para mim já virou referência.

Obrigado novamente.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
MOSCA
Associate


Número de Mensagens : 34
Reputação : 0
Pontos : 12
Data de inscrição : 19/04/2008

MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Sab Maio 24, 2008 10:44 am

nilson escreveu:
Cara muito obrigado mesmo.
Funcionou perfeitamente. Fiz conforme você explicou e ficou tudo ok.
Gostei muito desse Forum e para mim já virou referência.

Obrigado novamente.

faço das suas as minhas palavras afro
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Conteúdo patrocinado




MensagemAssunto: Re: desabilitar serviço daytime e chargen (cisco 2500)   Hoje à(s) 3:35 pm

Voltar ao Topo Ir em baixo
 
desabilitar serviço daytime e chargen (cisco 2500)
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1
 Tópicos similares
-
» Opção de segurança - desabilitar
» Desabilitar teclas de Menu
» Desabilitar que user apague seu próprio post
» Como desabilitar uma classe css ?
» Desabilitar o auto-play da rádio

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Forum Cisco-BR :: Forum :: Suporte-
Ir para: