Иллюстрированный самоучитель по Secure Web


Обнаружение - часть 6


Служба XRemote Cisco (9001)


Еще одним часто используемым портом Cisco является TCP-порт службы XRemote с номером 9001. Эта служба позволяет узлам вашей сети подключаться с помощью клиента XSession к маршрутизатору (обычно через модем). Когда злоумышленник подключается к этому порту с помощью утилиты netcat, то устройство, как правило, передает обратно идентификационный маркер, как показано в следующем примере.

C:\>nc-nvv 172.29.11.254 9001
(UNKNOWN) [172.29.11.254] 9001 (?) open

-— Outbound XRemote service —-

Enter X server name or IP address:

Контрмеры: защита от сбора информации об устройствах Cisco


Единственный метод, позволяющий предотвратить инвентаризацию устройств Cisco. заключается в ограничении доступа с помощью списка ACL. Можно либо использовать установленное по умолчанию правило "очистки", либо в явной форме запретить подключение к соответствующим портам, чтобы все подобные попытки регистрировались в контрольном журнале. Для этого можно воспользоваться командами следующего вида.

access-list 101 deny tcp any any 79 log

или

access-list 101 deny tcp any any 9001





Начало  Назад  Вперед