EEM Kullanarak Şifre ve Komut Gizleme

EEM kullanarak daha önce yazdığım eğlenceli sayılabilecek sayısal loto yazısından sonra artık EEM’nin biraz daha amacına yönelik kullanımına geçsek fena olmayacak sanırım. Bu yazıda geçen gün yazdığım type7 şifrelemeyi ios methoduyla çözme yazımda bahsettiğim güvenlik derecesini bir seviye daha yukarı çekmeyi amaçladım. Şimdi artık sh run, sh vtp password ..v.b. komutları işlettiğimizde etramızdakilerin şifreleri görüp görme telaşına kapılmadan rahat rahat işlerimizi yapabileceğimiz bir ortam oluşturabiliriz 🙂
Alttaki konfigürasyonda 2 farklı event manager applet’i oluşturdum. Bunlardan bir tanesi running-configuration içinde gözüken şifreleri gizlemeye ve aynı zamanda bu yaptığımız konfigürasyonun da sh run’da gözükmesini engelleyemeye yarayacak. Diğer applet ise, bizim için yine yönetim şifresi kadar önemli vtp şifresini gizleyecek. (yaptığımız konfigürasyonun komutlarından bazıları sadece yeni IOS’lerde mevcut olduğundan dolayı bu konfigürasyonun benzerinin AAA kullanılarak yapılan versiyonunu en yakın sürede siteye ekleyeceğim)

Konfigürasyona başlamadan önce eklediğimiz şifrelerin running-config ‘inde ve vtp’de düzgün şekilde gözüktüğüne bakalım.

Router#sh run
Building configuration…
Current configuration : 1115 bytes
!
! Last configuration change at 13:04:31 UTC Thu Apr 7 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$QcQj$NZLqG/RE2J3N/1wzHuxQi/
!
no aaa new-model
!
dot11 syslog
ip source-route
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
username admin password 0 deneme
!
redundancy
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
no ip address
shutdown
no fair-queue
clock rate 2000000
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
control-plane
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
line con 0
line aux 0
line vty 0 5
password deneme
login
!
scheduler allocate 20000 1000
end
Router#

Router#sh vtp password

VTP Password: deneme
Router#

Daha sonra alttaki konfigürasyonumuzu uygularsak,

Router(config)#event manager applet shrunsifresiz
Router(config-applet)#event cli pattern “show run” sync yes
Router(config-applet)#action 111 cli command “enable”
Router(config-applet)#action 112 cli command “show run | excl password|secret|applet|event|action|community”
Router(config-applet)#action 113 puts “$_cli_result”
Router(config-applet)# action 118 set _exit_status “0”
Router(config)#event manager applet vtpsifresiz
Router(config-applet)#event cli pattern “show vtp password” sync yes
Router(config-applet)#action 115 cli command “enable”
Router(config-applet)#action 116 cli command “show vtp password | excl Password”
Router(config-applet)#action 117 puts “$_cli_result”
Router(config-applet)#action 118 set _exit_status “0”

Şimdi de yaptığımız konfigürasyonları test edelim,

Router#sh run
Building configuration…
Current configuration : 1615 bytes
!
Last configuration change at 13:19:43 UTC Thu Apr 7 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
dot11 syslog
ip source-route
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
redundancy
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
no ip address
shutdown
no fair-queue
clock rate 2000000
!
ip forward-protocol nd
no ip http server
!
no ip http secure-server
!
control-plane
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
line con 0
line aux 0
line vty 0 5
login
!
scheduler allocate 20000 1000
!
end
Router#

Router#sh vtp password

Router#

Görünürde istediğimiz şekilde istediğimiz konfigürasyonu (gerek şifre ya da herhangi bir komut olsun) bir şekilde ios’ta da saklayabiliyoruz. Fakat gizlemeye dair şimdiye kadar yaptığımız konfigürasyonların aslında bir göz aldanması olduğunu da unutmamamız gerekiyor. En basidinden konfigürasyonların boyutlarının birbirinden farklı olması (1115 bytes & 1615 bytes) ve “sh event manager history events” komutunun çıktısı ortada değişen birşeyler olduğunun en açık göstergesidir, taa ki bunlar ve diğer deliller değiştirilinceye dek 🙂

“EEM Kullanarak Şifre ve Komut Gizleme” için 2 cevap

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir