در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

مقدمات امنیت در سوئیچ های سیسکو - بخش اول

امنیت در لایه دو از مدل OSI

هر زمان در مورد امنیت شبکه صحبت می شود بیشتر امنیت را در لایه 3 شبکه و یا لایه های بالاتر مدل OSI و یا برنامه ها تصویر می کنیم. اما تاکنون فکر کرده اید در یک شبکه داخلی LAN و به عبارتی در سطح لایه 2 چه تهدیدهایی متوجه شبکه شماست ؟ امنیت در محیط یک سازمان ، شرکت و یا ساختمان که دارای شبکه ای داخلی است چه تعریفی دارد؟ همه ما در سازمان ها و موسسات بزرگ در مکان های مختلف Node هایی از شبکه را در کنار اتاق ها یا سالن ها دیده ایم که بدون وصل بودن سیستمی به آن رها شده اند. همین Node های بلااستفاده ی به ظاهر بی خطر اگر غیرفعال یا امن نشده باشند ، قابلیت بالقوه ای برای نفوذ به شبکه داخلی می باشند. حتی خود سوئیچ های شبکه که در محل های مختلف ساختمان ها قرار دارند معمولا دارای Interface هایی هستند که مورد استفاده قرار نگرفته و یا مورد نیاز نبوده اند و به همین شکل رها شده اند.تصور کنید یک مهمان ناخوانده با یک لپ تاپ و یک کابل شبکه به راحتی می تواند از طریق همین درگاه ها یا Node های آزاد وارد شبکه شده و مجموعه شما را تهدید کند.اگر شما مدیر شبکه یک سازمان بودید و از این خطرات آگاه ، برای بالا بردن امنیت شبکه خود چه تدابیری می اندیشید؟ سوئیچ های شبکه به طور کلی به دو دسته ( مدیریت نشده) unmanaged و ( مدیریت شده ) managed دسته بندی می شوند. در این مجموعه مقالات می خواهیم به روش های بالا بردن امنیت یک شبکه های داخلی درون سازمانی ( LAN ) بوسیله سوئیچ های سیسکو که قابلیت مدیریت و برنامه ریزی را دارند بپردازیم.

بخش اول – تنظیمات امنیتی سوئیچ و درگاه ها


برای شروع ابتدا به سراغ خود سوئیچ و امنیت ورود به سوئیچ برویم. سوئیچ های سیسکو و همه سوئیچ های شبکه ای که قابلیت مدیریت دارند دارای یک سیستم عامل یا IOS می باشند. برای مدیریت یک سوئیچ شما باید ابتدا از طریق یکی از راه هایی که برای این کار بر روی سوئیچ در نظر گرفته شده به آن متصل شوید. به صورت پبشفرض اولین راه اتصال به یک سوئیچ سیسکو درگاه کنسول ( Console ) آن می باشد. این درگاه بوسیله یک کابل و ارتباط با پورت RS232کامپیوتر قابل دسترسی است. پس اولین گام برای بالا بردن امنیت ، امن کردن همین درگاه از طریق فعال کردن رمز بر روی آن است. مجموعه دستورات زیر برای فعال سازی رمز ورود بر روی سوئیچ می باشد:

Switch> enable
Switch# configure terminal
Switch(config)# enable secret mypass
Switch(config)# username admin secret mypass
Switch(config)# line console 0
Switch(config-line)# password mypass
Switch(config-line)# login 
Switch(config-line)# exec-timeout 5  30
Switch(config-line)# exit
Switch(config)# service password-encryption
Switch(config)# exit
Switch# write

حالا بیایید نگاهی دقیقتر به برخی دستورات اجرا شده در خطوط بالا بیاندازیم. در خط سوم دستورات می توانستیم به جای enable secret از enable password هم می توانیم استفاده کنیم. اما الگوریتم رمزنگاری در Secret امنیت بالاتری از enable password را دارا می باشد که به راحتی قابل شکسته شدن نیست. عدد (30 5) در خط 8 برای مثال می باشد و تعیین کننده مقدار زمان انتظار برای دریافت اطلاعات از کاربر در Console می باشد ، شما به جای آن مقدار زمان دلخواه خود را به دقیقه و ثانیه وارد کنید. این مقدار در سوئیچ های سیسکو به صورت پیش فرض 10 دقیقه می باشد. دستور خط 10 (service password-encryption) با رمزنگاری پسوردها باعث میشود تا کلمات عبور شما در زمان ذخیره در فایل Config و یا گرفتن فرمان show running-config بصورت کد شده نمایش داده شده و به راحتی در دسترس نباشند.

  • نکته : " mypass" در خطوط بالا و باقی مثال های این مقاله یک مثال می باشد ، شما می توانید به جای آن کلمه عبور دلخواه خود را بنویسید.

دومین راه ارتباط با یک سوئیچ ارتباط Telnet از طریق Interface های سوئیچ می باشد. مجموعه دستورات زیر برای فعال سازی و تعاریف مربوط به امن کردن پروتکل Telnet بر روی سوئیچ می باشد:

Switch> enable
Switch# configure terminal
Switch(config)# username admin secret mypass
Switch(config)# interface vlan 1
Switch(config-if)# ip address  192.168.0.1  255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# line vty 0  15
Switch(config-line)# password mypass
Switch(config-line)# login local
Switch(config-line)# exec-timeout 5  30
Switch(config-line)# exit
Switch(config)# service password-encryption
Switch(config)# exit
Switch# write

برای اتصال از طریق Telnet به یک سوئیچ ، ابتدا باید برای آن یک آدرس آی پی تعریف نمایید. در سوئیچ بصورت پیش فرض همه درگاه ها عضو VLan1 می باشند، پس بدین منظور آی پی موردنظر را بر روی VLan1 تنظیم می کنیم. دقت کنید آی پی انتخابی باید در Subnet شبکه داخلی شما باشد تا بتوانید به آن متصل شوید.در خط 9 با وارد کردن فرمان login local به سوئیچ می گویید که برای اهراز هویت Telnet از نام کاربری و کلمه عبوری که در خط 3 تعریف کردید استفاده کند.

در بعضی سوئیچ ها که IOS آنها قابلیت پشتیبانی از SSH را دارند این امکان وجود دارد که به جای پروتکل Telnet از SSH استفاده کنید. این تغییر خطر Sniff شدن فعالیت های شما در شبکه را تا حداقل ممکن کاهش می دهد. اگر سوئیچ شما قابلیت استفاده از SSH به جای Telnet را دارا می باشد ، این کار شديداً توصیه می شود. مجموعه دستورات زیر برای انتقال از پروتکل Telnet به SSH بر روی سوئیچ می باشد:

Switch> enable
Switch# configure terminal
Switch(config)# hostname  <host name>			(ex: MySwitch)
MySwitch (config)#  ip domain-name  <domain name>	(ex: MySite.com)
MySwitch (config)#  crypto key generate rsa		(ex: 1024)
MySwitch (config)#  ip ssh version 2
MySwitch (config)#  ip ssh timeout  <seconds>
MySwitch (config)#  ip ssh authentication-retries  <number>
MySwitch (config)#  line vty 0  15
MySwitch (config-line)#  transport input ssh
MySwitch (config-line)#  end
MySwitch # write

بعد از وارد کردن فرمان خط 5 عددی برای تعیین طول رشته rsa از شما پرسیده می شود. این مقدار به صورت پیش فرض 512 می باشد. تا اینجا همه کارهای انجام شده برای امن کردن دسترسی به مدیریت سوئیچ بود. حالا به سراغ امن کردن Interface های سوئیچ و تعاریف مربوط به دسترسی های آن می رویم. برای شروع شما ابتدا باید بر مبنای سناریوی شبکه خود تعیین کنید که به هرکدام از درگاه های سوئیچ چه دستگاهی متصل شده. منظور از این کار تعیین این است که درگاه مورد استفاده یک کامپیوتر ، چاپگر و یا هر وسیله ای است که به اصطلاح نقطه انتهایی شبکه می باشد ، یا آن که درگاه به یک سوئیچ دیگر متصل شده. بعد از اینکه نوع استفاده کننده از درگاه های مورد نیاز تعیین شد بهتر است Interface های بلااستفاده را غیرفعال کنید تا Node رها شده ای در شبکه خود نداشته باشید. در مثالی که در مجموعه دستورات زیر مشاهده می کنید ، 4 سیستم متصل به درگاه های 1 تا 4 سوئیچ بوده و درگاه 24 به یک سوئیچ دیگر متصل شده است.

Switch> enable
Switch# configure terminal
Switch(config)# interface range fastEthernet 0/1 - 4
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport port-security
Switch(config-if-range)# switchport port-security mac-address sticky
Switch(config-if-range)# switchport port-security maximum 1
Switch(config-if-range)# switchport port-security violation shutdown
Switch(config-if-range)# exit
Switch(config)# interface fastEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# exit
Switch(config)# interface range fastEthernet 0/5 - 23
Switch(config)# shutdown
Switch(config)# end
Switch# show port-security interface fastEthernet  < interface_id >   (ex: 0/1)
Switch# write

فرمان خط 6 باعث می شود تا سوئیچ مک آدرس دستگاهی را که به آن متصل می شود را به صورت خودکار دریافت کرده و برای آن Interface ذخیره کند. فرمان خط 7 تعیین کننده تعداد مک آدرس های قابل ثبت و مجاز برای یک درگاه می باشد. در خط 8 تعیین می کنید که اگر دستگاهی با مک آدرسی به غیر از آدرس های فعلی به Interface متصل شد سوئیچ چه عکس العملی به آن نشان دهد. شما از سه وضعیت protect restrict shutdown میتوانید یکی را انتخاب کنید. حالت shutdown باعث می شود تا سوئیچ در مواجه با تغییر در مک آدرس این درگاه آن را به طور کامل از دسترس خارج کرده و درگاه را غیرفعال کند. در انتها با فرمان show port-security می توانید تمامی تنظیمات امنیتی اعمال شده بر روی هر درگاه را مشاهده کنید.

نویسنده : صباغ زاده

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

#رمز_عبور_سویچ_سیسکو #مشکل_امنیت_در_سیسکو #امنیت_لایه_بندی_شده_در_شبکه #امنیت_در_سویچ_و_روتر_سیسکو #امنیت_در_تجهیزات_سیسکو #امنیت_در_لایه_دوم_مدل_osi #طراحی_امنیت_در_تجهیزات_سیسکو #تفاوت_enable_password_و_enable_secret #امنیت_در_سیسکو #امنیت_سویچ
عنوان
1 مقدمات امنیت در سوئیچ های سیسکو - بخش اول رایگان
2 مقدمات امنیت در سوئیچ های سیسکو - بخش دوم رایگان
زمان و قیمت کل 0″ 0
1 نظر
sadegh.am

واقعا ممنونم هم خلاصه هم کامل

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....