از روتر سیسکو خود محافظت نمایید امنیت شبکه یک منطقه کاملاً در حال تغییر می باشد. دستگاههای جدیدی مثل IDS (سیستمهای تشخیص نفوذ)، IPS (سیستمهای پیشگیری از نفوذ)، و Honeypots طرز فکر مردم را به لحاظ امنیت تغییر میدهند. شرکتها هزاران دلار برای دستگاههای امنیتی جدید هزینه می کنند، اما خط اولیه، اولین خط دفاعی را از یاد می برند: روتر مرزی.
اگرچه بسیاری از مردم ممکن است گمان کنند که روترها نیازی به محافظت ندارند، اما کاملاً در اشتباه می باشند. اکثر مشکلات امنیتی همیشه در برابر این نوع دستگاه ظاهر می شوند و بیشتر آنها آسیب پذیر هستند.
برای به حداقل رساندن قرار گرفتن در معرض روتر سیسکو با خاموش نمودن برخی از سرویس های استفاده نشده، اعمال کنترل دسترسی و اعمال برخی از گزینه های امنیتی موجود بر روی آن، 8 مرحله وجود دارد که به راحتی قابل پیگیری می باشد.
برای شناخت انواع روتر های سیسکو آگاهی از قیمت و خرید روتر سیسکو می توانید به سایت نیتا شبکه مراجعه نمایید و از خدمات مشاوره آن ها در حوزه امنیت استفاده نمایید.
1- دسترسی به روتر خود را کنترل نمایید
اولین کاری که باید انجام دهید این است که قوانینی را برای محدود کردن تمام دسترسی های خارجی به برخی از پورت های روتر اعمال نمایید. شما می توانید همه پورت ها را مسدود کنید، اما همه اوقات لازم نیست. این دستورات زیر از روتر شما در برابر برخی حملات شناسایی محافظت می کند و بدیهی است که دسترسی به این پورت ها را محدود می نماید:
Access-list 110 هر میزبانی را از tcp رد کند $yourRouterIPمعادله 7
Access-list 110 هر میزبانی از tcp را رد کند $yourRouterIP معادله 9
access-list 110 هر میزبانی از tcp را رد کند $yourRouterIP معادله 13
access-list 110 هر میزبانی از tcp را رد کند $yourRouterIP معادله 19
access-list 110 هر میزبانی را از tcp رد کند $yourRouterIPمعادله 23
access-list 110 هر میزبانی از tcp را رد کند $yourRouterIP معادله 79
int x0/0
گروه دسترسی در 110
جایی که $your IP router IP روتر شما و x0/0رابط خارجی شما می باشد. ما همیشه از این قرارداد در این مقاله استفاده خواهیم کرد.
2- دسترسی تلنت به آن را محدود نمایید
Telnet یک پروتکل بسیار امن برای استفاده نیست، اما اگر واقعاً نیاز به استفاده از آن دارید (همیشه باید از sshاستفاده نمایید) ممکن است بخواهید تمام دسترسی به آن را محدود کنید (به یاد داشته باشید که تمام ترافیک شما رمزگذاری نشده خواهد بود). بهترین راه برای انجام این کار استفاده از یک لیست دسترسی استاندارد و دستور دسترسی کلاس می باشد.
دسترسی لیست 50 مجوز 192.168.1.1
لیست دسترسی 50 هر گونه گزارش را رد می کند
خط vty 0 4
کلاس دسترسی 50 اینچی
exec-timeout 5 0
جایی که 192.168.1.1 آدرس IP مجاز به telnetروتر می باشد
3- بسته های کلاهبرداری / مخرب را مسدود نمایید
هیچ وقت نباید اجازه دهید که آدرس IP رزرو شده از اینترنت به بیرون شما برسد
رابط و شما می توانید آدرس های پخش و چندپخشی را نیز رد کنید.
لیست دسترسی 111 رد ip 127.0.0.0 0.255.255.255 هر
Access-list 111 رد ip 192.168.0.0 0.0.0.255 any
Access-list 111 deny ip 172.16.0.0 0.0.255.255 a
Access-list 111 deny ip 10.0.0.0 0.255.255.255 a
access-list 111 هر میزبان IP 0.0.0.0 را رد کند
Access-list 111 رد ip 224.0.0.0 31.255.255.255
Access-list 111 هر گونه تغییر مسیری را از icmp رد می نماید
int x0/0
گروه دسترسی در 111
4- SNMPرا محدود نمایید
SNMP باید همیشه محدود باشد، جز در مواردی که بخواهید یک فرد مخرب اطلاعات زیادی از شبکه شما دریافت کند
access-list 112 هر گونه eq snmp udp را رد کند
Access-list 112اجازه IP any any
رابط x0/0
گروه دسترسی 112 اینچ
و اگر اصلاً نمیخواهید از SNMP استفاده کنید، آن را غیرفعال نمایید:
بدون سرور snmp
5- تمامی رمزهای عبور را رمزگذاری نمایید
یک کار بسیار مهم این است که از تمام رمزهای عبور خود با استفاده از الگوریتم قدرتمند تا حد امکان محافظت نمایید. رمز عبور از حالت exec، که دسترسی ممتاز به سیستم IOS را می دهد، می تواند با استفاده از هش MD5تنظیم شود که قوی ترین گزینه موجود در Cisco IOS می باشد.
رمز عبور $Yourرا فعال کنید
تمام رمزهای عبور دیگر، می توانید با استفاده از رمز Vigenere که خیلی قوی نیست، رمزگذاری کنید، اما می تواند کمک کند. برای انجام این فرایند، می توانید از دستور سرویس رمز عبور رمزگذاری استفاده کنید که همه رمزهای عبور موجود در سیستم شما را رمزگذاری می نماید.
رمزگذاری سرویس
6- تمام سرویس های استفاده نشده را غیرفعال نمایید
6.1 - Echo، Chargen را غیرفعال نموده و دور بیندازید
بدون سرویس tcp-small-servers
بدون سرویس udp-small-servers
6.2 - انگشت را غیرفعال نمایید
بدون انگشت سرویس
6.3 - رابط httpdرا غیرفعال کنید
بدون سرور ip http
6.4 - ntpرا غیرفعال کنید (اگر از آن استفاده نمی کنید)
ntp را غیر فعال کنید
7- چند گزینه امنیتی اضافه شود
7.1 - مسیریابی منبع را غیرفعال کنید
بدون منبع آی پی مسیر
7.2 - Proxy Arpرا غیرفعال کنید
بدون ip proxy-arp
7.3 - تغییر مسیرهای ICMP را غیرفعال کنید
رابط s0/0(رابط خارجی شما)
بدون تغییر مسیر آی پی
7.4 - غیرفعال کردن حافظه پنهان مسیر چندپخشی
رابط s0/0(رابط خارجی شما)
بدون mroute-cacheآی پی
7.5 - CDPرا غیرفعال کنید
سی دی پی اجرا نمی شود
7.6 - پخش مستقیم را غیرفعال کنید (محافظت در برابر حملات اسمورف)
بدون ip Directed-Badcast
8- همه چیز را ثبت نمایید
برای اتمام، باید همه چیز را در یک Log Server خارجی وارد نمایید. شما باید همه چیز را از تمام سیستم های خود انجام دهید و همیشه گزارش ها را تجزیه و تحلیل کنید.
اشکال زدایی تله ورود
ورود به سیستم 192.168.1.10
که در آن 192.168.1.10 آی پی سرور لاگ شما است (پیکربندی شده به عنوان سرور Syslog)
نتیجه
با این مراحل ساده می توانید امنیت زیادی به روتر خود اضافه کنید، از آن در برابر بسیاری از حملات احتمالی محافظت کنید و امنیت شبکه خود را بیشتر کنید.
فقط به عنوان نمونه، می توانید نتیجه nmap را قبل و بعد از اعمال این گزینه ها مشاهده کنید:
قبل از:
Bash-2.05b# nmap -O 192.168.1.1
شروع nmap V. 3.00 (www.insecure.org/nmap/)
پورت های جالب در (192.168.1.1):
خدمات دولتی بندر
7/tcpاکو باز کنید
9/tcp باز کردن دور انداختن
13/tcp در طول روز باز است
شارژ باز 19/tcp
شبکه راه دور باز 23/tcp
79/tcp انگشت باز
80/tcp http را باز کنید
حدس های سیستم عامل از راه دور: AS5200، سرور ترمینال Cisco 2501/5260/5300 IOS 11.3.6 (T1)، Cisco IOS 11.3 - 12.0 (11)
بعد از:
Bash-2.05b# nmap -P0 -O 192.168.1.1
شروع nmap V. 3.00 (www.insecure.org/nmap/)
هشدار: تشخیص سیستم عامل بسیار کمتر قابل اعتماد است زیرا ما حداقل 1 پورت TCPباز و 1 بسته TCP پیدا نکردیم
همه 1601 پورت اسکن شده در (192.168.1.1) عبارتند از: فیلتر شده
تعداد زیادی اثر انگشت با این میزبان مطابقت دارد تا بتوانم یک حدس دقیق سیستم عامل را ارائه دهم
اجرای Nmapتکمیل شد - 1 آدرس IP (1 میزبان بالا) در 403 ثانیه اسکن شد
روترهای سیسکو برندی از تجهیزات شبکه می باشند که به کاربران امکان ایجاد شبکه های محلی را می دهند. روترهای سیسکو معمولاً در محیط های شرکتی استفاده می شوند و برای مدیریت صحیح نیاز به آموزش و گواهینامه های تخصصی دارند. اگر یک روتر سیسکو دارید و می خواهید به سرعت پورت های استفاده شده توسط Microsoft Exchange Server را باز نمایید تا بتواند به درستی کار کند، کدام پورت ها را باز می کنید بستگی به نحوه تنظیم سرور صرافی شما دارد، اما به طور کلی، رایج ترین پورت ها پورت ها هستند. 110 و 25، پورت های سرور ایمیل ورودی و خروجی.
دستورالعمل باز کردن پورتها در روتر سیسکو برای اجازه دادن به Exchange Serverبرای فعالیت
1. از طریق telnet به روتر سیسکو خود وصل شوید. این فرآیند بسته به مدل روتر شما و پیکربندی شبکه خاص شما بسیار متفاوت است، بنابراین اگر مطمئن نیستید که چگونه به روتر خود متصل شوید، با سرپرست شبکه خود مشورت نمایید.
2. "access-list port_number allow tcp any host $router_IP_Address" را در خط فرمان بنویسید، جایی که "port_number" پورت سرور Exchangeاست که می خواهید از طریق روتر اجازه دهید و "router_IP_Address" آدرس IP روتر سیسکو است.
3. "Enter" را فشار دهید تا قانون پورت را به روتر خود اضافه نمایید. مراحل 2 و 3 را در صورت نیاز تکرار کنید تا هر تعداد پورت را که توسط راه اندازی Exchange Serverخاص شما لازم است باز کنید.
4. پس از اتمام باز کردن پورت ها در روتر سیسکو، جلسه تلنت خود را با نوشتن "exit" ببندید.
در صورتی که مشکلات شما در این بحث هنوز حل نشده است می توانید از کارشناسان مجموعه نیتا شبکه راهنمایی دریافت کنید.
منبع: router switch
