امنیت بیشتر برای اتصال Telnet و SSH در سیسکو

تلنت Telnet و SSH دو پروتکل دسترسی به شبکه و اتصال به سوئیچ یا روتر، از راه دور یا نزدیک، از طریق شبکه داخلی یا اینترنت است. در این یادداشت، با خودداری از بحث‌های علمی و نظری، کوتاه و کاربردی به پیکربندی این دو روش با رعایت مسائل امنیتی می‌پردازم؛ با این فرض که خواننده با مباحث مختلف شبکه‌های کامپیوتری در دوره‌ CCNA سیسکو (Cisco)، از جمله دستورات پیکربندی، آشنایی مقدماتی دارد. همچنین از خلاصه‌نویسی دستورات خودداری کرده‌ام.

دسترسی به روش‌های Telnet و SSH

۱ـ تعریف کاربر / کاربران و رمز عبور برای دور روش دسترسی

• برای کاربری فعال (Privilege) با استفاده از دستور secret رمز عبور تعریف کنید.
• برای کاربری پیکربندی (Global)، نام کاربری را مشخص و رمز عبور را با استفاده از دستور secret تعریف کنید تا اتصال از طریق Telnet و SSH (Security Shell) به روش لوکال لاگین (login local) انجام شود.

رمز عبورها، ترکیبی از عدد و نشانه و حروف باشد. همچنین در استفاده از حروف، یک کلمه با معنا یا مفهوم را استفاده نکنید تا مهاجم و هکر نتواند در زمان کوتاهی! با حمله لغت‌نامه‌ای رمز را پیدا کند.

(config)#hostname {}

(config)#usre {} secret {}

(config)#enable secret {}

• امنیت و محرمانگی رمز‌نگاری (Encryption) را افزایش دهید (این یک روش عمومی است نه مخصوص تلنت و اس‌اس‌اچ).

(config)#service password-encryption

• در روتر، رمز را امنیتی‌تر کنید: کاربران را بر اساس رتبه (۱ تا ۱۵) و میزان دسترسی تعریف کنید و برایشان رمز مشخص کنید. رتبه ۱۵ بالاترین درجه کاربری است و هنگام اتصال، از او رمز اولین ورودی (User Mode) را خواسته نمی‌شود.

Router(config)#username {} privilege {1 | 15} password {}

• از پیام‌های نمایشی مناسب در سه سطح کاربری، برای آگاهی‌‌بخشی به کاربران یا هشدار به مهاجمان استفاده کنید.

(config)#baner motd {@ content @}

(config)#baner motd login {@ content @}

(config)#baner motd exexc {@ content @}

خرید محصولات محلی و خانگی از بازار باسلام + اعتبار هدیه برای اولین خرید

۲ـ پیکربندی Telnet و پورت VTY

در این اتصال، حداکثر ۱۶ کاربر (شماره ۰ تا ۱۵) مجاز به اتصال هستند اما توصیه می‌شود یک تا پنج کاربری بیشتر تعریف نشود. همچنین روش ورود را لوکال لاگین و نوع دسترسی را تلنت مشخص کنید.

(config)#line vty {0 | 15}

(config-line)#login local

(config-line)#transport input {telnet}

اکنون با فرض پیکربندی سوئیچ یا روتر و اختصاص آی‌پی به اینترفیس‌ها، پینگ و اتصال تلنت برای دسترسی به وسیله آی‌پی پورت فعال است:

Pc>ping {192.168.1.1}

!

Pc>telnet {192.168.1.1}

۳ـ پیکربندی SSH و پورت VTY

روش SSH امنیتی‌تر از Telnet است؛ زیرا رمزگذاری آن خیلی قوی‌تر از تلنت است. برای این منظور لازم است یک دامنه با نام مشخص تعریف کرد. همچنین باید طول کلید رمز را مشخص کرد که در محدوده کمترین و بیشترین، معمولاً عدد 1024 توصیه می‌شود.

(config)#hostname { }

(config)#ip domain-name { }

(config)#crypto key generate rsa general-keys modulus {1024}

۴- امنیت بیشتر پورت VTY

• برای امنیت بیشتر این پورت، نسخه دو SSH را فعال کنید.

(config)#ip ssh version 2

• در این اتصال نیز حداکثر ۱۶ کاربر (شماره ۰ تا ۱۵) مجاز به اتصال هستند اما توصیه می‌شود یک تا پنج کاربری {0 5} بیشتر تعریف نشود. همچنین روش ورود را لوکال و نوع دسترسی را اس‌اس‌اچ وارد کنید.

(config)#line vty {0 | 15}

(config-line)#login local

(config-line)#transport input {telnet}

• این پورت را برای تعداد کاربرانی را که در این پورت مجاز نکرده‌اید در دو جهت ورود و خروج، غیرفعال کنید.

(config)#line vty {5 15}

(config-line)#transport input {none}

(config-line)#transport output {none}

• با استفاده از Access List (ACL) نیز می‌توانید ورود و خروج را برایشان غیرفعال کنید.

(config)#line vty {0 15}

(config-line)#acces-class {Acces-number} {in | out}

• مقدار زمان برای برقراری اتصال (Time-out) را بر پایه ثانیه (۰ تا ۱۲ ثانیه) تعیین کنید تا اگر در این مدت نام کاربری و رمز وارد یا تأیید نشد اتصال قطع شود.

(config-line)#exec-timeout {0 | 120}

!

(config)#ip ssh time-out {0 | 120}

• تعداد دفعات مجاز برای وارد کردن رمز عبور را مشخص کنید تا مثلاً پس از دو بار ثبت رمز اشتباه، اتصال قطع شود.

(config)#ip ssh authentication-retries {2}

• اگر لازم است استفاده از DNS را در اینترفیس روتر غیر فعال کنید.

Router(config)#no ip domain-lookup

۴ـ پیکربندی پورت‌های سوئیچ و روتر

اتصال SSH از طریق ip است؛ بنابراین:

• در سوئیچ لایه ۲، اینترفیس منطقی VLAN 1 را که به طور پیش‌فرض غیرفعال است و همه پورت‌ها عضو آن هستند، روشن کنید و به آن آی‌پی بدهید.

(config)#interface vlan 1

(config-if)#no shutdown

(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}

شبکه‌ محلی مجازی VLAN چیست؟ (پیکربندی در سوئیچ و روتر سیسکو)

• در سوئیچ چندلایه (MLS)، وضعیت روتینگ را که مفهوم لایه ۳ای و روتری است فعال کنید (خیلی‌ها فراموش می‌کنند!). همچنین اینترفیس مورد نظر را از حالت سوئیچینگ خارج کنید و به آن آی‌پی معرفی کنید.

(config)#ip routing

!

(config)#inteface fastEthernet | gigabitEthernet {Interface-number}

(config-if)#no switchport

(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}

• در روتر، اینترفیس مورد نظر را که به طور پیش‌فرض خاموش است روشن کنید و به آن آی‌پی دهید.

(config)#inteface gigabitEthernet {Interface-number}

(config-if)#no shutdown

(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}

با فرض پیکربندی سوئیچ یا روتر و اختصاص آی‌پی به اینترفیس‌ها، اکنون پینگ و اتصال اس‌اس‌اچ برای دسترسی به وسیله آی‌پی پورت فعال است:

Pc>ping {192.168.1.1}

!

Pc>ssh -L {192.168.1.1}

امن‌سازی دسترسی به پورت‌های سوئیچ و روتر

امنیت دسترسی به پورت‌های سوئیچ و روتر را با قابلیت‌های زیر افزایش دهید:

Port Security (امنیت پورت‌‌ها در برابر دسترسی بر اساس مک آدرس)

AAA (Authentication, Authorization, Accounting) (احراز هویت کاربران)

DHCP Snooping (تجسس در سرور)

IP Source Guard (محافظ آدرس مبدأ در برابر حملات جعل آدرس)

DAI :Dynamic ARP Inspectin (بازرسی بسته‌های آرپ)

HTTPS (محدودسازی دسترسی از طریق مرورگر)

SNMP (این پروتکل را تا حد ممکن روی قابلیت فقط خواندنی تنظیم کنید)

Switchport mode (پورت‌های بلااستفاده سوئیچ‌ها را غیرفعال کنید)

BDPDU Guard (امن‌سازی پورتکل STP)

CDP (غیرفعال‌سازی CDP روی پورت‌‌های نامطمئن)

و البته استفاده از دستور SHOW را برای بررسی وضعیت پیکربندی و پورت‌ها و موارد امنیتی در کنار مونیتورینگ شبکه فراموش نکنید.

در پایان این یادداشت و برای رفع خستگی، خوب است سری به بازار محصولات روستایی و محلی و خانگی ایران سری بزنید و در اولین خرید ۲۰ هزار تومان تخفیف بگیرید.