در این مقاله بسیار مفید به بررسی امنیت بهتر در روتر و سوئیچ های سیسکو ؛ سطوح دسترسی در تجهیزات سیسکو ؛ تفاوت User Exec و Privileged Exec در چیست ؛ دسترسی به تجهیزات سیسکو با استفاده از CLI و همچنین مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر خواهیم پرداخت. امید است با مطالعه این مقاله بتوانید آنچه نیاز دارید را فرابگیرید. و پروژه ها را بدون مشکل برطرف نمایید.
سطوح دسترسی در تجهیزات سیسکو ؛ شما به عنوان مدیر شبکه سازمان با user mode و همچنین enable mode آشنایی دارید. هنگامی که کاربری به دستگاه سیسکو متصل می شود با سطح دسترسی ۱ متصل می شود. با استفاده از user EXEC mode کاربر نمی تواند تنظیمات روتر یا سوئیچ را تغییر دهد از طرف دیگر دسترسی به فایل Running Configuration هم ندارد. به طور کلی دسترسی کاربران با Privilege سطح ۱ زیاد نخواهد بود. از طرف دیگر کاربران می توانند با وارد کردن دستور enable به سطح دسترسی ۱۵ دسترسی پیدا کنند.
در روتر ها و سوئیچ های سیسکو ۱۶ سطح دسترسی وجود دارد . سطح دسترسی “۰”، که هیچ دسترسی ندارد، سطح دسترسی “۱” که به آن User mode یا user EXEC mode گویند و سطح دسترسی “۱۵” یا Privileged mode که به آن enable mode یا Privileged EXEC mode گویند. این سه سطح دسترسی به صورت پیش فرض در روتر ها و سوئیچ های سیسکو موجود است. سطوح دسترسی از ۲ تا ۱۴ هم به منظور شخصی سازی تعبیه شده است. نکته دیگری که باید در این جا بیان کرد آن است که در صورتی که شما سطح دسترسی بالاتری داشته باشید به تمامی دستوراتی که در سطوح دسترسی پایین تر وجود دارد نیز دسترسی خواهید داشت. به عبارت دیگر دستوراتی که در user EXEC mode وجود دارد زیر مجموعه ای از دستوراتی است که در Privileged EXEC mode فعال می باشد. استفاده از سطوح دسترسی ۲ تا ۱۴ در زیرساخت هایی که از سرور های AAA همچون Cisco Secure ACS استفاده نمی کنند کاربرد دارند. بنابر این به طور مثال در صورتی که شما با استفاده از سطح دسترسی ۲ وارد شوید نمی توانید Configure terminal را اجرا کنید.
HQ-R-01 con0 is now available
Press RETURN to get started.
HQ-R-01#en
HQ-R-01#enable 2
HQ-R-01#conf t
^
% Invalid input detected at ‘^’ marker.
HQ-R-01#do sho
HQ-R-01#do show privile
^
% Invalid input detected at ‘^’ marker.
HQ-R-01#show privile
Current privilege level is 2
HQ-R-01#exit
سطوح دسترسی در تجهیزات سیسکو ؛ در صورتی که بخواهید سطح دسترسی با امکان ورود به Global Configuration mode و تنظیم اینترفیس ها، آدرس ها و همچنین دسترسی خاموش و روشن کردن اینترفیس ها را بدهید باید از دستورات زیر استفاده کنید.
HQ-R-01 con0 is now available
Press RETURN to get started.
HQ-R-01#
HQ-R-01#ena
HQ-R-01#enable
HQ-R-01#privi
HQ-R-01#show privi
HQ-R-01#show privilege
Current privilege level is 15
HQ-R-01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
HQ-R-01(config)#privilege exec level 9 configure terminal
HQ-R-01(config)#privi
HQ-R-01(config)#privilege con
HQ-R-01(config)#privilege conf
HQ-R-01(config)#privilege configu
HQ-R-01(config)#privilege configure lev
HQ-R-01(config)#privilege configure level 2 ?
LINE Initial keywords of the command to modify
HQ-R-01(config)#privilege configure level 2 interface
HQ-R-01(config)#privilege interface level 9 ip address
HQ-R-01(config)#privilege interface level 9 ipv6 address
HQ-R-01(config)#privilege interface level 9 shutdown
HQ-R-01(config)#privilege interface level 9 no shutdown
HQ-R-01(config)#privilege interface level 9 no ip address
HQ-R-01(config)#privilege interface level 9 no ipv6 address
HQ-R-01(config)#exit
HQ-R-01#
دستورات زیر نشان می دهد که تنظیماتی که انجام دادید درست اعمال شده است.
HQ-R-01 con0 is now available
Press RETURN to get started.
HQ-R-01#
HQ-R-01#en
HQ-R-01#enable 9
HQ-R-01#pri
HQ-R-01#privi
HQ-R-01#show pri
HQ-R-01#show privilege
Current privilege level is 9
HQ-R-01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
HQ-R-01(config)#interfac
HQ-R-01(config)#interface fa
HQ-R-01(config)#interface fastEthernet 0/0
HQ-R-01(config-if)#ip dre
HQ-R-01(config-if)#ip dr
HQ-R-01(config-if)#ip add
HQ-R-01(config-if)#ip address 192.168.1.1 255.255.255.0
HQ-R-01(config-if)#no shu
HQ-R-01(config-if)#no shutdown
HQ-R-01(config-if)#
*Jun 17 16:12:34.603: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to down
HQ-R-01(config-if)#
*Jun 17 16:12:34.603: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/0 Physical Port Administrative State Down
*Jun 17 16:12:34.603: %ENTITY_ALARM-6-INFO: ASSERT CRITICAL Fa0/0 Physical Port Link Down
HQ-R-01(config-if)#
به طور کلی فرمت ایجاد سطح دسترسی به صورت زیر است.
HQ-R-01(config)# privilege [mode] level [level] [command-string]
تفاوت User Exec و Privileged Exec در چیست ؛ تا اینجا اقدام به تعیین سطوح دسترسی کردیم. اما این دسترسی ها هیچگونه پسوردی آن ها را محافظت نمی کند. برای افزایش امنیت روتر و سوئیچ سیسکو بهتر است که اقدام به پیکربندی رمز عبور برای EXEC mode کنیم. دو نوع کلمه عبور در روتر ها و سوئیچ های سیسکو قابل پیاده سازی است، یکی “Secret” و دیگری “password”. تفاوت این دو نوع در نحوه ذخیره سازی کلمه عبور در فایل تنظیمات است. در صورتی که شما از “secret” استفاده کنید، کلمه عبوری که انتخاب می کنید به صورت Hash شده از نوع MD5 ذخیره خواهد شد. اما در صورتی که از “password” استفاده کنید، کلمه عبور به صورت text در فایل پیکربندی ذخیره خواهد شد.
همانطور که بیان کردیم با استفاده از دستور secret می توانید رمز عبور را به صورت hash شده ذخیره کنید. به این منظور از فرمت دستوری زیر استفاده کنید.
HQ-R-01(config)#enable secret [0|5] level [1-15] [your-password]
دسترسی به تجهیزات سیسکو با استفاده از CLI ؛ دو نکته در این دستور وجود دارد، نکته اول آن که در صورتی که شما Secret 0 را وارد کنید به این معناست که شما یک پسورد رمزنگاری نشده را وارد خواهید کرد، اما در صورتی که secret 5 را وارد کنید به آن معناست که شما قرار است یک پسورد رمزنگاری شده را وارد کنید. این ویژگی در شرایطی خوب است که شما در موقعیتی هستید که در صورت وارد کردن پسورد، این پسورد توسط دیگران مانیتور می شود. نکته دوم نیز در وارد کردن سطح های دسترسی است شما می توانید با وارد کردن سطح دسترسی مورد نظر این پسورد را به آن سطح دسترسی اختصاص دهید.
*Jun 17 17:24:19.843: %SYS-5-CONFIG_I: Configured from console by console
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#enable secret 0 level 2 newoutlook
R1(config)#exit
پس از وارد کردن دستورات بالا با استفاده از دستورات زیر می توانید فایل hash شده را ببینید.
R1#show runni
R1#show running-config | inclu
R1#show running-config | include enable
enable secret 5 $1$67DW$vieOOimIzIerIH9p8qUX6/
تفاوت password و secret در نحوه ذخیره سازی پسورد ها است. جهت تنظیم پسورد از فرمت دستوری زیر استفاده کنید.
HQ-R-01(config)#enable password [0|7] level [1-15] [your-password]
در این فرمت نیز جهت وارد کردن پسورد به صورت رمزنگاری شده باید از password 7 و جهت وارد کردن پسورد رمزنگاری نشده از password 0 استفاده کنید. جهت پیکربندی پسورد از دستور های زیر استفاده کنید.
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#en
R1(config)#ena
R1(config)#enable pas
R1(config)#enable password 0 leve
R1(config)#enable password 0 level 15 newoutlook
R1(config)#exit
پس از وارد کردن دستورات زیر با استفاده از دستور های زیر نیز می توانید به راحتی پسورد ذخیره شده را مشاهده کنید. مشاهده می کنید که پسورد Hash نشده است.
R1#sho
R1#show run
R1#show running-config
R1#show running-config | inc
R1#show running-config | include en
R1#show running-config | include enab
R1#show running-config | include enable
enable secret 5 $1$2BEK$PExgkPMC.LVzs72Pi7elW/
enable password level 15 newoutlook
ذخیره پسورد ها به صورت text می تواند برای امنیت شبکه سازمان تهدید جدی به حساب بیاید. نفوذ کنندگان می توانند با استفاده از sniff کردن بسته های انتقال شده در شبکه به راحتی به این پسورد ها دست یابند. به این منظور از سرویس encryption password سیسکو استفاده کنید. برای فعال کردن آن از دستورات زیر استفاده کنید.
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#serv
R1(config)#service pas
R1(config)#service password-encryption
R1(config)#exit
R1#sh
*Jun 17 18:10:54.843: %SYS-5-CONFIG_I: Configured from console by console
R1#sho
R1#show run
R1#show running-config | inclu
R1#show running-config | include enable
enable secret 5 $1$2BEK$PExgkPMC.LVzs72Pi7elW/
enable password 7 04570E100A2D0C1F5C590B120504191026242B23
R1#
نکاتی برای انتخاب پسورد های قوی تر
۱- از پسورد های پیچیده استفاده کنید. سعی کنید حداقل از هشت کاراکتر استفاده کرده، در میان آن ها حروف کوچک، حروف بزرگ، شماره ها و همچنین کاراکتر های خاص استفاده شود.
۲- برای هر سطح دسترسی از رمز های عبور مختلف استفاده کنید. دقت کنید که هیچ گاه از همان رمز عبوری که برای سطح دسترسی ۱۵ استفاده کردید برای دیگر سطوح دسترسی آن را به کار نگیرید.
۳- همیشه از enable secret استفاده کنید. درست است که با استفاده از سرویس password encryption پسورد های enable password نیز رمزنگاری می شوند اما همیشه از enable secret استفاده کنید.
این پروژه آموزشی از مجموعه پروژه های آموزشی CCNA Security می باشد. مواردی که در اینجا مطرح شد شامل : تفاوت User Exec و Privileged Exec در چیست ، دسترسی به تجهیزات سیسکو با استفاده از CLI ، مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر می باشد. امید است با استفاده از این مقالات آموزشی بتوانید به افزایش امنیت شبکه سازمان و به خصوص امنیت دستگاه ها و تجهیزات سیسکو بپردازید. در این جا باید بیان کرد که امنیت تجهیزات سیسکو که عموماً هم در شبکه داخلی سازمان می باشند به اندازه لبه شبکه اهمیت دارد. در صورتی که یکی ای دستگاه ها مورد حمله قرار گرفته و نفوذ کنندگان بتوانند آن ها را از کار بیندازند مشکلات بسیاری برای سازمان بوجود خواهد آمد. تمامی متخصصان امنیت شبکه بر این باورند که امینت شبکه داخلی بسیار مهم است. با استفاده از دستور های موجود در این پروژه آموزشی می توانید اقدام به ایمن سازی حداقلی تجهیزات سیسکو کنید. دستوراتی که در این پروژه آموزشی بررسی شد بسیار ابتدایی بوده ولی باید جزء اولین اقداماتی باشند که مدیران شبکه انجام می دهند.
ccna-security-1
ccna-security-2
ccna-security-3
ccna-security-4
ccna-security-5
ccna-security-6
گروه چشم انداز نو با بهره گیری از دانش تخصصی و همچنین نیروهای متخصص و آموزش دیده آماده ارائه خدمات نصب و راه اندازی زیرساخت های VDI ، App Publishing با استفاده از تکنولوژی های مختلف چون مایکروسافت ، VMware و سیتریکس می باشد. همچنین با توجه به نیاز به نگهداری و پشتیبانی این سرویس ها خدمات نگهداری و پشتیبانی این سرویس ها نیز ارائه می شود. برای اطلاع از تعرفه های گروه چشم انداز نو با ما در تماس باشد.
شماره تلفن ۵۶۷۲۱۰۸۴-۰۲۱ 
شماره موبایل و واتس اپ ۰۹۳۶۹۰۶۰۲۵۴
تمامی حقوق برای گروه چشم انداز نو محفوظ است
0 پاسخ به "سطوح دسترسی در تجهیزات سیسکو"