در این مقاله به بررسی مدیریت بهتر امنیت روتر و سوئیچ های سیسکو با مدیریت دسترسی ها در سیسکو می پردازیم. مدیریت متمرکز دسترسی ها در تجهیزات سیسکو سبب می شود که مدیران شبکه بتوانند بر روی زیرساخت شبکه مدیریت داشته و در صورت بروز مشکل فنی و یا امنیتی اقدامات لازم را انجام دهند.
یکی از مهمترین اقداماتی که مدیران شبکه سازمان ها به منظور افزایش امنیت شبکه داخلی باید انجام دهند، ایجاد و اعمال سطوح دسترسی های مختلف برای دستگاه های داخل شبکه است. هر یک از دستگاه های موجود در زیرساخت شبکه سازمان در صورتی که به خوبی محافظت نشده و قابل دسترسی برای همه کارمندان باشند به راحتی می توانند به یک دروازه برای حمله و نفوذ تبدیل شوند. در صورت نفوذ عوامل بیگانه به داخل سازمان خسارت های جبران ناپذیری به سازمان وارد خواهد آمد.
در مقاله آموزشی گذشته به تنظیم سطوح دسترسی های مختلف در روتر ها و سوئیچ های سیسکو پرداختیم. پس از آن اقدام به پیکربندی پسورد برای این سطوح های دسترسی کردیم. برای شرکت های کوچک با چند دستگاه این نوع پیاده سازی سطوح دسترس معقول می باشد. اما مشکل آن جایی پیچیده خواهد شد که شما مدیر شبکه یک سازمان متوسط و یا بزرگ هستید. در این سازمان ها چند ده و یا چند صد دستگاه سیسکو موجود می باشد. در این سازمان ها استفاده از راهکار های AAA پیشنهاد می شود. به این ترتیب دیگر اطلاعات ورود و دسترسی ها در دیتابیس دستگاه ذخیره نمی شود و تمامی اطلاعات در یک سرور مرکزی ذخیره خواهند شد.
AAA مخفف کلمات Authentication، Authorization و Accountingمی باشد.
احراز هویت یا Authentication: احراز هویت فرایندی است که به شناخت کاربر و یا دستگاه می پردازد و به این امر رسیدگی می کند که آیا این کاربر یا دستگاه همانی است که ادعا می کند؟ عموماً برای احراز هویت از USER ID و Password استفاده می شود. از دیگر انواع احراز هویت می توان به احراز هویت بیومتریک و احراز هویت با گواهینامه دیجیتال اشاره کرد. احراز هویت به سؤال ” تو چه کسی هستی” و ” تو همانی هستی که می گی؟” پاسخ می دهد.
اختیار یا Authorization:م Authorization فرایندی است پس از احراز هویت که در آن مشخص می شود که کاربری که قصد دسترسی به دستگاه، داده و یا اجرای دستوری را دارد، مجوز دسترسی به دستگاه، داده و یا اجرای دستور را دارد یا خیر؟ Authorization به این سؤال پاسخ می دهد که ” آیا شما اجازه انجام این کار را دارید؟”.
Accounting: را می توان پیگیری داده ها، دسترسی ها، استفاده ها، رویداد ها و یا منابع شبکه تعریف کرد. Accounting به دو سؤال مهم پاسخ می دهد ” چه کردی؟” و ” چه کسی این کار را کرد؟”.
دو پروتکل اصلی AAA در محصولات سیسکو RADIUS و TACACS+ می باشد.
پروتکل RADIUS یا Remote Authentication Dial-in User Service یکی از پروتکل های AAA است که در تمامی دستگاه پشتیبانی می شود. این پروتکل در سال ۱۹۹۱ طراحی شده است. RADIUS بعد ها تبدیل به استاندارد IETF شد. برخی از سرور های RADIUS از UDP Port 1812 برای احراز هویت و UDP port 1813 برای Accounting استفاده می کنند. دیگر سرور ها نیز از UDP port 1645 برای احراز هویت و UDP port 1646 برای Accounting استفاده می کنند.
TACACS+ پروتکل دیگر AAA است. این پروتکل توسط سیسکو طراحی شده است. این پروتکل از TCP استفاده کرده و سرویس های جداگانه Authentication، Authorization و Accounting را ارائه می دهد.
هر دو پروتکل می توانند به عنوان پروتکل مرکزی احراز هویت کاربران، روتر ها، سوئیچ ها و سرویس ها استفاده شوند. در صورتی که مدیر شبکه یک سازمان متوسط و یا بزرگ با چند صد دستگاه و کاربر می باشید استفاده از دیتابیس محلی دستگاه ها برای احراز هویت نمی تواند گزینه مناسبی باشد و حتماً باید از راهکار های بهتری چون AAA استفاده کنید. در جدول زیر تفاوت دو پروتکل RADIUS و TACACS+ آمده است.
| RADIUS | TACACS+ |
| از پروتکل UDP لایه انتقال استفاده می کند | از پروتکل TCP لایه انتقال استفاده می کند |
| از پورتهای ۱۸۱۲ و ۱۸۱۳ یا ۱۶۴۵ و ۱۶۴۵ استفاده می کند | از پورت ۴۹ استفاده می کند |
| در این پروتکل تنها پسورد ها رمزنگاری می شوند | در این پروتکل تمام ارتباط رمزنگاری می شود |
| در این پروتکل Authentication و Authorization با هم جمع شدند | در این پروتکل Authentication، Authorization و Accounting سه مقوله متفاوت است |
| تمامی تولید کنندگان می توانند از این پروتکل پشتیبانی کنند | تنها سیسکو حق استفاده دارد |
| منابع کمتری مصرف می کند | منابع زیادی مصرف می کند |
| محدود به Privilege mode است | تمامی ۱۵ سطح را پشتیبانی می کند |
| بیشتر برای دسترسی به شبکه استفاده می شود | بیشتر برای مدیریت دستگاه ها استفاده می شود |
Cisco Secure Access Control مجموعه ای از سرور های AAA که توسط سیسکو به منظور پیاده سازی زیرساخت AAA برای سازمان ها ساخته شده است. مدیران شبکه سازمان ها می توانند از Secure Access Control Server های سیسکو به منظور پیاده سازی مدیریت دستگاه ها، احراز هویت کاربران، پالیسی ها، مدیریت شبکه و…. استفاده کنند.
دیوایس ACS سیسکو: این دیوایس که قابل استفاده در رک می باشد، دارای یک سیستم عامل لینوکس به همراه نرم افزار ACS است.
نسخه لینوکسی ACS: این نسخه را می توانید به راحتی بدون نیاز به تهیه دیوایس بر روی یک Hypervisor چون Vmware ESXi یا سیتریکس زن سرور پیاده سازی کنید. با توجه به رشد روز افزون ایجاد زیرساخت های مبتنی بر نرم افزار افزایش ارائه این نسخه ها نیز روز به روز بیشتر شده و دیگر سازمان ها به سخت افزار وابسته نیستند.
همانطور که در بالا بسیار بیان کردیم مدیریت دستگاه های سیسکو در زیرساخت شبکه بسیاری مهم و حیاتی است. در صورتی که مدیران شبکه مدیریت دستگاه های داخلی را فراموش کنند نفوذ کنندگان به راحتی می توانند اقدام به حمله کنند. با استفاده از نرم افزار های مدیریتی امنیتی چون Cisco Secure Access Control System می توان بسیاری از خطرات را جلوگیری کرد. به امید خدا در مقاله های آموزشی بعدی به نحوه نصب و پیاده سازی Cisco Secure Access Control System در ماشین مجازی و نحوه استفاده از آن خواهیم پرداخت. امید است با استفاده از این مقالات مدیران شبکه سازمان ها بتوانند امنیت شبکه را هر چه بیشتر افزایش داده و سازمان را از تهدید نفوذ کنندگان حفظ کنند.
ccna-security-1
ccna-security-2
ccna-security-3
ccna-security-4
ccna-security-5
ccna-security-6
گروه چشم انداز نو با بهره گیری از دانش تخصصی و همچنین نیروهای متخصص و آموزش دیده آماده ارائه خدمات نصب و راه اندازی زیرساخت های VDI ، App Publishing با استفاده از تکنولوژی های مختلف چون مایکروسافت ، VMware و سیتریکس می باشد. همچنین با توجه به نیاز به نگهداری و پشتیبانی این سرویس ها خدمات نگهداری و پشتیبانی این سرویس ها نیز ارائه می شود. برای اطلاع از تعرفه های گروه چشم انداز نو با ما در تماس باشد.
شماره تلفن ۵۶۷۲۱۰۸۴-۰۲۱ 
شماره موبایل و واتس اپ ۰۹۳۶۹۰۶۰۲۵۴
تمامی حقوق برای گروه چشم انداز نو محفوظ است
0 پاسخ به "مدیریت دسترسی ها در سیسکو"