منو
منو
  • خانه
  • سیسکو
  • نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو

نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو

cisco security

در این مقاله که ادامه آموزش های CCNA Security می باشد. به افزایش امنیت روتر ها و سوئیچ های سیسکو ؛ ارتقا امنیت روتر و سوئیچ سیسکو ؛ نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو ؛ چگونه امنیت سوئیچ و روتر های سیسکو را ارتقا دهیم ؛ آموزش روش های ایمن سازی تجهیزات سیسکو پرداخته شده است. مطالعه این مقاله برای تمامی کارشناسان شبکه که علاقه مند به فعالیت در حوزه امنیت شبکه می باشند پیشنهاد می شود.

روتر ها و سوئیچ های سیسکو دستگاه های امنیتی نیستند و در بسیاری از شبکه ها تنها برای Routing و Switching از آن ها استفاده می شود. به همین دلیل ویژگی ها و قابلیت هایی در این دستگاه ها وجود دارد که نفوذ کنندگان می توانند از آن ها استفاده کرده و کنترل این دستگاه ها را در دست گیرند. یکی از راهکار هایی که شما می توانید با استفاده از آن اقدام به تشخیص این خطر ها کنید، استفاده از ویزارد Security Audit در ابزار مدیریت روتر های سیسکو Cisco Configuration Professional است. با استفاده از این ویزارد شما به خطر های احتمالی دسترسی پیدا کرده و می توانید اقدامات لازم را به کار بگیرید.

این ویژگی های خطرناک ممکن است در روتر و سوئیچ شما به طور پیش فرض فعال باشند. در این مقاله به بررسی برخی از این ویژگی ها که ممکن است امنیت شبکه و دستگاه های سیسکو را به خطر بیندازند می پردازیم. پس از معرفی ویژگی دستورات لازم برای غیر فعال کردن این ویژگی ها را خواهیم آورد. امید است با استفاده از این پروژه آموزشی مدیران شبکه سازمان بتوانند اقدامات لازم به منظور افزایش امنیت دستگاه های سیسکو را در زیرساخت شبکه سازمان انجام دهند. در ادامه به بررسی ویژگی هایی که باید غیر فعال شوند می پردازیم.

نکته چگونه امنیت سوئیچ و روتر های سیسکو را ارتقا دهیم : با توجه به این که غیر فعال کردن این سرویس ها بسیار مهم است تمامی دستور ها را دی یک تب جمع آوری کردیم شما می توانید با کپی کردن دستورات تب commands تمامی این سرویس ها را به راحتی غیر فعال کنید.

Finger Service: با استفاده از این ویژگی می توان به تشخیص کاربرانی که وارد دستگاه های سیسکو شدند پرداخت. در صورتی که سرویس Finger در روتر یا سوئیچ سیسکو فعال باشد و یک کاربر (خوب یا بد) با استفاده از telnet <router ip address> finger به روتر متصل شود، روتر لیست کاربر هایی که log in هستند را برای کاربر ارسال کرده و ارتباط telnet را قطع می کند. به این ترتیب نفوذ کننده می تواند به راحتی به username های مهم به همراه آدرس های IP را جمع آوری کرده و از آن سوء استفاده کند.

TCP and UDP Small Servers Service: این سرویس ها برای تشخیص و عیب یابی استفاده می شوند. این سرویس ها در IOS های قدیمی به طور پیش فرض فعال است. در نسخه های جدید IOS این سرویس به طور پیش فرض غیر فعال است. این سرویس ها می تواند برای تشخیص و عیب یابی بسیاری مناسب می باشند اما نفوذ کنندگان با استفاده از این سرویس ها می توانند حمله هایی از قبیل Denial-of-Service انجام خواهند داد. در زیر لیست TCP Small Servers ها آمده است:

Echo: با استفاده از این قابلیت هنگامی که شما چیزی در telnet <router IP Address> echo تایپ می کنید آن را باز می گرداند.

Chargen: با استفاده از آن لیستی از داده های ASCII ساخته خواهد شد.

Discard: آنچه که شما تایپ می کنید را حذف می کند.

Daytime: زمان و تاریخ سیستم را نمایش می دهد.

نکته دیگر این است که UDP Small Servers نیز همانند سرویس های بالا است اما به جای TCP از UDP استفاده می کند.

IP BOOTP Server Service: این سرویس در دستگاه های سیسکو این امکان را به حمله کنندگان می دهد که بتوانند IOS را دانلود کنند. به خودی خود مشکلی ایجاد نمی کند اما به هکر ها امکان انجام حملات DoS را می دهد. برای خاموش کردن آن از دستور “no ip bootp server” استفاده کنید.

Cisco Discovery Protocol (CDP):ح CDP اطلاعات حساسی چون مدل روتر و یا سوئیچ سیسکو به همراه نسخه IOS آن را شامل می شود که حمله کنندگان می توانند با استفاده از این اطلاعات اقدام به حمله کنند. با استفاده از دستور ” no ip bootp server” زیر آن را غیر فعال کنید.

IP Identification Service: این سرویس به نفوذ کنندگان این امکان را می دهد که یک پورت TCP درخواست کنند و از این طریق به اطلاعاتی چون مدل و IOS به کار رفته در دستگاه سیسکو دست یابند. با استفاده از دستور “no ip identd” آن را غیر فعال کنید.

IP Source Route: این سرویس به ارسال کننده بسته دیتاگرام ipv4 این اجازه را می دهد تا مسیر ارسال بسته را مشخص کند. به این ترتیب نفوذ کنندگان می توانند با استفاده از این ویژگی مسیر ارسال بسته ها را به کنترل خود در آورند. برای غیر فعال کردن آن از دستور “no ip source-route” استفاده کنید.

IP Gratuitous ARP (Address Resolution Protocol): این سرویس توسط دستگاه های شبکه به منظور اطلاع و یا به روز رسانی آدرس IP استفاده میشد. نفوذ کنندگان می توانند با استفاده از این سرویس در روتر و سوئیچ های سیسکو اقدام به اجرای حمله های man-in-the-middle کنند. برای غیر فعال سازی آن از دستور “no ip gratuitous-arps” استفاده کنید.

Simple Network Management Protocol (SNMP): از دیرباز برای مانیتورینگ از پروتکل SNMP استفاده می شود. استفاده از SNMPv1 ممکن است سازمان را با خطر سرقت اطلاعات مواجه کند، به این دلیل که در این نسخه هیچ رمزنگاری وجود ندارد. برای غیر فعال کردن آن از دستور ” no snmp-server” استفاده کنید.

IP Redirects: این سرویس به دستگاه این اجازه را می دهد تا برای بسته ها از یک مسیر مشخص استفاده کند. نفوذ کنندگان می توانند به راحتی با استفاده از این سرویس به شبکه ضربه بزنند. برای غیر فعال کردن این سرویس از دستور ” no ip icmp redirect” استفاده کنید.

IP Proxy ARP (Address Resolution Protocol): این سرویس به منظور پیدا کردن مک آدرس با استفاده از IP آدرس به کار می رود. برای غیر فعال کردن از دستور “no ip proxy-arp” در اینترفیس مورد نظر استفاده کنید.

IP Directed Broadcast: این سرویس به شما امکان ارسال بسته به آدرس Broadcast شبکه های دیگر را می دهد. به این ترتیب در صورت فعال بودن شما در خطر حمله DoS و smurf می باشید. به منظور غیر فعال کردن آن از دستور ” no ip directed-broadcast” در اینترفیس مورد نظر استفاده کنید.

IP Unreachables: این سرویس به ارسال کننده آدرس های اشتباه را برمی گرداند. در صورتی که فعال باشد می تواند اطلاعات زیادی را در اختیار نفوذ کننده قرار دهد. با دستور ” no ip unreachables” در اینترفیس هدف غیر فعال خواهد شد.

Maintenance Operations Protocol (MOP): یکی از پروتکل های مدیریتی قدیمی است که باید غیر فعال شود. برای غیر فعال کردن آن از دستور “no mop enabled” در اینترفیس مورد نظر استفاده کنید.

Internet Message Control Protocol (ICMP) mask reply messages: در صورتی که این سرویس فعال باشد حمله کننده می تواند به اطلاعات زیادی دسترسی پیدا کند. با استفاده از دستور ” no ip mask-reply” غیر فعال خواهد شد.

TCP Keepalives: این پیام ها برای توسط روتر ها برای تشخیص قطعی ارتباط هایی چون telnet استفاده می شوند. بهتر است این سرویس را فعال کرده تا هم از امنیت آن استفاده کرده و منابع روتر را آزاد کنید. با دستور ” service tcp-keepalives-in” اقدام به فعال سازی آن کنید.

Minimum Password Length: استفاده از رمز های عبور ضعیف در دستگاه های موجود در شبکه می تواند به راحتی آن ها را در مقابل خطرات آسیب پذیر کند. به همین دلیل با استفاده از دستور ” security passwords min-length 8 ” حداقل طول پسورد را هشت کاراکتر قرار دهید.

Authentication Failure Rate: این سرویس به مدیران شبکه سازمان این امکان را می دهد تا در صورتی که تعداد ورود های ناموفق به روتر و یا سوئیچ از تعدادی بیشتر بود، روتر و یا سوئیچ را قفل خواهد کرد. دوره ریست شدن آن نیز پانزده ثانیه است. برای تنظیم آن از دستور ” security authentication failure rate 3 log” استفاده کنید. با استفاده از این دستور پس از سه بار ورود ناموفق روتر و یا سوئیچ سیسکو به مدت پانزده ثانیه قفل خواهند شد.

Unicast Reverse Path Forwarding (RPF): این ویژگی به روتر این قابلیت را می دهد که Source Address بسته های رسیده را چک کند. به منظور افزایش امنیت بهتر است که آن را فعال کنید.

آموزش روش های ایمن سازی تجهیزات سیسکو

تأمین امنیت روتر و سوئیچ های سیسکو یکی از وظایف مهمی است که مدیران شبکه سازمان باید انجام دهند. دلیل این امر هم گستره استفاده از این دستگاه ها در زیرساخت شبکه سازمان است. این دستگاه ها باید امن باشند تا امنیت کامل زیرساخت شبکه سازمان را افزایش داد. تمامی دستور های مورد نیاز برای فعال سازی در تب Commands آمده است. می توانید به راحتی با کپی کردن می توانید آن سرویس هایی که لازم است را غیر فعال کنید و آن سرویس هایی که لازم است را فعال کنید. امید است با استفاده از این پروژه آموزشی اطلاعات شما در خصوص روتر ها و سوئیچ های سیسکو افزایش پیدا کرده باشد.

 

دستورات غیر فعال کردن سرویس های آسیب پذیر در روتر و سوئیچ سیسکو

configure terminal
no service finger
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no cdp run
no ip identd
no ip source-route
no ip gratuitous-arps
no snmp-server
no ip icmp redirect
exit

دستورات زیر بر روی اینترفیس باید تنظیم شوند. در این پروژه بر روی interface fastEthernet 0/0 تنظیم خواهند شد.

configure terminal
interface fastEthernet 0/0
no ip proxy-arp
no ip directed-broadcast
no ip unreachables
no mop enabled
no ip mask-reply
ip verify unicast reverse-path 20
exit
exit

سرویس هایی که باید فعال شوند.

configure terminal
service tcp-keepalives-in
security passwords min-length 8
security authentication failure rate 3 log
exit

 

امید است با استفاده از آموزش روش های ایمن سازی تجهیزات سیسکو ، بتوانید نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو به خوبی درک کرده و بدانید که چگونه امنیت سوئیچ و روتر های سیسکو را ارتقا دهیم و در شبکه سازمان خود این اقدامات را انجام دهید.

 

لینک های مرتبط به آموزش های سیسکو CCNA Security

 

ccna-security-1
ccna-security-2
ccna-security-3
ccna-security-4
ccna-security-5
ccna-security-6

 

گروه چشم انداز نو با بهره گیری از دانش تخصصی و همچنین نیروهای متخصص و آموزش دیده آماده ارائه خدمات نصب و راه اندازی زیرساخت های VDI ، App Publishing با استفاده از تکنولوژی های مختلف چون مایکروسافت ، VMware و سیتریکس می باشد. همچنین با توجه به نیاز به نگهداری و پشتیبانی این سرویس ها خدمات نگهداری و پشتیبانی این سرویس ها نیز ارائه می شود. برای اطلاع از تعرفه های گروه چشم انداز نو با ما در تماس باشد.

 

شماره تلفن ۵۶۷۲۱۰۸۴-۰۲۱        شماره موبایل و واتس اپ ۰۹۳۶۹۰۶۰۲۵۴

لیست شرکت هایی که به ما اعتماد کرده اند

برخی از مشتریان شرکت توسعه راهکارهای نوین داده پرند

5/5 ( 1 نظر )

چند لحظه درنگ

آموزش نصب Cisco Secure ACS
مدیریت دسترسی ها در سیسکو
سطوح دسترسی در تجهیزات سیسکو
آموزش Cisco Configuration Professional
پیکربندی روتر سیسکو برای اتصال از طریق SSH
بهترین نرم افزار های مانیتورینگ شبکه
مارس 12, 2023

0 پاسخ به "نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو"

ارسال یک پیغام

نشانی ایمیل شما منتشر نخواهد شد.

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

تمامی حقوق برای گروه چشم انداز نو محفوظ است

جهت مشاوره رایگان و آگاهی از شرایط سرویس دهی با شماره
56721084 ۰۲۱
و یا شماره موبایل
۹۰۶۰۲۵4 ۰۹۳۶
تماس حاصل فرمایید.

تماس با ما