نظام التشغيل (IOS) الموجود على راوترات شركة سيسكو مثله مثل أى نظام تشغيل أخر من الممكن أن تظهر به بعض المشاكل الأمنية أو ثغرات التي من الوجب عليك كمسؤل شبكة ان تعمل على حميتها من اي خراب او دمار ولا سيما جهاز الرور الذي هو الجهاز الاساسي في الربط بين فروع الشركة و يعمل كذلك على نقل البيانات بين الفروع والشركة الام فكان من الزم حميته لحماية الشبكة والبيانات المنتقلة وعدم تعرضها لاي مخاطر اثناء الانتقال فهذه عشر خطوات تعمل على حماية هذا الجهاز وضمان عدم كشف البيانات التي يعمل الروتر على نقلها:
الخطوة اﻷولي: ترقية النظام إلى أحدث إصدار مستقر وذلك لتفادي حدوث أى مشاكل من الممكن أن نواجها مستقبلاً ولكن علينا أن ﻻ ننسي أن نظام IOS نوعاً ما قديم ﻷن عمره تجاوز أكثر من ربع قرن وعلى الرغم من وجود إصدارات حديثة منه إلا أن البنية الأساسية للنظام تؤكد أن اﻷعتماد عليه بشكل كامل شيء غير صحيح وهذا ما أدركته الشركة وقامت بعد ذلك عده أنظمه تعالج فيه العيوب والمشاكل التى كانت تواجهها مثل IOS XE و NX-OS و IOS XR , ولمن يريد معرفة معلومات أكثر عن كيفية عمل ترقية للراوترات فيمكنه الدخول على الرابط التالي من الموقع الرسمي للشركة ويمكنكم الدخول على الرابط التاليلمعرفة طريقة تحديد أخر نظام تشغيل قد اصدرته الشركة للعتاد الموجود لديك؟
الخطوة الثانية: سنتحدث اﻵن عن بعض اﻷعدادات المبدئية التى نقوم بتفعليها عندما نقوم بوضع اﻷعدادات اﻷساسية وستكون كالتالي :-
وضع أعدادات لتأمين منفذ الكونسول
line con 0
exec-timeout 5 0
login
exec-timeout 5 0
login
وضع أعدادات لغلق منفذ الـ Auxiliary
line aux 0
no exec
exec-timeout 0 10
transport input none
no exec
exec-timeout 0 10
transport input none
وضع أعدادات لتأمين الـ VTY
line vty 0 4
exec-timeout 5 0
login
transport input telnet ssh
exec-timeout 5 0
login
transport input telnet ssh
(إذا كنا نريد استخدام SHH للدخول على الراوتر عن بعد فيفضل عدم كتابة هذا اﻷمر)
الخطوة الثالثة: عمل كلمة مرور قوية بأن تكون كلمات المرور مكونة من رموز وعشرة أرقام مع حروف أبجدية غير مكررة وذلك لنصعب اﻷمور على المخترقين في حال ﻻ قدر الله لو حدث أى خرق أمني واﻵن سننتقل إلى كتابة بعض اﻷوامر التى ﻷبد من أن نفعلها لتشفير كلمات المرور على الراوتر وستكون كالتالي :-
service password-encryption
enable secret 0 PASSWORD089
Console line
line con 0
password PASSWORD089
line con 0
password PASSWORD089
Auxiliary Line
line aux 0
password PASSWORD089
line aux 0
password PASSWORD089
الخطوة الرابعة: إنشاء مفتاح تشفير RSA وذلك لضمان إدخال اﻷوامر بطريقة مشفرة وذلك عند استخدامك لـ SSH (ملاحظة: هناك بعض الراوترات التى ﻻ تدعم عملية التشفير وستعلم ذلك أما عن طريق الدخول على الموقع الرسمي للشركة أو عند تطبيقك للأوامر الموضحة في السطور التالية) ولتفعيل الخدمة سنقوم بكتابة اﻷوامر الثالية :-
hostname R1
ip domain-name Networkset.net
crypto key generate rsa
ip domain-name Networkset.net
crypto key generate rsa
الخطوة الخامسة: غلق الخدمات الغير ضرورية لتفادي حدوث أي مشاكل أمنية وفي نفس الوقت تخفيف الحمل عن الراوتر واﻵن سأقوم بذكر بعد اﻷوامر التى نستطيع من خلالها إغلاق بعض الخدمات التى من الممكن أن ﻻ نكون بحاجة إلى تفعيلها مثل :-
no ip identd
no ip source-route
no cdp run
no service config
no ip gratuitous-arps
ip options drop
no ip bootp server
no service finger
no service tcp-small-servers
no service udp-small-servers
no service dhcp
no ip http server
no ip http secure-server
no snmp-server
ntp disable
no ip source-route
no cdp run
no service config
no ip gratuitous-arps
ip options drop
no ip bootp server
no service finger
no service tcp-small-servers
no service udp-small-servers
no service dhcp
no ip http server
no ip http secure-server
no snmp-server
ntp disable
هناك بعض اﻷوامر التى ﻷبد أن تنفذ على منافذذ الراوتر إن لم تكن في حاجة إليها
no ip directed-broadcast
no ip unreachables
no ip redirects
no ip mask-reply
no ip proxy-arp
no ip unreachables
no ip redirects
no ip mask-reply
no ip proxy-arp
الخطوة السادسة: تفعيل بعض الخدمات التى ﻻ تكون مفعلة بشكل إفتراضي ولكنها مفيدة وهي كالتالي :-
- تفعيل خدمة TCP-keepalives لمراقبة الترافيك الذي يمر عبر الراوتر في اﻷتجاهين
service tcp-keepalives-in
service tcp-keepalives-out
service tcp-keepalives-out
- خدمة timestamps وذلك لنقوم بتسجيل كافة التحركات التى تحدث في الراوتر, يذكر ان هذا الخدمة أصبحت متاحة منذ اﻷصدار رقم 11.3
service timestamps debug datetime msec show-timezone localtime
service timestamps log datetime msec show-timezone localtime
service timestamps log datetime msec show-timezone localtime
الخطوة السابعة: مراقب السجلات المخزنة على الراوتر والتى ﻻ تكون مفعلة بشكل إفتراضي ولفعل ذلك علينا كتابة اﻷوامر التالية :-
logging enable
logging buffered 16000
logging console critical
logging trap informational
logging buffered 16000
logging console critical
logging trap informational
الخطوة الثامنة: تفعيل خدمة الـ AAA على الراوتر حتى وأن كانت الخدمة مفعلة على الخوادم ولتفعيلها يمكنك كتاية اﻷوامر التالية :-
aaa new-model
aaa authentication login default local
aaa authorization commands 15 default local
aaa authentication login default local
aaa authorization commands 15 default local
الخطوة التاسعة: استخدام Access Control List للتحكم في حركة الترافيك وإسقاط كل التحركات المخالفة والمزيفة وذلك غير أن مثل هذه القواعد للتعامل مع هجمات الحرمان من الخدمة (DoS) ولكن علينا أن أن نتعامل مع هذه القواعد بالحكمة ﻷنها تؤثر بشكل كبير على معالج الراوتر.
الخطوة العاشرة: هناك بعض اﻹجراءات اﻹضافية التى علينا أن نتخذها وستكون ما يلي :-
- إسقاط عناوين Bogon هى عبارة عن عناوين IP وهمية موجودة على شبكة اﻹنترنت ولكنها لم تصدر من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) والتى ﻻ يجب عليها أن تظهر على اﻹنترنت ومن المعتاد أن يقوم مزودي خدمة اﻹنترنت والمؤسسات الكبيرة بعمل تصفية لمثل هذه العناوين بأستخدام قوائم الـ ACL على الراوترات أو عن طريق الـ BGP blackholing أو ممكن استخدام Null Routing وكل هذه الخيارات تستخدم لهدف واحد وهو حتى ﻻ تصل مثل هذه العناوين إلى العملاء أو الموظفين والغرض من هذا تجنب التهديدات التى من الممكن أن تأتي من خلالها.
- إسقاط IPv4 & IPv6 Martians هى عبارة عن عناوين صادرة من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) ومع ذلك فلا يجب أن تظهر على اﻹنترنت وأن ظهرت فهذا يعني أنها أما قادمة من راوتر عليها Misconfiguration أو أنها محاولة هجوم من نوعاً ما سواء كانت تصيد أو غير ذلك.
- تطبيق Verify unicast reverse-path في الشبكات الصغيرة والمتوسطة.
ملحوظة : يفضل متابعة المقالات والتدوينات التى تتحدث عن الثغرات التى تم إكتشافها في راوترات سيسكو سواء الموجودة على الموقع الرسمي للشركة أو المنشورة على مواقع أخري ولذلك لإيجاد حل مناسب وسريع لسد مثل هذه الثغرات حتى لا يحدث أى خرق أمني للشبكة المسئول عنها!
وأخيراً سنذكر بعض البرامج واﻷدوات التى من الممكن أن تساعد على تأمين الراوتر وهما برنامج Router Administration Tool وبرنامج Cisco AutoSecure وبرنامج Border Router Security Tool
المصد: networkset
احد المهتمين بالشبكات
مهتم بجمع المحتوى العربي في موقع واحد يسهل على الباحث عن المعلومات ايجاد كل ما يريد من المعلومات على موقع واحد فقط
اغلب التدوينات منقوله من مواقع ومدونات عربيه للفائده
.png)