X
تبلیغات
سکه 24

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت چهارم

۴- پیکربندی WEB Management Console و مدیریت سطح دسترسی به پانل WEB سوئیچ های مدیریتی Cisco  :




امکان دسترسی به وب کنسول مدیریتی سوئیچ های سیسکو بصورت پیش فرض فعال است. این مطلب به این معنی است که درصورتیکه آدرس Management VLAN که عموما VLAN 1 دستگاه سوئیچ خواهد بود در دسترس سیستم رایانه ای شما باشد، با وارد کردن IP Address سوئیچ در Internet Explorer می توانید به کنسول مدیریتی سوئیچ دسترسی پیدا کنید. بنابراین سوئیچ بصورت پیش فرض بر روی پورت شماره 80 منتظر شنیدن درخواست جهت ارائه وب کنسول مدیریتی خواهد بود. این قابلیت بواسطه اعمال دستور زیر در مود Global Configuration حاصل شده است :

!
ip http server
!

یکی از اقدامات مؤثر در افزایش امنیت سوئیچ، منتقل کردن پورت پیش فرض وب کنسول مدیریتی از پورت TCP 80 به یک پورت غیر متعارف مثل TCP 3129 است. به این منظور پس از وارد شدن به مود Global Configuration از دستور زیر استفاده کنید :

SW-ITNGN#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
SW-ITNGN(config)# ip http port 3129

با اعمال این تنظیم،اگر به فرض IP Address اینترفیس VLAN 1 بصورت 192.168.0.1 باشد، برای دسترسی به وب کنسول مدیریتی دستگاه باید آدرس زیر را در IE وارد کنید:
http://192.168.0.1:3129

با وجود اینکه پورت پیش فرض دستگاه از 80 به 3129 تغییر کرده و ظاهرا فقط شما از این موضوع مطلع هستید، اما همچنان امکان جستجوی پورت های باز دستگاه با استفاده از نرم افزار های Port Scan وجود داشته و دیر یا زود پیکربندی امن صورت گرفته برملا خواهد شد. جهت جلوگیری از دسترسی افراد ناشناس به وب کنسول مدیریتی سوئیچ می توانید بصورت زیر نسبت به محدود سازی دسترسی به وب کنسول از طریق اعمال Access List اقدام نمایید :

فرض کنید Access List شماره 10 بصورت زیر تعریف شده و تنها آدرس رایانه شما که به فرض آدرس 192.168.1.20 باشد در آن Permit شده باشد:

access-list 10 permit 192.168.1.20

حال با ورود دستور زیر Access List شماره 10 را به وب کنسول مدیریتی سوئیچ اعمال نمایید:

SW-ITNGN(config)# ip http access-class 10

پس از این تنظیم حتی اگر کسی TCP Port تغییر یافته وب کنسول سوئیچ را هم بداند باز هم نمی تواند به آن متصل شده و اقدام به انجام عملیاتی نظیر حملات Brute force نماید.
تاریخ ارسال: جمعه 4 تیر‌ماه سال 1389 ساعت 10:33 | نویسنده: Iman Mojtahedin Yazdi | چاپ مطلب 1 نظر