فایل پرزنت جلسات سوم و چهارم دوره پیکربندی امن تجهیزات اکتیو شبکه - مرکز آپا دانشگاه فردوسی مشهد - مرداد ماه ۱۳۸۹
۱- معرفی مفاهیم VTP، VLAN ، Trunk Port و ... (برای دانلود اینجا کلیک نمایید.)
2- نحوه پیکربندی VLAN و تنظیمات VTP بر روی تجهیزات سوئیچ سیسکو(برای دانلود اینجا کلیک نمایید.)
۴- پیکربندی WEB Management Console و مدیریت سطح دسترسی به پانل WEB سوئیچ های مدیریتی Cisco :
امکان دسترسی به وب کنسول مدیریتی سوئیچ های سیسکو بصورت پیش فرض فعال است. این مطلب به این معنی است که درصورتیکه آدرس Management VLAN که عموما VLAN 1 دستگاه سوئیچ خواهد بود در دسترس سیستم رایانه ای شما باشد، با وارد کردن IP Address سوئیچ در Internet Explorer می توانید به کنسول مدیریتی سوئیچ دسترسی پیدا کنید. بنابراین سوئیچ بصورت پیش فرض بر روی پورت شماره 80 منتظر شنیدن درخواست جهت ارائه وب کنسول مدیریتی خواهد بود. این قابلیت بواسطه اعمال دستور زیر در مود Global Configuration حاصل شده است :
Network
Security Best Practices and
Cisco Catalyst Switches
Part # 3
۳- پیکربندی service password-encryption بر روی سوئیچ های شبکه :
دستور عمومی service password-encryption ، سیستم عامل تجهیزات سوئیچ و روتر سیسکو را وادار می سازد نا نسبت به رمزنگاری کلمات عبور، اطلاعات CHAP و سایر اطلاعات از این دست را که در داخل فایل پیکربندی این تجهیزات نگهداری می شود اقدام نمایند. رمزنگاری این اطلاعات کمک شایانی در جلوگیری از افشا شدن اطلاعات محرمانه نام برده شده خواهد بود. اگر این اطلاعات بصورت Clear Text رها شده باشند این امکان وجود دارد تا هنگام پیکربندی و یا صدور دستور Show run توسط فرد غیر مسوولی بر روی مانیتور شما مشاهده و فاش گردند. از این رو شدیدا توصیه می شود تا پس از پیکربندی اولیه سوئیچ یا روتر حتما به عنوان اولین قدم در جهت افزایش امنیت اطلاعات مدیریتی تجهیزات سوئیچ و روتر با استفاده از وارد نمودن دستور زیر نسبت به رمز نگاری اطلاعات محرمانه سوئیچ اقدام نمایید.
service password-encryption بر خلاف روش رمزنگاری دستور Enable secret ،از الگوریتم ساده Vigenère cipher جهت رمزنگاری استفاده کرده و زیاد قابل اطمینان نیست اما بودنش از نبودنش بهتر است، چرا که حداقل با تبدیل متن ساده به کد نافهوم از فاش شدن اطلاعات حیاطی سوئیچ یا روتر با نگاه به صفحه نمایش جلوگیری خواهد کرد.
جهت استفاده از این سرویس بصورت زیر دستورات را وارد نمایید:
عنوان سمینار:
Securing the LAN with Cisco Catalyst Switches
ارائه کننده:
Iman Mojtahedin Yazdi – CCNA
محل برگزاری سمینار:
آزمایشگاه اختلالات امنیتی ( آپا )– دانشکده فنی و مهندسی
دانشگاه فردوسی مشهد
پنج شنبه 16/2/1389 –ساعت 14:00 الی 16:00
جهت دریافت فایل پرزنت سمیناز مذکور بر روی لینک زیر کلیک نمایید.
کلمه عبور مورد نیاز جهت دانلود فایل فوق عبارت "www.itngn.ir" می باشد.
Network
Security Best Practices and
Cisco Catalyst Switches
Part # 2
۲- پیکربندی Port Security بر روی پورت های Access سوئیچ :
یکی از روشهای مؤثر در افزایش امنیت شبکه های LAN استفاده از امکان محدود نمودن پورت های سوئیچ های لایه ACCESS شبکه به آدرس های فیزیکی (MAC Address) معین و از پیش تعیین شده می باشد. این قابلیت باعث جلوگیری از اتصال تجهیزات غیر مجاز به ویژه رایانه های همراه به شبکه سازمان شما و حذف ریسک دسترسی غیر مجاز به منابع میزبانی شده بر روی شبکه خواهد شد. همانطور که می دانید یکی از مهمترین ویژگیهای تجهیزات سوئیچ ذخیره آدرس فیزیکی مبدأ (Source MAC address) بسته های (Frames) وارد شده به سوئیچ در جدولی به نام MAC Table است. این عمل باعث افزایش سرعت عملیات Forwarding سوئیچ در ارجاعات احتمالی بعدی به آدرس فیزیکی ذخیره شده و همچنین کاهش چشمگیر ترافیک شبکه از طریق کاهش پروسه ARP و Broadcastهای لازم جهت یافتن آدرس فیزیکی مقصد بسته ها خواهد شد. هر ردیف از جدول MAC Table شامل اطلاعاتی در خصوص تناظر یک به یک میان شماره پورد سوئیچ و آدرس های فیزیکی متصل به آن پورت است. جهت مشاهده اطلاعات این جدول می توانید از دستور زیر استفاده نمایید: