انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators
انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

فایل پرزنت جلسات سوم و چهارم دوره پیکربندی امن تجهیزات اکتیو شبمه

فایل پرزنت جلسات سوم و چهارم دوره پیکربندی امن تجهیزات اکتیو شبکه - مرکز آپا دانشگاه فردوسی مشهد - مرداد ماه ۱۳۸۹



۱- معرفی مفاهیم VTP، VLAN ، Trunk Port و ... (برای دانلود اینجا کلیک نمایید.)

2- نحوه پیکربندی VLAN و تنظیمات VTP بر روی تجهیزات سوئیچ سیسکو(برای دانلود اینجا کلیک نمایید.)



۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت چهارم

۴- پیکربندی WEB Management Console و مدیریت سطح دسترسی به پانل WEB سوئیچ های مدیریتی Cisco  :




امکان دسترسی به وب کنسول مدیریتی سوئیچ های سیسکو بصورت پیش فرض فعال است. این مطلب به این معنی است که درصورتیکه آدرس Management VLAN که عموما VLAN 1 دستگاه سوئیچ خواهد بود در دسترس سیستم رایانه ای شما باشد، با وارد کردن IP Address سوئیچ در Internet Explorer می توانید به کنسول مدیریتی سوئیچ دسترسی پیدا کنید. بنابراین سوئیچ بصورت پیش فرض بر روی پورت شماره 80 منتظر شنیدن درخواست جهت ارائه وب کنسول مدیریتی خواهد بود. این قابلیت بواسطه اعمال دستور زیر در مود Global Configuration حاصل شده است :

!
ip http server
!

یکی از اقدامات مؤثر در افزایش امنیت سوئیچ، منتقل کردن پورت پیش فرض وب کنسول مدیریتی از پورت TCP 80 به یک پورت غیر متعارف مثل TCP 3129 است. به این منظور پس از وارد شدن به مود Global Configuration از دستور زیر استفاده کنید :

SW-ITNGN#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
SW-ITNGN(config)# ip http port 3129

با اعمال این تنظیم،اگر به فرض IP Address اینترفیس VLAN 1 بصورت 192.168.0.1 باشد، برای دسترسی به وب کنسول مدیریتی دستگاه باید آدرس زیر را در IE وارد کنید:
http://192.168.0.1:3129

با وجود اینکه پورت پیش فرض دستگاه از 80 به 3129 تغییر کرده و ظاهرا فقط شما از این موضوع مطلع هستید، اما همچنان امکان جستجوی پورت های باز دستگاه با استفاده از نرم افزار های Port Scan وجود داشته و دیر یا زود پیکربندی امن صورت گرفته برملا خواهد شد. جهت جلوگیری از دسترسی افراد ناشناس به وب کنسول مدیریتی سوئیچ می توانید بصورت زیر نسبت به محدود سازی دسترسی به وب کنسول از طریق اعمال Access List اقدام نمایید :

فرض کنید Access List شماره 10 بصورت زیر تعریف شده و تنها آدرس رایانه شما که به فرض آدرس 192.168.1.20 باشد در آن Permit شده باشد:

access-list 10 permit 192.168.1.20

حال با ورود دستور زیر Access List شماره 10 را به وب کنسول مدیریتی سوئیچ اعمال نمایید:

SW-ITNGN(config)# ip http access-class 10

پس از این تنظیم حتی اگر کسی TCP Port تغییر یافته وب کنسول سوئیچ را هم بداند باز هم نمی تواند به آن متصل شده و اقدام به انجام عملیاتی نظیر حملات Brute force نماید.

۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت سوم

Network Security Best Practices and
Cisco Catalyst Switches
Part # 3




۳- پیکربندی service password-encryption بر روی سوئیچ های شبکه  :


دستور عمومی service password-encryption ، سیستم عامل تجهیزات سوئیچ و روتر سیسکو را وادار می سازد نا نسبت به رمزنگاری کلمات عبور، اطلاعات CHAP و سایر اطلاعات از این دست را که در داخل فایل پیکربندی این تجهیزات نگهداری می شود اقدام نمایند. رمزنگاری این اطلاعات کمک شایانی در جلوگیری از افشا شدن اطلاعات محرمانه نام برده شده خواهد بود. اگر این اطلاعات بصورت Clear Text رها شده باشند این امکان وجود دارد تا هنگام پیکربندی و یا صدور دستور Show run توسط فرد غیر مسوولی بر روی مانیتور شما مشاهده و فاش گردند. از این رو شدیدا توصیه می شود تا پس از پیکربندی اولیه سوئیچ یا روتر حتما به عنوان اولین قدم در جهت افزایش امنیت اطلاعات مدیریتی تجهیزات سوئیچ و روتر با استفاده از وارد نمودن دستور زیر نسبت به رمز نگاری اطلاعات محرمانه سوئیچ اقدام نمایید.

service password-encryption بر خلاف روش رمزنگاری دستور Enable secret ،از الگوریتم ساده Vigenère cipher جهت رمزنگاری استفاده کرده و زیاد قابل اطمینان نیست اما بودنش از نبودنش بهتر است، چرا که حداقل با تبدیل متن ساده به کد نافهوم از فاش شدن اطلاعات حیاطی سوئیچ یا روتر با نگاه به صفحه نمایش جلوگیری خواهد کرد.

جهت استفاده از این سرویس بصورت زیر دستورات را وارد نمایید:


ITNGN_CoreSW>
ITNGN_CoreSW>ena
Password:

ITNGN_CoreSW#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

ITNGN_CoreSW(config)#service password-encryption
ITNGN_CoreSW(config)#exit
ITNGN_CoreSW#
%SYS-5-CONFIG_I: Configured from console by console
ITNGN_CoreSW#


سمینار امنیت شبکه های LAN و تجهیزات کاتالیست سوئیچ شرکت Cisco


عنوان سمینار:

 

Securing the LAN with Cisco Catalyst Switches

 

ارائه کننده:

 

Iman Mojtahedin Yazdi – CCNA

CEO@itngn.ir

 

محل برگزاری سمینار:

 

آزمایشگاه اختلالات امنیتی ( آپا )– دانشکده فنی و مهندسی

دانشگاه فردوسی مشهد

http://cert.um.ac.ir

پنج شنبه 16/2/1389 –ساعت 14:00 الی 16:00




جهت دریافت فایل پرزنت سمیناز مذکور بر روی لینک زیر کلیک نمایید.

کلمه عبور مورد نیاز جهت دانلود فایل فوق عبارت "www.itngn.ir" می باشد.

۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت دوم

Network Security Best Practices and
Cisco Catalyst Switches
Part # 2

۲- پیکربندی Port Security بر روی پورت های Access سوئیچ :

یکی از روشهای مؤثر در افزایش امنیت شبکه های LAN استفاده از امکان محدود نمودن پورت های سوئیچ های لایه ACCESS شبکه به آدرس های فیزیکی (MAC Address) معین و از پیش تعیین شده می باشد. این قابلیت باعث جلوگیری از اتصال تجهیزات غیر مجاز به ویژه رایانه های همراه به شبکه سازمان شما و حذف ریسک دسترسی غیر مجاز به منابع میزبانی شده بر روی شبکه خواهد شد. همانطور که می دانید یکی از مهمترین ویژگیهای تجهیزات سوئیچ ذخیره آدرس فیزیکی مبدأ (Source MAC address) بسته های (Frames) وارد شده به سوئیچ در جدولی به نام  MAC Table است. این عمل باعث افزایش سرعت عملیات Forwarding سوئیچ در ارجاعات احتمالی بعدی به آدرس فیزیکی ذخیره شده و همچنین کاهش چشمگیر ترافیک شبکه از طریق کاهش پروسه ARP و Broadcastهای لازم جهت یافتن آدرس فیزیکی مقصد بسته ها خواهد شد. هر ردیف از جدول MAC Table شامل اطلاعاتی در خصوص تناظر یک به یک میان شماره پورد سوئیچ و آدرس های فیزیکی متصل به آن پورت است. جهت مشاهده اطلاعات این جدول می توانید از دستور زیر استفاده نمایید:

ITNGN_SW#show mac-address-table
          Mac Address Table
-------------------------------------------

Vlan    Mac Address         Type           Ports
 ----       -----------          --------         -----

    1    0001.c723.67ec    DYNAMIC     Fa0/24
    1    0009.7ced.920d    DYNAMIC     Fa0/24
    1    00d0.5803.6919    DYNAMIC     Fa0/24
ITNGN_SW#
همانطور که در جدول فوق مشاهده می کنید، سوئیچ آزمایشگاه ما آدرس فیزیکی (MAC) سه تجهیز مختلف را بصورت Dynamic بر روی پورت 24 خود دریافت و ذخیره کرده. این بدان معنی است که بعد از این درصورتی که یک بسته اطلاعاتی با مقصد هر یک از آدرس های فوق وارد سوئیچ گردد، سوئیچ بدون درنگ آن را به سمت پورت 24 خود هدایت خواهد کرد.
در این قسمت می خواهیم با انجام تنظیمات port security سوئیچ را طوری پیکربندی کنیم که سوئیچ بر روی هر پورت خود تنها یک MAC Address را ذخیره کرده و در صورتیکه دستگاه جدیدی با آدرس متفاوت از MAC Address اولیه به این پورت ها متصل شود، پورت سوئیچ بصورت خودکار به حالت Block رفته و در ضمن یک پیغام هشدار برای Syslog server ارسال کند:

ابتدا وارد کنسول مدیریتی سوئیچ شده و وارد محیط پیکربندی اینترفیس مورد نظر می شویم

ITNGN_SW>ena

ITNGN_SW#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

ITNGN_SW(config)#interface fastEthernet 0/1

ITNGN_SW(config-if)#

حالا با استفاده از فرمان زیر ، اینترفیس سوئیچ را برای پیکربندی امنیتی مورد نظر آماده می کنیم:

ITNGN_SW(config-if)#switchport port-security

در این قسمت ماکسیمم تعداد آدرس های فیزیکی که سوئیچ می تواند بر روی این پورت ذخیره کند تعیین می کنیم. با وارد کردن عدد 1 به سوئیچ می فهمانیم که بر روی این پورت اولین آدرس فیزیکی که دریافت کرد را ذخیره و از این پس اگر بسته ای با آدرس فیزیکی مبداء غیر از این آدرس دریافت کرد ، بصورت خودکار پورت سوئیچ را Block و مانع دسترسی رایانه غیر مجاز به شبکه گردد:

ITNGN_SW(config-if)#switchport port-security maximum 1

برای مشخص کردن رفتار سوئیچ در صورت دریافت آدرس فیزیکی غیر مجاز از زیر دستور Violation بصورت زیر استفاده می شود. همانطور که در زیر هم مشخص شده ، رفتار سوئیچ در قبال تشخیص دسترسی غیر مجاز می تواند به یکی از صورت های زیر باشد:

ITNGN_SW(config-if)#switchport port-security violation ?
  protect      Security violation protect mode
  restrict      Security violation restrict mode
  shutdown  Security violation shutdown mode

ITNGN_SW(config-if)#switchport port-security violation shutdown

ITNGN_SW(config-if)#

در مثال فوق رفتار Shutdown به عنوان عکس العمل سوئیچ انتخاب شده که در این حالت سوئیچ با دریافت آدرس فیزیکی غیر مجاز پورت متناظر را به حالت Blocking برده و ضمن قطع ارتباط دسترسی دستگاه غیرمجاز، با ارسال یک پیغام Alert به Syslog server مدیر شبکه را از رویداد امنیتی رخ داده آگاه می سازد.
در خصوص دو انتخاب دیگر، عکس العمل سوئیچ به شرح موارد زیر خواهد بود:

protect      بسته های دریافتی از مبدأ رایانه غیر مجاز Drop شده ولی همچنان پورت شبکه فعال باقی خواهد ماند. در این حالت پیغام Alert و یا Log ارسال نخواهد شد.
restrict      بسته های دریافتی از مبدأ رایانه غیر مجاز Drop شده ولی همچنان پورت شبکه فعال باقی خواهد ماند. در این حالت پیغام Alert جهت Syslog Server ارسال می شود.