انجمن مدیران و راهبران شبکه

Network Managers and Administrators

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

۱۰ نکته مهم در خصوص استفاده از امکانات امنیتی سوئیچ های سیسکو

Network Security Best Practices and
Cisco Catalyst Switches
Part # 1


هدف از درج این مطلب آشنایی شما عزیزان با ۱۰ مورد از کاربردی ترین امکانات امنیتی سوئیچ های شرکت Cisco می باشد که در صورت استفاده صحیح و اصولی از آنها می توانید امنیت شبکه یا سازمان خود را تا حد قابل ملاحظه ای افزایش دهید.

در ارائه و نگارش این سری از مطالب فرض بر این قرار داده شده که شما خواننده گرامی با اصول اولیه کار با تجهیزات سوئیچهای مدیریتی شرکت سیسکو شامل اتصال به پانل مدیریتی و در دست گرفتن Command Line Interface آشنایی داشته و مستقیما به معرفی و نحوه پیکربندی تنظیمات امنیتی مورد بحث پرداخته شده است.


۱- استفاده از پروتکل امن SSH بجای Telnet در خصوص ارتباط با CLI سوپیچ ها:


همانطور که می دانید اطلاعات منتقل شده در هنگام استفاده از پروتکل Telnet (پورت 23/TCP) بصورت unencrypted text یا Clear Text می باشند. بنابراین نام کاربری و رمز عبوری که مدیر شبکه یا متصدی نگهداری تجهیزات سوئیچ جهت برقراری ارتباط با سوئیچ بکار می برد کاملا از جانب حملات MITM مورد تهدید می باشد. بر این اساس اکیدا توصیه می شود در هنگام ارتباط با سوئیچ از پروتکل SSH ( 22/TCP,UDP) Secure Shell استفاده گردد تا در صورت وقوع حملات MITM ، اطلاعات به سرقت رفته قابل استفاده برای هکر نباشد.


به منظور پیکربندی سوئیچ جهت پذیرش ارتباط راه دور با استفاده از پروتکل SSH قدم به قدم بصورت زیر عمل کنید:


ابتدا از طریق کنسول یا Telnet به سوئیچ متصل شده و با ورود دستور enable وارد enable mode سوئیچ شوید:


ITNGN-SW1>enable
 سپس با ورود دستور زیر وارد Configuration mode سوئیچ شوید:
ITNGN-SW1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

در این قسمت نیاز به ایجاد یک نام کاربری و کلمه عبور خواهید داشت تا بتوانید جهت ارتباط از راه دور به سوئیچ از آن استفاده کنید:
ITNGN-SW1(config)#username iman pass 1389

در مرحله بعد جهت ایجاد RSA Encryption Key دو دستور زیر را وارد کنید. بخاطر داشته باشید که عبارت itngn.ir یک کلمه اختیاری می باشد:
ITNGN-SW1(config)#ip domain-name itngn.ir

ITNGN-SW1(config)#crypto key generate rsa

اگر همه چیز درست انجام شده باشد سوئیچ پیغام زیر را نمایش خواهد داد:
The name for the keys will be: ITNGN-SW1.itngn.ir
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

در این قسمت سوئیچ از شما مقدار عددی بین 360 تا 2048 را برای ایجاد Encryption key سوال خواهد کرد. می توانید با فشردن این کلید مقدار پیش فرض 512 را Confirm کنید:
 
How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...[OK]

از اینجا به بعد، دستورات وارد شده مربوط به آماده کردن Line vty جهت پذیرش ارتباطات
راه دور از طریق پروتکل SSH می باشد:
 
ITNGN-SW1(config)#line vty 0 4
ITNGN-SW1(config-line)#login local
ITNGN-SW1(config-line)#transport input ssh
ITNGN-SW1(config-line)#transport output ssh
ITNGN-SW1(config-line)#exit
ITNGN-SW1(config)#exit
ITNGN-SW1#

پایان پروسه پیکربندی SSH بر روی سوئیچ.

این مطلب ادامه دارد.......