فایل خام سناریوی آموزشی "پیکربندی امن تجهیزات شبکه" - مرکز آموزش آپا - دانشگاه فردوسی مشهد

فایل خام سناریوی آموزشی " پیکربندی امن تجهیزات شبکه"
Cisco Packet Tracer v6.0

برای دانلود فایل اینجا کلیک نمایید.

استفاده از VACL در سوئیچ های سیسکو به منظور برقراری حفظ حریم خصوصی کاربران

Personal Privacy & Securing confidential plans by using VLAN Access-lists

سلام . به نظر من یکی از بهترین امکانات سوئیچ های لایه Access سیسکو همین VACL هستش. داستان خیلی ساده و شفاف. فرض کنید شما برای برقراری امنیت شبکه، کنترل بسته های Broadcast و خیلی توجیهات دیگه، تصمیم گرفتید توی شبکه سوئیچینگ تحت مدیریتتون VLAN تعریف کنید.

خوب،احتمالا ابتدا  VLAN ها بر اساس سیاست های امنیتی یا نواحی جغرافیایی تعریف خواهند شد، بعدش هم تخصیص پورت های شبکه به VLAN ID ها و نوشتن Access-List و اعمال آن روی اینترفیس VLAN ها انجام میشه. بسیار خوب، حالا تونستید ترافیک بین سگمنت ها رو کنترل کنید ولی این Configuration در مورد کنترل ترافیک موجود بین کلاینت های یک VLAN کارآمد نخواهد بود. پیکربندی زیر نمونه ای از تعریف یک VLAN ACL به منظور کنترل ترافیک پورت ریموت دسکتاپ در داخل یک VLAN می باشد. دیگه بال و پر دادن به این سناریو دست خودتون رو می بوسه.  

ip access-list extended no-RDP
 permit tcp 172.16.5.0 0.0.0.255 172.16.5.0 0.0.0.255 eq 3389

vlan access-map accMAPrdp 10

 match ip address no-RDP
 action drop
vlan access-map accMAPrdp 20
 action forward
!
vlan filter accMAPrdp vlan-list 5

مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر - privileged access policy

privileged access policy

سلام،

خیلی مختصر و مفید .

 به منظور مدیریت و کنترل سطح دسترسی نام های کاربری تعریف شده بر روی سوئیچ یا روتر میتونید از دستور زیر استفاده کنید:

اول اینکه برای نام کاربری مورد نظر، یک Level از سطوح 15گانه دسترسی موجود بر روی سوئیچ انتخاب کنید. با انتخاب این سطح دسترسی، تا اندازه ای کنترل دسترسی را انجام داده اید بطوریکه Privilege 15 بالاترین و Privilege 1 پائین ترین سطح دسترسی را بر روی سوئیچ یا روتر خواهد داشت.

UFO(config)#user iman privilege 8 secret seccccccret

حالا با درج دستور زیر میتونید بصورت خیلی دقیقتر، سطح دسترسی لازم برای یک دستور معمول را مجددا بنا بر نظر خود تغییر و معین کنید:

UFO(config)#privilege exec level 9 ping

با درج این دستور برای روتر یا سوئیچ مشخص می کنید که برای دسترسی به کامند ping، حداقل سطح دسترسی 9 لازم خواهد بود. لذا در مثال قبل، نام کاربری iman با سطح دسترسی 8 اجازه استفاده از دستور ping را نخواهد داشت.

==================================================

کرک نرم افزار Visual CertExam Manager V3.3

سلام صبح بخیر

نرم افزار Visual CertExam Manager یک نرم افزار شبیه ساز امتحانات بین المللی مثل Cisco و Microsoft هستش که برای اون دسته از دوستانی که قصد شرکت در این امتحانات رو دارن شدیدا توصیه می کنم. من خودم مدرک CCNA رو مدیون این نرم افزار می دونم.

لینک دانلود نرم افزار (نسخه 3.3) :

http://www.avanset.com/products/visual-certexam-suite.html?tab=screenshots

لینک فایل کرک : دانلود

فایل های امتحانات رو هم می تونید از این وب سایت دانلود کنید:

http://www.examcollection.com

پیکربندی پروتکل 802.1x بر روی سوئیچ به منظور کنترل احراز هویت کاربران قبل از ورود و بهره برداری از بستر شبکه

IEEE 802.1X is an IEEE Standard

for Port-based Network Access Control (PNAC)

دوباره علیک شب یلداتون هم پیشاپیش مبارک

خدمتتون عارضم که این پروتکل 802.1X یکی از اون پروتکل های خیلی خیلی کاربردی در جهت امن سازی و کنترل دسترسی در لایه Access شبکه سوئیچینگ و لایه 2 مدل مرجع OSI هستش.
نحوه عملکرد این پروتکل خیلی ساده ولی بسیار کلیدی و بدردبخوره. داستان از این قراره که وقتی روی سوئیچ این پیکربندی رو انجام بدین عملا هر پورت شبکه سوئیچ به دو sub-interface تبدیل میشه که شامل موارد زیر هستن:

• controlled port
• uncontrolled port

بر روی پورت اول، همین طور که از اسمش هم مشخصه تا زمانی که عملیات Authentication بصورت موفق انجام نشه هیچ ترافیکی عبور نخواهد کرد. یعنی اینکه کاربر عملا تا زمانی که نام کاربری و کلمه عبور معتبری بر روی سرور Authentication نداشته باشه امکان استفاده از شبکه رو هم نخواهد داشت.

بر روی پورت دوم ( uncontrolled port) تنها اطلاعات پروتکل های  EAPOL ، STP و CDP  اجازه عبور خواهند داشت که برای موارد کنترلی و از جمله فرآیند احراز هویت سوئیچ مورد استفاده قرار می گیرند.

برای اجرای این پیکربندی وجود سه عنصر زیر لازم و ملزوم یکدیگرند:

• supplicant یا کامپیوتر کاربر
• Authenticator یا همون سوئیچ
• Authentication Server که باید از پروتکل RADIUS پشتیبانی کنه

با اتصال کامپیوتر کاربر به پورت سوئیچ، Authenticator یا همون سوئیچ از طریق یکی از پروتکل های استاندارد زیر نسبت به اخذ اطلاعات نام کاربری و کلمه عبور کاربر اقدام خواهد کرد. این 4 پروتکل معمول عبارتند از:

• LEAP مختص به سیسکو
• EAP-FAST
• PEAP
• EAP-LTS

سوئیچ هم که فقط با پروتکل RADIUS با سرور Authentication تعامل داره. اگه سرور به سوئیچ OK بده اونوقته که سوئیچ پورت شبکه کاربر رو به حالت Authorized می بره و ترافیک برای کاربر بر روی پورت برقرار می شه.

نکته : این 802.1x از اون پروتکل هایی هستش که علاوه بر سوئیچ ، سیستم عامل کاربر هم باید برای پشتیبانی از اون تنظیم و پیکربندی بشه. یعنی باید برید روی تنظیمات کارت شبکه کلاینت هم این پروتکل رو فعال کنید.

نحوه پیکربندی سوئیچ سیسکو :

پیکربندی این مدل پروتکل ها طبق معمول با دستورات aaa شروع میشه

Room(config)#aaa new-model
Room(config)#aaa authentication dot1x default group radius local
Room(config)#dot1x system-auth-control

بعد مثلا میریم رو پورت شماره 6

Room(config)#interface fastEthernet 0/6
Room(config-if)#dot1x port-control auto

دیگه همین البته قطعا تنظیمات مربوط به سرور RADIUS و نوع پروتکل EAPOL مورد استفاده رو هم باید تنظیم کرد که تو پست های قبلی بهش اشاره شده.

موفق باشید