انجمن مدیران و راهبران شبکه

Network Managers and Administrators

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

استفاده از VACL در سوئیچ های سیسکو به منظور برقراری حفظ حریم خصوصی کاربران

Personal Privacy & Securing confidential plans by using VLAN Access-lists




سلام . به نظر من یکی از بهترین امکانات سوئیچ های لایه Access سیسکو همین VACL هستش. داستان خیلی ساده و شفاف. فرض کنید شما برای برقراری امنیت شبکه، کنترل بسته های Broadcast و خیلی توجیهات دیگه، تصمیم گرفتید توی شبکه سوئیچینگ تحت مدیریتتون VLAN تعریف کنید.

خوب،احتمالا ابتدا  VLAN ها بر اساس سیاست های امنیتی یا نواحی جغرافیایی تعریف خواهند شد، بعدش هم تخصیص پورت های شبکه به VLAN ID ها و نوشتن Access-List و اعمال آن روی اینترفیس VLAN ها انجام میشه. بسیار خوب، حالا تونستید ترافیک بین سگمنت ها رو کنترل کنید ولی این Configuration در مورد کنترل ترافیک موجود بین کلاینت های یک VLAN کارآمد نخواهد بود. پیکربندی زیر نمونه ای از تعریف یک VLAN ACL به منظور کنترل ترافیک پورت ریموت دسکتاپ در داخل یک VLAN می باشد. دیگه بال و پر دادن به این سناریو دست خودتون رو می بوسه.  


ip access-list extended no-RDP
 permit tcp 172.16.5.0 0.0.0.255 172.16.5.0 0.0.0.255 eq 3389


vlan access-map accMAPrdp 10

 match ip address no-RDP
 action drop
vlan access-map accMAPrdp 20
 action forward
!
vlan filter accMAPrdp vlan-list 5



ایمان مجتهدین یزدی iman mojtahedin yazdi CCNA ccna security Access Lists
Iman Mojtahedin Yazdi سه‌شنبه 15 بهمن‌ماه سال 1392 ساعت 19:00
0 نظر

مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر - privileged access policy

privileged access policy

سلام،
خیلی مختصر و مفید .
 به منظور مدیریت و کنترل سطح دسترسی نام های کاربری تعریف شده بر روی سوئیچ یا روتر میتونید از دستور زیر استفاده کنید:

اول اینکه برای نام کاربری مورد نظر، یک Level از سطوح 15گانه دسترسی موجود بر روی سوئیچ انتخاب کنید. با انتخاب این سطح دسترسی، تا اندازه ای کنترل دسترسی را انجام داده اید بطوریکه Privilege 15 بالاترین و Privilege 1 پائین ترین سطح دسترسی را بر روی سوئیچ یا روتر خواهد داشت.

UFO(config)#user iman privilege 8 secret seccccccret

حالا با درج دستور زیر میتونید بصورت خیلی دقیقتر، سطح دسترسی لازم برای یک دستور معمول را مجددا بنا بر نظر خود تغییر و معین کنید:
UFO(config)#privilege exec level 9 ping
با درج این دستور برای روتر یا سوئیچ مشخص می کنید که برای دسترسی به کامند ping، حداقل سطح دسترسی 9 لازم خواهد بود. لذا در مثال قبل، نام کاربری iman با سطح دسترسی 8 اجازه استفاده از دستور ping را نخواهد داشت.
==================================================

ایمان مجتهدین یزدی iman mojtahedin yazdi ccna security Cisco
Iman Mojtahedin Yazdi دوشنبه 9 دی‌ماه سال 1392 ساعت 17:01
2 نظر

کرک نرم افزار Visual CertExam Manager V3.3

سلام صبح بخیر


نرم افزار Visual CertExam Manager یک نرم افزار شبیه ساز امتحانات بین المللی مثل Cisco و Microsoft هستش که برای اون دسته از دوستانی که قصد شرکت در این امتحانات رو دارن شدیدا توصیه می کنم. من خودم مدرک CCNA رو مدیون این نرم افزار می دونم.




لینک دانلود نرم افزار (نسخه 3.3) :


http://www.avanset.com/products/visual-certexam-suite.html?tab=screenshots


لینک فایل کرک : دانلود



فایل های امتحانات رو هم می تونید از این وب سایت دانلود کنید:

http://www.examcollection.com

iman mojtahedin yazdi CCNA ccna security ایمان مجتهدین یزدی
Iman Mojtahedin Yazdi چهارشنبه 27 آذر‌ماه سال 1392 ساعت 07:09
2 نظر

پیکربندی پروتکل 802.1x بر روی سوئیچ به منظور کنترل احراز هویت کاربران قبل از ورود و بهره برداری از بستر شبکه


IEEE 802.1X is an IEEE Standard

for Port-based Network Access Control (PNAC)





دوباره علیک شب یلداتون هم پیشاپیش مبارک

خدمتتون عارضم که این پروتکل 802.1X یکی از اون پروتکل های خیلی خیلی کاربردی در جهت امن سازی و کنترل دسترسی در لایه Access شبکه سوئیچینگ و لایه 2 مدل مرجع OSI هستش.
نحوه عملکرد این پروتکل خیلی ساده ولی بسیار کلیدی و بدردبخوره. داستان از این قراره که وقتی روی سوئیچ این پیکربندی رو انجام بدین عملا هر پورت شبکه سوئیچ به دو sub-interface تبدیل میشه که شامل موارد زیر هستن:
  • controlled port
  • uncontrolled port

بر روی پورت اول، همین طور که از اسمش هم مشخصه تا زمانی که عملیات Authentication بصورت موفق انجام نشه هیچ ترافیکی عبور نخواهد کرد. یعنی اینکه کاربر عملا تا زمانی که نام کاربری و کلمه عبور معتبری بر روی سرور Authentication نداشته باشه امکان استفاده از شبکه رو هم نخواهد داشت.

بر روی پورت دوم ( uncontrolled port) تنها اطلاعات پروتکل های  EAPOL ، STP و CDP  اجازه عبور خواهند داشت که برای موارد کنترلی و از جمله فرآیند احراز هویت سوئیچ مورد استفاده قرار می گیرند.


برای اجرای این پیکربندی وجود سه عنصر زیر لازم و ملزوم یکدیگرند:

  • supplicant یا کامپیوتر کاربر
  • Authenticator یا همون سوئیچ
  • Authentication Server که باید از پروتکل RADIUS پشتیبانی کنه
با اتصال کامپیوتر کاربر به پورت سوئیچ، Authenticator یا همون سوئیچ از طریق یکی از پروتکل های استاندارد زیر نسبت به اخذ اطلاعات نام کاربری و کلمه عبور کاربر اقدام خواهد کرد. این 4 پروتکل معمول عبارتند از:
  • LEAP مختص به سیسکو
  • EAP-FAST
  • PEAP
  • EAP-LTS
سوئیچ هم که فقط با پروتکل RADIUS با سرور Authentication تعامل داره. اگه سرور به سوئیچ OK بده اونوقته که سوئیچ پورت شبکه کاربر رو به حالت Authorized می بره و ترافیک برای کاربر بر روی پورت برقرار می شه.

نکته : این 802.1x از اون پروتکل هایی هستش که علاوه بر سوئیچ ، سیستم عامل کاربر هم باید برای پشتیبانی از اون تنظیم و پیکربندی بشه. یعنی باید برید روی تنظیمات کارت شبکه کلاینت هم این پروتکل رو فعال کنید.

نحوه پیکربندی سوئیچ سیسکو :

پیکربندی این مدل پروتکل ها طبق معمول با دستورات aaa شروع میشه


Room(config)#aaa new-model
Room(config)#aaa authentication dot1x default group radius local
Room(config)#dot1x system-auth-control
بعد مثلا میریم رو پورت شماره 6
Room(config)#interface fastEthernet 0/6
Room(config-if)#dot1x port-control auto

دیگه همین البته قطعا تنظیمات مربوط به سرور RADIUS و نوع پروتکل EAPOL مورد استفاده رو هم باید تنظیم کرد که تو پست های قبلی بهش اشاره شده.

موفق باشید

ایمان مجتهدین یزدی iman mojtahedin yazdi ccna security
Iman Mojtahedin Yazdi سه‌شنبه 26 آذر‌ماه سال 1392 ساعت 18:57
2 نظر

پیکربندی Accounting بر روی تجهیزات روتر و سوئیچ Cisco

AAA Configuration





-------------------------------------------------------------------------------------

به منظور فعال سازی متد احراز هویت متمرکز بر روی تجهیزات سوئیچ و روتر سیسکو می توانید از تنظیمات زیر استفاده نمایید. برای این منظور قبلا باید سرور اکانتینگ مناسب و سازگار با تجهیزات سیسکو را آماده و نام های کاربری مورد نظر خود را در آن تعریف کرده باشید. تجهیزات سیسکو قادرند از طریق دو پروتکل استاندارد RADIUS بر روی UDP port 1812 / 1645 یا tacacs+ بر روی TCP port 49  نسبت به احراز هویت کاربران اقدام نمایند.

برای این منظور پس از آماده سازی سرور Accounting مراحل زیر را دنبال کنید:

  • فعال سازی متد AAA

Room(config)#aaa new-model

  • مشخص کردن آدرس سرور

Room(config)#tacacs-server host 192.168.1.10 key 0 mypass

  • مشخص کردن اولویت مرجع احراز کننده هویت

Room(config)#aaa authentication login default group tacacs+ local enable


در مرحله بالا با وارد نمودن کلمه default به سوئیچ می فهمانیم که در فرایند احراز هویت ابتدا به سراغ سرور tacacs+ رفته، اگر آن سرور در دسترس نبود به سراغ یوزر های تعریف شده در داخل سوئیچ یا سرور برود و اگر چنین یوزری تعریف نشده بود می تواند از طریق پرسیدن کلمه عبور Enable نسبت به احراز هویت کاربر اقدام نماید.


-------------------------------------------------------------------------------------------------------------------------------------

iman mojtahedin yazdi ccna security Cisco
Iman Mojtahedin Yazdi سه‌شنبه 26 آذر‌ماه سال 1392 ساعت 14:23
0 نظر