امن سازی سیسکو IOS

در جهان امروزی که همه چیز به یکدیگر متصل شده‌اند، امنیت شبکه مهم‌تر از همیشه است. با توجه به اینکه تهدیدات سایبری همچنان در حال تکامل هستند، سازمان‌ها باید اقدامات پیشگیرانه‌ای را برای محافظت از شبکه‌های خود در برابر دسترسی غیرمجاز و فعالیت‌های مخرب انجام دهند. یکی از جنبه‌های حیاتی امنیت شبکه، تقویت دستگاه‌هایی است که بخشی از زیرساخت شبکه را تشکیل می‌دهند، مانند روترها و سوئیچ‌ها. در این بلاگ، ما به بحث در مورد تقویت Cisco IOS می‌پردازیم و بر روی روش‌ها و بهترین شیوه‌ها برای امن کردن دستگاه‌های Cisco که با سیستم عامل Internetwork Operating System (IOS) کار می‌کنند، تمرکز می‌کنیم.

غیرفعال کردن Unused Lines (no exec)

خطوط ترمینالی که استفاده نمی‌شوند، می‌توانند به عنوان نقطه ورودی برای کاربران غیرمجاز باشند. برای غیرفعال کردن این خطوط، دستور no exec  را استفاده کنید.

line aux 0
no exec

محدود کردن پروتکل دسترسی (transport input)

شما می‌توانید با مشخص کردن پروتکل‌های مجاز مانند SSH، روش دسترسی به خطوط ترمینالی را محدود کنید. بهتر است از پروتکل‌های امن و رمزگذاری شده مانند SSH برای دسترسی به خطوط ترمینالی استفاده کنید تا از احتمال نفوذ کاربران غیرمجاز جلوگیری شود. برای محدود کردن دسترسی به خطوط ترمینالی با استفاده از پروتکل SSH، می‌توانید از دستورات مربوط به پروتکل SSH در تنظیمات دسترسی به ترمینال استفاده کنید.

line vty 0 4
 transport input ssh

اعمال ACL (ip access-group)

شما می‌توانید با استفاده از لیست کنترل دسترسی (ACL) برای خطوط ترمینالی، دسترسی کاربران را بر اساس آدرس IP محدود کنید. با اعمال ACL به خطوط ترمینالی، می‌توانید تعیین کنید که کدام آدرس‌های IP مجاز به دسترسی به خطوط ترمینالی هستند و کدام آدرس‌ها مجاز نیستند. برای اعمال ACL به خطوط ترمینالی، باید از دستورات مربوط به ACL در تنظیمات دسترسی به ترمینال استفاده کنید و آدرس‌های IP مجاز و غیرمجاز را مشخص کنید. این کار باعث افزایش امنیت شبکه شما خواهد شد و از نفوذ کاربران غیرمجاز جلوگیری خواهد کرد:

ip access-list standard SSH-ACCESS
 permit 192.168.1.0 0.0.0.255
 deny any

line vty 0 4
 ip access-group SSH-ACCESS in

غیرفعال کردن Session (service tcp-keepalives-in)

فعال کردن TCP keepalives برای شناسایی و قطع ارتباط Hung Sessions، بسیار مهم است. با فعال کردن این ویژگی، سیستم شما به صورت خودکار بررسی می‌کند که آیا جلسه هنگامی که در حالت انتظار قرار دارد، هنوز فعال است یا خیر. در صورتی که جلسه معلق باشد، سیستم به صورت خودکار ارتباط را قطع می‌کند تا منابع سیستم را آزاد کند. برای فعال کردن TCP keepalives، باید تنظیمات مربوط به این ویژگی را در سیستم خود تنظیم کنید. این کار باعث بهبود عملکرد سیستم شما خواهد شد و از مشکلات احتمالی ناشی از جلسات معلق جلوگیری خواهد کرد.

فعال کردن Session Timeout (exec-timeout)

با تنظیم این ویژگی، سیستم شما به صورت خودکار اتصال جلساتی که به مدت مشخصی غیرفعال بوده‌اند را قطع می‌کند. این کار باعث آزاد شدن منابع سیستم و بهبود عملکرد آن خواهد شد. برای تنظیم زمان انقضای جلسه، باید تنظیمات مربوط به این ویژگی را در سیستم خود تنظیم کنید. بهتر است زمان انقضای جلسه را بر اساس نیازهای شما تنظیم کنید تا از قطع اتصال غیرمنتظره جلسات فعال جلوگیری شود و در عین حال منابع سیستم را آزاد نگه دارید.

line vty 0 4
 exec-timeout 10 0

فعال کردن AAA (login authentication, exec authorization)

فعال کردن سه ویژگی Authentication، Authorization و Accounting (AAA) برای خطوط ترمینالی، بسیار مهم است. با فعال کردن این ویژگی‌ها، می‌توانید از امنیت بالاتری برای خطوط ترمینالی خود برخوردار شوید. ویژگی Authentication به شما اجازه می‌دهد تا هویت کاربران را تأیید کنید و از دسترسی کاربران غیرمجاز جلوگیری کنید. ویژگی Authorization به شما اجازه می‌دهد تا دسترسی کاربران را بر اساس نقش و مجوزهای آن‌ها محدود کنید. ویژگی Accounting به شما اجازه می‌دهد تا فعالیت‌های کاربران را ردیابی کنید و از آن‌ها گزارش تهیه کنید. برای فعال کردن ویژگی‌های AAA برای خطوط ترمینالی، باید تنظیمات مربوط به AAA را در سیستم خود تنظیم کنید. این کار باعث بهبود امنیت شبکه شما خواهد شد و از دسترسی کاربران غیرمجاز جلوگیری خواهد کرد.

aaa new-model
aaa authentication login default local
aaa authorization exec default local

پیکربندی Domain Name and Generate Crypto Key

برای تنظیم نام دامنه و تولید یک کلید رمزنگاری برای SSH، می‌توانید از دستورات زیر استفاده کنید:

ip domain-name example.com
crypto key generate rsa modulus 2048

پیکربندی SSH

برای تنظیم نسخه SSH، زمان انقضای اتصال و تعداد تلاش‌های احراز هویت، می‌توانید از دستورات زیر استفاده کنید:

ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3

غیرفعال کردن HTTP

برای فعال کردن سرور HTTPS و غیرفعال کردن سرور HTTP، باید از دستورات زیر استفاده کنید:

no ip http server
ip http secure-server

پیکربندی Management Plane Protection (MPP)

محافظت از سطح مدیریت (MPP) یک ویژگی امنیتی است که ترافیک مدیریتی را به Interface خاصی محدود می‌کند. این ویژگی برای محافظت از سطح مدیریتی یک دستگاه شبکه در برابر دسترسی و حملات غیرمجاز طراحی شده است. MPP با این کار که به مدیران شبکه اجازه می‌دهد تا تعریف کنند کدام Interface مجاز به دریافت ترافیک مدیریتی هستند و کدام Interface نیستند، عمل می‌کند. این کار باعث می‌شود که حملاتکنندگان نتوانند از طریق رابط‌های غیرمجاز به سطح مدیریتی یک دستگاه شبکه دسترسی پیدا کنند.

control-plane
 management-plane inband
  interface FastEthernet0/0
   allow ssh

محافظت از پسوردها

استفاده از دستورات username secret و enable secret برای ذخیره رمز عبور به صورت امن، بسیار مهم است. با استفاده از این دستورات، می‌توانید رمز عبورهای خود را به صورت رمزنگاری شده در سیستم ذخیره کنید و از دسترسی کاربران غیرمجاز جلوگیری کنید.

username admin secret MySecurePassword
enable secret MyEnablePassword

تنظیم Password Policy

اعمال حداقل طول رمز عبور، بسیار مهم است و به شما کمک می‌کند تا از رمز عبورهای ضعیف و قابل حدس‌زدن جلوگیری کنید. برای اعمال حداقل طول رمز عبور، باید از دستورات زیر استفاده کنید:

کنترل Login

برای پیشگیری از حملات Brute-Force، می‌توانید از دو ویژگی login blocking و delay استفاده کنید. با استفاده از این ویژگی‌ها، می‌توانید تعداد تلاش‌های ناموفق برای ورود به سیستم را محدود کنید و در صورت تلاش‌های بیش از حد، دسترسی کاربر را به مدت مشخصی مسدود کنید.

login block-for 60 attempts 3 within 30
login delay 5

تنظیم Banner

نمایش بنر با اطلاعیه‌های قانونی هنگام ورود به سیستم، بسیار مهم است و به شما کمک می‌کند تا از رعایت قوانین و مقررات مربوط به استفاده از سیستم اطمینان حاصل کنید. برای نمایش بنر با اطلاعیه‌های قانونی هنگام ورود به سیستم، باید از دستورات زیر استفاده کنید:

banner login ^C
Unauthorized access is prohibited. Violators will be prosecuted.
^C

تنظیم NTP

برای پیکربندی پروتکل شبکه زمان (NTP) برای همگام‌سازی زمان و احراز هویت، باید از دستورات زیر استفاده کنید:

ntp server 192.168.1.1
ntp authentication-key 1 md5 MyAuthKey
ntp trusted-key 1
ntp authenticate

تنظیم SNMPv3

برای پیکربندی SNMPv3 با تنظیمات کاربر و گروه، باید از دستورات زیر استفاده کنید:

snmp-server group MyGroup v3 priv
snmp-server user MyUser MyGroup v3 auth sha MyAuthPass priv aes 128 MyPrivPass
snmp-server host 192.168.1.2 version 3 priv MyUser

محدود کردن MIB ها در SNMP

در SNMP، می‌توانید با استفاده از ویوها (Views)، دسترسی کاربران به MIBهای خاص را محدود کنید. این کار به شما کمک می‌کند تا از امنیت شبکه خود اطمینان حاصل کنید و از دسترسی کاربران غیرمجاز به اطلاعات حساس جلوگیری کنید.

snmp-server view myview internet included
snmp-server view myview ipRouteTable excluded

پیکربندی Logging

برای پیکربندی تنظیمات لاگ‌ها، باید از دستورات زیر استفاده کنید:

service timestamps debug datetime msec
service timestamps log datetime msec
logging host 192.168.1.3
logging trap informational
logging buffered 8192

غیرفعال کردن سرویس های اضافی

با دستورات زیر میتوان سرویس های غیرضروری را غیرفعال کرد:

no service pad
no ip bootp server
no ip finger
no ip http server
no ip identd

این بهترین روش‌ها و تکنیک‌هایی که در این بلاگ مورد بحث قرار گرفت، به شما کمک می‌کند تا امنیت دستگاه‌های Cisco IOS خود را بهبود بخشید. به یاد داشته باشید که امنیت شبکه یک فرآیند مداوم است و بسیار مهم است که با آخرین تهدیدات و توصیه‌های امنیتی آشنا باشید. بهترین روش برای حفظ امنیت شبکه، پیکربندی و مدیریت دستگاه‌های شبکه به صورت مداوم و به روز رسانی آن‌ها است. همچنین، باید از روش‌های احراز هویت قوی، محدود کردن دسترسی‌ها، پیکربندی لاگ‌ها و مانیتورینگ شبکه استفاده کنید. همچنین، باید از روش‌های پیشگیرانه مانند فایروال، آنتی ویروس و مانیتورینگ ترافیک شبکه استفاده کنید. با اجرای این تکنیک‌ها و رعایت بهترین روش‌های امنیتی، می‌توانید از امنیت شبکه خود اطمینان حاصل کنید و از دسترسی کاربران غیرمجاز به اطلاعات حساس جلوگیری کنید.