آموزش شبکه و برنامه‌نویسی

با ما بروز باشید

آموزش CCNA Security- Network Foundation Protection (درس چهارم)

فصل سوم - Network Foundation Protection
NFP یا Network Foundation Protection چارچوبی امنیتی است که توسط سیسکو طراحی شده است تا به طور منطقی کارکرد‌هایی که در شبکه اتفاق می‌افتد را گروه‌بندی کند، در این چارچوب تعدادی از تکنیک‌ها و روش‌های ایمن‌سازی روتر‌ها و سویچچ را با هم ترکیب کرده و از حملات جلوگیری می‌کندو
NFP شامل سه قسمت مجزا است که در زیر آنها را بررسی می‌کنیم:

Management plane
به پروتکل‌ها و ترافیک‌هایی که مدیر شبکه برای متصل شدن به دستگاه‌های شبکه ایجاد می‌کند را Management Plane گفته می‌شود که این ترافیک می‌تواند SSH یا Telnet باشد که مدیر شبکه می‌خواهد از راه دور به دستگاه‌های شبکه متصل شود، البته یک خرابی در Management Plane باعث می‌شود دیگر نتوانیم از راه دور به دستگاه‌ها دسترسیی داشته باشیم، به خاطر همین حفظ امنیت آن بسیار مهم است.
Control plane
در این قسمت پروتکل‌های که بین دستگاه‌های شبکه ردو بدل می‌شود مورد بررسی قرار می‌گیرد مانند پیام‌های ARP یا ارسال لیست همسایگی در روتر‌ها که برای بروزرسانی روتر‌های مسیریابی استفاده می‌شود اگر خطا یا اتفاقی در این گروه اتفاق بیفتد دستگاه‌ها توانایی به اشتراک گذاشتن و یادگیری را از دست خواهند داد.
Data plane
به ترافیکی اشاره دارد که توسط کاربر نهایی ایجاد شده است، مثلاً ترافیکی کاربری که یک صفحه را در حال مشاهده است.
وابستگی متقابل
توجه داشته باشید که این سه قسمت با هم در ارتباط هستند، مثلاً اگر در قسمت Control plane خرابی ایجاد شود و ارتباط بین روتر‍‌‌ها قطع شود مطمئناً در قسمت Data plane ارتباط کاربر با سرور یا وب سایت مورد نظر قطع خواهد شد.

در جدول زیر اقدامات امنیتی را که می‌توانیم در هر سه گروه انجام دهیم را مشاهده می‌کنید:

 

در ادامه کار هر سه قسمت DATA plane، Management Plane و Control plane را به طور کامل با هم بررسی می‌کنیم تا دقیقاً اجزا و نحوه کانفیگ انها مشخص شود.

کار با Management plane
در این قسمت می‌خواهیم به تنظیمات اولیه دستگاه‌های شبکه از دید امنیت بپردازیم، هر دستگاه شبکه‎ای که خریداری می‌شود تنظیمات آن به صورت خام و بدون دستکاری افراد دیگر در دسترس مدیر شبکه قرار می‌گیرد و باید بر روی آن راه‌کارهای امنیتی را برای امن نگه داشتن آن پیاده‌سازی کنیم.
طبق آموزش‌های که در کتاب CCNA بنده مطالعه کردید زمانی که یک روتر یا یک سوئیچ سیسکو را تهیه می‌کنید همراه آن یک کابل آبی رنگ که به عنوان کابل کنسول شناخته می‌شود قرار دارد و از طریق آن می‌توانید به دستگاه خود متصل شوید و تنظیمات اولیه آن را انجام دهید ولی اگر توجه کرده باشید هیچ گونه نام کاربری و رمز عبوری از شما درخواست نمی‌شود، اصولاً زمانی که به روتر متصل می‌شوید یک آدرس IP برای آن در نظر میگیرید و بعد از آن یکی از سرویس‌های Telnet و SSH را برای راحتی کار بر روی آن فعال می‌کنید، فعال کردن این نوع سرویس‌ها نیازمند این است که بستر امنیت را در روتر فراهم کنید.
روش‌هایی برای حفظ Managemant Plane
در این قسمت برای اینکه در بخش Managemant Plane بتوانید امنیت اطلاعات را افزایش دهید روش‌هایی را برای بالا بردن امنیت بررسی می‌کنیم:
•    استفاده از رمز عبور قدرتمند
بدست آورن رمز عبور پیچیده و قدرتمند بسیار سخت است و حدس زدن ان هم آسان نخواهد بود، اصولاً مهاجمان با استفاده از دیکشنری از رمز‌های عبور سعی در شکستن قفل دستگاه می‌کنند که اگر چنانچه رمز عبور را ساده قرار دهید مثلاً 123456 این نوع رمز‌ها به راحتی هک خواهد شد و به خاطر همین همیشه سعی کنید از رمز عبور پیچیده استفاده کنید، روش دیگر حمله به رمز عبور را می‌توان از brute-force هم نام برد که در ادامه کتاب درباره آن صحبت خواهیم کرد.
•    تایید اعتبار کاربر و استفاده از AAA
برای اینکه امنیت افزایش پیدا کند باید به کاربران سازمان خود یک نام کاربری به همراه رمز عبور اختصاص دهید تا مهاجم برای وورد به دردسر بیفتد، توجه داشته باشید سیستم AAA یا authentication, authorization, and accounting که در ادامه در باره آن بحث خواهیم کرد بسیار می‌تواند در این مورد به شما کمک کند تا بتوانید تسلط کاملی بر روی کاربران و مجوز‌هایی که برای آنها صادر می‌کنید داشته باشید.
•    تلاش برای وورد به سیستم
شما به عنوان مدیر شبکه باید سیساست‌هایی را در قبال کاربرانی که برای وورد به سیستم تلاش می‌کنند داشته باشید، مثلاً باید یک زمانی را در سیستم AAA مشخص کنید که وقتی کاربری با نام کاربری و رمز عبور خود وارد شد و بعد از یک مدت مشخص در پشت سیستم خود قرار نداشت بهتر است آن حساب Logout شود تا با این کار از دستکاری غیر مجاز با آن نام کاربری جلوگیری شود و ی اینکه اگر کسی برای ورود بیشتر از سه بار تلاش کرد ان حساب مسدود شود.
•    کنترل مجوز دسترسی یا RBAC
همه‌ی مدیران نیاز به دسترسی کامل به همه بخش‌های شبکه را ندارند و باید از طریق سیستم AAA سطح دسترسی آنها را محدود کرد، مثلاً مدیر مالی نیاز به دسترسی به اطلاعات سایر واحد‌ها ندارد پس نباید یک دسترسی کامل برای آن صادر کرد.
•    استفاده از پروتکل‌های مدیریتی رمزنگاری شده
برای ارتباط کاربران با دستگاه‌های شبکه بهتر است از پروتکل‌های قدرتمند رمزنگاری شده مانند HTTPS و SSH استفاده کرد تا مهاجمان نتوانند با گوش دادن به پیام‌ها به اطلاعات دست پیدا کنند، اگر شما برای دستگاه‌های خود از پروتکل‌های plaintext مانند HTTP یا Telnet استفاده کنید مهاجمان به راحتی می‌توانند به اطلاعات حساس شما دست پیدا کنند البته اگر بخواهید از این دو پروتکل اسفاده کنید سعی کنید یک ارتباط VPN قبل از آن راه‌اندازی کنید تا تمام بسته‌ها رمزنگاری شوند، پس همیشه به این نکته توجه کنید که از بهترین پروتکل‌های رمزنگاری استفاده کنید.
•    ورود به سیستم و نظارت بر روی آن
در هر شبکه‌ای اگر نظارت بر روی عملکرد دستگاه‌ها و کاربران وجود نداشته باشد، می‌تواند بسیار خطرناک باشد، اگر مهاجمی در تلاش برای نفوذ به دستگاه‌های شبکه شما باشد و شما هم خبری از آن نداشته باشد کمی نگران کننده خواهد بود، بهترین راه برای حل این نوع مشکلات استفاده از سیستم مانیتوریگ بر روی همه دستگاه‌ها و کاربران شبکه است که در این کتاب‌ هم نحوه ایجاد گزارش و ارسال آن به سرور‌های Syslog را با هم می‌آموزیم.
•    استفاده از سرویس Network Time Protocol
در یک شبکه باید تمام دستگاه‌های شبکه دارای یک ساعت مشخص باشند تا زمانی که رویدادی در هر دستگاه ایجاد و به سرور مانیتوریگ ارسال می‌شود دارای زمان و تاریخ درست باشد، این مورد با استفاده از سرویس NTP انجام خواهد شد که باید در سرور مادر راه‌اندازی شود.
توصیه‌هایی برای استفاده از کلمه عبور
•    همیشه سعی کنید کلمه عبوری را که برای کاربران در نظر می‌گیرید حداقل دارای هشت کاراکتر باشد.
•    کلمه عبور می‌تواند شامل حروف الفبا، ترکیبی از حروف بزرگ و کوچک، نماد‌ها و فضاها باشد، اگر از چنین پسورد پیچیده‌ای در شبکه خود استفاده کنید کار مهاجم برای نفوذ بسیار سخت خواهد بود، استفاده از فضای خالی یا Space در کلمه عبور بسیار می‌تواند کمک کننده باشد.
نکته مهم در استفاده از کمه عبور این است که با اینکه رمز عبور را به صورت پیچیده در نظر میگیرید ولی باید در یک دوره‌ی زمانی مشخص آن را تغییر دهید.

استفاده از AAA برای تأیید کاربران
برای اینکه دسترسی غیر مجاز به شبکه گرفته شود و کاربرانی که اجازه‌ی دسترسی به شبکه را دارند مشخص شوند بهترین راه استفاده از سیستم AAA یا authentication, authorization, and accounting است که در فصل چهارم به طور کامل درباره آن توضیح خواهیم داد.
هدف اصلی AAA این است که چه کسی به چه جایی باید دسترسی داشته باشد و عملکرد آن به چه صورت بوده است یعنی اینکه چه کاربری در چه زمانی وارد شبکه شده است و چه کاری انجام داده است.
حساب‌های کاربری که در AAA ثبت می‌شوند می‌توانند به صورت محلی باشند و یا اینکه از طریق سرویس Active Directory انجام گیرد.



احراز هویت (Authentication)
احراز هویت فرایندی است که توسط آن مشخص می‌شود یک فرد همان کاربر مورد نظر است، برای احراز هویت روش‌های مختلفی وجود دارد که می‌توان به نام کاربری و رمز عبور، کارت‌های هوشمند و... اشاره کرد، معمولاً استفاده از Authenticaion می‌تواند برای دسترسی به کنسول روتر، پورت VTY، Auxiliary و... اشاره کرد.
مجوز دسترسی (Authorization)
در این قسمت بعد از اینکه کاربر مورد نظر  از نظر احراز هویت بررسی شد و توانست وارد دستگاه مورد نظر شود باید مجور‌های لازم را برای دسترسی به منابع شبکه برای ان تایین کنید، مثلاً می‌توانید مشخص کنید کاربر در یک ساعت مشخص بتواند وارد شبکه شود و یا اینکه برای مدیران مشخص کنید که چه چیزی را می‌توانند ببینند و تغییر دهند.
حسابداری و حسابرسی (Accounting and auditing)
کاربر بعد از انجام دو مرحله بالا شروع به کار در شبکه می‌کند و به مسیر‌های مختلفی وارد و عملیات خود را انجام می‌دهد، برای اینکه متوجه شویم کاربر به چه مسیری رفته و چه کاری در چه زمانی انجام داده باشد این سرویس را برای آن فعال کنیم، یکی از سیستم‌های حسابرسی می‌توان به عملیات بانکی اشاره کرد که در ان مقدار پول دریافتی و جزئیات آن به صورت دقیق مشخص شده است.
توجه داشته باشید برای اینکه با سرور AAA ارتباط برقرار کنیم باید از پروتکل‌های خاصی استفاده کنیم که این پروتکل‌ها شامل TACACS+ و RADIUS هستند، پروتکل TACACS+ مختص شرکت سیسکو و دیگری عمومی و در همه دستگاه‌ها اجرا می‌شود، در ادامه برای انجام و پیاده‌سازی این نوع پروتکل‌ها از نرم‌افزار ACS استفاده خواهیم کرد و نحوه کار با آن را می‌آموزیم.
در ادامه کار می‌خواهیم روش‌هایی را برای امن نگه داشتن دستگاه‌های سیسکو انجام دهیم تا از دسترسی افراد غیر مجاز به آنها جلوگیری کنیم.


پیاده‌سازی رمز عبور قوی و پیچیده
قبل از اقدام به هر کاری توجه داشته باشید که در این کتاب از نرم‌افزار مجازی‌سازی GNS3 استفاده شده که در فصل چهارم آن را به صورت کامل نصب و راه‌اندازی کردیم  و از آن در کل کتاب استفاده خواهیم کرد.
روش‌های دسترسی و رمزگذاری:
برای دسترسی به روتر چندین روش وجود دارد که هرکدام را مورد بررسی قرار می‌دهیم:

 روش‌های دسترسی و رمزگذاری:
برای دسترسی به روتر چندین روش وجود دارد که هرکدام را مورد بررسی قرار می‌دهیم:
پورت Console
این همان پورتی است که از طریق کابلConsole  (آبی رنگ) به روتر متصل می‌شویم و برای متصل شدن به یک روتر خام به کار می‌رود که هیچ‌گونه تنظیماتی روی آن انجام‌ نشده است، برای رمزنگاری این پورت، باید کارهای زیر را انجام دهیم.

وارد مدglobal  شوید و با دستور Line console 0، وارد پورت کنسول شوید. مانند زیر عمل کنید:

اصولاً روی روترها، یک پورت کنسول وجود دارد که شماره¬ی آن صفر است و می‌خواهیم روی این پورت رمز عبور قوی قرار دهیم، باید به صورت زیر عمل کنیم.
R1(config-line)#password AB_@@_@@ba
برای این کار، از دستور Password و بعدازآن، از یک کلمه¬ی عبور پیچیده، مانند AB_@@_@@BA استفاده می¬کنیم، همانطور که مشاهده می‌کنید رمز عبوری که برای این منظور در نظر گرفتیم دارای حروف بزرگ و کوچک و علامت اختصاری است.
بعدازاین که رمز را وارد و enter  کردیم باید از دستور login استفاده کنیم تا زمانی که می‌خواهیم وارد تنظیمات روتر شویم از ما رمز عبور پرسیده شود، پس به این صورت این دستور را وارد می‌کنیم:
R1(config-line)#login
تذکر: اگر شما دستور Login را وارد نکنید، هر رمزی را هم روی روتر فعال کنید، باز برای ورود از شما رمز عبور درخواست نمی¬شود، پس به این نکته توجه کنید.
در حال حاضر با واردکردن این دستورات، روی روتر رمز قرار دادیم و زمانی¬که می¬خواهیم از طریق کابل Console وارد User Mode شویم، از شما رمز درخواست می‌شود.
دستور :exec-timeout
زمانی¬که وارد یک مد می¬شوید، اگر مدت‌زمانی با روتر کار نکنید، در هر مدی که هستید، خارج شده و به مد اول، یعنی UserMode برگشت می¬کند، برای جلوگیری از این کار، باید از دستور زیر در پورت consol استفاده کنید، البته پیشنهاد می‌شود برای حفظ امنیت یک زمان مناسب برای آن در نظر بگیرید.
Router(config-line)#exec-timeout 0 0
همان‌طور که مشاهده می‌کنید، در این دستور از دو صفر استفاده  شده است که اولی برای دقیقه و دومی برای ثانیه است، با صفر کردن هر دو اگر در هر مدی باشید در همان مد ثابت خواهد ماند و خارج نمی‌شود، البته می‌توانید هر زمان که خودتان دوست دارید وارد کنید.
Enable Password
این رمز برای Privileged Mode است. اگر کاربری بخواهد وارد این مد شود از وی پسورد درخواست می‌شود. برای فعال کردن آن، وارد مد Global می‌شویم و دستور زیر را تایپ و بعد enter می‌کنیم.
Router(config)#enable password Babajani#$%*1000
رمزهای عبوری که با دستورEnable Password  فعال می‌شوند، زیاد نمی‌توانند امن باشند، چون این رمزها به صورت Text Base بوده و با یک فرمان می‌توانید رمز عبور را به دست آورید. برای دیدن رمز عبور از دستور Show Runing-config استفاده کنید، می¬خواهیم با این دستور به شما نشان دهیم که دستور Enable Password زیاد هم امن نیست، این دستور را در مد Privileged وارد کنید.
همان‌طور که مشاهده می‌کنید با واردکردن دستور Show Running-config، رمز عبور واردشده، نمایش داده شد، پس باید کاری کرد که این رمز به صورت Hashing یا کد شده در این قسمت نمایش داده شود تا کسی نتواند این رمز را مشاهده کند.

 اول از همه، رمز قبلی را که وارد کردیم، حذف می¬کنیم. برای حذف هر دستوری که وارد کردیم، باید قبل از آن دستور، از کلمه¬ی No استفاده کنیم تا دستور مورد نظر حذف شود، برای این کار از دستور No enable password استفاده می‌کنیم، بعد از این کار، از دستور enable Secret AB_@@_@@ba استفاده می¬کنیم که رمز عبور را به صورت کد شده درمی‌آورد و برای شما نمایش می‌دهد، بعد از این کار در مد Privileged دستور show Running-config را اجرا کنید، متوجه می‌شوید که رمز عبور password AB_@@_@@ba به صورت کد شده درآمده، مانند رمز زیر:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
تذکر: زمانی¬کهEnable Secret  فعال است، Enabel Password روی روتر کاربردی ندارد و اگر هر دو دستور را در یک‌زمان فعال کنید، فقط رمز عبوری که با دستور Enable Secret فعال کردیم، جواب می¬دهد.
اگر بخواهید از Password استفاده کنید و رمز آن هم به صورت Hash شده تغییر کند باید از دستور زیر در روتر استفاده کنید:
R1(config)# service password-encryption
پورت AUX
این پورت برای ارتباط از راه دور از طریق خط تلفن با روتر استفاده می‌شود که می‌توانیم به روش زیر فعال کنیم و یک رمز عبور پیچیده برای آن در نظر بگیرید.
R1(config)#Line aux 0
R1 (config-line)#password 123
R1 (config-line)#login
این رمز عبور قبل از وارد شدن به User Mode پرسیده می‌شود.
Telnet
برای فعال کردن Telnet باید پورت‌های مجازی Vty را فعال کنیم. Vty مخفف Virtual terminal که از چندین پورت مجازی برای ورود به روتر استفاده می‌کند، مثلاً در روتر 2911 از 15 پورت تشکیل شده است. برای مشاهده این پورت‌ها در مد Global دستور زیر را وارد کنید:
R1(config)#line vty ?
<0-15>  First Line number
با واردکردن دستور Line Vty و بعدازآن، علامت سؤال به ما تعداد پورت‌های مجازی برای این روتر را نشان می‌دهد که 15 عدد استکه البته در روتر‌های جدید بسیار بالا است. شما می‌توانید تمام این 15 پورت را فعال کنید که با این کار 15 نفر در یک‌زمان می‌توانند وارد روتر یا سوئیچ شوند.
در اینجا تمام این 15 پورت را انتخاب و همه¬ی آن‌ها را فعال می‌کنیم، و روی همه آن‌ها رمز قرار می‌دهیم:
R1(config)#line vty 0  15
R1(config-line)#pass ###$$$2741652ABCDfVGjjj
R1(config-line)#login local
در قسمت سوم از دستور Login استفاده کردیم که با این دستور به روتر اعلام می‌کنیم که در زمانTelnet  رمز عبور را درخواست کن. اگر به جای Login از دستور No Login استفاده کنید، روتر هیچ‌گونه رمزی درخواست نخواهد کرد، پس مواظب این دستور باشید. شما می‌توانید به چند پورت اجازه دسترسی بدهید و به بقیه¬ی پورت‌ها اجازه دسترسی ندهید.
برای تعریف نام کاربری و رمز عبور باید از دستور زیر استفاده کرد، همانطور که مشاهده می‌کنید رمز عبور هم به صورت پیچیده وارد شده و هم نوع آن را Secret در نظر گرفتیم که Secret به این معنا است که رمز عبور شما به صورت Hash شده در Config قابل مشاهده است و کسی نمی‌تواند این رمز عبور را تشخیص دهد.
R1(config)#username babajani secret AB_@@_@@BA
برای اینکه رمز عبور را در Config مشاهده کنیم باید از دستور زیر استفاده کنیم که نتیجه آن هم مشخص است.
R1(config)#do show run | include username
username babajani secret 5 $1$.08t$t9W8awy7EEzk.Zk89.DDn/
با دستور زی می‌توانیم تنظیماتی که برای پورت‌های مورد نظر انجام دادیم را مشاهده کنید.
R1(config-line)#do show run | begin line
line con 0
 exec-timeout 0 0
 privilege level 15
 password 7 08006E7129393A3732292D
 logging synchronous
 login
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 password 7 107D08140419110F2C567A7A71
 logging synchronous
 login
 stopbits 1
line vty 0 4
 password 7 03247B2B454C620F0D4A5A4653564F48
 login
line vty 5 15
 password 7 03247B2B454C620F0D4A5A4653564F48
 login


ایجاد سطح امتیاز سفارشی برای کاربران
شما می‌توانید به صورت دستی و نه به کمک AAA برای کاربرن خود دسترسی سفارشی ایجاد کنید، به صورت پیش فرض اگر کاربری در User Mode باشد سطح آن یک است و اگر در privileged mode سطح آن پانزده است و شما می‌توانید از یک تا پانزده برای کاربران دسترسی تعریف کنید.
برای تست این موضوع می‌خواهیم دوکاربر ایجاد کنیم که سطح دسترسی آنها متفاوت باشد و مشخص کنیم که آن سطح مورد نظر به چه دستوری دسترسی داشته باشد.
برای تست این موضوع در روتر یا سوییچ دستورات زیر را وارد کنید، در این دستور دو کاربر با سطح دسترسی 9 و 8 ایجاد شده است.
R1(config)#username user1 privilege 8 secret Test@12345
R1(config)#username user2 privilege 9 secret Test@12345
بعد از انجام این کار باید مشخص کنیم که در سطح مورد نظر چه دستوری اجازه اجرا را دارد، در دستور زیر مشخص شده است که دستور PING از از سطح 8 به بعد توانایی اجرا را دارد و دستور Show که خیلی دستور مهمی است از سطح 9 به بعد، یعنی اگر User1 وارد روتر شود نباید دستور Show را اجرا کند چون در سطح 9 قرار ندارد.
R1(config)#privilege exec level 8 ping
R1(config)#privilege exec level 9 show
نکته: توجه داشته باشید برای تست این موضوع باید سرویس Telnet را فعال کنید.
همانطور که مشاهده می‌کنید با کاربر User1 به روتر R1 متصل شدیم، اگر دستور Ping را اجرا کنید بدون مشکل اجرا خواهد شد ولی اما اگر دستور Show که مربوط به سطح 9 بود را در سطح 8 اجرا کنید نتیجه‌ای در بر ندارد، از این روش می‌توانید یک سری محدودیت برای سطح‌های مختلف ایجاد کنید.

روش دیگری هم برای فعال‌سازی سطح مورد نظر وجود دارد و آن هم این است که برای آن سطح یک رمز عبور قرار دهیم که دستور آن به صورت زیر است:
R1(config)#enable secret level 8 Test@12345
R1(config)#enable secret level 9 Test@123456
بعد از تعریف دستور بالا در مد User دستور زیر را وارد کنید، در این دستور به جای 9 باید سطح مورد نظر خود را وارد کنید و رمز عبوری را که در مرحله قبل ایجاد کردید را وارد کنید.
R1#enable 9
Password:
R1#
برای اینکه سطح دسترسی کاربر مورد نظر را به صورت آنلاین مشاهده کنید باید از این دستور استفاده کنید:
R1#show privilege
Current privilege level is 9
فعال سازی سرویس SSH و HTTPS
برای فعال سازی پروتکل امن SSH در روتر و سوییچ سیسکو باید به صورت زیر دستورات را وارد کنید.
در اولین دستور باید یک نام دومین برای روتر خود مشخص کنید، که بهتر است این نام همان نام دومین مورد نظر شما در شبکه داخلی باشد.
R1(config)#ip domain-name 3isco.ir
در ادامه باید یک دسته کلید ایجاد کنید تا زمانی که کلاینت درخواست اتصال می‌دهد این دسته کلید برای آن فعال شود.
R1(config)#crypto key generate rsa
The name for the keys will be: R1.3isco.ir
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.
در این قسمت باید اندازه دسته کلید را مشخص کنید که بهتر است از 1024 استفاده کنید.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 2 seconds)
در آخر هم یک نام کاربری و رمز عبور برای ورود در نظر می‌گیریم.
R1(config)#username babajani secret test@2015

با استفاده از نرم‌افزار Putty یا با استفاده از دستور به روتر یا سوییچ مورد نظر خود از طریق SSH متصل می‌شویم، توجه داشته باشید که در زمان متصل شدن به دستگاه یک دسته کلید مخصوص سیستم شما ایجاد می‌شود که باید بر روی Yes کلیک کنید.

همانطور که مشاهده می‌کنید، از طریق کاربری که ایجاد کردیم توانستیم وارد دستگاه مورد نظر شویم.
به این نکته توجه کنید که Enable Secret را هم باید قبل از این کار فعال کنید.

برای فعال‌سازی سرویس HTTPS هم باید از دستور زیر استفاده کنید:
دستور زیر پروتکل HTTPs را فعال می‌کند.
R1(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
دستور زیر هم دسترسی لازم به روتر را از طریق وب صادر می‌کند.
R1(config)#ip http authentication local
 
بررسی Parser View
یکی دیگر از روش‌‎‌های اختصاص دستورات به کاربران این است که یک View ایجاد کنیم و دستورات را به آن view اختصاص دهیم و کاربران هم با عضو شدن در آن View می‌توانند از دستورات آن view استفاده کنند و دسترسی لازم را داشته باشند، این روش به نسبت روش قبلی قویتر و بهتر خواهد بود.
اولین کاری که باید انجام دهید این است که بت دستور enable secret یک رمز عبور برای روتر یا سوئیچ خود قرار دهید.
R1(config)#enable secret Test@12345
در مرحله بعد باید سرویس AAA را با دستور زیر فعال کنیم، در مورد این دستور به صورت کامل در فصل بعد بحث کردیم.
R1(config)#aaa new-model
وارد مد User شوید و دستور enable view را وارد و رمز عبور مشخص شده را وارد کنید:
R1#enable view
Password:
بعد از وارد کردن رمز عبور و فشار بر روی Enter شما وارد View Root خواهید شد.

بعد از وارد شدن به view root باید یک view جدید با نام مشخص ایجاد کنیم که دستور آن به صورت زیر است:
R1(config)#parser view V1
بعد از وارد شدن اگر یک علامت سوال در جلوی خط قرار دهید و اجرا کنید دستوراتی را که می‌توانیم در view استفاده کنیم را در زیر مشاهده می‌کنید:
R1(config-view)#?
View commands:
  commands  Configure commands for a view
  default   Set a command to its defaults
  exit      Exit from view configuration mode
  no        Negate a command or set its defaults
  secret    Set a secret for the current view
اولین کاری که باید انجام دهید این است که یک رمز عبور برای View V1 اختصاص دهیم:
R1(config-view)#secret Test@12345
بعد از قرار دادن رمز باید با دستور Commands دستوراتی که می‌خواهیم مجوز اجرا را داشته باشند را فعال کنیم، در زیر سه دستور Ping، Show و Configure Terminal مجوز اجرا در VIEW V1 را دارند:
R1(config-view)#commands exec include ping
R1(config-view)#commands exec include show
R1(config-view)#commands exec include configure Terminal
بعد از اجام دستورات بالا حالا می‌توانیم با دستور زیر وارد View V1 شویم:
R1#enable view V1
Password:
بعد از وارد کردن رمز وارد View مورد نظر یعنی v1 می‌شوید و اگر از علامت سوال استفاده کنید متوجه خواهید شد چه دستوراتی به لیست اضافه شده است:


R1#?
Exec commands:
  configure  Enter configuration mode
  do-exec    Mode-independent "do-exec" prefix support
  enable     Turn on privileged commands
  exit       Exit from the EXEC
  ping       Send echo messages
  show       Show running system information

آموزش CCNA Security- بررسی شرایط امنیتی (درس اول)

آموزش CCNA Security- استفاده از اصول اساسی امنیت در شبکه (درس دوم)

آموزش CCNA Security- طراحی شبکه و چشم‌انداز تهدیدات امنیتی (درس سوم)

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید

آخرین مطالب سایت

Search