امن سازی پایه زیر ساخت شبکه بخش دوم: مدیریت دسترسی

همگان بر اين باورند كه امن سازي تجهيزات زيرساخت شبكه شامل مسيريابها، سوييچهـا، سـرورها و ديگـر تجهيزات زيرساخت يكي از مؤلفه هاي كليدي براي تامين امنيت كل شبكه محسوب ميشود. يكي از مهمتـرين بخشهاي تامين چنين امنيتي، امنيت مديريت دسترسي به اين تجهيزات ميباشد. اگر دسترسي بـه تجهيـزات
زيرساخت از كنترل خارج شود به و خطر بيافتد، دراين صورت مديريت كل شبكه مي تواند در خطر افتـد. در نتيجه برقراري كنترلهاي مناسب براي جلوگيري از دسترسيهاي غير مجاز بـه تجهيـزات زيرسـاخت شـبكه بسيار حساس ميباشد.

براي دسترسي به تجهيزات زيرساخت شبكه مـيتـوان از روشهـاي مختلفـي از جملـه اسـتفاده از كنسـول و ارتباطات غير سنكرون و همچنين دسترسي از راه از دور طريق http ،rlogin ،telnetو ssh استفاده كرد. براي برخي مكانيزمهاي دسترسي به كه طور پيشفرض فعال هستند، حداقل امنيت در نظر گرفته شده است. براي مثال در پلتفرمهاي مبتني بر نرمافزار IOS سيسكو، دسترسي از طريق كنسول و مودم به طور پيشفرض فعال است به. همين دليل هر تجهيز موجود در زيرساخت بايد به طور دقيـق ا راه نـدازي و پيكربنـدي شـود و فقط مكانيزمهاي دسترسي پشتيبانيشده روي آنها فعال به و طور كامل امنسازي شده باشد.

گامهاي كليدي به منظور تامين امنيت دسترسيهاي تعاملي و مديريتي به يك تجهيز زيرساخت به صورت زير قابل بيان است:

• محدود كردن دسترسي به تجهيز: محدود كردن دسترسي به پورت ها، منحصر كردن افـراد مجـاز و محدود ساختن روشهاي دسترسي مجاز
• ارائه اخطارهاي مناسب
• اعتبارسنجي دسترسي: اطمينان از اينكه دسترسي به افراد، گروه و ها سرويسهاي احراز اصـالت شـده اعطا شود.
• فعاليت های مجاز : محدود كردن فعاليتهاي مجاز قابل انجام توسط كاربران، گروه و ها سرويسهـاي مشخص
• اطمينان از حفظ محرمانگي داده : ها حفاظت از داده هاي حساس به كه صورت محلي ذخيره شـدهانـد (عدم توانايي مشاهده و كپي آن ). ها اين داده هاي حساس در حـين تبـادل از طريـق كانـال ارتبـاطي ممكن است در معرض حملاتي همچون session hijacking ،sniffingو MITM1 قرار گيرند.
• ثبت وقايع و حسابها براي همه دسترسي : ها ثبت اين كه چه كسي، چه موقـع بـه تجهيـز دسترسـي داشته و چه فعاليتي انجام داده است.
  

توجه: به منظور بررسي دسترسي و ها تعيين هرگونه دسترسي غيرمجاز، بايستي وقايع ثبت شده به طور مرتب بازبيني شوند

مديريت دسترسي از ديد متودلوژي CSF

خلاصه نتايج به دست آمده از اعمال CSFدر حوزه امنيت دسترسي به تجهيزات زيرساخت شبكه در جـدول زير نمايش داده شده است.

محدودكردن امكان مديريت تجهيزات موجود در زيرساخت

اولين قدم براي امنسازي دسترسي به تجهيزات موجود در زيرساخت، محدود كردن امكان دسترسي بـه آن  هاست. موارد قابل توجه در اين زمينه در ادامه بيان شده اند:

• محدودكردن دسترسي تنها به ترمينال و پورت های مديريتي مجاز
• محدودكردن دسترسي تنها به و ها سرويس پروتكلهاي داراي مجوز
• محدودكردن دسترسي تنها به سرويس و ها پروتكلهاي مجاز
• محدودكردن تعداد دفعات دسترسي به سرويسهاي مجاز توسط كاربران مجاز
• اعطاي مجوز دسترسي تنها به كاربران احراز اصالت شده
• اعطاي كمترين سطح دسترسي كاربران مجاز
• اجبار مديريت نشست
• محدودكردن آسيب به ها پذيري حملات ديكشنري و DOS

ايده كلي براي مديريت دسترسي آن است كه امكان دسترسي به تجهيزات به صورت پيش فرض نبايد فراهم شود، مگر براي آن دسته از كاربران و ها سرويس كه نياز آنها كاملاً ضروري است.

توجه: اكثر تجهيزات موجود در زيرساخت، از طريق چندين ترمينـال و پـورت مـديريتي، و چنـدين سـرويس پروتكل گوناگون )كه برخي از ها آن بصورت پيش فرض فعال هستند( قابليت دسترسي دارند. بنـابراين همـه مكانيزمهاي مديريت دسترسي ممكن بايد بررسي و امنسازي شوند.

پايانه خطوط دسترسي تجهيزات سيسكو

تجهيزات سيسكو معمولاً از طريق خطوط و پورتهاي زير قابل دسترسي هستند:

خطوط  :TTYيها پورت غير سنكرون شامل:

• AUX
• كنسول

خطوط  :VTYخطوط  TTYمجازي براي دسترسي از راه دور استفاده ميشوند مانند :

• Telnet
• SSH
• rlogin

توجه: دسترسي گرافيكي از طريق وب و دسترسي SNMP در بخشهاي بعدي توضيح داده خواهد شد.

پورت AUX

اين پورت براي اتصال به يك مودم خارجي استفاده ميشود. دسترسي از طريق پورت AUXبـه طـور عـادي براي دسترسي dial–inوdial–outبه دستگاه مورد استفاده قرار مي گيرد. در صورتي كه اين پورت نياز نباشـد، بايد غيرفعال گردد تا احتمال دسترسيهاي غيرمجاز كاهش يابد.

پورت كنسول

دسترسي از طريق پورت كنسول به طور مستقيم براي كاربران محلي قابل دسترسـي اسـت و دسترسـي از راه از دور طريق استفاده از ترمينال و سرور كنسول قابل انجـام اسـت. اگـر دسترسـي از طريـق پـورت كنسـول درخواست شده باشد، خط ارتباطي بايد به منظور محافظت در برابر دسترسيهاي غير مجاز ايمن شود.

خط VTY

دسترسي از طريق خط VTYمعمولترين روش براي مديريت از راه دور يـك تجهيـز اسـت. اگـر دسترسـي VTYنياز باشد، خطوط بايد به طور مناسب براي جلوگيري از دسترسي غير مجاز امن شوند.

 

توجه: هر مسيرياب به طور معمول شامل ) 5خط از 0تا ( 4است. البته ممكن است تعـداد بيشـتري را نيـز پشتيباني نمايد. نكته قابل توجه اين است كه تمامي اين خطوط بايد به طور دقيق امنسازي شده باشند.

غير فعالكردن و ها پورت ترمينالهاي دسترسي غيرضروري تجهيزات

برخی از پورت و ها ترمينال هاي تجهيزات زيرساخت شبكه به صورت پيش فرض فعال در نظر گرفته شدهاند. اين مسئله يك تهديد امنيتي محسوب ميشود. بدين منظور پيشنهاد ميگردد تمامي ترمينـالهـا، پـورت و هـا اينترفيسهايي كه مورد نياز نيستند، غيرفعال شوند. در تجهيزات Cisco ترمينال و پورتهاي مديريتي به طور معمول شامل خطوط TTYو VTY هستند. اين ها پورت همانطور كه در زير نشان داده شده است، با استفاده از دستور no exec غير فعال ميشود .

! Disable access to VTY
line vty 1
login
no exec
!
! Disable access to Console
line con 0
no exec

محدود ساختن دسترسي تجهيزات، تنها به و ها سرويس پروتكلهاي مجاز

در برخي از تجهيزات زيرساخت شبكه، سرويس و ها پروتكلهايي براي دسترسي به مديريت تجهيز به صورت پيشفرض فعال است. در اين حالت شبكه با ريسكهاي امنيتي مختلفي مواجه ميباشد. بدين منظـور توصـيه ميشود و ها سرويس پروتكلهايي كه مورد نياز نيستند، غيرفعال گردند.

سرويس پروتكلهاي دسترسي در تجهيزات  Ciscoعبارتند از:

•  Telnet , SSH
  
• HTTP , HTTPS
  
• SNMP

دسترسي تعاملي از طريق خطوط TTYو VTYدر تجهيزات Ciscoبايد تنها براي سرويس و ها پروتكلهـاي مورد نياز و داراي مجوز فراهم شده باشد. اين محدوديت بايد بر روي هر دو نوع ارتباطات درونـي و بيرونـي لحاظ گردد. اين بر كار روي خطوط TTYو VTYبا استفاده از دستور transport اجرا ميگردد. در جـدول زيـر چند مثال در اين مورد ارائه شده است.

در بين پروتكلهاي دسترسي، توصيه ميشود از پروتكلهاي دسترسي رمزشده مانند SSHاستفاده شود.

محدود كردن دسترسي به سرويسها تنها توسط افراد مجاز

تنها افراد مجاز بايد توانايي دسترسي به تجهيزات و سـرويسهـايي كـه اسـتفاده از آنهـا برايشـان مجـاز در نظرگرفته شده است را داشته باشند. در اين صورت ميتوان اطمينان داشت كه درخواستهاي دسترسي تنهـا به سرويسهاي داراي مجوز صورت ميگيرد و توسط منـابع بـا آدرس IPمعتبـر امكـان دسترسـي خواهنـد داشت. در اين صورت ريسك دسترسي غيرمجاز و حملات مرتبط با آن بسيار كاهش مييابد. نمونـههـايي از اين حملات ميتواند شامل حملات DOS ،brute forceو dictionary باشد.

در تجهيزات سيسكو، از ACL هاي نوع استاندارد ميتوان براي محدود كردن دسترسي به تجهيزات مـديريتي استفاده كرد و در اين حالت دسترسي تنها براي افـراد مجـاز امكـان پـذير اسـت. همچنـين ACLهـاي نـوع extended براي محدود كردن دسترسي به سرويسهاي مجاز ميتواند استفاده شود. بديهي است كه هرچه محدوديت بيشتري توسط ACLها ايجاد شود، در اين حالت محدوديتهـاي بيشـتري براي دسترسي به صورت غيرمجاز خواهد بود با. اين وجود هرچه محدوديتهـاي تعيـين شـده توسـط ACL بيشتر باشد، باعث ايجاد سربار در شبكه ميشود و ميتواند دسترسي به شبكه را تحتالشعاع قـرار دهـد. بـه عنوان نمونه اگر يك محدوديت خاص براي يك سيستم تعريف شده باشد، مـثلاً بـراي يكـي از سيسـتمهـاي NOC و ، ارتباط شبكه براي آن محدوده خاص قطع شده باشد، ناي امر ميتواند قابليت دسترسي مـدير شـبكه به آن سيستم به منظور عيبيابي را كاهش دهد. به همين دليل بايد يك تعادل بين تعريـف محـدوديت و هـا دسترسيپذيري به شبكه در نظر گرفته شود. يكي از مواردي كه بايد تعريف شود اعمال محدوديت دسترسـي تنها به آدرس IPهاي داخلي است.

ACLهاي نوع استاندارد

ACLهاي نوع استاندارد ميتوانند براساس آدرس IPمبدأ (ويا يك رنج از آدرس IPهاي مبدأ) محـدوديت ايجاد كنند.

access-list 10 permit <NOCsubnet> <inverse-mask>
access-list 10 deny any any

extended هاي نوعACL

اين ACLها توانايي ايجاد محدوديت بر اساس آدرسهاي IPمبدأ وپروتكل مورد نظر را دارا ميباشند:

access-list <xACL#> permit tcp <NOCsubnet1> <inverse-mask> any eq <TCP port>
access-list <xACL#> permit tcp <NOCsubnet2> <inverse-mask> any eq <TCP port>
access-list <xACL#> deny ip any any log-input

البته رعايت ترتيب تنظيمات موجود در ACL الزامي است. چون تنظيمات نوشته شده در ACL خط به خط و به همان ترتيب اجرا ميشوند. در مثال زير، چگونگي اعمال يك ACLبر روي خطوط VTY بيان شده است:

line vty 0 4
access-class <ACL#> in

توجه: مي توان از ACLبراي خطوط VTY استفاده كرد كه در اين صورت ميتوانـد از دسترسـي بـه خطـوط VTY در حين حمله DOS جلوگيري كند.

احراز اصالت با استفاده از AAA

دسترسي به تمام پورتهاي تجهيزات موجود در زيرساخت بايـد احـراز اصـالت شـوند. ايـن كـار منجـر بـه محدوديت دسترسي تنها براي كاربران مجاز خواهد شد. توصيه مـيشـود كـه يـك سـرور AAA بـه منظـور احرازاصالت كليه كاربران به صورت مجزا درنظر گرفته شود. اين عمل بر روي تمام پورتها و ترمينـالهـاي تجهيزات قابل اعمال است.
در سيستمعامل نرمافزاري سيسكو، دسترسي با سطح مدير شبكه به تجهيزات به عنوان نشست EXECعنـوان ميشود و از طريق خطوط VTYيا TTYانجام ميشود. احراز اصالت اين نشستها 4بر مبناي AAAو با اعمال تنظيمات مشخص بر روي خطوط TTYو VTYانجام ميشود. در زير نمونهاي از اعمال تنظيمات احراز اصالت AAAبراي نشست EXECبـر روي خطـوط كنسـول و VTY نشان داده شده است:

aaa authentication login adminAuthen-list group adminAAAgroup local-case
!
line con 0
login authentication adminAuthen-list
!
line vty 0 4
login authentication adminAuthen-list

اجراي بررسي مجوزهاي ورود به دستگاه با استفاده از AAA

در ابتداي كار بايستي كمترين سطح دسترسي براي كاربران احراز اصالت شده با توجه به نيازمنديهاي آنهـا در نظر گرفته شود. در تجهيزات سيسكو قابليت كنترل دسترسي كاربران احراز اصالت شده به محيط CLI بـا استفاده از دستور aaa authorization exec قابل انجام است. با استفاده از AAAميتوان براي گروههـاي مختلـف
از كاربران، سطح دسترسيهاي گوناگوني تعريف كرد. در زير نمونهاي از تنظيمات مربوط به تعيين سطح دسترسي بر اسـاس AAAبـر روي خـط VTY نشـان داده شده است. سطح دسترسي متناسب با كاربر در صورتي به آن داده ميشود كه قبل از آن احراز اصـالت شـده باشد.

aaa authorization exec adminAuthor-list group adminAAAgroup if-authenticated
line vty 0 4
authorization exec adminAuthor-list

نكته: براي اينكه بتوان سطح دسترسي نشست EXECرا به كاربر مورد نظر داد، بايد در تنظيمات مربـوط بـه سرور ، AAAويژگي Service–Typeدر حالت EXECقرار داده شده باشد.

اجراي بررسي مجوزها بر اساس سطح دسترسي

نكته مهم در تنظيمات AAA اين است كه كاربري كه قرار است سطح دسترسي مدير به آن داده شـود، بايـد به خوبي احراز اصالت شده باشد. دسترسي بر اساس سطوح مشخص بدين معني است كه هر سطح دسترسـي توانايي انجام چه تنظيماتي بر روي تجهيزات زير ساخت را دارد. سطح دسترسـي Privilege ايـن امكـان را بـه
كاربر ميدهد كه بتواند بر روي تجهيز سيسكو تنظيمات مورد نظرش را انجام دهد. كسب سطح دسترسي EXEC بر روي تجهيزات سيسكو با استفاده از دستور enable قابل حصول است، يا مـي تواند به صورت اتوماتيك به عنوان نتيجه بررسي مجوز توسط RADIUS يا + TACACSداده شود.

براي اينكه دسترسي enableبا استفاده از عمليات احراز اصالت توسط سرور AAAو با توجه بـه enable secret تعريف شده از قبل داده شود، بايد ليست پيشفرض AAAبراي احراز اصالت دسترسي enable تعيين شود .

aaa authentication enable default group adminAAAgroup enable

توصيه ميشود كه بهجاي استفاده از enable passwordاز enable secretاستفاده شود. به ايـن خـاطر كـه enable secretاز رمزنگاري type 5كه غيرقابل رمزگشايي است، استفاده ميكند.

اجراي مديريت نشستها

نشستهاي دسترسي به تجهيزات با توجه به نكات زير بايد مديريت شوند:

• نشستهاي معطل (آماده به كار)
  
• نشستهاي معلق
  

نشستهاي معطل

نشستهاي معطل نبايد اجازه استفاده از ترمينال يا پورتهاي مديريتي براي زمان نامحدود و طولاني را داشته باشند. اين كار به افزايش دسترسيپذيري ترمينالها و پورتها و كاهش دزديده شدن نشستها كمك ميكند. در سيستم عامل نرمافزاري سيسكو ميتوان يك وقفه خالي از طريق دستور session-timeoutبر روي خطوط VTYيا TTYتعريف كرد. به طور پيش فرض يك نشست VTYيك وقفه 10دقيقهاي دارد:

[seconds] Router(config-line)# session-timeout <minutes>

اعمال دستور session-timeoutبر روي VTYاندكي با اعمال آن بر روي پورت كنسول، AUXو TTYتفاوت دارد. هنگامي كه روي VTYوقفه اتفاق ميافتد، كاربر به محيط EXECباز ميگردد . اين درحالي است كه وقتي وقفهاي در خطوط فيزيكي اتفاق ميافتد، كاربر از سيستم خارج ميشود و به خط حالت معطل در ميآيد.ميتوان از تركيبي از دستورات exec-timeoutو session-timeoutو قرار دادن مقادير تقريباً يكسان براي آنها استفاده نمود و درنتيجه رفتار خطوط مجازي و فيزيكي هنگامي كه session-timeoutاتفاق ميافتد مشابه هم خواهد بود.

در IOSسيسكو به طور پيش فرض يك نشست VTYداراي وقفه 10دقيقهاي است:

Router(config-line)# session-timeout <minutes>

نشستهاي معلق

اگر با استفاده از يك سيستم از راه دور با يك تجهيز ارتباط برقرار شده باشد و در اين حال سيستم دچار اشكال شود و ارتباط قطع گردد، نشستي كه از آن استفاده ميشد ممكن است همچنان باز باقي بماند و در برابر حملات آسيبپذير باشد. بنابراين تشخيص نشستهاي معلق و بستن آنها امري ضروري است. اين كار به افزايش دسترسي پذيري ترمينالها و پورتها و كاهش دزديده شدن نشستها كمك ميكند. در  IOSسيسكو ميتوان نشستهاي معطل روي خطوط VTYرا از طريق دستور service tcp-keepalives-in تشخيص داد و مسدود نمود. با استفاده از اين دستور پيغامهايي براي connectionهاي فعلي ارسال ميشود و اگر پاسخي بازگردانده نشود، نشست بسته ميشود:

Router(config)# service tcp-keepalives-in

محدودكردن آسيبپذيري تجهيزات در برابر حملات Dictionaryو DoS

آسيبپذيري تجهيزات موجود در شبكه هنگام دسترسي به آنها نسبت به حملات DoSو Dictionaryمي تواند با اعمال نكات زير كاهش يابد:

• اجبار به استفاده از رمزهاي عبور قوي
• محدودكردن تعداد تلاشها براي ورود به تجهيزات
• محدودكردن تلاش مجدد براي وارد شدن به دستگاه بعد از تلاشهاي ناموفق با اعمال يك تاخير زماني
• رزرو يك ترمينال يا و پورت

اجبار به استفاده از رمزهاي عبور قوي

در مورد حمله Dictionary استفاده از رمز عبور قوي ميتواند در كاهش موفقيت اين حمله بسيار مؤثر باشد، در صورتي كه رمز عبور انتخاب شده به صورت ساده و يكي از كلمات ديكشنري نباشد. اگر از يك سرور AAAبراي احراز اصالت استفاده شده باشد، اين سرور ميتواند بر اساس سياستهاي امنيتي تعريف شده، dكاربران را مجبور به استفاده از رمزهاي عبور قوي كند. اگر يك سرور AAAبراي اجبار به استفاده از رمزهاي قوي موجود نباشد، بايد با استفاده از ويژگيهاي تجهيزات موجود و اعمال آنها تأثير حملات مذكور را كاهش داد. اگر هيچ ويژگي و قابليتي براي كاهش اثر حمله ديكشنري وجود نداشته باشد، اجبار به استفاده از رمزهاي عبور با طول حداقل به عنوان يك ويژگي پايه قابل اعمال است. البته اين ويژگي باعث جلوگيري مستقيم از حمله ديكشنري نميشود بلكه ميتواند از حدس زدن رمزهاي عبور ساده كه به طور معمول استفاده ميشوند، مانند ciscoيا ، labجلوگيري كند.

ويژگي كمترين طول پسورد در IOS سيسكو

IOSسيسكو توانايي اجبار به استفاده از رمزهاي عبور با حداقل طول براي كاربران را دارد. اين سياست قابل اعمال به رمزهاي عبور زير ميباشد:

• user password
• enable password
• enable secret
• line password
  

اين ويژگي از طريق دستور زير يم تواند به كار گرفته شود:

Router(config)# security passwords min-length length

وقتي اين دستور اجرا شود، هر پسوردي با طول كمتر از مقداري كه در اين دستور در نظرگرفته شده، مردود ميباشد.

توجه: اين ويژگي نميتواند هيچ محافظتي در برابر حمله ديكشنري انجام دهد.

محدود كردن تعداد دفعات ورود

براي مقابله با حمله ديكشنري ميتوان يك تأخير بين هر دو درخواست ورود تعريف كرد. اين كار باعث كاهش سرعت حمله، افزايش زمان مورد نياز براي موفقيت حمله و افزايش بازه زماني براي تشخيص رفتارهاي غيرعادي ميشود. در IOSسيسكو براي اعمال تاخير بين درخواستهاي ورود پي در پي ميتوان از دستور login delayاستفاده
كرد. به طور پيشفرض يك ثانيه تأخير براي اين منظور در نظر گرفته شده است:

Router(config)# login delay <seconds>

محدود كردن تعداد دفعات ورود ناموفق در يك بازه زماني مشخص

براي مقابله با حمله ديكشنري ميتوان تعداد دفعات درخواستهاي ورود ناموفق به تجهيز را در يك بازه زماني معين، محدود كرد. اين كار باعث كاهش سرعت حمله، افزايش زمان مورد نياز براي موفقيت حمله و افزايش بازه زماني براي تشخيص رفتارهاي غيرعادي ميشود. اگر از سرور AAA براي احراز اصالت درخواستهاي ورود به سيستم استفاده شده باشد، اين سرور به طور معمول داراي اين ويژگي است كه اگر تعداد مشخصي درخواست ورود ناموفق انجام شده باشد، سيستم براي
يك بازه زماني مشخص قفل ميشود و در اين بازه امكان ورود به سيستم وجود نخواهد داشت. اگر از سرور AAAاستفاده نشده باشد، بايد از ويژگيهاي سيستم عامل نرمافزاري سيسكو بهره برد.

در IOSسيسكو براي تعريف حداكثر تعداد دفعات تلاش براي ورود به دستگاه در يك بازه زماني مشخص، به طوري كه بعد از آن دستگاه براي يك زمان معين اجازه وارد شدن را ندهد، از دستور زير ميتوان استفاده كرد:

Router(config)# login block-for seconds attempts tries within seconds

همچنين در سيستم عامل نرم افزاري سيسكو ميتوان يك ACLاستثناء براي سيستمها و شبكههاي مورد اعتماد و مجاز، با استفاده از دستور زير تعيين كرد:

Router (config)# login quiet-mode access-class

در مثال زير روتر به گونهاي پيكربندي شده است كه اگر در بازه زماني 100ثانيه تعداد دفعات تلاش براي وارد شدن به تجهيز از 15مرتبه تجاوز كند، دستگاه براي يك بازه زماني 100ثانيهاي اجازه هيچگونه وارد شدن به دستگاه مگر براي سيستمهايي كه در ACL 10تعريف شدهاند را نميدهد:

Router(config)# access-list 10 permit host 172.26.150.206
Router(config)# login block-for 100 attempts 15 within 100
Router(config)# login quiet-mode access-class 10

رزرو يك ترمينال يا و پورت

هدف يك حمله DoS به تجهيزات موجود در زير ساخت ميتواند ترمينال يا و پورتها باشد. اين نوع از حمله به اين حقيقت اشاره دارد كه تعداد محدودي از ترمينال يا وها پورتها در دسترس هستند و اگر تمام پورت ها مورد استفاده قرار گيرند، حتي اگر ارتباطي احراز اصالت نشده باشد، امكان ايجاد هيچ ارتباط جديدي وجود ندارد. تجهيزات سيسكو )مبتني بر سيستم عامل (IOSداراي تعداد محدودي خطوط VTYهستند كه به طور معمول اين تعداد 5خط ميباشد. زماني كه تمام اين خطوط VTYمورد استفاده قرار ميگيرند، هيچ ارتباط از راه دوري نميتواند برقرار گردد. با توجه به اين موضوع شرايط براي انجام يك حمله DOS ميتواند فراهم شود. اگر حملهكننده بتواند تمامي خطوط VTYرا از راه دور اشغال كند، ديگر كاربران مجاز نميتوانند به سيستم دسترسي داشته باشند. حمله كننده نيازي به وارد شدن به تجهيز براي عملي كردن حمله خود ندارد و پس از وارد شدن به صفحه ، loginنشست را رها ميكند. استفاده از AAAنميتواند از وقوع اين حمله جلوگيري كند چون حملهكننده اصلاً نيازي به تلاش براي وارد شدن به تجهيز ندارد و تنها كاري كه براي انجام حمله بايد انجام دهد اين است كه يك ارتباط با پورت مورد نظر برقرار نمايد، بنابراين اين پورت براي ديگر كاربران قابل استفاده نخواهد بود.

يكي از روشهاي مقابله با اين نوع حمله، اعمال محدوديت دسترسي قوي براي يك ترمينال يا پورت مشخص ميباشد، به طور مثال براي يك پورت ميتوان اينگونه تعريف كرد كه فقط از يكي از سيستمهاي NoCقابل دسترسي باشد. در IOSسيسكو اين موضوع با استفاده از اعمال ACLهاي محدودكننده قوي بر روي آخرين VTYصورت ميگيرد. آخرين VTYكه معمولاً VTY4ميباشد، ميتواند تنها به برقراري ارتباط از سوي يك سيستم معين و مشخص محدود شود و بقيه VTYها بتوانند به درخواستهاي ارتباط از سوي هر آدرسي پاسخ دهند:

access-list 10 permit <NOCsubnet> <inverse-mask>
access-list 20 permit host <NOC-Host>
line vty 0 3
access-class 10 in
line vty 4
access-class 20 in

بنرهاي مجاز اطلاع رساني

توصيه ميشود كه بر روي تمام sessionهاي ارتباطي، يك بنر به منظور اطلاعرساني سياستهاي امنيتي كه كاربر ملزم به رعايت آنها ميباشد، ايجاد شود. اين اطلاعات شامل مواردي همچون تعيين كاربران مجاز و دسترسي آنها و يا اخطار به كاربران غير مجاز و عواقب دسترسي غيرمجاز آنها ميتواند باشد. اگر از ديدگاه امنيتي به قضيه نگاه شود، دراين صورت در بنرها نبايد هيچگونه اطلاعات خاصي درباره تجهيز از جمله نام، مدل، نرم افزار، محل قرارگيري، اپراتور يا و صاحب آن ذكر شود، به اين دليل كه اين نوع اطلاعات ممكن است براي حمله كننده مفيد واقع شود در IOSسيسكو تنظيمات معيني براي نمايش اين هشدارها در دسترس است. اين موارد شاملbanner motd . ميباشندbanner exec وbanner incoming ، banner login ، زماني كه يك كاربر به يك تجهيز سيسكو مبتني بر IOSمتصل ميشود، يك پيغام ، MOTD5 اگر تنظيم شده باشد، ظاهر ميشود. پس از آن بنر مربوط به ( loginدر صورت تنظيم بودن) نشان داده خواهد. پس از ورود موفق كاربر به تجهيز، اگر اين ورود با استفاده از telnetصورت گرفته باشد، بنر ورودي و اگر به روشهاي ديگري به تجهيز متصل شده باشد بنر EXECنشان داده خواهد شد. توصيه ميشود كه يكي از دو بنر MOTDو يا Loginدر تجهيز فعال شود. در اين صورت بر روي تمام sessionها هنگام برقراري ارتباط با تجهيز و قبل از نمايش login promtاطلاعات مربوط به بنر نشان داده خواهد شد.

سرويسهاي AAA

مروري بر :AAAدر واقع AAAيك چارچوب معماري براي پيكربندي سه اصل امنيتي مجزا از هم در كنار يكديگر به روش ماژولار ميباشد. اين اصول در زير آورده شدهاند:

• Authenticationاحراز اصالت كاربر قبل از اينكه بتواند به شبكه و يا سرويسهاي آن دسترسي داشته باشد.
  
• Authorizationتعيين سطح دسترسي براي كاربري كه احراز اصالت شده است.
  
• Accountingتوانايي پيگيري دسترسيهاي كاربر كه ميتواند شامل مشخصات، زمان شروع و پايان اتصال، دستورات اجرا شده، تعداد بستهها و يا بايتهاي ارسالي و دريافتي توسط وي باشد.

AAAروش توصيه شده براي كنترل دسترسي است. IOSسيسكو براي تسهيل كنترل دسترسي ويژگيهايي از جمله احراز اصالت محلي نام كاربري 6و احراز اصالت رمز عبور خطوط 7در اختيار ميگذارد. در هر صورت اين ويژگيها قابل مقايسه با سطح كنترل دسترسي كه AAAدر اختيار ميگذارد نيست و استفاده از آنها توصيه نميشود. اگر يك سرور مجزا براي تنظيمات AAAدر دسترس نباشد، بايد آن را بر روي ديتابيس محلي خود دستگاه پيكربندي كرد. سه متد مربوط به AAAبا اعمال آنها بر روي اينترفيسها فعال ميشود. AAAاز پروتكلهايي از جمله + RADIUS, TACACSيا و Kerbrosبراي تامين امنيت استفاده ميكند.

متمركزسازي AAA

روش پيشنهادي براي پيادهسازي ، AAAمتمركزسازي آن بر روي يك سرور به همراه يك رمزعبور براي حالت جايگزين ميباشد. از اين رمز عبور مواقعي استفاده ميشود كه عمليات احراز اصالت توسط سرور AAA امكانپذير نباشد. مهمترين مزاياي متمركزسازي سرور AAAشامل موارد زير است:

• مديريت : نام كاربري و رمز ورود به طور جداگانه در يك محل مركزي ذخيره ميشوند كه ميتوانند به صورت مستقل توسط تجهيزات مختلف استفاده شوند.
  
• مقياسپذيري: مقياس سرورهاي AAAميتوانند به طور مستقل بر حسب اندازه ديتابيس مربوط به كاربران و تعداد تراكنشهاي انجام شده در ثانيه تغيير يابد.
  
• امنيت : رمزهاي عبور ميتوانند در يك روتر به صورت رمزشده و با در يك ديتابيس ذخيره شوند. ولي حتي اگر آنها رمزشده هم باشند، باز هم قابل رمزگشايي هستند.
  
• توانايي حسابرسي : از تمامي دسترسيها و sessionهاي مجازبه طور مستقل گزارشگيري ميشود.

پيشنهاد ميشود بهجاي استفاده از مكانيزمهاي موجود در سيستمعامل نرمافزاري سيسكو براي احراز اصالت، از AAAاستفاده شود. در اين صورت ميتوان بهجاي استفاده از يك نام كاربري و رمزعبور براي همه كاربران، براي هر كدام از آنها رمزعبور جداگانه در نظر گرفت.

گروههاي سرور AAA

در IOS سيسكو يك گروه سرور AAAدر واقع يك ليست از سرورهاي AAAهمنوع است، مثلاً RADIUS يا + TACACSكه براي اجراي AAAمورد نياز است. استفاده از گروه سرور AAAبهجاي استفاده از سرورهاي AAAبراي هر هدف مشخص، قابليت انعطافپذيري بيشتري را فراهم ميكند. براي مثال ميتوان از سرورهاي AAAمختلف براي سرويسهاي گوناگون AAAبه منظور جداسازي دسترسي كاربران به تجهيزات استفاده كرد. مثلاً احرازاصالت براي دسترسي به تجهيزات زيرساخت از طريق سرور + TACACSو احراز اصالت كاربران عادي از طريق سرور RADIUSانجام شود:

aaa group server tacacs+ adminAAAgroup
server TAC+server1
server TAC+server2
!
aaa group server radius enduserAAAgroup
server RADserver1
server RADserver2

ليست روشهاي AAA

AAA از طريق اعمال ليستهاي تعيين شده بر روي اينترفيسهاي مشخص اجرا ميشود. اين ليستها شـامل روشهاي احراز اصالت و تعيين سطح دسترسي مشخصي ميباشند كه بايد بر روي اينترفيسها اعمـال شـوند. اين ليستها ميتوانند بر اساس يك يا چندين پروتكل امنيتي براي عمليات احراز اصـالت و يـا تعيـين سـطح دسترسي عمل كنند. IOSسيسكو به اين ترتيب عمل ميكند كه ابتدا اولين خط ليست مربوط بـه AAAرا بررسـي مـيكنـد، اگـر ارتباط با بررسي اين خط ايجاد نشود، خط دوم از ليست بررسي ميشود. اين كار ادامه پيدا ميكند تا اينكه بـا بررسي يكي از خطوط ليست ارتباط برقرار شود و يا اينكه ليست تمام شود، كه در اين صورت هـيج ارتبـاطي
شكل نميگيرد.

يك نمونه از اين ليستها كه با نام adminAuthen-list مشخص شده است، در زير نشـان داده شـده اسـت. اولين متد از اين ليست سعي در انجام احراز اصالت از طريـق سـرور + TACACSدراد كـه در گـروه سـرور adminAAAgroup است. اگر احراز اصالت از طريق اين متد انجام نشود، احراز اصالت به صورت محلي انجام
ميگيرد.

aaa authentication login adminAuthen-list group adminAAAgroup local-case
aaa group server tacacs+ adminAAAgroup
server TAC+server1
server TAC+server2

اين ليستها براي اجرا شدن بايد بر روي يك اينترفيس اعمال شوند. تنها استثنا در اين حالت، ليست پيش فرض AAAبا نام defaultميباشد. اين ليستها به صورت خودكار بر روي تمام اينترفيسها فعال ميشوند، البته اگر ليستي قبلاً اعمال نشده باشد. همچنين با اعمال يك ليست روي اينترفيس، اين ليست بر روي ليست پيشفرض بازنويسي ميشود.

aaa authentication login default group enduserAAAgroup local-case
aaa group server radius enduserAAAgroup
server RADserver1

برقراري امنيت ارتباط سرور AAA

ارتباط بين احراز اصالت كننده ( 8يا همان ) NAS9و سرور AAAبه طور معمول از طريق RADIUSيا + TACACSانجام ميگيرد. امنيت اين ارتباط به طور خلاصه در زير آورده شده است:

• تراكنشها و تعاملات RADIUSو + TACACSاز طريق يك كليد ثابت و مشترك احراز اصالت ميشوند. اين كليد بر اساس نام تجهيز يا آدرس IPآن ميباشد و هرگز بر روي بستر شبكه ارسال نميشود.
• RADIUSطبق استاندارد تنها قسمت رمزعبور كاربر را رمزنگاري مي .كند بقيه قسمتهاي بسته به صورت فاش ارسال ميشود كه در اين صورت در برابر شنود آسيبپذير ميباشد. 
• + TACACSكل محتواي بسته را رمز ميكند. در اين روش اگر چه محرمانگي اطلاعات حفظ مي شود ولي الگوريتم رمزنگاري استفاده شده در آن خيلي قوي نميباشد.

راهنماي كلي براي امن كردن ارتباط AAAبه صورت زير است:

• استفاده از كليدهاي قوي به منظور انجام عمليات احراز اصالت براي سرور AAAو NAS
• تغيير كليد استفاده شده براي احراز اصالت سرور AAAو NASبه طور منظم
• محدود كردن ارتباطات AAAبا تعدادي از يها سرور مجاز AAAو يها پورت ارتباطي AAAبا استفاده از ACLهاي نوع extended
• از آنجايي كه RADIUSيا + TACACSاز رمزنگاري و عمليات احراز اصالت قوي پشتيباني نمي كنند، توصيه ميشود كه از OOB10يا IPSecبراي حفاظت از تراكنشها و تعاملات سرور AAAدر برابر حملات استفاده شود.
  

سرويسهاي حسابداري مبتني بر AAA

موضوع مهمي كه بايد در نظر گرفته شود، ثبت دسترسيهايي است كه به يك تجهيز صورت ميگيرد. يكي از روشهاي ثبت گزارش دسترسي به تجهيزات استفاده از سرويسهاي AAAميباشد. با استفاده از اين مكانيزم ميتوان سرويسهايي كه كاربران به آنها دسترسي دارند و يا ميزان ترافيك مصرفي آنها را پيگيري كرد. با فعالشدن سرويسهاي حسابداري مبتني بر ، AAAتجهيزات زيرساخت فعاليتهاي صورت گرفته توسط كاربران را به سرور AAAارسال ميكنند. IOSسيسكو از 5روش مختلف براي عمليات حسابداري پشتيباني ميكند:

: Network Accountingحسابداري شبكه اطلاعاتي در مورد نشستهاي SLIP ، PPPو ARAPدر اختيار ميگذارد كه شامل شمارش تعداد بستهها و همچنين تعداد بايتها ميباشد

: Connection Accountingاين قسمت اطلاعاتي در مورد تمام connectionهاي برقرار شده از سرور به packet assembly- ، TN3270 ، local-area transport(LAT) ، Telnet سمت بيرون مثل ( disassembly)PADدر اختيار ميگذارد.

: EXEC Accountingدر اين قسمت اطلاعاتي در مورد نشستهاي كاربران كه در حالت EXECبه سرور متصل شدهاند، شامل نام كاربري، تاريخ، زمان شروع و پايان، آدرس IPو شماره تلفن در صورتي كه كاربر به صورت dial-upمتصل شده باشد، در دسترس خواهد بود.

: Command Accountingاطلاعاتي كه در اين حالت ميتوان بدست آورد شامل دستورات محيط EXEC ميباشد كه براي يك سطح دسترسي خاص بر روي سرور اجرا ميشود. هر دستور به همراه تاريخ و زمان اجراي آن و كاربري كه آن را اجرا كرده است، گزارشگيري ميشود.

: System Accountingدر اين قسمت اطلاعاتي در مورد تمام رخدادهاي سطح سيستم (راي مثال زماني كه سيستم rebootميشود) در دسترس خواهد بود.

مباحث پايه امنيت شبكه بر روي امنسازي زيرساخت شبكه و سرويسهاي مهم تمركز ميكند. در نتيجه، حسابداري مبتني بر AAAبا توجه به مباحث پايه امنيتي شبكه شامل موارد زير است:

• EXEC Accounting
  
• Command Accounting
  
• System Accounting
  

پروتكل SSH

SSHپروتكلي براي دسترسي امن از راه دور به تجهيز و انتقال فايل است. ايـن پروتكـل داراي مكـانيزم رمزنگاري و احراز اصالت قوي ميباشد. به همين دليل استفاده از آن بهجاي بهـره بـردن از Telnetو يـا rlogin توصيه ميشود.

معمولاً دو نسـخه از SSHوجـود دارد: SSHv1و . SSHv2در SSHv2ضـعفهـاي امنيتـي نسـخه اول برطرف شده است. البته نسخه دوم از اين پروتكل روي بعضي از تجهيزات پشتيباني نمـيشـود ولـي IOS سيسكو از هر دو نسخه پشتيباني ميكند. مكانيزم احراز اصالت در SSHاز بسياري پروتكلها مثل + RADIUS ، TACACSو احراز اصـالت RSA
پشتيباني ميكند. همچنين SSHاز الگوريتمهاي رمزنگـاري ماننـد RC4-128 ، IDEA ، 3DES ، DESو ديگر الگوريتمها پشتيباني مي .كند
براي فعال كردن SSHبر روي تجهيزات سيسكو بايد مراحل زير طي شوند:

• گام اول: تعيين hostnameو پيكربندي دامنه DNSبراي روتر
  
• گام :دوم توليد يك جفت كليد RSA
  
• گام سوم به : طور اختياري ميتوان يك time-outو محدوديتي براي تعداد تلاشهاي ورود بـه تجهيز قرار داد به. طور پيش فرض time–outبرابر 120ثانيه و تعداد تلاشهـا بـراي احـراز اصالت پيدرپي، 3مرتبه در نظر گرفته شده است.
  
• گام چهارم: محدود كردن دسترسي VTYها فقط از طريق . SSHاكيداً توصيه مـيشـود ايـن مرحله بر روي تجهيز انجام شود.
  
• گام پنجم: محدود كردن دسترسي از طريق SSHفقط براي كاربران يا شبكه هاي مجاز در مثال زير نحوه پيكربندي SSHبر روي يك تجهيز سيسكو نشان داده شده است:
  

!Step 1: Configure a hostname and domain name

Router(config)# hostname router
Router (config)# ip domain-name nyc.cisco.com
—!Step 2: Generate an RSA key pair, automatically enabling SSH.
Router (config)# cry key generate rsa
—!Step 3: Configure time-out and number of authentication retries.
Router (config)# ip ssh time-out 60
Router (config)# ip ssh authentication-retries 2
—!Step 4: Configure VTYs to only accept SSH .
Router (config)# line vty 0 4
Router (config-line)# transport input ssh
—!Step 5: Allow SSH connections only originated from the management network.
Router (config)# access-list 111 remark ACL for SSH
Router (config)# access-list 111 permit tcp 172.26.0.0 0.0.255.255 any eq 22
Router (config)# access-list 111 deny ip any any log-input
Router (config)# line vty 0 4
Router (config-line)# access-class 111 in

دسترسي گرافيكي به تجهيز مبتني بر وب

امروزه تقريباً تمام محصولات شبكه را ميتوان از طريق محيط گرافيكي مبتنـي بـر وب پيكربنـدي كـرد. ايـن روش بهخاطر سهولت استفاده از آن بسيار پر استفاده ميباشد. در اين روش تنها بـه يـك مرورگـر وب نيـاز داريم. به هر حال ممكن است بعضي از اين محيطهاي گرافيكي مبتني بر وب از پروتكـلهـاي نـا امنـي مثـل HTTP استفاده كنند. پروتكل HTTPاطلاعات را به صورت فاش در شبكه ارسال ميكنـد. ازايـنرو HTTPدر برابـر شنود و ديگر حملهها آسيبپذير است. توصيه ميشود كه دسترسي از طريق اين پروتكل غيرفعـال و بـهجـاي آن از HTTPSاستفاده شود. HTTPSاز SSLو TLSبراي رمزنگاري اطلاعات و احراز اصالت اسـتفاده مـيكند.

پروتكل HTTP

در IOSسيسكو به طور پيش فرض httpغيرفعال است. HTTPاز طريق دستور زير ميتواند غير فعال شود:

Router(config)# no ip http server

براي حالتهايي كه استفاده از پروتكل HTTPSمقدور نميباشد و حتماً بايد از پروتكـل HTTPاسـتفاده كـرد، اعمال راهنماي استفاده بيان شده در جدول 2ضروري ميباشد

در IOSسيسكو براي فعال كردن احراز اصالت از طريق پروتكل HTTPبايستي از دستور زير استفاده كرد. در مثال زير نحوه انجام تنظيمات احراز اصالت بر اساس HTTPكه از پروتكـل + TACTACSاسـتفاده مـيكنـد، نشان داده شده است.

username adminuser privilege 15 password <mypassword>
aaa new-model
aaa authentication login default group adminAAAgroup local-case
aaa authorization exec default group adminAAAgroup local
aaa accounting exec default start-stop group adminAAAgroup
!
ip http server
ip http authentication aaa
!
!HTTP access requires telnet service being accepted at the VTY
line vty 0 4
transport input telnet

پروتكل HTTPS

در IOSسيسكو براي فعالكردن سرويس HTTPSاز دستور زير بايد استفاده كرد:

Router(config)# ip http secure-server

پروتكل SNMP

SNMP مشهرترين پروتكل براي مديريت شبكه است و تقريباً تمامي دستگاههاي شبكه از آن پشتيباني مـيكنند. سه نسخه از SNMP وجود دارد :

• نسخه ، 1قديميترين نسخه آن است كه هنوز هم البته به طور اندك در حال استفاده ميباشد .
• نسخه ، c2كه بيشترين استفاده از اين نسخه ميباشد.
  
• نسخه ، 3اين نسخه استاندارد IETFميباشد كه داراي امنيت بالايي است .

SNMPنسخه 1و c2از نظر امنيتي ضعيف ميباشند. در اين دو نسخه فقط دسترسيهاي احراز اصالت شده به ديتابيس MIBاز community stringاستفاده ميكنند. علاوه بر اين تمام اطلاعات به صورت فاش ارسال ميشوند. ضمن اينكه هيچ كدام از اين دو نسخه از رمزنگاري پشتيباني نميكنند. در SNMP v3اين مشكلات امنيتي با استفاده از مكانيزمهايي از جمله احراز اصالت، بررسي صحت پيام، كنترل دسترسي و رمزنگاري رفع شده است. در اين نسخه با استفاده از الگوريتم رمزنگاري DES تمامي اطلاعات رمز ميشوند. با توجه به ويژگيهاي SNMPv3توصيه ميشود كه از اين نسخه استفاده شود. راهنماي كلي براي امنسازي SNMPدر زير آمده است. در صورت نياز نداشتن به اين پروتكل، بايد آن را غيرفعال كرد:

• فقط از ويژگيهاي مورد نياز SNMPاستفاده كنيد.
  
• بايد اين ويژگيها فقط اجازه خوانده شدن داشته باشند.
  
• بايستي از درخواستهايي كه ميخواهند كل جدول مسيريابي و جدول ARPرا با اسـتفاده از SNMP دانلود كنند، جلوگيري شود.
  
• بايستي به community stringها همانند رمز عبور مدير شبكه نگاه كرد.
  
• بايستي community stringهاي پيشفرض پاك شوند.
  
• بايستي از community stringهاي قوي استفاده كرد.
  
• بايستي تعداد سيستمهايي كه از آنها بتوان به تجهيز دسترسي SNMPداشت، محـدود شـوند. ايـن كار با استفاده از ACLهاي extendedو محدود كردن پورتهايي انجام ميشود كه پروتكـل SNMP از آنها استفاده ميكند ).
• بايستي اعمالي كه در مورد SNMPتوسـط سيسـتمهـاي مجـاز مـيتـوان انجـام داد، بـا اسـتفاده از community stringهاي متفاوت محدود شود.
  
• اگر فقط از نسخه 3استفاده ميشود، بايد از فعال بودن اين نسخه و غيرفعال بـودن ديگـر نسـخه هـا اطمينان حاصل شود.
  
• بايستي تنها trapهاي مهم فعال شوند.
  
• بايستي هنگامي كه عمليات احراز اصالت community nameبا موفقيت انجـام نمـيشـود، يـك trap ارسال شود.
  
• بايستي نظارت منظم بر SNMP trapها صورت پذيرد.
  
• اگر نياز به استفاده از نسخههاي 2و 1وجود داشته باشد، توصيه ميشود كه حتماً با استفاده از IPSec تعاملات SNMPدر برابر حملات امن شوند.
  

 

محافظت از اطلاعات محلي ذخيره شده

تجهيزات سيسكو بعضي از اطلاعات حساس مانند رمزهاي عبور و يا كليدهاي رمزنگاري را به صورت محلـي ذخيره ميكنند. تمامي رمزهاي عبور بايد توسط يك سرور مركزي AAAكنترل و نگهداري شوند. مزيت ايـن روش ميتواند به مديريت امن رمزهاي عبور، توانايي اجبار به استفاده از رمزهاي عبور قوي، قفل شدن حساب كاربري بعد از تعداد مشخصي ورود ناموفق، اجبار كـاربران بـه تغييـر رمزهـاي عبـور بـه صـورت دورهاي و بسياري مزاياي ديگر منجر شود. علاوه بر اين در اين حالت رمزهاي عبور در مكان امـن ذخيـره مـيشـوند و امكان تهيه نسخه پشتيبان از آنها نيز وجود دارد.

با اين وجود حتي اگر يك سرور AAAمركزي ايجاد شود تعدادي از پسوردهاي محلي براي حالتهاي خاصي ذخيره ميگردند، مثلاً در حالتي كه سرورهاي AAAدر دسترس نباشد. البته در صورتي كه يك سرورمركزي AAAنيز وجود داشته باشد، به دليل اينكه ممكـن اسـت مـواقعي ايـن سرور در دسترس نباشد، باز هم بايد تعدادي رمزعبور كه به صورت محلي ذخيره شدهاند، وجود داشته باشد. IOSسيسكو براي ذخيره امن اطلاعات، ويژگيهاي زير را در اختيار ميگذارد

• Global passeord encryption
  
• Local user password encryption
  
• Ecable secret

رمزنگاري اطلاعات حساس شامل رمزهاي عبور به دليل حفظ محرمانگي آنها هنگـام مشـاهده و يـا هنگـام ارسال اطلاعات ميباشد.

• :Global password encryptionدر فايل تنظيمات سيسكو به طـور پـيشفـرض رمزهـاي عبـور بـه صورت فاش ذخيره شدهاند. براي حفاظت از آنها ميتوان با استفاده از دستور زير اطلاعات حسـاس را رمز كرد:
  
  

Router(config)# service password-encryption

با اين حال الگوريتم استفاده شده در اين دستور امن نميباشد و اطلاعـات رمـز شـده توسـط آن بـه سادگي قابل رمزگشايي هستند. در نتيجه اين دستور فقط براي حالتي مناسب است كه فـرد در حـال مشاهده تنظيمات تجهيز بوده و همكار فرد نيز در همين حال آنها را مشاهده ميكند ولـي قـادر بـه تشخيص رمزهاي عبور نميتواند باشد. البته تمام اطلاعات حساس موجود در فايل تنظيمات با استفاده از اين دستور رمز نميشوند و بايـد از كل اين فايل كه حاوي اطلاعات حساسي است به طور مؤثر محافظت شود. البته IOSسيسكو از رمزنگاري قويتري نيز براي محافظت از رمزهاي عبور كـه بـه صـورت محلـي ذخيره شدهاند، پشتيباني ميكند. اين كـار بـا اسـتفاده از enable secret بـه جـاي اسـتفاده از enable password ميتواند انجام ميشود.

• :Local User Password Encryptionنامهاي كاربري و رمزهاي عبور بايد در امنترين فضاي تجهيـز ذخيره شوند. از اين حسابهاي كاربري فقط بايد در حالتي استفاده شود كه احـراز اصـالت از طريـق سرور AAAامكان پذير نميباشد. در IOSسيسكو، رمزهاي عبور مربوط به نامهاي كاربري كه به صورت محلي ذخيره شـدهانـد، مـيتوانند با استفاده از الگوريتم رمز قوي MD5با استفاده از دستور زير رمزنگاري شوند

Router(config)# username <name> secret <strongpassword>

نكته قابل توجه اين است كه رمزنگاري MD5برگشتپذير نميباشد و نميتواند همراه پروتكلهـايي كه نياز به استفاده از رمزهاي عبور به صورت فاش دارند، مثل ، CHAPاستفاده گردد.

• :Enable Secretدر IOSسيسكو مـيتـوان بـا اسـتفاده از دسـتور enableبـه محـيط EXEC دسترسي داشت. توصيه ميشود به منظور ايجاد رمز عبور براي اين محيط، بهجاي اسـتفادهاز الگوريتم رمـزenable secret . استفاده شودenable secret از دستورenable password دستور MD5استفاده مي .كند

Router(config)# enable secret <strongpassword>

اگر enable passwordنيز ايجاد شده باشد، بايد با استفاده از دستور زير آن را غيرفعال كرد.

Router(config)# no enable password

البته با انجام اين مراحل، همچنان آسيبپذيري نسبت به حلمه dictionaryباقي ميماند.

ثبت گزارش دسترسي به تجهيزات زيرساخت

بايستي دسترسي به تجهيزات زيرساخت و تغييراتي كه در فايل تنظيمات انجـام مـيشـود، طبـق مـوارد زيـر گزارشگيري شود:

• چه كسي به وسيله دسترسي داشته است.
  
• چه موقع يك كاربر وارد شده است.
  
• كاربر چه فعاليتي انجام داده است.
  
• چه موقع كاربر خارج شده است.
  
• تلاش های ناموفق براي وارد شدن به تجهيز
  
• درخواستهاي ناموفق احراز اصالت
• درخواستهاي ناموفق كسب مجوز دسترسي

ثبت گزارشهاي مربوط به محيط EXEC بر اساس AAA

در اين قسمت اطلاعاتي در مورد تمام كاربران محيط EXECمربوط به تجهيزات زيرساخت شبكه شامل نام كاربري، تاريخ، زمان شروع و پايان، آدرس IPتجهيز و آدرس IPمبدأ مربوط به كاربر در دسترس ميباشد. براي فعال كردن AAA EXEC Accountingبايستي از دستورهاي زير استفاده كرد. در اين مثال يك پيكربندي نمونه از اعمال اين سرويس بر روي خطوط VTYنشان داده شده است.

aaa accounting exec account-exec-list start-stop group adminAAAgroup
line vty 0 4
accounting exec account-exec-list

ثبت گزارشهاي احراز اصالتهاي ناموفق

براي اينكه بتوان گزارشهاي مربوط به احراز اصالتهاي ناموفق براي ورود به تجهيز يا عدم برقراري ارتباط PPPبراي كاربراني كه به طور موفق احراز اصالت شدهاند را ثبت كرد، از دستور زير بايد استفاده كرد:

Router (config)# aaa accounting send stop-record authentication failure

ثبت گزارشهاي مربوط به دستورهاي وارد شده

اين ويژگي تنها زماني قابل اجرا ميباشد كه از + TACACSاستفاده شده باشد و اطلاعاتي در مورد دستوراتي كه در محيط EXECيك تجهيز زيرساخت، تحت يك سطح دسترسي خاص وارد شدهاند، در اختيار قرار ميدهد. جزئيات اين اطلاعات شامل تاريخ، زمان و كاربري است كه دستور مربوطه را اجرا كرده است. براي استفاده از اين سرويس از دستورات زير بايد استفاده كرد.

aaa accounting exec
aaa accounting commands 15 account-exec-list start-stop group tacacs-group
line vty 0 4
accounting commands 15 account-exec-list

هنگامي كه از اين سرويس استفاده ميشود، تمامي دستورهايي كه در حالت enableوارد ميشوند، از آنها گزارش گرفته ميشود. در نتيجه هرگونه تغيير در اطلاعات حساس تجهيز مانند enable secretنبايد در محيط CLIاعمال شوند مگر اينكه اين سرويس به طور موقت غيرفعال شده باشد. راه حل پيشنهادي اين است كه تغييرات مورد نظر به صورت آفلاين انجام شوند و پس از آن اين فايل به طور امن به تجهيز انتقال داده شود.

ثبت گزارشهاي سيستم

براي فعال كردن اين سرويس در يك تجهيز سيسكو از دستورات زير استفاده ميشود:

aaa accounting system
Router (config)# aaa accounting system default start-stop group tacacs-group

ثبت گزارشهاي دسترسي به دستگاه

IOSسيسكو توانايي ارسال يك syslog trapبراي ورودهاي موفق يا ناموفق به دسـتگاه را دارد. بـا اسـتفاده از دستورات زير ميتوان از اين ويژگي استفاده كرد:

Router(config)# login on-success log
Router(config)# login on-failure log

اطلاع رساني و ثبت گزارشهاي تغيير تنظيمات

در IOSسيسكو هر تغييري كه در پيكربندي تجهيز صورت بگيرد به صورت مناسب به كاربر اطلاع رساني و ثبت ميشوند. اين گزارشهاي شامل موارد زير است:

• دستوري كه اجرا شده است.
  
• محيط و سطح دسترسي كه دستور در آن اجرا شده است.
  
• كاربري كه دستور را اجرا كرده است.
  
• زمان اجراي دستور

براي فعال كردن ثبت گزارشها از دستورات زير استفاده ميشود:

Enter archive mode
Router(config)# archive
!
!Enter the archive configuration change logger configuration mode
Router(config-archive)# log config
!
Enable configuration change logging
Router(config-archive-log-config)# logging enable
!
!Set the maximum number of configuration change log entries as 200
Router(config-archive-log-config)# logging size 200
!
!Prevent passwords from being displayed in the configuration log
Router(config-archive-log-config)# hidekeys
!
!Enable configuration change messages to be sent to a syslog server
Router(config-archive-log-config)# notify syslog

نمايش گزارشهاي ثبتشده در مورد تغيير پيكربنديها

گزارشهاي ثبت شده در تجهيز را ميتوان با استفاده از دستور زير مشاهده كرد:

Router# show archive log config all

براي مقايسه خط به خط يك فايل پيكربندي با پيكربندي فعلي تجهيز ميتوان از دستور زير استفاده كرد:

Router# show archive config incremental-diffs nvram:startup-config

همچنين براي مقايسه دو فايل پيكربندي و تعيين تفاوتهاي آنها ميتوان از دستور زير استفاده كرد:

Router# show archive config differences nvram:startup-config

پروتكلهاي انتقال فايل

براي انتقال فايل در طول شبكه ميتوان از پروتكلهاي زير استفاده كرد:

• File Transfer Protocol (FTP)
  
• Trivial File Transfer Protocol (TFTP)
  
• Srcure Copy (SCP)

FTPو TFTPداراي كمترين امنيت ميباشند و اطلاعات را به صورت فاش در طول شبكه ارسال ميكنند. در حالي كه SCPاز SSHبراي احراز اصالت و رمزنگاري استفاده ميكند. پروتكـل TFTPداراي مكـانيزم احـراز اصالت نميباشد در صورتي كه FTPبا استفاده از درخواست نام كاربري و رمزعبور، كاربران را احراز اصـالت ميكند. توصيه ميشود كه از پروتكل SCPبراي انتقال فايل استفاده شود. البته براي استفاده از اين پروتكل بايـد قـبلاً SSHبه طور صحيح بر روي تجهيز پيكربندي شده باشد. با استفاده از دستور زير ميتوان پروتكل SCPرا بـر روي يك تجهيز سيسكو فعال كرد:

Router(config)# ip scp server enable

همچنين براي حصول اطمينان از دسترسي تنها كاربران احراز اصالت شده و مجاز به SCPبايد تنظيمـات لازم در AAAانجام شود.

!AAA authentication and authorization must be configured properly for SCP to work.
aaa new-model
aaa authorization exec default group tacacs-group local
aaa authorization exec default group tacacs-group local
username <admin-user> privilege 15 password <password>
!SSH must be configured and functioning properly.
ip ssh time-out 120
ip ssh authentication-retries 3

تاييديه نرم افزار

براي بررسي IOS فعلي يك تجهيز سيسكو و اطمينان از معتبر بودن آن، بايد از دستورات زيـر اسـتفاده كـرد. اين كار در واقع با مقايسه مقدار MD5 سيستم عامل فعلي با مقدار اصلي كه بايد داشته باشد، انجام ميگيرد. براي بررسي خودكار معتبر بودن IOS سيسكو از دستورات زير بايد استفاده كرد:

Router(config)# file verify auto

و براي انجام اين كار به صورت دستي از دستور زير استفاده ميشود:

Router# verify location://image