اذهب إلى المحتوى

تأمين موجهات سيسكو (Cisco router) عند بناء الشبكات


عبد اللطيف ايمش

سنبدأ درسنا بالحديث عن الحماية الفيزيائية، ثم سنتبعه بشرح بعض الأمور الأساسية مثل وضع استراتيجية لكلمات المرور، وضبط اللافتات التي تظهر عند تسجيل الدخول، واستخدام SSH للزيادة في أمان عملية الضبط.

 

التهديدات الفيزيائية الشائعة

يجب أن تكون السياسات الأمنية لحماية المعلومات مبنيةً على تحليل المخاطر وإدارتها؛ والمخاطر مبنية على احتمال استغلال الأجهزة التي فيها نقاط ضعف معيّنة. فالمخاطر الفيزيائية موجودةٌ منذ الأيام الأولى للشبكات، وازدادت تلك المخاطر بالتطورات التقنية التي حدثت في زماننا هذا؛ على سبيل المثال، من المحتمل ألّا تُعامَل المكونات الإلكترونية المهمة في الأجهزة المركبة من الوحدات بحذر (modular device) سواءً كان موجِّهًا أو مبدِّلًا الذي يتطلب تثبيت وحدات أو بطاقات شبكيّة لزيادة قدراته التشغيلية أو وظائفه.

أصبح فقدان الطاقة الكهربائية وغيرها من المخاطر الكهربائية مشكلةً كبيرةً، لأننا نزيد من عدد الأجهزة والخواديم والتطبيقات في مراكز البيانات عندنا، ونحاول التوسع لتخديم عدد أكبر من المستخدمين؛ وهذا يُسبِّب إجهادًا كبيرًا على مُعدات إدارة الطاقة عندنا، وقد يسبب ذلك حادثًا أمنيًا، وقد لا يرتبط بالضرورة بهجومٍ خبيث.

ضبط كلمة مرور للموجه

الحماية أمرٌ متعدد الجوانب، ولا نحتاج إلى القلق حول الحماية الفيزيائية فحسب، لكن يجب أيضًا التحكم في الوصول إلى الموجِّهات وإدارته.

1_(1).thumb.jpg.0ca74183db2ba97d317a03e6

RouterX(config)#no aaa new-model
RouterX(config)#line console 0
RouterX(config-line)#login
% Login disabled on line 0, until 'password' is set
RouterX(config-line)#password cisco
RouterX(config-line)#exi
RouterX(config)#line vty 0 4
RouterX(config-line)#login
% Login disabled on line 2, until 'password' is set
% Login disabled on line 3, until 'password' is set
% Login disabled on line 4, until 'password' is set
% Login disabled on line 5, until 'password' is set
% Login disabled on line 6, until 'password' is set
RouterX(config-line)#password sanjose
RouterX(config-line)#exi
RouterX(config)#enable password cisco
RouterX(config)#enable secret sanfran
RouterX(config)#service password-encryption

لقد شاهدنا تلك الأوامر مسبقًا عندما ضبط الوصول إلى الجهاز لأغراضٍ إدارية. لكل خط (line) كلمة مرور خاصة به، ويمكنك ربط كل الخطوط إلى قاعدة بيانات محلية، وقد تُفكِّر أيضًا بنقل أو بجعل قاعدة بيانات المستخدمين مركزية على شكل خادوم AAA، وتطلب من كل الأجهزة أن تستعلم في ذاك الخادوم لكي تحصل على معلومات الاستيثاق.

يجب أن تُبنى الإدارة أيضًا على «الأدوار»؛ وهذا هو ما يُعرَف بالتحكم بالوصول المبني على الأدوار؛ وبهذا يكون لديك مستخدمين لوظائف مُعيّنة في الجهاز ومستخدمين آخرين لوظائف أخرى تتطلب امتيازات، التي يمكن ضبطتها وتعريفها عبر الأمرَين enable و enable secret.

حتى ولو كان لديك استيثاق محلي، فمن المستحسن وبشدة أن تُعرِّف المستخدمين بمرحلة ملائمة من الامتيازات؛ ولإجبار عملية تسجيل دخول المستخدم (الاستيثاق) فعليك الانتقال إلى «AAA new-model» ثم أنشِئ مُستخدِمًا. وإذا كنت تستعمل secret بدلًا من password، فسيكون ضبطك أقوى أمنيًا.

RouterX(config)#aaa new-model
RouterX(config)#username admin privilege 15 secret learncisconet
RouterX(config)#
RouterX(config)#aaa authentication login default local
RouterX(config)#end
RouterX#wr
Building configuration...
[OK]
RouterX#
RouterX#quit
RouterX con0 is now available
Press RETURN to get started.
User Access Verification
Username: admin
Password:
RouterX>

ضبط لافتة تسجيل الدخول

عندما يُعلَم المستخدمون بالسياسة الأمنية، فستزداد قابلية التزامهم بها أو تعرفهم على الحالات التي لا تُطبَّق السياسات فيها. فلافتةٌ بسيطةٌ مضبوطةٌ بالأمر banner logging ستُبلِّغ سياسة الوصول إلى الموجِّه (وغيره من الأجهزة) لأغراضٍ إدارية. وقد تتضمن أيضًا معلوماتٍ حول الدعم والتبليغ عن المشاكل والحوادث.

المقارنة بين الوصول عبر Telnet و SSH

السرية هي أمرٌ جوهري يجب أخذه بعين الاعتبار في البنية التحتية لشبكتك؛ وهذا لا يعني أن عليك فقط تعديل كلمات المرور، فإن أرسلتها بنصٍ واضح (clear text) فيمكن لمهاجمٍ أن يعرفها...

ولا تنسَ أنَّك تشارك ملفات الضبط بين الموجِّات والأجهزة الشبكية، وتُرسِل رسائل الأخطاء والتنبيهات عبر الشبكة لأغراضٍ تتعلق باستكشاف الأخطاء أو للتوثيق.

لا تُضمِّن الأداة telnet أيّة آليات تتعلق بالسرية، ولهذا من المستحسن الانتقال إلى استخدام جلسات مُشفَّرة مثل SSH أو استخدام تقنيات تستعمل التعمية والتأكد من صحة نقل البيانات واستيثاق النهايات الشبكية عبر «strong authentication».

!
ip domain-name mydomain.com
!
crypto key generate rsa
!
ip ssh version 2
!
line vty 0 4
  login local
  transport input ssh
!
!

نحن نتحدث هنا عن مفاتيح التشفير والشهادات الرقمية. فعندما تضبط SSH، فعليك أن تأخذ بعين الاعتبار العملية ككل، من إنشاء المفاتيح حتى التحكم بالوصول المبني على الأدوار عبر قاعدة بيانات محلية.

ترجمة -وبتصرّف- للمقال Understanding Cisco Router Security.

pdp1.jpg

pdp2.jpg

pdp3.jpg

pdp4.jpg

pdp5.jpg

pdp6.jpg

pdp7.jpg

pdp8.jpg

pdp9.jpg

pdp10.jpg

pdp11.jpg

pdp12.jpg

pdp13.jpg

pdp14.jpg

pdp15.jpg

pdp16.jpg

pdp17.jpg

pdp18.jpg

pdp19.jpg


تفاعل الأعضاء

أفضل التعليقات

لا توجد أية تعليقات بعد



انضم إلى النقاش

يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.

زائر
أضف تعليق

×   لقد أضفت محتوى بخط أو تنسيق مختلف.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   جرى استعادة المحتوى السابق..   امسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • أضف...