cisco icnd1 برنامج Cisco لإدارة أجهزة الأمان والموجهات SDM


محمد أحمد العيل

سنتعرّف خلال هذا الدرس على برنامج Cisco لإدارة أجهزة الأمان والموجِّهات SDM (أو Security device manager)، ونصف ميزاته، عناصره الأساسية وخياراته العامة. سنركز على استخدام شاشات الإرشاد (Wizards) لتنظيم الإعدادات وإخفاء تعقيدات الأوامر.

مالغرض من Cisco SDM؟

برنامج Cisco SDM هو أداة لإدارة موجِّهات Cisco وأجهزتها الأمنية (مثل الجدران النارية). يتضمن البرنامج مجموعة كبيرة من الوظائف التي تهدف لتسهيل الإدارة، زيادة التوافقية (Interoperability) والرفع من مستوى الأمان. أول ما نشير إليه هو أن البرنامج مُضمَّن، بمعنى أنه مجموعة من الملفات بصيغة HTML وصيغ أخرى تُضمَّن في الذاكرة الوميضية للموجِّه. لذا كل ما عليك فعله هو إدخال عنوان IP الموجِّه في المتصفح وإن كان دعم SDM مفعلًا على الموجِّه فستحصل على واجهة مستخدم رسومية بقوائم تحدد خيارات الإعدادات. يعمل برنامج SDM على إخفاء تعقّد الأوامر وواجهات سطر الأوامر عن مديري الأنظمة مما يسمح بنشر سريع للإعدادات وسهولة فحصها ومراقبتها. يعتمد البرنامج على شاشات الإرشاد التي تعمل بطرح أسئلة وحسب الأجوبة عليها تنشئ إعدادات جاهزة لوظائف محدَّدة. يتوفر البرنامج كذلك على أدوات يضعها تحت تصرف مديري الأنظمة الذين يحتاجون لتحرير لوائح التحكم في الوصول ACLs ‏(Access control lists) والمديرين الذين لا يزالون يعتمدون على ضبط العناصر وسطر الأوامر لتنفيذ عمليات فحص ومراقبة متقدمة.

برنامج Cisco لإدارة الموجِّهات والأجهزة الأمنية

هكذا يبدو البرنامج. كل ما عليك فعله هو الدخول إلى عنوان IP نشط على الموجّه عبر المتصفح. يُفضَّل استخدام بروتوكول HTTPS والاعتماد عليه من أجل الخصوصية، والسلامة والاستيثاق (Authentication). الصفحة الرئيسية عبارة عن تطبيق شبيه بلوحة تحكم تظهر فيه معلومات عامة عن الموجِّه بما فيها نوع الطراز، والموارد المتاحة وتوفر الميزات الوظيفية.

79-cisco-sdm.jpg

يظهر في المثال أعلاه موجِّه لا يقتصر عمله على الميزات المتعلقة ببروتوكول IP بل يعمل كذلك عمل جدار ناري ذي شبكة افتراضية خاصة (Virtual private network, VPN). تتضمّن لوحة التحكم المكوِّنات والوظائف الخاصة مثل وظائف الأمان، إلى جانب معلومات الإدارة العامة المتعلقة ببطاقات الشبكة وخادوم DHCP. نرى في المثال السابق أن سياسيات الجدار الناري غير نشطة. فرغم أن الموجِّه لديه إمكانيات الجدار الناري إلا أنها إما معطَّلة أو غير مضبوطة. يمكن كذلك رؤية معلومات حية مثل عدد أنفاق حزمة بروتوكول الإنترنت الأمنية (IPsec tunnels) وزبناء VPN المتصلين حاليا بالموجِّه.

التوافق بين إصدار SDM وإصدار نظام تشغيل الموجه

يُضمَّن برنامج SDM في نظام التشغيل IOS من Cisco، إلا أنه في الوقت نفسه مكوِّّن مستقل. يمكن ترقية برنامج SDM دون الحاجة لترقية نظام تشغيل الموجِّه بكامله. تستطيع بتنفيذ الأمر show version رؤية رقم إصدار نظام التشغيل وكذلك رقم إصدار برنامج SDM. يمكن ترقية إصدار البرنامج، وفي هذه الحالة ستُنسَخ ملفات الترقية إلى الذاكرة الوميضية في الموجِّه، وبالتالي يصبح البرنامج يدعم الإصدارات الجديدة من نظام IOS ومجموعة جديدة من الأوامر.

تدعم كثير من موجِّهات Cisco برنامج SDM بما فيها عائلة ISR. يُنصَح باستخدام الإصدارات الحديثة من البرنامج إن أردت دعم الإصدارات الأخيرة من IOS والمجموعة الأحدث من أوامر النظام. التوافق بين إصدار IOS وإصدار SDM مهم جدّا. في الواقع، لن تعمل بعضٌ من إصدارات SDM مع بعض من إصدارات IOS. من أسباب انعدام التوافق أن SDM سيولِّد أوامر تُنفَّذ على نظام التشغيل، ويجب بالتالي أن يولِّد تلك الأوامر لإصدارات مخصوصة من IOS.

ضبط الموجه لدعم SDM

لا يكفي وجود ملفات SDM على الذاكرة الوميضية للموجِّه، بل يجب تفعيل النفاذ إلى التطبيق وضبطه على الموجِّه. في ما يلي الخطوات اللازمة لذلك. ستحتاج لتفعيل وظيفة HTTP أو HTTPS على الموجِّه حسب ما إذا كنت تريد توفير الخصوصية أم لا. يمكن إنشاء سياسات تقبل اتصالات HTTP ثم ربط المنفذ ببروتوكول HTTPS وبالتالي يناقش المتصفح والموجِّه إجراء معاملة معمّاة (Encrypted transaction)، أي اتصال آمن. في ما يلي الأوامر التي تحتاجها.

!
ip http server
ip http secure-server
ip http authentication local
!

الخطوة الموالية هي إنشاء حسابات مستخدمين للنفاذ إلى SDM. سيُطلَب من المستخدمين إدخال معلومات تلك الحسابات عند الاتصال بالموجِّه عبر المتصفح. تتطلب حسابات المستخدمين مستوى الامتيازات 15، وهو المستوى الأعلى ويتضمن الصلاحيات نفسها التي يتمتع بها المستخدم في وضع الإدارة في سطر الأوامر (تذكر أنك تدخل وضع الإدارة بتنفيذ الأمر enable في سطر الأوامر). الخطوة الأخيرة هي تفعيل SSH وTelnet للولوج المحلي ومستوى الامتيازات 15.

بدء تشغيل SDM

يعمل برنامج SDM بصيغة بريمج جافا (Java applet) داخل المتصفح، لذا أول خطوة هي إدخال عنوان IP نشط للموجه في شريط عنوان المتصفح. تظهر الصفحة الرئيسية لبرنامج SDM في المتصفح ويظهر كذلك صندوق الولوج لإدخال اسم المستخدم وكلمة السر. إنْ استطعت الولوج بحساب لديه مستوى الامتيازات 15 فسيبدأ تنزيل واجهة البرنامج إلى المتصفح. قد يظهر المتصفح تحذيرًا أمنيًّا، ويعود السبب في ذلك إلى أن SDM هو بريمج جافا موقَّع ذاتيا (Self signed). يمكن قبول شهادة التوقيع للجلسة الحالية فقط، كما يمكن قبوله بصفة دائمة. قد تختلف الخيارات حسب المتصفح المستخدم. يصبح بإمكانك استخدام لوحة التحكم بعد الولوج بنجاح إلى البرنامج.

شاشات الإرشاد في Cisco SDM

يوفر الضبط لمعتمد على شاشات الإرشاد سهولة الإدارة والتسيير وينظم العمل على الموجّهات، كما أنه يسمح لمستخدمين ليست لديهم الكفاءة في استخدام سطر أوامر IOS بإدارة الجهاز ومراقبته. لغالبية خيارات الإعدادات شاشات إرشاد مرتبطة بها. تتعلق بعضٌ من شاشات الإرشاد ببطاقات الشبكة والاتصال، في ما تتعلق أخرى بوظائف أمنية محددة. على سبيل المثال يتيح خيار التدقيق الأمني خيارًا يمكن من خلاله تنفيذ فحص أمني وفقًا لأفضل الممارسات الأمنية أو تبعًا لمُدخلات تحدّدها، كما يوجد خيار لقفل الموجِّه بضغطة زر، وهو ما يتوافق مع بعض السياسات والمعايير الأمنية. يمكن كذلك أتمتة نشر التوقيعات الإلكترونية بما فيها التوقيعات المخصّصة لأنظمة الوقاية من التسللات Intrusion prevention systems (أو IPS اختصارًا) عبر شاشة إرشاد خاصة.

في الختام، يعد برنامج SDM أداة فعالة لضبط موجِّهات Cisco. يحتوي البرنامج على شاشات إرشاد سهلة الاستخدام لضبط الإعدادات على نحو عملي مع وجود بعض الخيارات التي تسمح بضبط إعدادات متقدمة.

ترجمة – وبتصرف – للمقال Using the Cisco SDM





تفاعل الأعضاء


لا توجد أيّة تعليقات بعد



يجب أن تكون عضوًا لدينا لتتمكّن من التعليق

انشاء حساب جديد

يستغرق التسجيل بضع ثوان فقط


سجّل حسابًا جديدًا

تسجيل الدخول

تملك حسابا مسجّلا بالفعل؟


سجّل دخولك الآن