سنبدأ درسنا بالحديث عن الحماية الفيزيائية، ثم سنتبعه بشرح بعض الأمور الأساسية مثل وضع استراتيجية لكلمات المرور، وضبط اللافتات التي تظهر عند تسجيل الدخول، واستخدام SSH للزيادة في أمان عملية الضبط.
التهديدات الفيزيائية الشائعة
يجب أن تكون السياسات الأمنية لحماية المعلومات مبنيةً على تحليل المخاطر وإدارتها؛ والمخاطر مبنية على احتمال استغلال الأجهزة التي فيها نقاط ضعف معيّنة. فالمخاطر الفيزيائية موجودةٌ منذ الأيام الأولى للشبكات، وازدادت تلك المخاطر بالتطورات التقنية التي حدثت في زماننا هذا؛ على سبيل المثال، من المحتمل ألّا تُعامَل المكونات الإلكترونية المهمة في الأجهزة المركبة من الوحدات بحذر (modular device) سواءً كان موجِّهًا أو مبدِّلًا الذي يتطلب تثبيت وحدات أو بطاقات شبكيّة لزيادة قدراته التشغيلية أو وظائفه.
أصبح فقدان الطاقة الكهربائية وغيرها من المخاطر الكهربائية مشكلةً كبيرةً، لأننا نزيد من عدد الأجهزة والخواديم والتطبيقات في مراكز البيانات عندنا، ونحاول التوسع لتخديم عدد أكبر من المستخدمين؛ وهذا يُسبِّب إجهادًا كبيرًا على مُعدات إدارة الطاقة عندنا، وقد يسبب ذلك حادثًا أمنيًا، وقد لا يرتبط بالضرورة بهجومٍ خبيث.
ضبط كلمة مرور للموجه
الحماية أمرٌ متعدد الجوانب، ولا نحتاج إلى القلق حول الحماية الفيزيائية فحسب، لكن يجب أيضًا التحكم في الوصول إلى الموجِّهات وإدارته.
.jpg.1e1ae7893cb43f597207e0d7aa8a83e7.jpg)
RouterX(config)#no aaa new-model RouterX(config)#line console 0 RouterX(config-line)#login % Login disabled on line 0, until 'password' is set RouterX(config-line)#password cisco RouterX(config-line)#exi RouterX(config)#line vty 0 4 RouterX(config-line)#login % Login disabled on line 2, until 'password' is set % Login disabled on line 3, until 'password' is set % Login disabled on line 4, until 'password' is set % Login disabled on line 5, until 'password' is set % Login disabled on line 6, until 'password' is set RouterX(config-line)#password sanjose RouterX(config-line)#exi RouterX(config)#enable password cisco RouterX(config)#enable secret sanfran RouterX(config)#service password-encryption
لقد شاهدنا تلك الأوامر مسبقًا عندما ضبط الوصول إلى الجهاز لأغراضٍ إدارية. لكل خط (line) كلمة مرور خاصة به، ويمكنك ربط كل الخطوط إلى قاعدة بيانات محلية، وقد تُفكِّر أيضًا بنقل أو بجعل قاعدة بيانات المستخدمين مركزية على شكل خادوم AAA، وتطلب من كل الأجهزة أن تستعلم في ذاك الخادوم لكي تحصل على معلومات الاستيثاق.
يجب أن تُبنى الإدارة أيضًا على «الأدوار»؛ وهذا هو ما يُعرَف بالتحكم بالوصول المبني على الأدوار؛ وبهذا يكون لديك مستخدمين لوظائف مُعيّنة في الجهاز ومستخدمين آخرين لوظائف أخرى تتطلب امتيازات، التي يمكن ضبطتها وتعريفها عبر الأمرَين enable و enable secret.
حتى ولو كان لديك استيثاق محلي، فمن المستحسن وبشدة أن تُعرِّف المستخدمين بمرحلة ملائمة من الامتيازات؛ ولإجبار عملية تسجيل دخول المستخدم (الاستيثاق) فعليك الانتقال إلى «AAA new-model» ثم أنشِئ مُستخدِمًا. وإذا كنت تستعمل secret بدلًا من password، فسيكون ضبطك أقوى أمنيًا.
RouterX(config)#aaa new-model RouterX(config)#username admin privilege 15 secret learncisconet RouterX(config)# RouterX(config)#aaa authentication login default local RouterX(config)#end RouterX#wr Building configuration... [OK] RouterX# RouterX#quit RouterX con0 is now available Press RETURN to get started. User Access Verification Username: admin Password: RouterX>
ضبط لافتة تسجيل الدخول
عندما يُعلَم المستخدمون بالسياسة الأمنية، فستزداد قابلية التزامهم بها أو تعرفهم على الحالات التي لا تُطبَّق السياسات فيها. فلافتةٌ بسيطةٌ مضبوطةٌ بالأمر banner logging ستُبلِّغ سياسة الوصول إلى الموجِّه (وغيره من الأجهزة) لأغراضٍ إدارية. وقد تتضمن أيضًا معلوماتٍ حول الدعم والتبليغ عن المشاكل والحوادث.
المقارنة بين الوصول عبر Telnet و SSH
السرية هي أمرٌ جوهري يجب أخذه بعين الاعتبار في البنية التحتية لشبكتك؛ وهذا لا يعني أن عليك فقط تعديل كلمات المرور، فإن أرسلتها بنصٍ واضح (clear text) فيمكن لمهاجمٍ أن يعرفها...
ولا تنسَ أنَّك تشارك ملفات الضبط بين الموجِّات والأجهزة الشبكية، وتُرسِل رسائل الأخطاء والتنبيهات عبر الشبكة لأغراضٍ تتعلق باستكشاف الأخطاء أو للتوثيق.
لا تُضمِّن الأداة telnet أيّة آليات تتعلق بالسرية، ولهذا من المستحسن الانتقال إلى استخدام جلسات مُشفَّرة مثل SSH أو استخدام تقنيات تستعمل التعمية والتأكد من صحة نقل البيانات واستيثاق النهايات الشبكية عبر «strong authentication».
! ip domain-name mydomain.com ! crypto key generate rsa ! ip ssh version 2 ! line vty 0 4 login local transport input ssh ! !
نحن نتحدث هنا عن مفاتيح التشفير والشهادات الرقمية. فعندما تضبط SSH، فعليك أن تأخذ بعين الاعتبار العملية ككل، من إنشاء المفاتيح حتى التحكم بالوصول المبني على الأدوار عبر قاعدة بيانات محلية.
ترجمة -وبتصرّف- للمقال Understanding Cisco Router Security.
أفضل التعليقات
لا توجد أية تعليقات بعد
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.