بایگانی دسته: سیسکو

تمامی مطالب مربوط به سیسکو و شرکت سیسکو سیستمز – Cisco Systems ، آخرین اخبار ، آپدیت ها ، معرفی محصولات جدید سیسکو ، معرفی نرم افزار های جدید و IOS های جدید سیسکو ، معرفی سیسکو آکادمی و مدارک سیسکو و اخبار و آپدیت های مربوط به مدارک جدید شرکت سیسکو

استفاده از روتر سیسکو به عنوان SIP Gateway

vg350

استفاده از روتر سیسکو به عنوان SIP Gateway

قطعا پیش اومده که لازم باشه در محیط های شبکه سیسکویی VOIP راه اندازی کنید ، از اونجایی که سیسکو و کلا شرکت های بزرگ علاقه مندن در رابطه با همه تکنولوژی ها پتنت خودشون رو داشته باشن ، در این ضمینه هم سیسکو پروتکل SCCP یا همون SKINNY رو معرفی میکنه که با Cisco Call Manager تشکیل یه مجموعه Unified Communications رو میده ، که البته مزایا و پیچیدگی ها و محدودیت ها و صد البته هزینه های خودش رو داره ..    برای مثال شما ملزم به خرید لایسنس Cisco Call Manager هستید که رقم های نجومی رو خدمتتون اعلام میکنند ! در مقابل دنیای Open Source و گزینه های مناسبی برای اسکیل های متوسط و کوچیک مثل Asterisk یکم انتخاب رو سخت میکنه .. الان نگارش های مختلفی از سیستم های Voice over IP بر پایه Asterisk وجود داره که اکثرا مجانی هستند و امکانات بسیار زیادی رو در اختیارتون میذارن و البته امکانات Develop بالا که باعث میشه ، سیستم های متوسط و رو به کوچک از اون استفاده کنه …

pvdm8

PVDM 8

VIC-4FXO

VIC-4FXO

2811+4fxo                                                     cisco 2811 + 4FXO

یه امکان دیگه ای که در روتر های سیسکو تعبیه شده ، سرویس PBX کوچک و سادیه به نام Cisco Call Manager Express که بسته به مدل روتر و ورژن IOS تعداد Extension های بیشتری رو ساپورت میکنه ، که البته خیلی امکانات محدودی در مقایسه با خود سیسکو کال مینیجر در اختیارتون قرار میده ، ولی من به شخصه دوران خوبی باهاش داشتم سالها پیش ! خب ، بحث اینجا بود که بعضی افراد در یک شبکه مبتنی بر سیسکو میخوان VOIP داشته باشن و ترجیح میدن از سیسکو نه به عنوان Call Manager و PBX بلکه به عنوان Voice Gateway استفاده کنند به هزاران دلیل … مثلا من به شما اکیدا توصیه میکنم با توجه به اینکه Tenor کیفیت بی رقیبی داره ، شما از هر برنده دیگه ای در ایران استفاده کنید الا تنور .. چرا هم نداره ، توصیه خطیریه ! ما اینجا میخوایم یه نمونه کانفیگ یه روتر 2811 با یه ماژول High WIC چهار پورت و8 PVDM یا همون DSP خودمون رو برسی کنیم .

یک راست میریم سروقت تنظیمات ارتباط با SIP سرور :

sip-ua keepalive target ipv4:x.x.x.x(Asterisk IP Address) keepalive trigger 1 authentication username 1000 password 7 15435sfsdfdsgdf8748 retry invite 2 retry response 2 retry bye 3 retry cancel 3 retry register 3 retry keepalive 3 registrar ipv4:x.x.x.x expires 3600 sip-server ipv4:x.x.x.x(Asterisk IP Address)

حالا rule های ارتباطات ورودی به استریسک :

dial-peer voice 1 voip destination-pattern 7777 session protocol sipv2 session target ipv4:x.x.x.x(Asterisk IP Address) session transport udp dtmf-relay rtp-nte codec g711ulaw no vad authentication username 1000 password 7 sdfasdfasdf54654

7777 اکستنشنیه که کال ورودی رو به استریسک سیمولیت میکنه ، این داخلی میتونه متفاوت باشه … حالا Dial Rule برای تماس های خارجی مثلا شهری 8 شماره ای :

dial-peer voice 1 pots description Shahri destination-pattern [2-8]T بدین معنی که از 2 تا 8 شروع شه و بعد اعداد 0تا 9 به تعداد 8 عدد port 0/0/0 پورت خروجی که باید برای هر چهار پورت این رول نوشته شه forward-digits 8

و حالا تنظیم یکی از پورت ها :

voice-port 0/0/0 no non-linear no vad timeouts call-disconnect 3 connection plar opx 7777 تماس وروردی impedance 600c آمپدانس خطوط ایران caller-id enable

خب تقریبا همین ، و بعد شما هفت جد و آبادتون رو یاد میکنید و میرید سراغ یه GW ساده تر … این فقط یه نمونه کانفیگ کامل بود که احتیاج به Tune دقیق داره و الا به کلی مشکل از قبیل قطع نکردن خطوط ، اشغالی ، بازگشت صدا ، نویز و و و … بر میخورید …      

   وفقک الله

Aka Networks  

آموزش بکاپ کانفیگ سیسکو توسط tftp

بکاپ کانفیگ سیسکو

بکاپ کانفیگ سیسکو

آموزش بکاپ کانفیگ سیسکو توسط tftp

آموزش بکاپ کانفیگ روتر و سوئیچ سیسکو توسط tftp

بکاپ گیری از کلنفیگ روتر و سوئیچ سیسکو توسط tftp

بکاپ  کانفیگ سیسکو – روتر، سوئیچ سیسکو و یا هر دیوایس مبتنی بر ios از الزامات نگهداری از شبکه برای هر مدیر شبکه است . یکی از راه های مرسوم بکاپ گیری از کانفیگ سیسکو استفاده از tftp برای انتقال فایل های کانفیگ به نقطه دیگر است .

روش کار بسیار ساده و سریع است و حتی شما میتوانید این پروسه را به صورت cron job به شکل خودکار و مثلا روزانه ، هفتگی و یا ماهانه بر روی دیوایس سیسکو پیاده سازی کنید .

از این روش همچنین برای انتقال کانفیگ روتر یا سوئیچ یا هر دیوایس سیسکو دیگری به دیوایس متناظر دیگر نیز میتوان استفاده کرد ، برای مثال شما یک روتر جدید خریداری کرده اید و میخواهید آنرا با حداقل down time به جای قبلی و یا به صورت standby جهت redundancy وارد مدار کنید ، کافی است ، از کانفیگ فعلی روتر سیسکو بکاپ گرفته و آنرا روی روتر جدید بارگذاری کنید که تمامی این پروسه توسط tftp به سادگی قابل اجراست .

مراحل کار :

برای بکاپ گیری از کانفیگ دیوایس سیسکو به یک دستگاه دیگر که میتواند یک کامپیوتر یا حتی یک دیوایس سیسکو دیگر باشد و نرم افزار tftp server ( با کلیک بر روی آن میتوانید آنرا دریافت کنید ) و همچنین دسترسی IP Based به دیوایس سیسکو نیاز است .

ابتدا نرم افزار tftp server را اجرا و آنرا در حالت ارسال و دریافت قرار داده و محل دریافت و ارسال فایل ها را مشخص نمایید .

سپس این دستورات را برای انتقال و بکاپ کانفیگ سیسکو به مقصد مورد نظر وارد نمایید :

router#copy flash:startup-config tftp:

Address or name of remote host [ ] ? 1.1.1.1

Destination filename [aka-confg]? (press enter) 

1.1.1.1 آدرس سرور tftp است و اگر همه چیز درست باشد ، انتقال فایل کانفیگ که در اینجا با نام aka-config است به سرعت انجام میشود .

روش دیگری هم که اشاره به آن خالی از لطف نیست ، استفاده از کلاینت tftp که هم برای ویندوز قابل دریافت است هم لینوکس و مک او اس دارا هستند .

ابتدا در روتر این دستورات را وارد میکنید :

Aka(config)#ip tftp source-interface gigabitEthernet 0/0.800

Aka(config)#tftp-server flash:startup-config

سپس در کلاینت tftp با دستور get فایل startup-config را دریافت میکنید .

روش آپلود فایل کانفیگ نیز بر اساس همین روال است : 

Aka#copy tftp: flash:

Address or name of remote host []? 1.1.1.1

Source filename []? startup-config

Destination filename [startup-config]? 

%Warning:There is a file already existing with this name 

Do you want to over write? [confirm] (press enter)  

و به همین سادگی انتقال صورت میپذیرد  ، فقط به یاد داشته باشید پس از upload فایل کانفیگ اینترفیس های فیزیکی روتر به حالت admin down است و میبایست  به صورت دستی up شوند .

برای شکوفا شدن خلاقیت و همچنین خسته نشدن ، میتوانید روش بکاپ خودکار با اسکژول را خودتان پیدا کنید :دی

وفقک الله

 

معرفی کتاب BGP4

bgp4-show cover

CISCO Press BGP4 Command Handbook

BGP4

یکی از معظلات دوستان اینه که به علت گستردگی مباحث و تکنولوژی ها ، کامند یادشون میره ، و این خیلی معضل میشه تو امتحان ، حالا سر کار با کوسچن مارک آدم یه خاکی سرش میکنه ، ولی هم کار رو کند میکنه و هم کلاسو اولماس 😉

مثلا شما فردا یه پروژه BGP Implementation دارین ، و مدتی هست که خیلی ریز رو ساب کامندها و کانفیگوریشن های ریز BGP4 کار نکردین ،،،، نه که مسلط نباشید ، کامند یادتون نیست ، سیسکو اینو واسه شب امتحان و شب پروژه زده ،فرنگیا به این کتابا میگن هند بوک ! همون تقلب ماست ، البته ربطی به صندوق  رای سال 92 و اینا نداره ، مربوط به سیسکو آکادمیه … 😉

شما با اشراف کامل به استراتژی و فهم و درک کامل از یه پروتکل و یا یه استراکچر ، باز هم با گذشتن زمان و عدم استفاده و تمرین کامند فراموش میکنید … این کتابا  ، کانمدارو خلاصه به شما یاداوری میکنه .

البته ،، یه سری از دوستان که علاقه وافری به یادگیریه سیخونکی و تجربی دارن ، قبل اینکه فرق BGP4 و Static Route رو بدونن میان اینارو میخونن و با بیچاره کردن 10 تا پیمانکار و 1 سال علافی ، تازه یاد میگیرن یه BGP non Direct درب و داغون ران کنن ، که البته اونایی که من میشناسم اینجوری نیستن احتمالا …

انی وی 🙂 ، این کتاب رو میتونید از اینجا دانلود کنید و ازش لذت وافر ببرید ، باور کنید خوندن کتابهای سیسکو پرس از دیوان ایرج میرزا بیشتر حال میده 😉

CiscoPress–Cisco BGP-4 command and configuration handbook

وفقک الله …

 

 

 

پسورد روتر

عوض کردن پسورد روتر سیسکو

عوض کردن پسورد روتر سیسکو

تعویض پسورد روتر و سوئیچ سیسکو

پسورد روتر سیسکو و یا پسورد روتر سوئیچ سیسکو و یا هر دیوایس سیسکو دیگری که با سیستم عامل IOS کار میکند که چندان سختی نیست ، در صورتی که همکنون پسورد روتر ر در اختیار دارید ، به سادگی میتوانید پسورد روتر را تعویض کرده و از دسترسی به روتر سیسکو توسط غیر جلوگیری نمائید ، در صورتی که همکنون پسورد روتر سیسکو را در اختیار ندارید ، می بایست آنرا ابتدا ریست کنید و سپس اقدام به تعویض آن نمائید : آموزش پاک کردن کانفیگ روتر سیسکو

برای تعویض پسورد روتر سیسکو و یا پسورد سوئیچ سیسکو ابتدا میباست توسط telnet یا ssh و یا کابل کنسول ، به روتر متصل شودید و سپس اقدام به تعویض پسورد نمائید ،، همانطور که میدانید ، روتر سیسکو دارای 2 سطح دسترسی میباشد ، در ابتدا که شما قصد اتصال به روتر سیسکو یا سوئیچ سیسکو را دارید ، از شما Username و Password را میخواهد ، پس از وارد کردن آنها ، عموما وارد سطح دسترسی میشوید که امکان مشاهده صرف را فقط داشته و نمیتوانید تغییری در کانفیگ اعمال کنید ، برای اینکه وارد سطح دسترسی بالاتر که Privilege Mode نام دارد شوید ، باید از دستور Enable استفاده کنید ، که در صورت کانفیگ صحیح روتر سیسکو ، دوباره از شما کلمه عبور خواهد خواست ،  که به این رمز Enable Password یا Enable Secret نیز اطلاق میشود ، پس از ورود صحیح رمز ، اعلان روتر تغییر کرده و شما دسترسی ایجاد تغییرات در روتر را خواهید داشت :

User Access Verification

Username: shabake
Password:

Shabake-Core>en
Password:
Shabake-Core#

برای ایجاد تغییرات در کانفیگ باید به محیط Config Mode توسط کامند Config terminal رفته و سپس با دستورات زیر پسورد روتر و Enable Password را تعویض کنید و یا اینکه یک Username دیگر ایجاد کنید :

Shabake-Core#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Shabake-Core(config)#username shabake password 0 shabake
Shabake-Core(config)#enable password 0 shabake
Shabake-Core(config)#username test password 0 test

در سطر آخر ما اقدام به ساخت یک یوزر جدید به نام test با کلمه عبور test نمودیم .

نکته دیگری که میبایست به آن توجه کنید این است که یک روتر میتواند توسط یک سرور AAA توسط پروتکل Radius اهراز هویت نماید ، بدین ترتیب که برای ورود هویت شما را اط طریق سرور AAA که قبلا برای آن تعریف شده ، بررسی میکند ، برای  اینکه تنظیمات AAA را ریست کنید ، میتوانید از این دستور استفاده کنید :

Shabake-Core(config)#aaa new-model

در سیستم عامل IOS سیسکو ، 16 سطح دسترسی (0-15) وجود دارد که 0 نمایانگر کمترین سطح دسترسی و 15 بیشترین است که میتوانید به این صورت سطح دسترسی مورد نظر را به یک یوزر اختصاص دهید :

Shabake-Core(config)#username shabake privilege 15

وفقک الله

Reverse Proxy و افزایش امنیت و سرعت وب سرور

Reverse Proxy و افزایش امنیت و سرعت وب سرور

یکی از دقدقه های وب مستر ها و دیتا سنتر ها ، اصولا امنیت و سرعت وب سرور هاست ، عموما امنیت و سرعت همیشه با هم یکجا جمع نمیشود ، و افزایش امنیت معمولا کاهش سرعت را در پی خواهد داشت .

مثلا ما با قرار دادن یک فایروال UTM  در مقابل یک وب سرور ، باعث میشویم که هر پکت از سلسله کنترل هائی عبوذ کند ، باز شود و محتویاتش و منبع و مقصدش و … بررسی و بعد تحویل وب سرور شود و در مورد پاسخ نیز به همین شکل ، خب این پروسه ها  همه در بهترین حالت و با استفاده از بهترین سخت افزار ها هم ممکن است باعث کاهش سرعت شود که البته طبیعی ست .

یکی از روش های افزایش امنیت که باعث Accelerate شدن سرویس نیز میشود ، استفاده از Reverse Proxy است .

مکانیسم کار با این شکل است ، که برای مثال یک Content Engine یا در سر راه وب سرور یا به صورت موازی از طریق WCCP قرار گرفته و درخواست های را از کلاینت دریافت و مستقیما با وب سرور چلنج میکند و پاسخ را اگر در کش موجود نباشد و یا TTL آن منقضی شده باشد ، کش کرده و به کلاینت تحویل میدهد .

مزایای این روش ، جلوگیری زیادی در حملات DOS ، افزایش سرعت پاسخگویی ، کاهش لود سرور به شکل چشم گیر به علت کم شدن تعداد Query ها و Request ها و همچنین اگر در کنار این روش از Server Publishing استفاده شود ، باعث پنهان شدن IP اصلی سرور میشود .

در شماتیک زیر روش استفاده از WCCP و یک Cisco Content Engine 560 وCisco Router را ملاحظه میفرمائید .

reverse proxy

reverse proxy

ابتدا کانفیگ روتر :

ip wccp 99

interface Ethernet0/0
description Interface to the Internet
ip address 172.17.63.194 255.255.255.192
no ip redirects

interface Ethernet0/1
ip address 10.0.0.1 255.255.255.0

interface Ethernet1/0
ip address 10.1.0.1 255.255.255.0
ip wccp 99 redirect out

ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.193

 

 کانفیگ کانتنت انجین :

interface ethernet 0
ip address 10.0.0.2 255.255.255.0
ip broadcast-address 10.0.0.255

wccp router-list 1 10.0.0.1
wccp reverse-proxy router-list-num 1
wccp version 2

بدین ترتیب درخواست های وب ابتدا به کانتنت انجین و پس از کش شدن از وب سرور از کانتنت انجین به سمت کلاینت ارسال میشود .

البته روش های قوی تری نیز وجود دارد ، مثل پابلیشینگ وب سرور توسط ASA و سپس Reverse Proxy نمودن .

resverse proxy and server publishing

reverse proxy and server publishing

البته پلت فرم های نرم افزاری هم وجود دارند ، نظیر وب سرور Nginx  که خودش Built in دارای Reverse Proxy نیز میباشد که باعث افزایش کارایی و کم شدن لود سرور به علت کم شدن تعداد Query های http و SQL است .

بعضی هم اقدام به سری کردن Squid  با وب سرور ، با دو سرور مجزا و یا روی همان سرور کرده ، که زیاد کار تمیزی نیست .

در کل تمامی این روش ها در صورتی که در جای مناسب و به شکل مناسب و با بررسی محیط مورد استفاده و پیاده سازی دقیق و صیحیح انجام پذیرد ، باعث افزایش امنیت و کارایی و الا باعث دردسر و باگ در سیستم میگردد ، این مقاله صرفا جهت آشنایی کلی با این مفاهیم و Solution هاست و الا خیلی دقیق تر باید از این ابزار ها ساتفاده نمود .
وفقک الله
Aka Networks

ایمن سازی روتر سیسکو – Secure Cisco Router

روتر سیسکو امنیت روتر سیسکو

ایمن سازی روتر سیسکو

حالا که بحث امنیت روتر پیش امده ، بد نیست یک چند نکته را هم مد نظر داشته باشیم ،

چون خود روتر میتواند یک هدف خوب برای انواع حملات باشد ، به شکلی که اگر کسی مثلا مسریاب مرزی شما رو High Load کند ، عبور ترافیک به مشکل بر خورده و شبکه شما در ارتباط با اینترنت فلج میشود ، لذا ، چند نکته که استفاده از آنها ما را به حداقل امنیت میرساند را باید رعایت کنیم .

1 – پورت های خطرناک را ببندید :

130 deny tcp any any range 135 140 (497235 matches)
140 deny udp any any range 135 140 (8303931 matches)
150 deny tcp any any eq 445 (24650346 matches)
160 deny tcp any any eq 449 (11 matches)
170 deny tcp any any eq daytime (39 matches)
180 deny tcp any any range 27000 27020 (6547 matches)
190 deny udp any any range 27000 27020 (290 matches)
200 deny tcp any any range 1024 1030 (24568 matches)
210 deny tcp any any range 1363 1380 (174634 matches)
220 deny udp any any eq 11751 (23 matches)
230 deny tcp any any eq 11751 (441 matches)
240 deny udp any any eq 1434 (10814 matches)
250 deny tcp any any eq 1433 (536911 matches)
260 deny udp any any eq 1433 (193 matches)
270 deny tcp any any eq 1434 (9133 matches)
280 deny tcp any any eq 554 (191 matches)
290 deny tcp any any eq 7070 (225 matches)
300 deny tcp any any eq 2773 (5923 matches)
310 deny tcp any any eq 54283 (590 matches)
320 deny udp any any eq echo (812 matches)
330 deny tcp any any eq echo (44 matches)
340 deny tcp any any eq discard (44 matches)
350 deny udp any any eq 554 (204 matches)
360 deny udp any any eq 7070 (8 matches)
370 deny tcp any any eq 8866 (261 matches)
380 deny tcp any any eq 9898 (230 matches)
390 deny tcp any any eq 10000 (271 matches)
400 deny tcp any any eq 10080 (1031 matches)
410 deny tcp any any eq 12345 (432 matches)
420 deny tcp any any eq 17300 (221 matches)
430 deny tcp any any eq 8554 (255 matches)
440 deny udp any any eq 8554 (8 matches)
450 deny udp any any eq 4444 (90 matches)
460 deny tcp any any eq 4444 (3850 matches)
470 deny tcp any any eq 5554 (369 matches)
480 deny udp any any eq 1500 (173 matches)
490 deny tcp any any eq 1919 (8152 matches)
500 deny tcp any any eq 2967 (5250 matches)
510 deny udp any any eq 2967 (101 matches)
520 deny tcp any any eq 1425 (10084 matches)
530 deny tcp any any eq 6667 (18607 matches)
540 deny tcp any any eq 8943 (221 matches)
550 deny tcp any any eq 4662 (3630 matches)
560 deny tcp any any eq 1034 (2946 matches)
570 deny tcp any any eq 81 (9123 matches)
580 deny tcp any any eq 8181 (420 matches)
590 deny tcp any any eq 2339 (6884 matches)
600 deny tcp any any eq 31337 (331 matches)
610 deny tcp any any eq 2745 (6134 matches)
620 deny tcp any any eq 37 (39 matches)
630 deny tcp any any eq 1500 (9704 matches)
640 deny tcp any any eq 1501 (9367 matches)
650 deny tcp any any eq 1502 (9473 matches)
660 deny tcp any any eq 1503 (9126 matches)
670 deny udp any any eq 1501 (160 matches)
680 deny udp any any eq 1502 (258 matches)
690 deny udp any any eq 1503 (168 matches)
700 deny tcp any any eq 1214 (11340 matches)
710 deny udp any any eq 65506 (326 matches)
720 deny udp any any eq 3410 (158 matches)
730 deny udp any any eq 3128 (148 matches)
740 deny udp any any eq 3127 (202 matches)
750 deny udp any any eq 8080 (207 matches)
760 deny udp any any eq 1111 (408 matches)
770 deny udp any any eq 8998 (9 matches)
780 deny udp any any eq 27374 (51 matches)
790 deny udp any any eq 1214 (107 matches)
800 deny udp any any eq 9999 (36 matches)
810 deny udp any any eq tftp
820 deny udp any any eq 2745 (208 matches)
830 deny tcp any any eq 1080 (10329 matches)
850 deny tcp any any eq sunrpc (42 matches)
860 deny tcp any any eq nntp (46 matches)
870 deny tcp any any eq drip (4244 matches)
880 deny tcp any any eq exec (1 match)
890 deny udp any any eq rip (1 match)
900 deny udp any any eq ntp (58094 matches)
910 deny tcp any any eq 2283 (6850 matches)
920 deny tcp any any eq 2535 (6262 matches)
930 deny udp any any eq 1026 (1711 matches)
940 permit ip any any (864701348 matches)
950 permit icmp any any

لازم است یک ACL با سیاست خودتان و مثلا پورت های عمومی خطرآفرین تهیه ، و انرا روی اینترفیس ورودی اعمال کنید.

conf t
int gig0/0
ip acce firewall in
ip acce firewall out

2 – باز هم توصیه میشود ، دسترسی Telnet را با SSH خایگزین کنید ، یا حداقل پورت telnet را بر طبق مقاله قبل عوض کنید.

 

تعویض پورت تلنت

 

3 – آدرس های عمومی را در درگاه وروردی اینترنت جهت جلوگیری از Spoofing ببندید و یک نکته حرفه ای اینکه یک BGP Peering با شبکه team-cymru برقرار کنید و ورودی route ها را باز بگذارید ، این شرکت IP های BOGON را برای شما ارسال میکند و این لیست خود به خود آپدیت و جلوی route شما به این دسته از IP ها را میگیرد :

http://www.team-cymru.org/Services/Bogons/bgp.html

access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect

3 – دسترسی SNMP را یا ببندید ، یا محدود کنید :

no snmp-server or >
snmp-server community SnMp@@!!123 RO 197
ip acce e 197
permit udp “trusted host ips” host “router ip” eq snmp
deny ip any any

4 – به جای enable password از enable secret استفاده کنید و پسورها را hash کنید :

service password-encryption

enable secret 5 f68a7a14ff272beddf3a6a3d3632158b/

username amirkhosro privilege 15 secret 5 $f68a7a14ff272beddf3a6a3d3632158b$.

این باعث میشود که دسترسی به پسورد شما حتی اگر کسی فایل کانفیگ روتر را هم داشته باشد غیر ممکن شود ، چون MD5 مثلا یک الگریتم یک طرفه است !

5 – سرویس بازنگاری پسورد را غیر فعل کنید ،

بدین ترتیب اگر کسی دسترسی فیزیکی هم به روتر پیدا کند نمیتواند پسور شما را ریکاور کند !

Aka-Core-Router(config)#no service password-recovery
WARNING:
Executing this command will disable password recovery me
chanism.
Do not execute this command without another plan for
password recovery.

Are you sure you want to continue? [yes/no]:yes

6 – سرویس های بدرد شما نخور را disable کنید !

Disable Echo, Chargen and discard
no service tcp-small-servers
no service udp-small-servers

Disable finger
no service finger

Disable the httpd interface
no ip http server

Disable ntp (if you are not using it)
ntp disable

Disable source routing
no ip source-route

Disable Proxy Arp
no ip proxy-arp  روی تمامی اینترفیس ها

Disable ICMP redirects
interface gig0/0
no ip redirects    روی تمامی اینترفیس ها

Disable Multicast route Caching
interface gig0/0 (your external interface)
no ip mroute-cache   روی تمامی اینترفیس ها

Disable CDP
no cdp run

Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast روی تمامی اینترفیس ها

7 – فقط IP های ست شده روی هر اینترفیس را مجاز کنید مثلا :

Aka-Core-Router#sh run int fastEthernet 0/1.300
Building configuration…

Current configuration : 281 bytes
!
interface FastEthernet0/1.300
description esfehan
encapsulation dot1Q 300
ip address 217.218.1.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
end
Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 130
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 an
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 any
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int fas 0/1.300
Aka-Core-Router(config-subif)#ip acce 130 in

و صد البته روی اینترفیس خروجی ، فقط IP های شناخته شده شبکه خودتان را اجازه ترانزیت ترافیک بدهید

مثلا شما یک کلاس /24 دارید 217.218.1.0/24 :

Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 131
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-Core-Router(config-ext-nacl)#per ip any 217.218.1.0 0.0.0.255
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int gig 0/0 ( outside interface )
ip acce 131 in
ip acce 131 out

8 – همه چیز را لاگ کنید :

logging trap debugging
logging 192.168.1.10

البته خیلی راه ها وجود دارد برای افزایش امنیت یک مسیریاب ، مثلا کنترل منابع در control-plane و و و …

این نکات همانطور که در ابتدا اشاره شد ، حداقل کارهایی است که میبایست برای امنیت مسیریاب انجام دهید و صد البته همین نکات را به این شسته رفتگی در هیچ منبعی پیدا نخواهید کرد 😉

همیشه بدانید ، ارزش یک روتر سیسکو ، از جان شما بیشتر است و امنیتش از جان همسرتان …

 

وفقک الله
Aka Networks