بایگانی دسته: آموزش کانفیگ و پیاده سازی

آموزش های مربوط به پیاده سازی و کانفیگ انواع استراکچرهای شبکه بر روی محصولات ( روتر ، سوئیچ ، فایروال و … ) سیسکو

ایمن سازی روتر سیسکو – Secure Cisco Router

2 پاسخ

روتر سیسکو امنیت روتر سیسکو

ایمن سازی روتر سیسکو

حالا که بحث امنیت روتر پیش امده ، بد نیست یک چند نکته را هم مد نظر داشته باشیم ،

چون خود روتر میتواند یک هدف خوب برای انواع حملات باشد ، به شکلی که اگر کسی مثلا مسریاب مرزی شما رو High Load کند ، عبور ترافیک به مشکل بر خورده و شبکه شما در ارتباط با اینترنت فلج میشود ، لذا ، چند نکته که استفاده از آنها ما را به حداقل امنیت میرساند را باید رعایت کنیم .

1 – پورت های خطرناک را ببندید :

130 deny tcp any any range 135 140 (497235 matches)
140 deny udp any any range 135 140 (8303931 matches)
150 deny tcp any any eq 445 (24650346 matches)
160 deny tcp any any eq 449 (11 matches)
170 deny tcp any any eq daytime (39 matches)
180 deny tcp any any range 27000 27020 (6547 matches)
190 deny udp any any range 27000 27020 (290 matches)
200 deny tcp any any range 1024 1030 (24568 matches)
210 deny tcp any any range 1363 1380 (174634 matches)
220 deny udp any any eq 11751 (23 matches)
230 deny tcp any any eq 11751 (441 matches)
240 deny udp any any eq 1434 (10814 matches)
250 deny tcp any any eq 1433 (536911 matches)
260 deny udp any any eq 1433 (193 matches)
270 deny tcp any any eq 1434 (9133 matches)
280 deny tcp any any eq 554 (191 matches)
290 deny tcp any any eq 7070 (225 matches)
300 deny tcp any any eq 2773 (5923 matches)
310 deny tcp any any eq 54283 (590 matches)
320 deny udp any any eq echo (812 matches)
330 deny tcp any any eq echo (44 matches)
340 deny tcp any any eq discard (44 matches)
350 deny udp any any eq 554 (204 matches)
360 deny udp any any eq 7070 (8 matches)
370 deny tcp any any eq 8866 (261 matches)
380 deny tcp any any eq 9898 (230 matches)
390 deny tcp any any eq 10000 (271 matches)
400 deny tcp any any eq 10080 (1031 matches)
410 deny tcp any any eq 12345 (432 matches)
420 deny tcp any any eq 17300 (221 matches)
430 deny tcp any any eq 8554 (255 matches)
440 deny udp any any eq 8554 (8 matches)
450 deny udp any any eq 4444 (90 matches)
460 deny tcp any any eq 4444 (3850 matches)
470 deny tcp any any eq 5554 (369 matches)
480 deny udp any any eq 1500 (173 matches)
490 deny tcp any any eq 1919 (8152 matches)
500 deny tcp any any eq 2967 (5250 matches)
510 deny udp any any eq 2967 (101 matches)
520 deny tcp any any eq 1425 (10084 matches)
530 deny tcp any any eq 6667 (18607 matches)
540 deny tcp any any eq 8943 (221 matches)
550 deny tcp any any eq 4662 (3630 matches)
560 deny tcp any any eq 1034 (2946 matches)
570 deny tcp any any eq 81 (9123 matches)
580 deny tcp any any eq 8181 (420 matches)
590 deny tcp any any eq 2339 (6884 matches)
600 deny tcp any any eq 31337 (331 matches)
610 deny tcp any any eq 2745 (6134 matches)
620 deny tcp any any eq 37 (39 matches)
630 deny tcp any any eq 1500 (9704 matches)
640 deny tcp any any eq 1501 (9367 matches)
650 deny tcp any any eq 1502 (9473 matches)
660 deny tcp any any eq 1503 (9126 matches)
670 deny udp any any eq 1501 (160 matches)
680 deny udp any any eq 1502 (258 matches)
690 deny udp any any eq 1503 (168 matches)
700 deny tcp any any eq 1214 (11340 matches)
710 deny udp any any eq 65506 (326 matches)
720 deny udp any any eq 3410 (158 matches)
730 deny udp any any eq 3128 (148 matches)
740 deny udp any any eq 3127 (202 matches)
750 deny udp any any eq 8080 (207 matches)
760 deny udp any any eq 1111 (408 matches)
770 deny udp any any eq 8998 (9 matches)
780 deny udp any any eq 27374 (51 matches)
790 deny udp any any eq 1214 (107 matches)
800 deny udp any any eq 9999 (36 matches)
810 deny udp any any eq tftp
820 deny udp any any eq 2745 (208 matches)
830 deny tcp any any eq 1080 (10329 matches)
850 deny tcp any any eq sunrpc (42 matches)
860 deny tcp any any eq nntp (46 matches)
870 deny tcp any any eq drip (4244 matches)
880 deny tcp any any eq exec (1 match)
890 deny udp any any eq rip (1 match)
900 deny udp any any eq ntp (58094 matches)
910 deny tcp any any eq 2283 (6850 matches)
920 deny tcp any any eq 2535 (6262 matches)
930 deny udp any any eq 1026 (1711 matches)
940 permit ip any any (864701348 matches)
950 permit icmp any any

لازم است یک ACL با سیاست خودتان و مثلا پورت های عمومی خطرآفرین تهیه ، و انرا روی اینترفیس ورودی اعمال کنید.

conf t
int gig0/0
ip acce firewall in
ip acce firewall out

2 – باز هم توصیه میشود ، دسترسی Telnet را با SSH خایگزین کنید ، یا حداقل پورت telnet را بر طبق مقاله قبل عوض کنید.

 

تعویض پورت تلنت

 

3 – آدرس های عمومی را در درگاه وروردی اینترنت جهت جلوگیری از Spoofing ببندید و یک نکته حرفه ای اینکه یک BGP Peering با شبکه team-cymru برقرار کنید و ورودی route ها را باز بگذارید ، این شرکت IP های BOGON را برای شما ارسال میکند و این لیست خود به خود آپدیت و جلوی route شما به این دسته از IP ها را میگیرد :

http://www.team-cymru.org/Services/Bogons/bgp.html

access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect

3 – دسترسی SNMP را یا ببندید ، یا محدود کنید :

no snmp-server or >
snmp-server community SnMp@@!!123 RO 197
ip acce e 197
permit udp “trusted host ips” host “router ip” eq snmp
deny ip any any

4 – به جای enable password از enable secret استفاده کنید و پسورها را hash کنید :

service password-encryption

enable secret 5 f68a7a14ff272beddf3a6a3d3632158b/

username amirkhosro privilege 15 secret 5 $f68a7a14ff272beddf3a6a3d3632158b$.

این باعث میشود که دسترسی به پسورد شما حتی اگر کسی فایل کانفیگ روتر را هم داشته باشد غیر ممکن شود ، چون MD5 مثلا یک الگریتم یک طرفه است !

5 – سرویس بازنگاری پسورد را غیر فعل کنید ،

بدین ترتیب اگر کسی دسترسی فیزیکی هم به روتر پیدا کند نمیتواند پسور شما را ریکاور کند !

Aka-Core-Router(config)#no service password-recovery
WARNING:
Executing this command will disable password recovery me
chanism.
Do not execute this command without another plan for
password recovery.

Are you sure you want to continue? [yes/no]:yes

6 – سرویس های بدرد شما نخور را disable کنید !

Disable Echo, Chargen and discard
no service tcp-small-servers
no service udp-small-servers

Disable finger
no service finger

Disable the httpd interface
no ip http server

Disable ntp (if you are not using it)
ntp disable

Disable source routing
no ip source-route

Disable Proxy Arp
no ip proxy-arp  روی تمامی اینترفیس ها

Disable ICMP redirects
interface gig0/0
no ip redirects    روی تمامی اینترفیس ها

Disable Multicast route Caching
interface gig0/0 (your external interface)
no ip mroute-cache   روی تمامی اینترفیس ها

Disable CDP
no cdp run

Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast روی تمامی اینترفیس ها

7 – فقط IP های ست شده روی هر اینترفیس را مجاز کنید مثلا :

Aka-Core-Router#sh run int fastEthernet 0/1.300
Building configuration…

Current configuration : 281 bytes
!
interface FastEthernet0/1.300
description esfehan
encapsulation dot1Q 300
ip address 217.218.1.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
end
Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 130
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 an
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 any
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int fas 0/1.300
Aka-Core-Router(config-subif)#ip acce 130 in

و صد البته روی اینترفیس خروجی ، فقط IP های شناخته شده شبکه خودتان را اجازه ترانزیت ترافیک بدهید

مثلا شما یک کلاس /24 دارید 217.218.1.0/24 :

Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 131
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-Core-Router(config-ext-nacl)#per ip any 217.218.1.0 0.0.0.255
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int gig 0/0 ( outside interface )
ip acce 131 in
ip acce 131 out

8 – همه چیز را لاگ کنید :

logging trap debugging
logging 192.168.1.10

البته خیلی راه ها وجود دارد برای افزایش امنیت یک مسیریاب ، مثلا کنترل منابع در control-plane و و و …

این نکات همانطور که در ابتدا اشاره شد ، حداقل کارهایی است که میبایست برای امنیت مسیریاب انجام دهید و صد البته همین نکات را به این شسته رفتگی در هیچ منبعی پیدا نخواهید کرد 😉

همیشه بدانید ، ارزش یک روتر سیسکو ، از جان شما بیشتر است و امنیتش از جان همسرتان …

 

وفقک الله
Aka Networks

CDN یا شبکه توزیع محتوا چیست ؟!

پاسخ دهید

CDN یا شبکه توزیع محتوا چیست ؟!

CDN یا شبکه توزیع محتوا چیست ؟!

CDN یا شبکه توزیع محتوا چیست ؟!

امنیت ، سرعت ، دسترسی – مفاهیمی هستند که ذهن همه سرویس دهنده های محتوا را درگیر خود کرده !

حتما برای شما نیز مهم است که سایت شما از نقاط مختلف دنیا سریع باز شود و یا اینکه اطلاعات پرتال شما در چند سرور نگهداری شود .

اساس کار در CDN ، نگهداری ، به روز رسانی و سرویس دهی سایت شما در دیتا سنتر های متفاوت در نقاط مختلف دنیاست.

به این شکل که مثلا یک شبکه اجتماعی بزرگ مثل شبکه بووووووق ، دارای کاربرانی در سراسر دنیاست ، اگر خدائی نکرده یک کاربر ایرانی قصد بازدید از پروفایل خود را داشته باشد ، با توجه به جدول مسیریابی شرکت سرویس دهنده اینترنت خود به نزدیک ترین دیتا سنتری که میزبان این سایت بووووق است متصل میشود .

و صد البته ارتباطات بسیار پر سرعت و با ظرفیت بالا این سرور ها را در آنواحد با هم سینک میکند ، بدین معنی که اگر شما مثلا عکس پروفایل خود را از ایران در سایت بوق عوض کردید و در پشت قضیه به دیتا سنتر این شرکت در ترکیه متصلید ، به محض تعویض عکس این تغییر توسط زیرساخت های ارتباطی بین دیتا سنتر های این CDN بر روی همه سرور ها اعمال میشود .

برای مثال شبکه اجتماعی بوووووق با توجه به پراکندگی جغرافیایی و بیش از یک میلیارد کاربر، دارای ده ها دیتا سنتر در CDN خود در سراسر دنیاست .

به علت پراکندگی جغرافیایی ، هر کاربر به نزدیک ترین دیتا سنتر متصل مشود ،  همچنین وجود دیتا سنتر های مختلف ، امنیت اطلاعات را به لحاظ اسقرار در مکان های متفاوت فیزیکی بالا میبرد .

دفعه بعدی که به شبکه بوووووق سر زدید ، به استاتوس باز مرورگر خود توجه کنید ، کلمه CDN را بارها خواهید دید ، که همان DNS های متفاوتی است که شبکه بووووق برای دیتا سنتر های خود در نظر گرفته .

یک توصیه برادرانه هم از من بپذیرید :

هر کس که نام و مشخصات خود و دوستان خود را به شبکه اجتماعی بوووووق اضافه می‌کند باید بداند که به شکل رایگان در خدمت دستگاه‌های اطلاعاتی آمریکاست و این گنجینه اطلاعاتی را برای آنها تکمیل می‌کند … و اگر نه این همه هزینه از کجا می آید ؟!؟!!؟! تبلیغات ؟!

and it’s up to you ….

معرفی میدانی GLBP – Gateway Load Balancing Protocol

۱ پاسخ

GLBP – Gateway Load Balancing Protocol trow a Simple Sample

یکی از terms هائی که در طراحی دیتا سنتر باید توجه عمیقی بهش بشه ، مسئله Redundancy و Load Balancing  هست .

منابع دیتا سنتر باید در هر شرایطی در دسترس باشند ، اصل شکل گیری دیتا سنتر هم بر همین اساس بوده ، مکانی جهت امنیت و دسترسی سریع و بی وقفه به اطلاعات !

بنا به اسکیل هر دیتا سنتر ، بار متفاوتی بر روی دیوایس های مسیریابی شبکه وجود خواهد داشت و بر خلاف ایران که سرعت بالا ، چیزی نیست که عموم اقشار باهاش مانوس باشند ، در کشور های توسعه یافته ، مردم میتونند فیبر با سرعت STM1  درب منزلشون تحویل بگیرند ، ADSL2+ با سرعت up to 35m  که چیزه ساده ایه !

البته این امکانات کار رو برای سرویس دهنده ها سخت تر میکنه ، چرا که اونوقت با ترابیت سر و کار دارند ، نه مثل ایران با مگابیت ! شاید باورتون نشه که در کلانشهری مثل تهران ISP هائی با پهنای باند زیر 10 مگابیت نیز وجود داره !! بگذریم …

سیسکو به عنوان یکی از پیشتازان صنعت شبکه های کامپیوتری ، یه سری پروتکل خودساز proprietary  داره که از جمله اون میشه پروتکل تقسیم بار بر روی درگاه ها یا همون GLBP رو نامبرد !

این پروتکل Load Sharing و Redundancy رو همزمان با هم در دل خودش داره و این خودش مزیت بزرگیه واقعا !

خوب اساس کار اینه که یه سری دیوایس GLBP Support مثل روتر داریم که در لب مرز دیتا سنتر ما قرار دارن ،

ما تا حد ممکن میخوایم مسئله رو ساده نشون بدیم ، که اصل داستان دستگیرتون بشه و بعد خودتون بسته به خلاقیتتون میتونید اونو بست بدید ، وگرنه هیچ دیتا سنتری شبکه ای به این سادگی نداره ، مگه اینکه ایران باشه !!

این روتر ها وظیفه مسیریابی ترافیک مرزی دیتا سنتر رو دارن و از طرفی گیت وی یه سری کلاینت دیگه هستن که میخوان به این منابع دسترسی پیدا کنن ، اینجوری که ما طرح کردیم مسئله رو جهت ساده سازیه والا اصلا اینجوری نیس!

طبق این شماتیک ما 5 تا روتر داریم که یک پورتشون خورده به یه سویچ که ارتباط با بقیه سازمانه و بقیه سازمان از این طریق به منابع دیتا سنتر دسترسی پیدا میکنن و یک پورت دیگه هم به منابع دیتا سنتر متصله :

GLBP

GLBP

 

 

Default Gateway تمامی این کلاینت ها 192.168.0.1 هست که در واقع IP گروه GLBP ماست .

حالا نمونه کانفیگ روترها :

 

Router1
interface FastEthernet0/0
ip address 192.168.0.11
glbp 5 ip 192.168.0.1
glbp 5 priority 200
glbp 5 preempt

Router2
interface FastEthernet0/0
ip address 192.168.0.12
glbp 5 ip 192.168.0.1
glbp 5 priority 190
glbp 5 preempt

Router3
interface FastEthernet0/0
ip address 192.168.0.13
glbp 5 ip 192.168.0.1
glbp 5 priority 180
glbp 5 preempt

Router4
interface FastEthernet0/0
ip address 192.168.0.14
glbp 5 ip 192.168.0.1
glbp 5 priority 170
glbp 5 preempt

Router5
interface FastEthernet0/0
ip address 192.168.0.15
glbp 5 ip 192.168.0.1
glbp 5 priority 160
glbp 5 preempt

ما در هر روتر اون پورتی که به کلایت ها متصل هست رو اینطوری کانفیگ میکنیم :

اول یه IP در همون رنج میدیم مثلا ip address 192.168.0.11

و بعد IP گروه GLBP که همون دیفالت گیت وی کلاینت هاست رو نتظیم میکنیم که 192.168.0.1 شماره گروه GLBP هم 5

و در خط بعدی میزان ارزش این مسیریاب رو برای تقسیم بار مشخص میکنیم : glbp 5 priority 200

پرایوریتی بالاتر ، به معنی Utilize بیشتر این گیت وی .

همونطور که قبلا هم ذکر شد ، GLBP مزیت Redandancy رو هم در دل خودش داره ، یعنی اگر یکی از این روتر ها دچار نقص شد ، از مجموعه کنار گذاشته و بار بین بقیه تقسیم میشه 🙂

مطالعات بیشتر :

http://www.aka.ir/docs/glbp.pdf

وفقک الله …

 

 

 

پیاده سازی HSRP بر روی روتر های سیسکو

پاسخ دهید

پیاده سازی HSRP بر روی روتر های سیسکو به زبان ساده

ما در این مقاله قصد داریم که به ساده ترین شکل ، پیاده سازی HSRP  یا Hot Standby Router Protocol طی یک مثال مورد بررسی قرار دهیم .

اساس کار پروتکل HSRP  پیاده سازی High Availability  به جهت دسترسی به منابع مهم می باشد .

برای آشنایی بیشتر به این مثال میپردازیم :

در شکل زیر کلاینت ما که برای مثال یک سرور ضروری است ، می بایست دارای کمترین Down Time جهت دسترسی به منابع آن را دارا باشد  ،

لذا در طراحی این دنتا سنتر ما باید حداکثر ظرافت و دقت را جهت بروز کمترین خرابی اعمال نمائیم ،

در این راستا ، ما دو مسیریاب در مقابل راه این سرور قرار میدهیم که در صورت بروز خرابی در هر یک ، مسیریاب جایگزین قادر به Route ترافیک به سمت سرور ما باشد و ما دچار قطعی در سرویس دهی نشویم .

البته شایان ذکر است ، که این شماتیک و کانفیگ ، ساده ترین راه برای آشنایی شما با HSRP است ولیکن در یک دیتا سنتر واقعی بسیاری دیوایس دیگر نیر سر راه یک سرور قرار خواهد داشت که میبایست HSRP بر روی آنها نیز پیاده سازی شود .

برای مثال IP سرور ما 217.218.1.2 و گیت وی سرور 217.218.1.1 که همان مسیریاب منتهی با اینترنت است میباشد .

هدف ما ، ایجاد Redundancy بین 2 مسیریاب در سر راه این سرور است ، بنابر این :

HSRP

HSRP

 

 

ابتدا نمونه کانفیگ روتر اصلی که به صورت فعال در شبکه قرار دارد و پاسخگو درخواست های مسریابی میباشد :

CORE Router:
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.252
standby 1 ip 217.218.1.1
standby 1 timers 5 15
standby 1 priority 110 (This sets the router to obtain the active router status once the router is online )
standby 1 preempt

ابتدا ما یک IP اینولید بر روی اینترفیس 1.1.1.1 ست کرده و یک IP Standby که همان Gateway سرور ما است تعیین میکنیم و با دادن Priority در مقایسه با دیگر مسیریاب ها ، مسیریاب ممتاز و Active را مشخص میکنیم .

و سپس نمونه کانفیگ روتر BackUp :

BACKUP Router:
interface FastEthernet2/0
ip address 1.1.1.2 255.255.255.252
standby timers 5 15
standby preempt
standby 1 ip 217.218.1.1

ذکر این نکته مفید است که ، ما میتوانیم مجموعه ای از روتر های Backup داشته باشیم که با دادن Priority میتوان ارجعیت هر کدام را تعیین نمود .

در مثال فوق در هر 5 ثانیه دو مسیریاب از سلامت هم اطمینان حاصل کرده و در صورتی که 15 ثانیه مسیریاب فعال پاسخگو نباشد ، مسیریاب Backup  ، تا زمان در دسترس قرار گرفتن مسیریاب اصلی ، فعال میشود .

البته این ساده ترین نوع پیاده سازی بود که صرفا جهت آشنایی با اساس کار این پروتکل و معرفی آن مطرح شد .