افزایش امنیت روتر سیسکو [Cisco Full Security]

افزایش امنیت روتر سیسکو [Cisco Full Security]

 آموزش توسط [ Root3r ]

افزایش امنیت روتر سیسکو [Cisco Full Security]
افزایش امنیت روتر سیسکو [Cisco Full Security]
سیسکو یکی از معتبرترین تولید کنندگان روتر و سوئیچ در سطح جهان است که از محصولات آن در مراکر شبکه ای متعددی استفاده می گردد . این شرکت تاکنون مدل های متعددی  از روترها را با قابلیت های مختلفی تولید نموده است . سری 1600 ،  2500 و   2600 ، متداولترین نمونه در این زمینه می باشند . روترهای تولید شده توسط این شرکت از سری  600 شروع و تا سری 12000 ادامه می یابد( در حال حاضر )  . شکل زیر برخی از نمونه های موجود را نشان می دهد :

 

مراحل زیر از مهم ترین مباحث امنیتی روترهای سیسکو میباشد

این ایمن سازی شامل 9 مرحله است …

 

 

مرحله 1 :

پورت های خطر ناک را ببندید..

_________________________________________

(140 deny udp any any range 135 140 (8303931 matches
(150 deny tcp any any eq 445 (24650346 matches
(160 deny tcp any any eq 449 (11 matches
(170 deny tcp any any eq daytime (39 matches
(180 deny tcp any any range 27000 27020 (6547 matches
(190 deny udp any any range 27000 27020 (290 matches
(200 deny tcp any any range 1024 1030 (24568 matches
(210 deny tcp any any range 1363 1380 (174634 matches
(220 deny udp any any eq 11751 (23 matches
(230 deny tcp any any eq 11751 (441 matches
(240 deny udp any any eq 1434 (10814 matches
(250 deny tcp any any eq 1433 (536911 matches
(260 deny udp any any eq 1433 (193 matches
(270 deny tcp any any eq 1434 (9133 matches
(280 deny tcp any any eq 554 (191 matches
(290 deny tcp any any eq 7070 (225 matches
(300 deny tcp any any eq 2773 (5923 matches
(310 deny tcp any any eq 54283 (590 matches
(320 deny udp any any eq echo (812 matches
(330 deny tcp any any eq echo (44 matches
(340 deny tcp any any eq discard (44 matches
(350 deny udp any any eq 554 (204 matches
(360 deny udp any any eq 7070 (8 matches
(370 deny tcp any any eq 8866 (261 matches
(380 deny tcp any any eq 9898 (230 matches
(390 deny tcp any any eq 10000 (271 matches
(400 deny tcp any any eq 10080 (1031 matches
(410 deny tcp any any eq 12345 (432 matches
(420 deny tcp any any eq 17300 (221 matches
(430 deny tcp any any eq 8554 (255 matches
(440 deny udp any any eq 8554 (8 matches
(450 deny udp any any eq 4444 (90 matches
(460 deny tcp any any eq 4444 (3850 matches
(470 deny tcp any any eq 5554 (369 matches
(480 deny udp any any eq 1500 (173 matches
490 deny tcp any any eq 1919 (8152 matches
(500 deny tcp any any eq 2967 (5250 matches
(510 deny udp any any eq 2967 (101 matches
(520 deny tcp any any eq 1425 (10084 matches
(530 deny tcp any any eq 6667 (18607 matches
(540 deny tcp any any eq 8943 (221 matches
(550 deny tcp any any eq 4662 (3630 matches
(560 deny tcp any any eq 1034 (2946 matches
(570 deny tcp any any eq 81 (9123 matches
(580 deny tcp any any eq 8181 (420 matches
(590 deny tcp any any eq 2339 (6884 matches
(600 deny tcp any any eq 31337 (331 matches
(610 deny tcp any any eq 2745 (6134 matches
(620 deny tcp any any eq 37 (39 matches
(630 deny tcp any any eq 1500 (9704 matches
(640 deny tcp any any eq 1501 (9367 matches
(650 deny tcp any any eq 1502 (9473 matches
(660 deny tcp any any eq 1503 (9126 matches
(670 deny udp any any eq 1501 (160 matches
(680 deny udp any any eq 1502 (258 matches
(690 deny udp any any eq 1503 (168 matches
(700 deny tcp any any eq 1214 (11340 matches
(710 deny udp any any eq 65506 (326 matches
(720 deny udp any any eq 3410 (158 matches
(730 deny udp any any eq 3128 (148 matches
(740 deny udp any any eq 3127 (202 matches
(750 deny udp any any eq 8080 (207 matches
(760 deny udp any any eq 1111 (408 matches
(770 deny udp any any eq 8998 (9 matches
780 deny udp any any eq 27374 (51 matches
(790 deny udp any any eq 1214 (107 matches
(800 deny udp any any eq 9999 (36 matches
(810 deny udp any any eq tftp
(820 deny udp any any eq 2745 (208 matches
(830 deny tcp any any eq 1080 (10329 matches
(850 deny tcp any any eq sunrpc (42 matches
(860 deny tcp any any eq nntp (46 matches
(870 deny tcp any any eq drip (4244 matches
(880 deny tcp any any eq exec (1 match
(890 deny udp any any eq rip (1 match
(900 deny udp any any eq ntp (58094 matches
(910 deny tcp any any eq 2283 (6850 matches
(920 deny tcp any any eq 2535 (6262 matches
(930 deny udp any any eq 1026 (1711 matches
(940 permit ip any any (864701348 matches

_________________________________________

 

 

لازم است یک ACL یا سیاست خودتان و مثلا پورت های عمومی و خطر افرین تهیه و آنرا بر روی اینترفیس ورودی اعمال کنید

_________________________________________

 

 (130 deny tcp any any range 135 140 (497235 matches

conf t
int gig0/0
ip acce firewall in
ip acce firewall out

_______________________________________________

مرحله 2 : *مهم*

دسترسی تلنت را با SSH جایگزین کنید یا در غیر این صورت پورت تلنت را بر طبق مقاله قبل عوض کنید

 

مرحله 3 :

آدرس های عمومی را در درگاه ورودی اینترنت جهت جلوگیری از Spoofing ببندید و نکته حرفه ای دیگر یک BGP Peering یا شبکه Team cymru برقرار کنید و ورودی Route را باز بگذارید

این شرکت آی پی های BOGON را برای شما ارسال میکند و این لسیت خود به خود آپدیت و جلوی Route شما به این دسته از آی پی ها را میگیرد

______________________________________________________

access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect

______________________________________________________

 

مرحله 4 :

دسترسی SNP را ببندید یا محدود کنید

______________________________________________________

no snmp-server or >
snmp-server community [email protected]@!!123 RO 197
ip acce e 197
permit udp “trusted host ips” host “router ip” eq snmp
deny ip any any

______________________________________________________

مرحله 5 :

بهتر است از Enable Secret بجای Enable password استفاده کنید

این  باعث میشود که دسترسی به پسورد شما حتی اگر کسی فایل کانفیگ روتر را هم داشته باشد غیر ممکن شود

زیرا MD5 یک الگریتم یک طرفه است

______________________________________________________

 service password-encryption

enable secret 5 f68a7a14ff272beddf3a6a3d3632158b/

username amirkhosro privilege 15 secret 5 $f68a7a14ff272beddf3a6a3d3632158b$.

______________________________________________________

مرحله 6 :

سروریس بازنگاری پسورد را غیر فعال کنید

در این صورت اگر کسی دسترسی فیزیکی به روتر پیدا کنه امکان ریکاوری پسورد وجود ندارد

______________________________________________________

Aka-Core-Router(config)#no service password-recovery
WARNING:
Executing this command will disable password recovery me
chanism.
Do not execute this command without another plan for
password recovery.

Are you sure you want to continue? [yes/no]:yes

______________________________________________________

 

مرحله 7 :

سرورس هایی که بدرد شما نمیخوره را غیر فعال کنید

 

______________________________________________________

Disable Echo, Chargen and discard
no service tcp-small-servers
no service udp-small-servers

Disable finger
no service finger

Disable the httpd interface
no ip http server

Disable ntp (if you are not using it)
ntp disable

Disable source routing
no ip source-route

Disable Proxy Arp
no ip proxy-arp روی تمامی اینترفیس ها

Disable ICMP redirects
interface gig0/0
no ip redirects روی تمامی اینترفیس ها

Disable Multicast route Caching
interface gig0/0 (your external interface)
no ip mroute-cache روی تمامی اینترفیس ها

Disable CDP
no cdp run

Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast روی تمامی اینترفیس ها

______________________________________________________ 

 

 

مرحله 8 :

فقط آی پی های ست شده روی هر اینترفیس را مجاز کنید

 

______________________________________________________ 

Aka-Core-Router#sh run int fastEthernet 0/1.300
Building configuration…

Current configuration : 281 bytes
!
interface FastEthernet0/1.300
description esfehan
encapsulation dot1Q 300
ip address 217.218.1.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
end
Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 130
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 an
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 any
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int fas 0/1.300
Aka-Core-Router(config-subif)#ip acce 130 in

و صد البته روی اینترفیس خروجی ، فقط IP های شناخته شده شبکه خودتان را اجازه ترانزیت ترافیک بدهید

مثلا شما یک کلاس /۲۴ دارید ۲۱۷٫۲۱۸٫۱٫۰/۲۴ :

Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 131
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-Core-Router(config-ext-nacl)#per ip any 217.218.1.0 0.0.0.255
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int gig 0/0 ( outside interface )
ip acce 131 in
ip acce 131 out

______________________________________________________ 

مرحله 9 :

همه چیز را لاک کنید

______________________________________________________ 

logging trap debugging
logging 192.168.1.10 

______________________________________________________ 

________________________________________________________________________________

Copy Right  هرگونه کپی برداری بدون ذکر منبع از لحاظ شرعی حرام  و خلاف قوانین است.  لطفا در صورت استفاده از مطالب منبع را ذکر کنید.

NetFixed Forum  در صورت داشتن سوال و یا مشکل پیرامون این مطلب، در انجمن دانش کمپ مطرح کنید.

Password  پسورد فایل های سایت : daneshcamp.ir

Home  منبع : وب سایت دانش کمپ