امنیت بیشتر برای اتصال Telnet و SSH در سیسکو
تلنت Telnet و SSH دو پروتکل دسترسی به شبکه و اتصال به سوئیچ یا روتر، از راه دور یا نزدیک، از طریق شبکه داخلی یا اینترنت است. در این یادداشت، با خودداری از بحثهای علمی و نظری، کوتاه و کاربردی به پیکربندی این دو روش با رعایت مسائل امنیتی میپردازم؛ با این فرض که خواننده با مباحث مختلف شبکههای کامپیوتری در دوره CCNA سیسکو (Cisco)، از جمله دستورات پیکربندی، آشنایی مقدماتی دارد. همچنین از خلاصهنویسی دستورات خودداری کردهام.
دسترسی به روشهای Telnet و SSH
۱ـ تعریف کاربر / کاربران و رمز عبور برای دور روش دسترسی
- برای کاربری فعال (Privilege) با استفاده از دستور secret رمز عبور تعریف کنید.
- برای کاربری پیکربندی (Global)، نام کاربری را مشخص و رمز عبور را با استفاده از دستور secret تعریف کنید تا اتصال از طریق Telnet و SSH (Security Shell) به روش لوکال لاگین (login local) انجام شود.
رمز عبورها، ترکیبی از عدد و نشانه و حروف باشد. همچنین در استفاده از حروف، یک کلمه با معنا یا مفهوم را استفاده نکنید تا مهاجم و هکر نتواند در زمان کوتاهی! با حمله لغتنامهای رمز را پیدا کند.
(config)#hostname {}
(config)#usre {} secret {}
(config)#enable secret {}
- امنیت و محرمانگی رمزنگاری (Encryption) را افزایش دهید (این یک روش عمومی است نه مخصوص تلنت و اساساچ).
(config)#service password-encryption
- در روتر، رمز را امنیتیتر کنید: کاربران را بر اساس رتبه (۱ تا ۱۵) و میزان دسترسی تعریف کنید و برایشان رمز مشخص کنید. رتبه ۱۵ بالاترین درجه کاربری است و هنگام اتصال، از او رمز اولین ورودی (User Mode) را خواسته نمیشود.
Router(config)#username {} privilege {1 | 15} password {}
- از پیامهای نمایشی مناسب در سه سطح کاربری، برای آگاهیبخشی به کاربران یا هشدار به مهاجمان استفاده کنید.
(config)#baner motd {@ content @}
(config)#baner motd login {@ content @}
(config)#baner motd exexc {@ content @}
خرید محصولات محلی و خانگی از بازار باسلام + اعتبار هدیه برای اولین خرید
۲ـ پیکربندی Telnet و پورت VTY
در این اتصال، حداکثر ۱۶ کاربر (شماره ۰ تا ۱۵) مجاز به اتصال هستند اما توصیه میشود یک تا پنج کاربری بیشتر تعریف نشود. همچنین روش ورود را لوکال لاگین و نوع دسترسی را تلنت مشخص کنید.
(config)#line vty {0 | 15}
(config-line)#login local
(config-line)#transport input {telnet}
اکنون با فرض پیکربندی سوئیچ یا روتر و اختصاص آیپی به اینترفیسها، پینگ و اتصال تلنت برای دسترسی به وسیله آیپی پورت فعال است:
Pc>ping {192.168.1.1}
!
Pc>telnet {192.168.1.1}
۳ـ پیکربندی SSH و پورت VTY
روش SSH امنیتیتر از Telnet است؛ زیرا رمزگذاری آن خیلی قویتر از تلنت است. برای این منظور لازم است یک دامنه با نام مشخص تعریف کرد. همچنین باید طول کلید رمز را مشخص کرد که در محدوده کمترین و بیشترین، معمولاً عدد 1024 توصیه میشود.
(config)#hostname { }
(config)#ip domain-name { }
(config)#crypto key generate rsa general-keys modulus {1024}
۴- امنیت بیشتر پورت VTY
- برای امنیت بیشتر این پورت، نسخه دو SSH را فعال کنید.
(config)#ip ssh version 2
- در این اتصال نیز حداکثر ۱۶ کاربر (شماره ۰ تا ۱۵) مجاز به اتصال هستند اما توصیه میشود یک تا پنج کاربری {0 5} بیشتر تعریف نشود. همچنین روش ورود را لوکال و نوع دسترسی را اساساچ وارد کنید.
(config)#line vty {0 | 15}
(config-line)#login local
(config-line)#transport input {telnet}
- این پورت را برای تعداد کاربرانی را که در این پورت مجاز نکردهاید در دو جهت ورود و خروج، غیرفعال کنید.
(config)#line vty {5 15}
(config-line)#transport input {none}
(config-line)#transport output {none}
- با استفاده از Access List (ACL) نیز میتوانید ورود و خروج را برایشان غیرفعال کنید.
(config)#line vty {0 15}
(config-line)#acces-class {Acces-number} {in | out}
- مقدار زمان برای برقراری اتصال (Time-out) را بر پایه ثانیه (۰ تا ۱۲ ثانیه) تعیین کنید تا اگر در این مدت نام کاربری و رمز وارد یا تأیید نشد اتصال قطع شود.
(config-line)#exec-timeout {0 | 120}
!
(config)#ip ssh time-out {0 | 120}
- تعداد دفعات مجاز برای وارد کردن رمز عبور را مشخص کنید تا مثلاً پس از دو بار ثبت رمز اشتباه، اتصال قطع شود.
(config)#ip ssh authentication-retries {2}
- اگر لازم است استفاده از DNS را در اینترفیس روتر غیر فعال کنید.
Router(config)#no ip domain-lookup
۴ـ پیکربندی پورتهای سوئیچ و روتر
اتصال SSH از طریق ip است؛ بنابراین:
- در سوئیچ لایه ۲، اینترفیس منطقی VLAN 1 را که به طور پیشفرض غیرفعال است و همه پورتها عضو آن هستند، روشن کنید و به آن آیپی بدهید.
(config)#interface vlan 1
(config-if)#no shutdown
(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}
شبکه محلی مجازی VLAN چیست؟ (پیکربندی در سوئیچ و روتر سیسکو)
- در سوئیچ چندلایه (MLS)، وضعیت روتینگ را که مفهوم لایه ۳ای و روتری است فعال کنید (خیلیها فراموش میکنند!). همچنین اینترفیس مورد نظر را از حالت سوئیچینگ خارج کنید و به آن آیپی معرفی کنید.
(config)#ip routing
!
(config)#inteface fastEthernet | gigabitEthernet {Interface-number}
(config-if)#no switchport
(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}
- در روتر، اینترفیس مورد نظر را که به طور پیشفرض خاموش است روشن کنید و به آن آیپی دهید.
(config)#inteface gigabitEthernet {Interface-number}
(config-if)#no shutdown
(config-if)#ip address {Ip-Address mask (10.10.10.1 255.255.255.0)}
با فرض پیکربندی سوئیچ یا روتر و اختصاص آیپی به اینترفیسها، اکنون پینگ و اتصال اساساچ برای دسترسی به وسیله آیپی پورت فعال است:
Pc>ping {192.168.1.1}
!
Pc>ssh -L {192.168.1.1}
امنسازی دسترسی به پورتهای سوئیچ و روتر
امنیت دسترسی به پورتهای سوئیچ و روتر را با قابلیتهای زیر افزایش دهید:
Port Security (امنیت پورتها در برابر دسترسی بر اساس مک آدرس)
AAA (Authentication, Authorization, Accounting) (احراز هویت کاربران)
DHCP Snooping (تجسس در سرور)
IP Source Guard (محافظ آدرس مبدأ در برابر حملات جعل آدرس)
DAI :Dynamic ARP Inspectin (بازرسی بستههای آرپ)
HTTPS (محدودسازی دسترسی از طریق مرورگر)
SNMP (این پروتکل را تا حد ممکن روی قابلیت فقط خواندنی تنظیم کنید)
Switchport mode (پورتهای بلااستفاده سوئیچها را غیرفعال کنید)
BDPDU Guard (امنسازی پورتکل STP)
CDP (غیرفعالسازی CDP روی پورتهای نامطمئن)
و البته استفاده از دستور SHOW را برای بررسی وضعیت پیکربندی و پورتها و موارد امنیتی در کنار مونیتورینگ شبکه فراموش نکنید.
در پایان این یادداشت و برای رفع خستگی، خوب است سری به بازار محصولات روستایی و محلی و خانگی ایران سری بزنید و در اولین خرید ۲۰ هزار تومان تخفیف بگیرید.