cisco مرشد أن يقسي cisco ios أداة

المقدمة

يصف هذا المستند المعلومات التي تساعدك على تأمين أجهزتك التي تشغّل نظام ‪Cisco IOS^{®system‬، والتي تُزيد من الأمان الإجمالي لشبكتك.} وبإنشاء هذا المستند بناءً على المستويات الثلاثة التي يمكن من خلالها تصنيف وظائف جهاز الشبكة، فإنه يوفر نظرة عامة على كل ميزة مُضمنة ومراجع الوثائق ذات الصلة.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

المستويات الوظيفية الثلاثة للشبكة، مستوى الإدارة ومستوى التحكم ومستوى البيانات، يوفر كل منها وظائف مختلفة يلزم حمايتها.

• مستوى الإدارة- يُدير مستوى الإدارة حركة مرور البيانات التي يتم إرسالها إلى جهاز ‪CISCO IOS‬ ويتكون من تطبيقات وبروتوكولات مثل طبقة الأمان (SSH) وبروتوكول إدارة الشبكة البسيط (SNMP).
  
  
• مستوى التحكم- يعمل مستوى التحكم بجهاز الشبكة على معالجة حركة مرور البيانات وهو ما يعد أمرًا في غاية الأهمية للحفاظ على وظائف البنية التحتية للشبكة. يتكون مستوى التحكم من تطبيقات وبروتوكولات بين أجهزة الشبكة، تتضمن بروتوكول العبّارة المحدودة (BGP)، بالإضافة إلى بروتوكولات العبّارة الداخلية (IGPs) مثل بروتوكول توجيه العبّارة الداخلي المحسّن (EIGRP) وفتح أقصر مسار أولاً (OSPF).
  
  
• مستوى البيانات- يعمل مستوى البيانات على إعادة توجيه البيانات من خلال جهاز الشبكة. لا يتضمن مستوى البيانات حركة مرور البيانات التي يتم إرسالها إلى جهاز ‪Cisco IOS‬ المحلي.

وتوفر تغطية ميزات الأمان في هذا المستند غالبًا تفاصيل كافية لك لتكوين الميزة. ومع ذلك، في الحالات التي لا تتوفر فيها التفاصيل الكافية، يتم شرح الميزة بطريقة يمكنك من خلالها تقييم ما إذا كان مطلوبًا توجيه اهتمام إضافي بالميزة أم لا. حيثما يكون ذلك ممكنًا ومناسبًا، يحتوي هذا المستند على توصيات، في حال تنفيذها، ستساعد على تأمين الشبكة.

العمليات الآمنة

تعد عمليات الشبكة الآمنة موضوعًا جوهريًا. وعلى الرغم من أنه قد تم تخصيص معظم محتوى هذا المستند للتكوين الآمن لجهاز ‪Cisco IOS‬، إلا أن عمليات التكوين وحدها لا تؤمّن الشبكة بشكل كامل. تساهم الإجراءات التشغيلية المُستخدمة في الشبكة في الأمان بنفس قدر مساهمتها في تكوين الأجهزة الأساسية.

تحتوي هذه الموضوعات على توصيات تشغيلية نوصيك بتنفيذها. تلقي هذه الموضوعات الضوء على المناطق الهامة المخصصة لعمليات الشبكة وهي ليست شاملة.

مراقبة استجابات واستشارات أمان Cisco

يعمل فريق الاستجابة لحوادث أمان منتجات Cisco ‫(PSIRT)‬ على إنشاء والاحتفاظ بالمنشورات، التي يُشار اليها عادةً باسم "توجيهاتPSIRT"، الخاصة بالمشكلات المتعلقة بالأمان في منتجات Cisco. الطريقة المُستخدمة للتواصل مع المشاكل الأقل خطورة هي "استجابة أمان Cisco". تتوفر استجابات وتوجيهات الأمان على http://www.cisco.com/go/psirt.

كما تتوفر معلومات إضافية حول وسائل التواصل هذه في نهج الثغرات الأمنية من Cisco.

للحفاظ على أمان الشبكة، يلزمك أن تكون على دراية باستجابات وتوجيهات الأمان من Cisco التي تم إصدارها. تحتاج إلى معرفة الثغرة الأمنية قبل إمكانية تقييم التهديد الذي يمكن أن يواجه الشبكة. ارجع إلى إعلانات تصنيف المخاطر على الثغرات الأمنية للمساعدة في عملية التقييم هذه.

الاستفادة من المصادقة والتفويض والمحاسبة

يعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا حيويًا لتأمين أجهزة الشبكة. كما يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) مصادقة جلسات عمل الإدارة ويمكنه أيضًا تقييد المستخدمين بأوامر محددة ومُعرفة من قِبل المسؤول وتسجيل جميع الأوامر التي تم إدخالها بواسطة جميع المستخدمين. راجع قسم المصادقة والتفويض والمحاسبة في هذا المستند للحصول على مزيد من المعلومات حول كيفية الاستفادة من المصادقة والتفويض والمحاسبة (AAA).

تمركز جمع السجلات ومراقبتها

لاكتساب المعرفة بشأن الأحداث القائمة والناشئة والمحقوظة المتعلقة بالحوادث الأمنية، يجب أن تكون لمؤسستك استراتيجية موحدة لتسجيل الأحداث وربطها. يجب أن تعمل هذه الاستراتيجية على الاستفادة من التسجيل من جميع أجهزة الشبكة واستخدام إمكانيات الربط القابلة للتخصيص والتي تم تجميعها في حزم مسبقًا.

بعد تنفيذ التسجيل المركزي، يجب عليك تطوير أسلوب مهيكل لتحليل السجلات وتتبع الحوادث. وبناءً على احتياجات مؤسستك، يمكن أن يتراوح هذا الأسلوب من مراجعة شاملة بسيطة لبيانات السجل إلى التحليل المتقدم القائم على القواعد.

راجع قسم أفضل ممارسات التسجيل في هذا المستند للحصول على مزيد من المعلومات حول كيفية تنفيذ تسجيل الدخول إلى أجهزة شبكة Cisco IOS.

استخدام بروتوكولات آمنة عند الإمكان

يتم استخدام العديد من البروتوكولات لحمل بيانات إدارة الشبكة الحساسة. يجب أن تستخدم بروتوكولات آمنة كلما أمكنك ذلك. ويتضمن خيار البروتوكول الآمن استخدام الطبقة الآمنة (SSH) بدلاً من برنامج Telnet حتى يتم تشفير كل من بيانات المصادقة ومعلومات الإدارة. وبالإضافة إلى ذلك، يجب أن تستخدم بروتوكولات نقل الملفات الآمنة عند نسخ بيانات التكوين. والمثال على ذلك هو استخدام بروتوكول النسخ الآمن (SCP) بدلاً من FTP أو TFTP.

راجع قسم جلسات عمل الإدارة التفاعلية الآمنة في هذا المستند للحصول على مزيد من المعلومات حول الإدارة الآمنة لأجهزة Cisco IOS.

اكتساب إمكانية الرؤية لحركة مرور البيانات باستخدام NetFlow

يتيح لك NetFlow إمكانية مراقبة تدفقات حركة مرور البيانات في الشبكة. وبتصميمه في الأصل لتصدير معلومات حركة مرور البيانات إلى تطبيقات إدارة الشبكة، فإنه من الممكن أيضًا استخدام NetFlow لعرض معلومات تدفق البيانات على الموّجه. تتيح لك هذه الإمكانية الاطّلاع على حركة مرور البيانات التي تجتاز الشبكة في الوقت الفعلي. وبغض النظر عما إذا كانت معلومات التدفق يتم تصديرها إلى مجمِّع بعيد أم لا، فإننا ننصحك بتكوين أجهزة الشبكة لـ NetFlow حتى يمكن استخدامه بشكل تفاعلي عند الحاجة.

يتوفر المزيد من المعلومات حول هذه الميزة في قسم تعريف حركة مرور البيانات وتتبّع الأثر في هذا المستند وعلى http://www.cisco.com/go/netflow (للعملاء المسجلين فقط).

إدارة التكوين

إدارة التكوين هي عملية يتم من خلالها اقتراح تغييرات التكوين ومراجعتها والموافقة عليها ونشرها. وضمن سياق تكوين جهاز Cisco IOS، هناك جانبان إضافيان في إدارة التكوين على قدر كبير من الأهمية: أرشفة التكوين والأمان.

يمكنك استخدام أرشيفات التكوين لاستعادة التغييرات التي تم إجراؤها على أجهزة الشبكة. في إطار سياق أمني، يمكن استخدام أرشيفات التكوين أيضًا لتحديد التغييرات الأمنية التي تم إجراؤها ووقت حدوث هذه التغييرات. وبالتعاون مع بيانات سجل المصادقة والتفويض والمحاسبة (AAA)، يمكن أن تساعد هذه المعلومات في تدقيق الأمان لأجهزة الشبكة.

يحتوي تكوين جهاز ‪Cisco IOS‬ على العديد من التفاصيل الحساسة. أسماء المستخدمين وكلمات المرور ومحتويات قوائم التحكم في الوصول هي أمثلة على هذا النوع من المعلومات. يلزم تأمين المستودع الذي تستخدمه لأرشفة تكوينات جهاز ‪Cisco IOS‬. فقد يؤدي الوصول غير الآمن إلى هذه المعلومات إلى تقويض أمان الشبكة بالكامل.

مستوى الإدارة

يتكون مستوى الإدارة من وظائف تحقق أهداف إدارة الشبكة. وهذا المستوى يتضمن جلسات عمل الإدارة التفاعلية التي تستخدم الطبقة الآمنة (SSH)، وكذلك تجميع الإحصائيات باستخدام بروتوكول SNMP أو NetFlow. عندما تضع أمان جهاز الشبكة في الاعتبار، فمن المهم أن يكون مستوى الإدارة محميًا. إذا كانت الحادثة الأمني قادرة على تقويض وظائف مستوى الإدارة، فقد يكون من المستحيل عليك استرداد الشبكة أو جعلها مستقرة.

تفصِّل هذه الأقسام في هذا المستند ميزات الأمان والتكوينات المتوفرة في برنامج ‪Cisco IOS software‬ والتي تساعد على تقوية مستوى الإدارة.

تقوية مستوى الإدارة العامة

يُستخدم مستوى الإدارة للوصول إلى الجهاز وتكوينه وإدارته، وكذلك مراقبة عملياته والشبكة التي يتم نشره عليها. مستوى الإدارة هو المستوى الذي يستقبل حركة مرور البيانات ويرسلها لعمليات هذه الوظائف. يجب تأمين كل من مستوى الإدارة ومستوى التحكم للجهاز، لأن عمليات مستوى التحكم تؤثر بشكل مباشر على عمليات مستوى الإدارة. ويستخدم مستوى الإدارة قائمة البروتوكولات التالية:

• بروتوكول إدارة الشبكة البسيط
  
  
• Telnet
  
  
• بروتوكول طبقة الأمان
  
  
• بروتوكول نقل الملفات
  
  
• بروتوكول نقل النص التشعبي / بروتوكول نقل النص التشعبي الآمن

• بروتوكول نقل الملفات المبسط
  
  
• بروتوكول النسخ الآمن
  
  
• TACACS+
  
  
• RADIUS
  
  
• Netflow
  
  
• بروتوكول وقت الشبكة
  
  
• Syslog

يجب اتخاذ خطوات لضمان استمرارية مستويات الإدارة والتحكم أثناء الحوادث الأمنية. في حال مهاجمة أحد هذين المستويين بنجاح، فمن الممكن اختراق جميع المستويات.

إدارة كلمة المرور

تتحكم كلمات المرور في الوصول إلى الموارد أو الأجهزة. ويتم تحقيق ذلك من خلال تعريف كلمة مرور أو مفتاح سري يتم استخدامه من أجل مصادقة الطلبات. عند تلقي طلب للوصول إلى مورد أو جهاز، يتم اعتراض الطلب للتحقُّق من كلمة المرور والهوية، ويمكن منح حق الوصول أو رفضه أو تقييده بناءً على النتيجة. كأفضل ممارسة أمان، يجب إدارة كلمات المرور باستخدام خادم مصادقة ‪TACACS+‬ أو RADIUS. ومع ذلك، لاحظ أنه ما تزال هناك حاجة إلى كلمة مرور يتم تكوينها محليًا للوصول المميز في حالة فشل خدمات ‪TACACS+‬ أو RADIUS. وقد يحتوي الجهاز أيضًا على معلومات كلمة المرور الأخرى الموجودة ضمن التكوين الخاص به، مثل مفتاح NTP أو سلسلة مجتمع SNMP أو مفتاح بروتوكول التوجيه.

يتم استخدام الأمر enable secret لتعيين كلمة المرور التي تمنح حق الوصول الإداري المميز إلى نظام Cisco IOS system. يجب استخدام الأمر enable secret بدلاً من الأمر الأقدم enable password. يستخدم الأمر enable password خوارزمية تشفير ضعيفة.

إذا لم يتم تعيين أي أمر enable secret وتم تكوين كلمة مرور لسطر tty في وحدة التحكم، يمكن استخدام كلمة مرور وحدة التحكم لتلقي حق الوصول المميز، حتى من جلسة عمل tty افتراضية (vty) عن بُعد. من المؤكد أن هذا الإجراء غير مرغوب فيه غالبًا وهو سبب آخر لضمان تكوين أمر enable secret.

يوجه أمر التكوين العام service password-encryption برنامج Cisco IOS software لتشفير كلمات المرور، والمفاتيح السرية لبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP)، والبيانات المماثلة التي يتم حفظها في ملف التكوين الخاص به. ويُعد هذا التشفير مفيدًا لمنع المراقبين غير الرسميين من قراءة كلمات المرور، كما هو الحال عندما ينظرون إلى الشاشة عبر مجموعة مسؤول. ومع ذلك، فإن الخوارزمية التي يستخدمها الأمرservice password-encryption عبارة عن أسلوب تشفير Vigen re cipher بسيط. لم يتم تصميم الخوارزمية لحماية ملفات التكوين من التحليل الخطير حتى من قِبل المهاجمين المعقدين قليلاً ويجب عدم استخدامها لهذا الغرض. يجب التعامل مع أي ملف تكوين في نظام Cisco IOS يحتوي على كلمات مرور مشفرة بالعناية نفسها التي يتم إيلاؤها لقائمة النصوص غير المشفرة لكلمات المرور هذه.

بينما لا يتم استخدام خوارزمية التشفير الضعيفة هذه من قِبل الأمر enable secret، فإنها تُستخدَم من قِبل أمر التكوين العام enable password، وكذلك أمر تكوين سطر password. يجب إزالة كلمات المرور من هذا النوع ويلزم استخدام الأمر enable secret أو ميزة أمان كلمة المرور المحسن.

يستخدم كل من الأمر enable secret وميزة "أمان كلمة المرور المحسن" دالة "هضم الرسالة 5 (MD5)" لتجزئة كلمة المرور. لقد خضعت هذه الخوارزمية لمراجعة عامة معتبرة ولا تُعرف على أنها قابلة للعكس. ومع ذلك، تخضع الخوارزمية إلى هجمات القاموس. في إحدى هجمات القاموس، يحاول أحد المهاجمين تجربة كل كلمة في قاموس أو قائمة أخرى من كلمات المرور المرشحة للعثور على تطابق. لذلك، يجب تخزين ملفات التكوين بشكل آمن ومشاركتها فقط مع الأفراد الموثوق بهم.

أمان كلمة المرور المحسن

تتيح ميزة "أمان كلمة المرور المحسّن"، المُقدّمة في الإصدار ‪12.2(8)T‬ من برنامج Cisco IOS Software، للمسؤول إمكانية تكوين تجزئة MD5 لكلمات مرور الأمر username. قبل هذه الميزة، كان هناك نوعان من كلمات المرور: النوع 0، وهو كلمة مرور النصوص غير المشفرة، والنوع 7، الذي يستخدم الخوارزمية من تشفير Vigen re cipher. لا يمكن استخدام ميزة "أمان كلمة المرور المحسّن" مع البروتوكولات التي تتطلب كلمة مرور النصوص غير المشفرة لتكون قابلة للاسترداد، مثل بروتوكول CHAP.

لتشفير كلمة مرور مستخدم باستخدام تجزئة MD5، قم بإصدار أمر التكوين العام username secret.

!

username <name> secret <password>

!

راجع أمان كلمة المرور المحسّن للحصول على مزيد من المعلومات حول هذه الميزة.

قفل إعادة محاولة تسجيل الدخول بكلمة المرور

تتيح لك ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور"، التي تمت إضافتها في الإصدار ‪12.3(14)T‬ من البرنامج Cisco IOS Software، إمكانية قفل حساب مستخدم محلي بعد عدد يتم تكوينه لمحاولات تسجيل الدخول غير الناجحة. بمجرد قفل حساب مستخدم، يتم قفل حسابه حتى تفتحه أنت. لا يمكن قفل حساب مستخدم مفوَّض تم تكوينه بمستوى الامتياز 15 باستخدام هذه الميزة. يجب الحفاظ على عدد المستخدمين الذين يتمتعون بمستوى الامتياز 15 عند الحد الأدنى.

لاحظ أنه يمكن للمستخدمين المفوَّضين قفل حساباتهم بأنفسهم من جهاز ما إذا تم الوصول إلى عدد محاولات تسجيل الدخول غير الناجحة. بالإضافة إلى ذلك، يمكن لمستخدم ضار إنشاء حالة قطع الخدمة (DoS) بمحاولات متكررة للمصادقة باستخدام اسم مستخدم صالح.

يوضح المثال التالي كيفية تمكين ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور":

!

aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local

!

username <name> secret <password>

!

تنطبق هذه الميزة أيضًا على طرق المصادقة مثل بروتوكول CHAP وبروتوكول مصادقة كلمة المرور (PAP).

لا يوجد استرداد لكلمة مرور الخدمة

في الإصدار ‪12.3(14)T‬ من برنامج Cisco IOS Software والإصدارات الأحدث، لا تشمح ميزة "عدم استرداد كلمة مرور الخدمة" لأي شخص يتمتع بحق الوصول إلى وحدة التحكم بالوصول بشكل غير آمن إلى تكوين الجهاز ومسح كلمة المرور. كما أنها لا تسمح للمستخدمين الضارين بتغيير قيمة سجل التكوين والوصول إلى NVRAM (ذاكرة الوصول العشوائي غير المتطايرة).

!

no service password-recovery

!

يوفر برنامج Cisco IOS software إجراء لاسترداد كلمة المرور يعتمد على الوصول إلى "وضع أداة مراقبة ذاكرة القراءة فقط (ROMMON)" باستخدام مفتاح Break (الإيقاف المؤقت) أثناء بدء تشغيل النظام. في ROMMON، يمكن إعادة تحميل برنامج الجهاز من أجل المطالبة بتكوين جديد للنظام يتضمن كلمة مرور جديدة.

يتيح إجراء استرداد كلمة المرور الحالية لأي شخص لديه حق وصول إلى وحدة التحكم إمكانية الوصول إلى الجهاز وشبكته. تمنع ميزة "عدم استرداد كلمة مرور الخدمة" إكمال تسلسل مفتاح Break (الإيقاف المؤقت) ودخول ROMMON أثناء بدء تشغيل النظام.

في حال تمكين ميزة عدم استرداد كلمة مرور الخدمة على جهاز ما، فمن المستحسن أن يتم حفظ نسخة من تكوين الجهاز دون اتصال بالإنترنت وتنفيذ حل أرشفة للتكوين. إذا كان من الضروري استعادة كلمة المرور الخاصة بجهاز Cisco IOS بمجرد تمكين هذه الميزة، فسيتم حذف التكوين بالكامل.

ارجع إلى مثال تكوين ROMMON الآمن للحصول على مزيد من المعلومات حول هذه الميزة.

تعطيل الخدمات غير المُستخدمة

كواحدة من أفضل الممارسات الأمنية، يجب تعطيل أي خدمة غير ضرورية. نادرًا ما يتم استخدام هذه الخدمات غير الضرورية، وخاصة تلك التي تستخدم بروتوكول مخطط بيانات المستخدم (UDP)، لأغراض مشروعة ولكن يمكن استخدامها من أجل تشغيل رفض الخدمة (DoS) والهجمات الأخرى التي يتم منعها بخلاف ذلك بواسطة تصفية الحِزم.

يجب تعطيل خدمات TCP وUDP الصغيرة. وتشمل هذه الخدمات ما يلي:

• echo (منفذ رقم 7)
  
  
• discard (منفذ رقم 9)
  
  
• daytime (منفذ رقم 13)
  
  
• chargen (منفذ رقم 19)

على الرغم من أنه يمكن تجنُّب إساءة استخدام الخدمات الصغيرة أو جعلها أقل خطورة من خلال قوائم الوصول المضادة لتزييف الهوية، إلا أنه يجب تعطيل الخدمات على أي جهاز يمكن الوصول إليه داخل الشبكة. يتم تعطيل الخدمات الصغيرة بشكل افتراضي في الإصدار 12.0 من البرنامج Cisco IOS Software والإصدارات الأحدث. في إصدارات البرنامج السابقة، لا يمكن إصدار أوامر التكوين العام no service tcp-small-servers وno service udp-small-servers لتعطيلها.

هذه قائمة بالخدمات الإضافية التي يجب تعطيلها في حالة عدم استخدامها:

• قم بإصدار أمر التكوين العام no ip finger من أجل تعطيل خدمة Finger. تقوم الإصدارات الأحدث من الإصدارين ‪12.1(5)‬ و‪12.1(5)T‬ من برنامج Cisco IOS software بتعطيل هذه الخدمة بشكل افتراضي.
  
  
• قم بإصدار أمر التكوين العام no ip bootp server من أجل تعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP).
  
  
• في الإصدار ‪12.2(8)‬ من برنامج Cisco IOS Software والإصدارات الأحدث، قم بإصدار الأمر ip dhcp bootp ignore في وضع التكوين العام من أجل تعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP). وهذا يؤدي إلى تمكين خدمات بروتوكول التكوين الديناميكي للمضيف (DHCP).
  
  
• يمكن تعطيل خدمات DHCP إذا لم تكن خدمات ترحيل DHCP مطلوبة. قم بإصدار الأمر no service dhcp في وضع التكوين العام.
  
  
• قم بإصدار الأمر no mop enabled في وضع تكوين الواجهة لتعطيل خدمة بروتوكول عملية الصيانة (MOP).
  
  
• قم بإصدار أمر التكوين العام no ip domain-lookup من أجل تعطيل خدمات تحليل نظام اسم المجال (DNS).
  
  
• قم بإصدار الأمر no service pad في وضع التكوين العام لتعطيل خدمة مجمِّع/مجزِّئ الحِزم (PAD)، والتي يتم استخدامها لشبكات X.25.
  
  
• يمكن تعطيل خادم HTTP باستخدام الأمر no ip http server في وضع التكوين العام، ويمكن تعطيل خادم HTTP الآمن (HTTPS) باستخدام أمر التكوين العام no ip http secure-server.
  
  
• إذا لم تسترد أجهزة Cisco IOS التكوينات من الشبكة أثناء بدء التشغيل، فيجب استخدام أمر التكوين العام no service config. وهذا يؤدي إلى منع جهاز Cisco IOS من محاولة تحديد موقع ملف تكوين على الشبكة باستخدام TFTP.
  
  
• بروتوكول اكتشاف Cisco ‫(CDP)‬ هو بروتوكول شبكة يتم استخدامه لاكتشاف الأجهزة الأخرى التي تم تمكين CDP عليها لتجاور الأجهزة القريبة وهيكل الشبكة. يمكن استخدام CDP بواسطة أنظمة إدارة الشبكة (NMS) أو أثناء استكشاف الأخطاء وإصلاحها. يجب تعطيل CDP على جميع الواجهات المتصلة بالشبكات غير الموثوق بها. ويتم تحقيق ذلك باستخدام أمر الواجهة no cdp enable. بدلاً من ذلك، يمكن تعطيل CDP بشكل عام باستخدام أمر التكوين العام no cdp run. لاحظ أنه يمكن استخدام CDP من قِبل مستخدم ضار لاستطلاع الشبكة وتخطيطها.
  
  
• بروتوكول اكتشاف طبقة الارتباط (LLDP) هو بروتوكول IEEE يتم تعريفه في المعيار 802.1AB. ويكون بروتوكول LLDP مماثلاً لبروتوكول CDP. ومع ذلك، يتيح هذا البروتوكول قابلية التشغيل البيني بين الأجهزة الأخرى التي لا تدعم بروتوكول CDP. يجب التعامل مع بروتوكول LLDP بنفس الطريقة التي يتم بها التعامل مع CDP ويجب تعطيلها في جميع الواجهات التي تتصل بالشبكات غير الموثوق بها. ومن أجل تحقيق ذلك، قم بإصدار أمرَيْ تكوين الواجهة no lldp transmit وno lldp receive. قم بإصدار أمر التكوين العام no lldp run لتعطيل LLDP بشكل عام. كما يمكن استخدام LLDP من قِبل مستخدم ضار لاستطلاع الشبكة وتخطيطها.

• بالنسبة للمحولات التي تدعم التمهيد من sdflash، يمكن تحسين الأمان من خلال التمهيد من الذاكرة المؤقتة (flash) وتعطيل sdflash باستخدام أمر التكوين "no sdflash".

مهلة EXEC

من أجل تعيين الفاصل الزمني الذي ينتظره مترجم أمر EXEC لإدخال المستخدم قبل إنهاء الجلسة، قم بإصدار أمر تكوين سطر exec-timeout. يجب استخدام الأمر exec-timeout لتسجيل الخروج من الجلسات على أسطر vty أو tty التي تم تركها في وضع الخمول. وبشكل افتراضي، يتم فصل الجلسات بعد عشر دقائق من عدم النشاط.

!

line con 0
 exec-timeout <minutes> [seconds]
line vty 0 4
 exec-timeout <minutes> [seconds]
!

رسائل Keepalive لجلسات عمل TCP

تتيح أوامر التكوين العام service tcp-keepalives-in وservice tcp-keepalives-out للجهاز إمكانية إرسال حِزم TCP keepalive لجلسات عمل بروتوكول التحكم في الإرسال (TCP). يجب استخدام هذا التكوين لتمكين حِزم TCP keepalive على الاتصالات الواردة إلى الجهاز والاتصالات الصادرة من الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة سيتم إزالتها من جهاز Cisco IOS المحلي.

!

service tcp-keepalives-in
service tcp-keepalives-out
!

استخدام واجهة الإدارة

يتم الوصول إلى مستوى إدارة الجهاز داخل النطاق الترددي أو خارج النطاق الترددي على واجهة إدارة مادية أو منطقية. وبشكل مثالي، يوجد الوصول إلى الإدارة داخل النطاق الترديي وخارجه على السواء لكل جهاز شبكة بحيث يمكن الوصول إلى مستوى الإدارة أثناء حالات انقطاع الشبكة.

وتُعد واجهة الاسترجاع المنطقية واحدة من أكثر الواجهات شيوعًا التي يتم استخدامها للوصول داخل النطاق الترددي إلى الجهاز. ودائمًا ما تكون واجهات الاسترجاع قيد التشغيل، في حين أن الواجهات المادية يمكن أن تغير الحالة، ومن المحتمل ألا تكون الواجهة قابلة للوصول إليها. يُوصى بإضافة واجهة استرجاع لكل جهاز كواجهة إدارة وأن يتم استخدامها حصريًا لمستوى الإدارة. وهذا يسمح للمسؤول بتطبيق السياسات عبر الشبكة لمستوى الإدارة. بمجرد تكوين واجهة الاسترجاع على جهاز، يمكن استخدامها من قِبل بروتوكولات مستوى الإدارة، مثل SSH وSNMP وsyslog، لإرسال حركة مرور البيانات واستقبالها.

!
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!

إعلامات حد الذاكرة

تتيح لك ميزة "إعلام حد الذاكرة"، التي تمت إضافتها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS Software، إمكانية تخفيف حالات انخفاض الذاكرة على الجهاز. وتستخدم هذه الميزة طريقتين للقيام بذلك: "إعلام حد الذاكرة" و"حجز الذاكرة".

تقوم ميزة "إعلام حد الذاكرة" بإنشاء رسالة سجل للإشارة إلى انخفاض الذاكرة المتاحة على الجهاز عن الحد الذي تم تكوينه. ويوضح مثال التكوين التالي كيفية تمكين هذه الميزة باستخدام أمر التكوين العام memory free low-watermark. فهذا يتيح للجهاز إمكانية إنشاء إعلام عندما تنخفض الذاكرة الحرة المتاحة عن الحد المحدد، ومرةً أخرى عندما ترتفع الحرة المتاحة لأعلى من الحد المحدد بنسبة خمسة بالمائة.

!

memory free low-watermark processor <threshold>
memory free low-watermark io <threshold>
!

يتم استخدام ميزة "حجز الذاكرة" بحيث تتوفر ذاكرة كافية للإعلامات الهامة. يوضّح مثال التكوين التالي كيفية تمكين هذه الميزة. وهذا يضمن استمرار عمليات الإدارة في عملها عند استنفاد ذاكرة الجهاز.

!

memory reserve critical <value>
!

ارجع إلى ميزة إعلامات حد الذاكرة للحصول على مزيد من المعلومات حول هذه الميزة.

إعلام وضع حد وحدة المعالجة المركزية (CPU)

تتيح لك ميزة "إعلام حد وحدة المعالجة المركزية (CPU)"، التي تم تقديمها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS Software، إمكانية اكتشاف حالات تجاوز تحميل وحدة المعالجة المركزية (CPU) على جهاز ما للحد الذي تم تكوينه وإعلامك بها. عندما يتم تجاوز الحد، يقوم الجهاز بإنشاء رسالة تنبيه SNMP وإرسالها. كلتا طريقتي وضع حد إستخدام وحدة المعالجة المركزية (CPU) مدعومتان على برنامج Cisco IOS software: العتبة المرتفعة والعتبة المنخفضة.

يوضّح مثال التكوين التالي كيفية تمكين حدّي الارتفاع والهبوط اللذين يؤديان إلى تشغيل رسالة إعلام لحد وحدة المعالجة المركزية (CPU):

!

snmp-server enable traps cpu threshold
!

snmp-server host <host-address> <community-string> cpu 
!

process cpu threshold type <type> rising <percentage> interval <seconds> 
     [falling <percentage> interval <seconds>]
process cpu statistics limit entry-percentage <number> [size <seconds>]
!

ارجع إلى إعلام حد وحدة المعالجة المركزية (CPU) للحصول على مزيد من المعلومات حول هذه الميزة.

حجز الذاكرة للوصول إلى وحدة التحكم

في الإصدار ‪12.4(15)T‬ من البرنامج Cisco IOS Software والإصدارات الأحدث، يمكن استخدام ميزة "حجز الذاكرة لوصول وحدة التحكم" من أجل حجز مساحة كافية في الذاكرة لضمان وصول وحدة التحكم إلى جهاز Cisco IOS لأغراض إدارية وأغراض استكشاف الأخطاء وإصلاحها. تكون هذه الميزة مفيدة بشكل خاص عندما تنخفض مساحة ذاكرة الجهاز المتاحة. يمكنك إصدار أمر التكوين العام memory reserve console لتمكين هذه الميزة. يعمل هذا المثال على تكوين جهاز Cisco IOS لحجز 4096 كيلوبايت لهذا الغرض.

!
memory reserve console 4096
!

ارجع إلى حجز الذاكرة لوصول وحدة التحكم للحصول على مزيد من المعلومات حول هذه الميزة.

مكتشف تسريب الذاكرة

تتيح لك ميزة "مكتشف تسريب الذاكرة"، التي تم تقديمها في الإصدار ‪12.3(8)T1‬ من برنامج Cisco IOS Software، بإمكانية اكتشاف تسريب الذاكرة على الجهاز. يمكن لميزة "مكتشف تسريب الذاكرة" العثور على التسريبات الموجودة في جميع تجمّعات الذاكرة ومخازن الحِزم المؤقتة والقطع الصغيرة. تكون تسريبات الذاكرة عبارة عن عمليات تخصيص ثابتة أو ديناميكية للذاكرة لا تخدم أي غرض مفيد. تركّز هذه الميزة على عمليات تخصيص الذاكرة الديناميكية. يمكنك استخدام أمر ‫EXEC‬ show memory debug leaks لاكتشاف وجود تسريبات في الذاكرة.

تجاوز سعة المخزن المؤقت: اكتشاف تلف Redzone (المنطقة الحمراء) وتصحيحه

في الإصدار 12.3(7)T من البرنامج Cisco IOS Software والإصدارات الأحدث، يمكن تمكين ميزة تجاوز سعة التخزين المؤقت: اكتشاف تلف Redzone (المنطقة الحمراء) وتصحيحه من خلال جهاز لاكتشاف تجاوز سعة كتلة في الذاكرة وتصحيحه ومتابعة العمليات.

يمكن استخدام أوامر التكوين العام هذه لتمكين هذه الميزة. وبمجرد تكوينها، يمكن استخدام الأمر show memory overflow لعرض إحصائيات اكتشاف تجاوز سعة التخزين المؤقت وتصحيحها.

!
exception memory ignore overflow io
exception memory ignore overflow processor
!

مجموعة ملفات Crashinfo المحسّنة

تقوم ميزة "التجميع المحسّن لملفات Crashinfo" تلقائيًا بحذف ملفات crashinfo القديمة. وتتيح هذه الميزة، التي تمت إضافتها في الإصدار ‪12.3(11)T‬ من البرنامج Cisco IOS Software، للجهاز بإعادة استدعاء مساحة من أجل إنشاء ملفات crashinfo جديدة عند تعطل الجهاز. كما تتيح هذه الميزة تكوين عدد من ملفات crashinfo المُراد حفظها.

!
exception crashinfo maximum files <number-of-files>
!

بروتوكول وقت الشبكة

لا يُعد بروتوكول وقت الشبكة (NTP) خدمة خطيرة بوجه خاص، ولكن أي خدمة غير ضرورية قد تمثل متجه هجوم. إذا تم استخدام بروتوكول وقت الشبكة (NTP)، فمن المهم تكوين مصدر وقت موثوق به بشكل صريح واستخدام المصادقة المناسبة. يلزم توفر وقت دقيق وموثوق به لأغراض syslog (الدخول إلى النظام)، كما هو الحال أثناء التحقيقات الجنائية للهجمات المحتملة، وكذلك لاتصال VPN الناجح عند الاعتماد على شهادات مصادقة المرحلة الأولى.

• منطقة NTP الزمنية - عند تكوين بروتوكول وقت الشبكة (NTP)، يلزم تكوين المنطقة الزمنية بحيث يمكن ربط الطوابع الزمنية بدقة. عادةً ما يكون هناك نهجان لتكوين المنطقة الزمنية للأجهزة في الشبكة ذات الحضور العالمي. تتمثل أولاهما في تكوين جميع أجهزة الشبكة باستخدام التوقيت العالمي المنسق (UTC) (توقيت جرينتش المركزي (GMT) سابقًا). بينما تتمثل الطريقة الأخرى في تكوين أجهزة الشبكة باستخدام المنطقة الزمنية المحلية. يمكن العثور على مزيد من المعلومات حول هذه الميزة في "المنطقة الزمنية للساعة" في وثائق منتجات Cisco.
  
  
• مصادقة NTP - إذا قمت بتكوين مصادقة NTP، فإنها توفر ضمانًا بتبادل رسائل NTP بين أقران NTP الموثوق بهم.

نموذج التكوين باستخدام مصادقة NTP:

العميل:

(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5
(config)#ntp server 172.16.1.5 key 5

الخادم:

(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5

تعطيل التثبيت الذكي

تعتمد أفضل ممارسات الأمان التي تتعلق بميزة "التثبيت الذكي (SMI) من Cisco" على كيفية استخدام الميزة في بيئة معينة لدى العميل. تفرِّق Cisco بين حالات الاستخدام التالية:

• عملاء لا يستخدمون ميزة "التثبيت الذكي".
• عملاء يستفيدون من ميزة "التثبيت الذكي" فقط للنشر دون لمس.
• عملاء يستفيدون من ميزة "التثبيت الذكي" من أجل النشر دون لمس (إدارة التكوين والصور).

وتصف الأقسام التالية كل سيناريو بالتفصيل:

• العملاء الذين لا يستخدمون ميزة "التثبيت الذكي".
• يجب على العملاء الذين لا يستخدمون ميزة "التثبيت الذكي من Cisco"، ويقومون بتشغيل إصدار من برنامج Cisco IOS وCisco IOS XE يتوفر فيه الأمر، القيام بتعطيل ميزة "التثبيت الذكي" باستخدام الأمر no vstack.

ملاحظة: تم تقديم الأمر vstack في إصدار ‪12.2(55)SE03‬ من برنامج Cisco IOS.

وهذا نموذج إخراج من الأمر show vstack على محول Cisco Catalyst Switch مع تعطيل ميزة "عميل التثبيت الذكي":

switch# show vstack 
config Role: Client (SmartInstall disabled) 
Vstack Director IP address: 0.0.0.0

العملاء الذين يستفيدون من ميزة "التثبيت الذكي" فقط للنشر من دون لمس

يمكنك تعطيل وظائف "عميل التثبيت الذكي" بعد اكتمال التثبيت من دون لمس أو باستخدام الأمر no vstack.

من أجل انتشار الأمر no vstack في الشبكة، يمكنك استخدام إحدى الطريقتين التاليتين:

• إدخال الأمر no vstack على جميع محولات العميل يدويًا أو باستخدام برنامج نصي.
• إضافة الأمر no vstack كجزء من تكوين Cisco IOS الذي يتم دفعه إلى كل عميل "تثبيت ذكي" كجزء من التثبيت من دون لمس.
• في الإصدارات التي لا تدعم الأمر vstack (الإصدار ‪12.2(55)SE02‬ من Cisco IOS والإصدارات الأقدم)، يمكنك تطبيق قائمة تحكم في الوصول (ACL) على محولات العميل لحظر حركة مرور البيانات على منفذ TCP رقم 4786.

لتمكين وظائف عميل "التثبيت الذكي" لاحقًا، أدخِل الأمر vstack على جميع محولات العميل يدويًا أو باستخدام برنامج نصي.

العملاء الذين يستفيدون من ميزة "التثبيت الذكي" لأكثر من مجرد النشر من دون لمس

في التصميم الخاص بالبنية التقنية لميزة "التثبيت الذكي"، يجب توخي الحذر بحيث لا تكون مساحة عنوان IP للبنية الأساسية قابلة للوصول إليها لأطراف غير موثوق بها. في الإصدارات التي لا تدعم الأمر vstack، تأكد من أن مدير "التثبيت الذكي" فقط لديه اتصال TCP لجميع عملاء "التثبيت الذكي "على المنفذ 4786.

يمكن للمسؤولين استخدام أفضل ممارسات الأمان التالية لعمليات نشر "التثبيت الذكي من Cisco" على الأجهزة المتأثرة:

• قوائم التحكم في الوصول (ACLs) للواجهة
• تنظيم مستوى التحكم (CoPP). لا تتوفر هذه الميزة في جميع إصدارات برنامج Cisco IOS software.

يوضّح هذا المثال قائمة تحكم في الوصول (ACL) للواجهة مع تعيين عنوان IP لمدير "التثبيت الذكي" على 10.10.10.1 وعنوان IP لعميل "التثبيت الذكي" على 10.10.10.200:

ip access-list extended SMI_HARDENING_LIST
Permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

يجب نشر قائمة التحكم في الوصول (ACL) هذه على جميع واجهات IP على جميع العملاء. كما يمكن دفعها عبر المدير عند نشر المحولات لأول مرة.

ولأجل مزيد من تقييد الوصول إلى جميع العملاء ضمن البنية الأساسية، يمكن للمسؤولين استخدام أفضل ممارسات الأمان التالية على الأجهزة الأخرى في الشبكة:

• قوائم التحكم في الوصول إلى البنية الأساسية (iACLs)
• قوائم التحكم في الوصول إلى شبكة VLAN ‫(VACLs)‬

الحد من الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تُعد قوائم التحكم في الوصول للبنية الاساسية (iACL)، التي تم تصميمها لمنع الاتصال المباشر غير المصرح به بأجهزة الشبكة، أحد أهم عناصر التحكم في الأمان التي يمكن تنفيذها في الشبكات. حيث تستفيد قوائم التحكم في الوصول (ACLs) للبنية الأساسية من فكرة أن حركة مرور بيانات الشبكة كلها تقريبًا تعبر الشبكة ولا يتم توجيهها إلى الشبكة نفسها.

يتم إنشاء قائمة تحكم في الوصول إلى البنية الأساسية (iACL) وتطبيقها لتحديد الاتصالات من البيئات المضيفة أو الشبكات التي يجب السماح لها على أجهزة الشبكة. من الأمثلة الشائعة لهذه الأنواع من الاتصالات eBGP وSSH وSNMP. بعد السماح بالاتصالات المطلوبة، يتم رفض جميع حركات مرور البيانات الأخرى إلى البنية الأساسية بشكل صريح. ويتم بعد ذلك السماح بشكل صريح بجميع حركات مرور البيانات العابرة التي تعبر الشبكة ولا يتم توجيهها إلى أجهزة البنية الأساسية.

تُعد إجراءات الحماية التي توفرها قوائم التحكم في الوصول للبنية الأساسية (iACLs) ذات صلة بكل من مستويي الإدارة والتحكم. ويمكن تسهيل عملية تنفيذ قوائم التحكم في الوصول للبنية الأساسية (iACLs) من خلال استخدام العنونة المميزة لأجهزة البنية الأساسية للشبكة. ارجع إلى نهج موجّه نحو الأمان لعنونة IP للحصول على مزيد من المعلومات حول التأثيرات الأمنية لعنونة IP.

يوضّح هذا المثال لتكوين قائمة التحكم في الوصول للبنية الأساسية (iACLs) البنية التي يجب استخدامها كنقطة بداية عند بدء عملية تنفيذ قائمة التحكم في الوصول للبنية الأساسية (iACLs):

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit required connections for routing protocols and
!--- network management
!

 permit tcp host <trusted-ebgp-peer> host <local-ebgp-address> eq 179
 permit tcp host <trusted-ebgp-peer> eq 179 host <local-ebgp-address>
 permit tcp host <trusted-management-stations> any eq 22
 permit udp host <trusted-netmgmt-servers> any eq 161
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ويجب تطبيق قائمة التحكم في الوصول للبنية الأساسية (iACL)، بمجرد إنشائها، على جميع الواجهات التي تواجه الأجهزة غير التابعة للبنية الأساسية. وهذا يشمل الواجهات التي تتصل بمؤسسات أخرى وشرائح الوصول عن بُعد وشرائح المستخدمين والشرائح الموجودة في مراكز البيانات.

ارجع إلى حماية طبقتك الأساسي: قوائم التحكم في الوصول لحماية البنية التحتية للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول (ACL) للبنية التحتية.

تصفية حزم ICMP

يتم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول للتحكم في بروتوكول الإنترنت (IP). على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تشعبات بعيدة المدى على بروتوكولات TCP وIP بشكل عام. وبينما تستخدم أداتا استكشاف أخطاء الشبكة وإصلاحها ping وtraceroute بروتوكول رسائل التحكم في الإنترنت (ICMP)، يكون من النادر أن تكون هناك حاجة إلى اتصال بروتوكول رسائل التحكم في الإنترنت (ICMP) الخارجي للتشغيل السليم للشبكة.

يوفر برنامج Cisco IOS software وظائف من أجل تصفية رسائل ICMP بشكل خاص حسب الاسم أو النوع والرمز. وهذا المثال لقائمة التحكم في الوصول (ACL)، والذي يجب استخدامه مع إدخالات التحكم في الوصول (ACEs) من الأمثلة السابقة، يسمح بأدوات اختبار الاتصال الواردة من محطات الإدارة الموثوق فيها وخوادم NMS ويحظر جميع حِزم ICMP الأخرى:

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit ICMP Echo (ping) from trusted management stations and servers
!

 permit icmp host <trusted-management-stations> any echo
 permit icmp host <trusted-netmgmt-servers> any echo
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

تصفية أجزاء IP

يمكن أن تواجه عملية تصفية حِزم IP المجزأة تحديًا بالنسبة لأجهزة الأمان. وهذا يرجع لأن معلومات الطبقة الرابعة التي يتم استخدامها لتصفية حِزم TCP وUDP موجودة فقط في الجزء الأولي. يستخدم البرنامج Cisco IOS software طريقة خاصة للتحقق من الأجزاء غير الأولية مقابل قوائم الوصول التي تم تكوينها. ويعمل برنامج Cisco IOS software على تقييم هذه الأجزاء غير الأولية مقابل قائمة التحكم في الوصول (ACL) ويتجاهل أي معلومات تصفية من الطبقة الرابعة. وهذا يتسبب في تقييم الأجزاء غير الأولية فقط على جزء الطبقة الثالثة من أي إدخال تحكم في الوصول (ACE) تم تكوينه.

في مثال التكوين هذا، إذا تمت تجزئة حِزمة TCP الموجّهة إلى 192.168.1.1 على المنفذ 22 أثناء العبور، فيتم إسقاط الجزء الأولي كما هو متوقع من إدخال التحكم في الوصول (ACE) الثاني القائم على معلومات الطبقة الرابعة داخل الحِزمة. ومع ذلك، فإنه يتم السماح بجميع الأجزاء المتبقية (غير الأولية) من قِبل إدخال التحكم في الوصول (ACE) الأول البقائم الكامل على معلومات الطبقة الثالثة في الحِزمة وإدخال التحكم في الوصول (ACE). ويتم توضيح هذا السيناريو في هذا التكوين:

!

ip access-list extended ACL-FRAGMENT-EXAMPLE
 permit tcp any host 192.168.1.1 eq 80
 deny tcp any host 192.168.1.1 eq 22
!

نظرًا للطبيعة غير البديهية للتعامل مع الأجزاء، غالبًا ما يتم السماح بأجزاء IP دون قصد بواسطة قوائم التحكم في الوصول (ACLs). غالبًا ما يتم استخدام التجزئة أيضًا في محاولات التهرب من الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبًا ما يتم استخدام أجزاء IP في الهجمات، وهذا يفسّر سبب وجوب تصفيتها بشكل صريح في قمة أي قوائم تحكم في الوصول إلى البنية الأساسية (iACLs) تم تكوينها. ويتضمن هذا المثال على قائمة التحكم في الوصول (ACL) التصفية الشاملة لأجزاء IP. يجب استخدام الوظائف الواردة من هذا المثال بالاقتران مع وظائف الأمثلة السابقة.

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ارجع إلى قوائم التحكم في الوصول وأجزاء IP للحصول على مزيد من المعلومات حول كيفية معالجة قائمة التحكم في الوصول (ACL) لحِزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

أضاف الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS Software دعم استخدام قوائم التحكم في الوصول (ACLs) إلى تصفية حِزم IP استنادًا إلى خيارات IP المُضمّنة في الحِزمة. تمثل خيارات IP تحديًا أمنيًا لأجهزة الشبكة لأنه يجب معالجة هذه الخيارات كحِزم استثناء. وهذا يتطلب مستوى من جهد وحدة المعالجة المركزية (CPU) لا يكون مطلوبًا للحِزم النموذجية التي تجتاز الشبكة. كما يمكن أن يشير وجود خيارات IP داخل الحِزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص عبور الحِزمة بطريقة خلاف ذلك. ولهذه الأسباب يجب تصفية الحِزم المزودة بخيارات IP عند حافة الشبكة.

يجب استخدام هذا المثال مع إدخالات التحكم في الوصول (ACEs) الواردة من الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

دعم قائمة التحكم في الوصول (ACL) للتصفية حسب قيمة مدة البقاء (TTL)

أضاف الإصدار ‪12.4(2)T‬ من برنامج Cisco IOS Software دعم قائمة التحكم في الوصول (ACL) لتصفية حِزم IP استنادًا إلى قيمة مدة البقاء (TTL). يتم تقليل قيمة مدة البقاء (TTL) لمخطط بيانات IP تدريجيًا بواسطة كل جهاز على الشبكة أثناء تدفق الحِزمة من المصدر إلى الوجهة. رغم اختلاف القيم الأولية حسب نظام التشغيل، إلا أنه يجب إسقاط الحِزمة عندما تصل مدة البقاء (TTL) للحِزمة إلى صفر. ويلزم وجود الجهاز الذي يقلل تدريجيًا من مدة البقاء (TTL) إلى الصفر، وبالتالي يقوم بإسقاط الحزمة، من أجل إنشاء رسالة "تجاوز وقت بروتوكول التحكم برسائل الإنترنت (ICMP)" وإرسالها إلى مصدر الحِزمة.

يُعد إنشاء هذه الرسائل وإرسالها عملية استثنائية. يمكن أن تؤدي الموجهات هذه الوظيفة عندما يكون عدد حِزم IP التي من المقرر أن تنتهي صلاحيتها منخفضًا؛ لكن إذا كان عدد الحِزم التي من المقرر أن تنتهي صلاحيتها مرتفعًا، فيمكن أن يستهلك إنشاء هذه الرسائل وإرسالها جميع موارد وحدة المعالجة المركزية (CPU) المتاحة. وهذا يقدّم متجهًا لهجوم رفض الخدمة (DoS). ولهذا السبب يجب زيادة صلابة الأجهزة ضد هجمات رفض الخدمة (DoS) التي تستخدم معدلاً مرتفعًا من حِزم IP التي من المقرر أن تنتهي صلاحيتها.

يُوصى بقيام المؤسسات بتصفية حِزم IP ذات قيم مدة البقاء (TTL) المنخفضة عند حافة الشبكة. تؤدي التصفية الكاملة للحِزم ذات قيم مدة البقاء (TTL) غير الكافية لاجتياز الشبكة إلى التخفيف من تهديد الهجمات القائمة على مدة البقاء (TTL).

هذا المثال على قائمة التحكم في الوصول (ACL) يقوم بتصفية الحِزم ذات قيم مدة البقاء (TTL) الأقل من ستة. وهذا يوفر الحماية ضد هجمات انتهاء صلاحية مدة البقاء (TTL) للشبكات التي يصل عرضها إلى خمس نقلات.

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets with TTL values insufficient to traverse the network
!

 deny ip any any ttl lt 6
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ملاحظة: تحقق بعض البروتوكولات استخدامًا شرعيًا للحِزم ذات قيم مدة البقاء (TTL) المنخفضة. يُعد eBGP أحد هذه البروتوكولات. ارجع إلى تحديد هجوم انتهاء صلاحية مدة البقاء (TTL) والتخفيف من آثاره للحصول على مزيد من المعلومات حول التخفيف من آثار الهجمات القائمة على انتهاء صلاحية مدة البقاء (TTL).

ارجع إلى دعم قائمة التحكم في الوصول (ACL) للتصفية حسب قيمة مدة البقاء (TTL) للحصول على مزيد من المعلومات حول هذه الوظائف.

تأمين جلسات الإدارة التفاعلية

تتيح لك جلسات الإدارة للأجهزة إمكانية عرض وتجميع المعلومات التي تتعلق بجهاز ما وعملياته. إذا تم الإفصاح عن هذه المعلومات لمستخدم ضار، يمكن أن يصبح الجهاز هدفًا لهجوم أو أن يتم اختراقه أو استخدامه لتنفيذ هجمات إضافية. يتمتع أي شخص لديه حق الوصول المميز إلى جهاز ما بالقدرة على التحكم الإداري الكامل في ذلك الجهاز. يلزم تأمين جلسات الإدارة لمنع الإفصاح عن المعلومات والوصول غير المصرح به إليها.

حماية مستوى الإدارة

في الإصدار ‪12.4(6)T‬ من برنامج Cisco IOS Software والإصدارات الأحدث، تتيح ميزة "حماية مستوى الإدارة (MPP)" للمسؤول وضع قيود على أيّ حركة مرور بيانات لإدارة الواجهات يمكن لجهاز استلامها. وهذا يسمح للمسؤول بالتحكم الإضافي في الجهاز وكيفية الوصول إليه.

يوضح هذا المثال كيفية تمكين ميزة "حماية مستوى الإدارة (MPP)" للسماح فقط لكل من SSH وHTTPS على واجهة GigabitEthernet0/1:

!

control-plane host
  management-interface GigabitEthernet 0/1 allow ssh https
!

ارجع إلى حماية مستوى الإدارة للحصول على مزيد من المعلومات عن ميزة "حماية مستوى الإدارة (MPP)".

حماية مستوى التحكم

يتم إنشاء ميزة "حماية مستوى التحكم (CPPr)" على أساس وظائف "تنظيم مستوى التحكم" لتقييد حركة مرور بيانات مستوى التحكم التي يتم توجيهها إلى معالج التوجيه لجهاز IOS والتحكم فيها. تعمل ميزة "حماية مستوى التحكم (CPPr)"، التي تمت إضافتهت في الإصدار ‪12.4(4)T‬ من برنامج Cisco IOS Software، على تقسيم مستوى التحكم إلى فئات منفصلة لمستوى التحكم تُعرف بالواجهات الفرعية. توجد ثلاث واجهات فرعية لمستوى التحكم: المضيف والعبور واستثناء إعادة التوجيه السريع من Cisco (CEF). بالإضافة إلى ذلك، تتضمن ميزة "حماية مستوى التحكم (CPPr)" ميزات حماية مستوى التحكم الإضافية التالية:

• ميزة تصفية المنفذ - تتكفل هذه الميزة بالتحكم في الحِزم التي تنتقل إلى منافذ TCP وUDP المغلقة أو الرافضة للحِزم أو إسقاط هذه الحِزم.
  
  
• ميزة سياسة حد قائمة الانتظار - تحدّد هذه الميزة عدد الحِزم المسموح بها لبروتوكول محدد في قائمة انتظار إدخالات IP على مستوى التحكم.

تسمح حماية مستوى التحكم (CPPr) للمسؤول بتصنيف حركة مرور البيانات التي يتم إرسالها إلى جهاز ما لأغراض الإدارة مع الواجهة الفرعية للمضيف والتحكم في حركة مرور البيانات هذه وتقييدها. وتتضمن أمثلة الحِزم التي يتم تصنيفها لفئة الواجهة الفرعية للمضيف حركة مرور بيانات االإدارة مثل SSH أو Telnet وبروتوكولات التوجيه.

ملاحظة: لا تدعم حماية مستوى التحكم (CPPr) IPv6 وتقتصر على مسار إدخال IPv4.

ارجع إلى دليل ميزة "حماية مستوى التحكم" - الإصدار 12.4T وفهم حماية مستوى التحكم للحصول على مزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr) من Cisco.

تشفير جلسات الإدارة

نظرًا لإمكانية الإفصاح عن المعلومات في جلسة إدارة تفاعلية، فإنه يجب تشفير حركة مرور البيانات هذه حتى لا يتمكّن المستخدم الضار من تحقيق الوصول إلى البيانات التي يتم إرسالها. يتيح تشفير حركة مرور البيانات وجود اتصال آمن للوصول عن بُعد إلى الجهاز. إذا تم إرسال حركة مرور بيانات لجلسة إدارة عبر الشبكة بنص غير مشفر، فيمكن للمهاجم الحصول على معلومات حساسة حول الجهاز والشبكة.

يستطيع المسؤول إنشاء اتصال مشفر وآمن لإدارة الوصول عن بُعد بجهاز مزود بميزات SSH أو HTTPS (بروتوكول نقل النص التشعبي الآمن). يدعم برنامج Cisco IOS software بروتوكول SSH الإصدار 1.0 (SSHv1) وبروتوكول SSH الإصدار 2.0 (SSHv2) وبروتوكول HTTPS الذي يستخدم طبقة مآخذ التوصيل الآمنة (SSL) وأمان طبقة النقل (TLS) لمصادقة البيانات وتشفيرها. لا يكون الإصداران SSHv1 وSSHv2 متوافقين. فالإصدار SSHv1 غير آمن وغير معايَر، لذلك لا يُوصى باستخدامه إذا كان الإصدار SSHv2 متاحًا كخيار.

كما يدعم برنامج Cisco IOS software بروتوكول النسخ الآمن (SCP)، والذي يسمح بوجود اتصال مشفر وآمن من أجل نسخ تكوينات الجهاز أو صور البرامج. ويعتمد بروتوكول SCP على بروتوكول SSH. ويتيح مثال التكوين التالي تمكين SSH على جهاز Cisco IOS:

!

ip domain-name example.com
!

crypto key generate rsa modulus 2048
!

ip ssh time-out 60
ip ssh authentication-retries 3
ip ssh source-interface GigabitEthernet 0/1
!

line vty 0 4
 transport input ssh
!

يتيح مثال التكوين التالي تمكين خدمات SCP:

!

ip scp server enable
!

فيما يلي مثال تكوين لخدمات HTTPS:

!

crypto key generate rsa modulus 2048
!

ip http secure-server
!

ارجع إلى الأسئلة المتداولة حول تكوين "طبقة الأمان" على الموجهات والمحولات التي تشغّل برنامج Cisco IOS و"طبقة الأمان" (SSH) للحصول على مزيد من المعلومات حول ميزة SSH ببرنامج Cisco IOS software.

SSHv2

تتيح ميزة دعم SSHv2 التي إدخالها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS Software للمستخدم إمكانية تكوين SSHv2. (تم تنفيذ دعم SSHv1 في إصدار أقدم من برنامج Cisco IOS Software.) يمكن تشغيل بروتوكول طبقة الأمان (SSH) فوق طبقة نقل موثوقة ويوفر إمكانات مصادقة وتشفير قوية. وطبقة النقل الوحيدة الموثوقة التي تم تعريفها لبروتوكول طبقة الأمان (SSH) هي TCP. يوفر بروتوكول طبقة الأمان (SSH) وسيلة للوصول الآمن إلى الأوامر وتنفيذها بأمان على جهاز كمبيوتر أو جهاز آخر عبر الشبكة. تتيح ميزة "بروتوكول النسخ الآمن (SCP)" التي يتم إنشاء قنوات لها عبر بروتوكول SSH إمكانية النقل الآمن للملفات.

إذا لم يتم تكوين الأمر ip ssh verson 2 بشكل صريح، فعندئذٍ يقوم Cisco IOS بتمكين الإصدار 1.99 من SSH. يسمح الإصدار 1.99 من SSH بكل من اتصالات SSHv1 وSSHv2. يُعد SSHv1 غير آمن وقد تكون له آثار ضارة على النظام. إذا تم تمكين بروتوكول SSH، فمن المستحسن تعطيل SSHv1 باستخدام الأمر ip ssh version 2.

ويتيح مثال التكوين التالي تمكين SSHv2 (مع تعطيل SSHv1) على جهاز Cisco IOS:

!
    
hostname router

!

ip domain-name example.com    

!
    
crypto key generate rsa modulus 2048

!

ip ssh time-out 60  
ip ssh authentication-retries 3  
ip ssh source-interface GigabitEthernet 0/1    

!
    
ip ssh version 2

!

line vty 0 4   
transport input ssh    

!
 

ارجع إلى دعم طبقة الأمان الإصدار 2 للحصول على مزيد من المعلومات حول استخدام SSHv2.

تحسينات SSHv2 لمفاتيح RSA

يدعم SSHv2 على برنامج Cisco IOS طرق المصادقة التفاعلية مع لوحة المفاتيح وتلك المستندة إلى كلمة المرور. كما تدعم تحسينات SSHv2 لميزة "مفاتيح RSA" مصادقة المفتاح العام المستندة إلى خوارزمية RSA للعميل والخادم.

بالنسبة لمصادقة المستخدم، تعمل مصادقة المستخدم المستندة إلى خوارزمية RSA على استخدام زوج مفاتيح خاص/عام مرتبط بكل مستخدم للمصادقة. يجب على المستخدم إنشاء زوج مفاتيح خاص/عام على العميل وتكوين مفتاح عام على خادم Cisco IOS SSH من أجل إكمال المصادقة.

يقدّم مستخدم بروتوكول SSH الذي يحاول إنشاء بيانات الاعتماد توقيعًا مشفرًا باستخدام المفتاح الخاص. يتم إرسال التوقيع والمفتاح العام الخاصين بالمستخدم إلى خادم SSH للمصادقة. يقوم خادم بروتوكول SSH بحساب تجزئة عبر المفتاح العام الذي يقدّمه المستخدم. ويتم استخدام التجزئة لتحديد ما إذا كان لدى الخادم إدخال مطابق. إذا تم العثور على تطابق، يتم إجراء التحقق من صحة الرسائل المستندة إلى RSA باستخدام المفتاح العام. وبالتالي، تتم مصادقة المستخدم أو رفض الوصول بناءً على التوقيع المُشفّر.

بالنسبة إلى مصادقة الخادم، يجب على عميل Cisco IOS SSH تعيين مفتاح مضيف لكل خادم. عندما يحاول العميل إنشاء جلسة SSH مع خادم، فإنه يتلقى توقيع الخادم كجزء من رسالة تبادل المفاتيح. إذا تم تمكين علامة التحقق الصارم من مفتاح المضيف على العميل، فإن العميل يتحقق مما إذا كان لديه إدخال مفتاح المضيف الذي يتطابق مع الخادم المكوّن مسبقًا. إذا تم العثور على تطابق، يحاول العميل التحقق من صحة التوقيع باستخدام مفتاح مضيف الخادم. في حال مصادقة الخادم بنجاح، يستمر إنشاء الجلسة؛ وإلا يتم إنهاؤها وتُعرض رسالة فشلت مصادقة الخادم.

ويتيح مثال التكوين التالي استخدام مفاتيح RSA مع SSHv2 على جهاز Cisco IOS:

!
! Configure a hostname for the device
!

hostname router
!
! Configure a domain name
!

ip domain-name cisco.com
!
! Specify the name of the RSA key pair (in this case, "sshkeys") to use for SSH
!

 ip ssh rsa keypair-name sshkeys
!
! Enable the SSH server for local and remote authentication on the router using 
! the "crypto key generate" command
! For SSH version 2, the modulus size must be at least 768 bits 
!

 crypto key generate rsa usage-keys label sshkeys modulus 2048
!
! Configure an ssh timeout (in seconds) 
!
! The following enables a timeout of 120 seconds for SSH connections
!

ip ssh time-out 120
!
! Configure a limit of five (5) authentication retries
!

ip ssh authentication-retries 5
!
! Configure SSH version 2
!

ip ssh version 2 
!

  

ارجع إلى تحسينات الإصدار 2 من بروتوكول طبقة الأمان لمفاتيح RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

ويتيح مثال التكوين هذا إمكانية إجراء خادم Cisco IOS SSH لمصادقة المستخدم المستندة إلى RSA. تكون مصادقة المستخدم ناجحة إذا تم التحقق من صحة مفتاح RSA العام المُخزن على الخادم مع زوج المفاتيح العام أو الخاص المُخزن على العميل.

!
! Configure a hostname for the device
!

hostname router
!
! Configure a domain name
!

ip domain-name cisco.com
!
! Generate RSA key pairs using a modulus of 2048 bits
!

crypto key generate rsa modulus 2048
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain
!
! Configure the SSH username
!

        username ssh-user
!
! Specify the RSA public key of the remote peer
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash command (followed by the SSH key type and version.)
!

ارجع إلى تكوين خادم Cisco IOS SSH لإجراء مصادقة المستخدم المستندة إلى RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

يتيح مثال التكوين هذا لعميل Cisco IOS SSH إجراء مصادقة العميل المستندة إلى RSA.

!
!

hostname router
!
ip domain-name cisco.c
!
! Generate RSA key pairs
!

crypto key generate rsa
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain
!
! Enable the SSH server for public-key authentication on the router 
!

        server SSH-server-name
!
! Specify the RSA public-key of the remote peer 
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash <key-type> <key-name> command (followed by the SSH key 
! type and version.)
!
! Ensure that server authentication takes place - The connection will be 
! terminated on a failure
!

ip ssh stricthostkeycheck 
!

ارجع إلى تكوين عميل Cisco IOS SSH لإجراء مصادقة العميل المستندة إلى RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

منافذ وحدة التحكم والمنافذ (AUX) المساعدة

في أجهزة Cisco IOS، تُعد منافذ وحدة التحكم والمنافذ (AUX) المساعدة خطوطًا غير متزامنة يمكن استخدامها للوصول المحلي والوصول عن بُعد للجهاز. يجب أن تدرك أن منافذ وحدة التحكم على أجهزة Cisco IOS لها امتيازات خاصة. تتيح هذه الامتيازات بشكل خاص للمسؤول تنفيذ إجراء استرداد كلمة المرور. ولإجراء استرداد كلمة المرور، سيحتاج المهاجم الذي لم تتم مصادقة بياناته إلى اكتساب حق الوصول إلى منفذ وحدة التحكم والقدرة على قطع طاقة الجهاز أو التسبب في تعطيل الجهاز.

يجب تأمين أي طريقة تُستخدم للوصول إلى منفذ وحدة التحكم للجهاز بطريقة مساوية للتأمين الذي يتم فرضه للوصول المميز إلى الجهاز. ويجب أن تتضمن الطرق المُستخدمة لتأمين الوصول استخدام كلمات مرور المصادقة والتفويض والمحاسبة (AAA) وexec-timeout والمودم في حال اتصال مودم بوحدة التحكم.

إذا لم يكن إسترداد كلمة المرور مطلوبا، فيمكن حينئذ للمسؤول إزالة إمكانية تنفيذ إجراء إسترداد كلمة المرور باستخدام أمر التكوين العام no service password-recovery؛ ومع ذلك، بمجرد تمكين الأمر no service password-recovery، لن يعود بإمكان المسؤول إجراء إسترداد كلمة المرور على الجهاز.

في معظم الحالات، يجب تعطيل المنفذ (AUX) المساعد بالجهاز لمنع الوصول غير المصرح به إليه. يمكن تعطيل المنفذ (AUX) المساعد باستخدام الأوامر التالية:

!

line aux 0
 transport input none
 transport output none
 no exec
 exec-timeout 0 1
 no password
!

التحكم في خطوط tty وvty

تستخدم جلسات الإدارة التفاعلية في برنامج Cisco IOS software خط tty أو tty ظاهري (vty). يُعد tty خطًا محليًا غير متزامن يمكن إرفاق جهاز طرفي به للوصول المحلي إلى الجهاز أو إلى مودم للوصول من خلال الطلب الهاتفي إلى جهاز ما. لاحظ أنه يمكن استخدام خطوط tty للاتصالات بمنافذ وحدة التحكم بالأجهزة الأخرى. وتتيح هذه الوظيفة للجهاز المزود بخطوط tty إمكانية العمل كخادم وحدة تحكم حيث يمكن إنشاء اتصالات عبر الشبكة بمنافذ وحدة التحكم للأجهزة المتصلة بخطوط tty. كما يجب التحكم في خطوط tty لهذه الاتصالات العكسية عبر الشبكة.

يتم استخدام خط vty لجميع اتصالات الشبكة عن بُعد الأخرى التي يدعمها الجهاز، بغض النظر عن البروتوكول (SSH أو SCP أو Telnet كأمثلة). لضمان إمكانية الوصول إلى جهاز عبر جلسة إدارة محلية أو عن بُعد، يجب فرض عناصر التحكم المناسبة على كل من خطوط vty وtty. تحتوي أجهزة Cisco IOS على عدد محدود من خطوط vty؛ ويمكن تحديد عدد الخطوط المتاحة باستخدام أمر EXEC ‫show line. عندما تكون جميع خطوط vty قيد الاستخدام، لن يمكن إنشاء جلسات إدارة جديدة، مما يؤدي إلى إنشاء حالة رفض خدمة ()DoS للوصول إلى الجهاز.

وأبسط شكل من أشكال التحكم في الوصول إلى خط vty أو tty بجهاز ما هو من خلال استخدام المصادقة على جميع الخطوط بغض النظر عن موقع الجهاز داخل الشبكة. وهذا أمر بالغ الأهمية لخطوط vty لأنه يمكن الوصول إليها عبر الشبكة. كما يمكن الوصول إلى خط tty المتصل بمودم يتم استخدامه للوصول عن بُعد إلى الجهاز، أو خط tty المتصل بمنفذ وحدة التحكم بالأجهزة الأخرى عبر الشبكة. يمكن فرض أشكال أخرى من عناصر التحكم في الوصول إلى خطوط vty وtty باستخدام أوامر التكوين transport input أو access-class، مع استخدام ميزات تنظيم مستوى التحكم (CoPP) وحماية مستوى التحكم (CPPr)، أو إذا قمت بتطبيق قوائم الوصول على الواجهات على الجهاز.

يمكن فرض المصادقة من خلال استخدام المصادقة والتفويض والمحاسبة ()AAA، وهي الطريقة المُوصى بها للوصول الذي تتم مصادقته إلى جهاز ما، مع استخدام قاعدة بيانات المستخدم المحلية، أو من خلال مصادقة بسيطة لكلمة المرور يتم تكوينها مباشرة على خط vty أو tty.

يجب استخدام الأمر exec-timeout لتسجيل الخروج من الجلسات على أسطر vty أو tty التي تم تركها في وضع الخمول. كما يجب استخدام الأمر service tcp-keepalives-in من أجل تمكين رسائل keepalive لبروتوكول TCP على الاتصالات الواردة إلى الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة سيتم إزالتها من جهاز IOS المحلي.

التحكم في النقل لخطوط tty وvty

يجب تكوين خط vty وtty من أجل قبول اتصالات إدارة الوصول عن بُعد المشفّرة والآمنة فقط بالجهاز أو من خلال الجهاز إذا تم استخدامه كخادم وحدة تحكم. يتناول هذا القسم خطوط tty لأن تلك الخطوط يمكن توصيلها بمنافذ وحدة التحكم على الأجهزة الأخرى، مما يتيح الوصول إلى خط tty عبر الشبكة. وفي محاولة لمنع الإفصاح عن المعلومات أو الوصول غير المصرح به إلى البيانات التي يتم إرسالها بين المسؤول والجهاز، يجب استخدام الأمر transport input ssh بدلاً من بروتوكولات النصوص غير المشفّرة، مثل Telnet وrlogin. يمكن تمكين التكوين transport input none على خط tty، وهو ما يؤدي إلى تعطيل استخدام خط tty لاتصالات وحدة التحكم العكسية.

تتيح كل من خطوط vty وtty للمسؤول إمكانية الاتصال بأجهزة أخرى. لتحديد نوع النقل الذي يمكن أن يستخدمه المسؤول للاتصالات الصادرة، يمكنك استخدام أمر تكوين سطر transport output. إذا لم تكن هناك حاجة إلى الاتصالات الصادرة، فيجب استخدام الأمر transport output none. ومع ذلك، إذا تم السماح بالاتصالات الصادرة، فيجب فرض طريقة وصول عن بُعد مشفّرة وآمنة للاتصال من خلال استخدام الأمر transport output ssh.

ملاحظة: يمكن استخدام بروتوكول IPSec لاتصالات الوصول عن بُعد المشفّرة والآمنة لجهاز ما، إذا كان مدعومًا. إذا كنت تستخدم بروتوكول IPSec، فإنه يضيف أيضًا عبئًا إضافيًا من وحدة المعالجة المركزية (CPU) إلى الجهاز. ومع ذلك، ما يزال يتعين فرض بروتوكول SSH كوسيلة النقل حتى عند استخدام IPSec.

شعارات التحذير

في بعض الولايات القضائية القانونية، قد يكون من المستحيل ملاحقة المستخدمين الضارين وقد تكون مراقبة عملهم أمرًا غير قانوني ما لم يتم إعلامهم بأنه لا يُسمح لهم باستخدام النظام. وواحدة من طرق تقديم هذا الإعلام بوضع هذه المعلومات في رسالة شعار يتم تكوينها باستخدام أمر تسجيل الدخول إلى شعار برنامج Cisco IOS software.

تُعد متطلبات الإعلام القانوني معقدة، وتختلف باختلاف الولاية القضائية والوضع، ويجب مناقشتها مع المستشار القانوني. حتى داخل الولايات القضائية، يمكن أن تختلف الآراء القانونية. وبالتعاون مع المستشار، يمكن أن يقدّم الشعار بعضًا من المعلومات التالية أو كلها:

• إخطار بأنه لا يمكن تسجيل الدخول إلى النظام أو استخدامه إلا من قِبل أفراد مصرح لهم بذلك تحديدًا وربما معلومات تتعلق بمَن يمكنه التفويض بالاستخدام.
  
  
• إخطار بأن أي استخدام غير مصرح به للنظام يُعد غير قانوني ويمكن أن يخضع لعقوبات مدنية وجنائية.
  
  
• إخطار بأن أي استخدام للنظام يمكن تسجيله أو رصده دون إشعار إضافي وأنه يمكن استخدام السجلات الناتجة كدليل في المحكمة.
  
  
• الإخطارات الخاصة التي تقتضيها القوانين المحلية.

من وجهة نظر أمنية، وليست قانونية، يجب ألا يحتوي شعار تسجيل الدخول على أي معلومات خاصة باسم الموجّه أو طرازه أو برنامجه أو ملكيته. حيث يمكن إساءة استخدام هذه المعلومات من قِبل المستخدمين الضارين.

المصادقة والتخويل والمحاسبة

يُعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا بالغ الأهمية لتأمين الوصول التفاعلي إلى أجهزة الشبكة. يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) بيئة قابلة للتكوين بدرجة عالية يمكن تخصيصها استنادًا إلى احتياجات الشبكة.

مصادقة ‪TACACS+‬

‪TACACS+‬ هو بروتوكول مصادقة يمكن لأجهزة Cisco IOS استخدامه لمصادقة مستخدمي الإدارة مقابل خادم AAA بعيد. ويمكن لهؤلاء المستخدمين الإداريين الوصول إلى جهاز IOS عبر بروتوكول SSH أو HTTPS أو telnet أو HTTP.

توفر مصادقة ‪TACACS+‬، أو بشكل أعم مصادقة AAA، القدرة على استخدام حسابات المستخدمين الفردية لكل مسؤول شبكة. عندما لا تعتمد على كلمة مرور مشتركة واحدة،يتحسّن أمان الشبكة وتقوى القدرة على تحديد المسؤوليات لديك.

أما بروتوكول RADIUS هو بروتوكول مشابه في الغرض لـ ‪TACACS+‬؛ ومع ذلك، لا يقوم إلا بتشفير كلمة المرور المُرسلة عبر الشبكة فقط. في المقابل، يقوم ‪TACACS+‬ بتشفير حمولة TCP بالكامل، والتي تتضمن كلاً من اسم المستخدم وكلمة المرور. ولهذا السبب، يقضَّل استخدام بروتوكول ‪TACACS+‬ على RADIUS عندما يكون ‪TACACS+‬ مدعومًا من قِبل خادم AAA. ارجع إلى مقارنة ‪TACACS+‬ وRADIUS للحصول على مقارنة أكثر تفصيلاً بين هذين البروتوكولين.

يمكن تمكين مصادقة ‪TACACS+‬ على جهاز Cisco IOS بتكوين مشابه للمثال التالي:

!

aaa new-model
aaa authentication login default group tacacs+
!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!

يمكن استخدام التكوين السابق كنقطة بداية لقالب مصادقة AAA خاص بمؤسسة. ارجع إلى المصادقة والتفويض والحساب للحصول على مزيد من المعلومات حول تكوين المصادقة والتفويض والحساب (AAA).

قائمة الطرق هي عبارة عن قائمة مسلسلة تصف طرق المصادقة المُراد الاستعلام عنها لمصادقة مستخدم ما. وتتيح لك قوائم الطرق إمكانية تعيين بروتوكول واحد أو أكثر من بروتوكولات الأمان المُراد استخدامها للمصادقة، وبالتالي ضمان نظام نسخ احتياطي للمصادقة في حالة فشل الطريقة الأولية. يستخدم برنامج Cisco IOS software الطريقة الأولى المُدرجة التي تقبل مستخدمًا ما أو ترفضه بنجاح. لا تتم محاولة استخدام الطرق التالية إلا في الحالات التي تفشل فيها الطرق السابقة بسبب عدم توفّر الخادم أو التكوين غير الصحيح له.

ارجع إلى قوائم الطرق المعيّنة للمصادقة للحصول على مزيد من المعلومات حول تكوين قوائم الطرق المعينة.

تعيين الطريقة الاحتياطية للمصادقة

إذا أصبحت جميع خوادم ‪TACACS+‬ التي تم تكوينها غير متاحة، فيمكن لجهاز Cisco IOS الاعتماد على بروتوكولات مصادقة ثانوية. حيث تشتمل التكوينات النموذجية على استخدام المصادقة المحلية أو تمكين المصادقة في حالة عدم توفّر جميع خوادم ‪TACACS+‬ التي تم تكوينها.

وتشتمل القائمة الكاملة لخيارات المصادقة على الجهاز على خيارات تمكين المصادقة والمصادقة المحلية ومصادقة الخطوط. ولكل خيار من هذه الخيارات مزاياه. فيُفضل استخدام الأمر "enable secret" لأنه تتم تجزئة المفتاح السري باستخدام خوارزمية أحادية الاتجاه تكون أكثر أمانًا بطبيعتها من خوارزمية التشفير التي يتم استخدامها مع كلمات المرور من النوع 7 للمصادقة المحلية ومصادقة الخطوط.

ومع ذلك، في إصدارات برنامج Cisco IOS software التي تدعم استخدام كلمات المرور السرية للمستخدمين المحددين محليًا، قد يكون من الأفضل تعيين الطريقة الاحتياطية على المصادقة المحلية. وهذا يسمح بإنشاء مستخدم محدد محليًا لواحد أو أكثر من مسؤولي الشبكة. إذا كان ‪TACACS+‬ على وشك أن يصبح غير متاح تمامًا، فيمكن لكل مسؤول استخدام اسم المستخدم وكلمة المرور المحليين لديه. على الرغم من أن هذا الإجراء يعزّز إمكانية تحديد المسؤوليات لدى مسؤولي الشبكة في حالات انقطاع عمل ‪TACACS+‬، إلا أنه يزيد العبء الإداري بشكل كبير لأنه يجب الحفاظ على حسابات المستخدمين المحليين على جميع أجهزة الشبكة.

يعتمد مثال التكوين التالي على مثال مصادقة ‪TACACS+‬ السابق لأجل تضمين طريقة المصادقة الاحتياطية لكلمة المرور التي تم تكوينها محليًا باستخدام الأمر enable secret:

!

enable secret <password>
!

aaa new-model
aaa authentication login default group tacacs+ enable
!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!

ارجع إلى تكوين المصادقة للحصول على مزيد من المعلومات حول استخدام طريقة المصادقة الاحتياطية باستخدام المصادقة والتفويض والمحاسبة (AAA).

استخدام كلمات المرور من النوع 7

نظرًا لتصميم كلمات المرور من النوع 7 في الأصل للسماح بفك تشفير سريع لكلمات المرور المُخزنة، فإنها لا تعتبر شكلاً آمنًا لتخزين كلمات المرور. وهناك العديد من الأدوات المتاحة التي يمكنها بسهولة فك تشفير كلمات المرور هذه. يجب تجنب استخدام كلمات المرور من النوع 7 ما لم تكن مطلوبة من قِبل ميزة قيد الاستخدام على جهاز Cisco IOS.

أما النوع 9 (scrypt) فيجب استخدامه كلما أمكن:

username <username> privilege 15 algorithm-type scrypt secret <secret>

يمكن تسهيل عملية إزالة كلمات المرور من هذا النوع من خلال مصادقة من النوع AAA واستخدام ميزة أمان كلمة المرور المحسّن، والتي تتيح استخدام كلمات المرور السرية مع المستخدمين الذين تم تعريفهم محليًا من خلال أمر التكوين العام username. فإذا تعذّر عليك منع استخدام كلمات المرور من النوع 7 بشكل كامل، فاعتبر أن كلمات المرور هذه مبهمة، وليست مشفرة.

راجع قسم تقوية مستوى الإدارة العامة للحصول على مزيد من المعلومات حول إزالة كلمات المرور من النوع 7.

تفويض أوامر ‪TACACS+‬

يوفر تفويض الأوامر باستخدام ‪TACACS+‬ وAAA آلية تسمح بكل أمر يتم إدخاله بواسطة مستخدم إداري أو ترفضه. عندما يُدخل المستخدم أوامر EXEC، يرسل Cisco IOS كل أمر إلى خادم AAA الذي تم تكوينه. ومن ثمّ، يستخدم خادم AAA سياساته التي تم تكوينها للسماح بالأمر أو رفضه لذلك المستخدم المعيّن.

يمكن إضافة التكوين التالي إلى مثال مصادقة AAA السابق من أجل تنفيذ تفويض الأوامر:

!

aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none 
aaa authorization commands 15 default group tacacs none
!

ارجع إلى تكوين التفويض للحصول على مزيد من المعلومات حول تفويض الأوامر.

محاسبة أوامر ‪TACACS+‬

عند تكوين عملية محاسبة أوامر AAA، فإنها ترسل معلومات حول كل أمر EXEC يتم إدخاله إلى خوادم ‪TACACS+‬ التي تم تكوينها. وتتضمن المعلومات المُرسلة إلى خادم ‪TACACS+‬ الأمر الذي تم تنفيذه وتاريخ تنفيذه واسم المستخدم الخاص بالمستخدم الذي يُدخل الأمر. لا تكون عملية محاسبة الأوامر مدعومة مع استخدام RADIUS.

يعمل مثال التكوين هذا على تمكين عملية محاسبة أوامر AAA لأوامر EXEC التي تم إدخالها عند مستويات التميّز صفر وواحد و15. ويعتمد هذا التكوين على الأمثلة السابقة التي تتضمن تكوين خوادم TACACS.

!

aaa accounting exec default start-stop group tacacs 
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs
!

ارجع إلى تكوين عملية المحاسبة للحصول على مزيد من المعلومات حول تكوين عملية محاسبة AAA.

خوادم AAA المكررة

يجب أن تكون خوادم AAA التي يتم الاستفادة منها في بيئة ما مكررة وأن يتم نشرها بطريقة تتحمل الأخطاء. فهذا يساعد على ضمان إمكانية الوصول التفاعلي للإدارة، مثل بروتوكول SSH، في حالة عدم توفّر خادم AAA.

عند تصميم حل خادم AAA مكرر أو تنفيذه، تذكّر هذه الاعتبارات:

• توفّر خوادم AAA أثناء حالات فشل الشبكة المحتملة
  
  
• تحديد وضع خوادم AAA المنتشر جغرافيًا
  
  
• التحميل على خوادم AAA الفردية في الحالات المستقرة وحالات الفشل
  
  
• زمن انتقال الشبكة بين خوادم الوصول إلى الشبكة وخوادم AAA
  
  
• تزامن قواعد بيانات خوادم AAA

ارجع إلى نشر خوادم التحكم في الوصول للحصول على مزيد من المعلومات.

تدعيم بروتوكول إدارة الشبكة البسيط

يسلط هذا القسم الضوء على العديد من الطرق التي يمكن استخدامها من أجل تأمين نشر بروتوكول SNMP داخل أجهزة IOS. من المهم للغاية أن يتم تأمين بروتوكول SNMP بشكل صحيح من أجل حماية سرية كل من بيانات الشبكة وأجهزة الشبكة التي تمر من خلالها هذه البيانات ومن أجل تكامل تلك البيانات وتوفّرها. يوفر لك بروتوكول SNMP ثروة من المعلومات حول حالة أجهزة الشبكة. يجب حماية هذه المعلومات من المستخدمين الضارين الذين يرغبون في الاستفادة من هذه البيانات لتنفيذ هجمات ضد الشبكة.

سلاسل مجتمع SNMP

سلاسل المجتمع هي كلمات مرور يتم تطبيقها على جهاز IOS لتقييد الوصول، الوصول للقراءة فقط والوصول للقراءة والكتابة على السواء، إلى بيانات SNMP على الجهاز. يجب اختيار سلاسل المجتمع هذه، كما هو الحال مع جميع كلمات المرور، بعناية لضمان أنها ليست بديهية. يجب تغيير سلاسل المجتمع على فواصل زمنية منتظمة ووفقًا لسياسات أمان الشبكة. على سبيل المثال، يجب تغيير السلاسل عندما يقوم مسؤول شبكة بتغيير الأدوار أو بترك الشركة.

تقوم سطور التكوين التالية بتكوين سلسلة مجتمع للقراءة فقط من READONLY وسلسلة مجتمع للقراءة والكتابة من READWRITE:

!

snmp-server community READONLY RO
snmp-server community READWRITE RW  
!

ملاحظة: تم إختيار أمثلة سلسلة المجتمع السابقة لشرح إستخدام هذه السلاسل بشكل واضح. بالنسبة لبيئات الإنتاج، يجب اختيار سلاسل المجتمع بحذر ويجب أن تتكون من سلسلة من الرموز الأبجدية والرقمية وغير الأبجدية ولا الرقمية. ارجع إلى التوصيات الخاصة بإنشاء كلمات مرور قوية للحصول على مزيد من المعلومات حول تحديد كلمات المرور غير البديهية.

ارجع إلى مرجع أوامر IOS SNMP للحصول على مزيد من المعلومات حول هذه الميزة.

سلاسل مجتمع SNMP باستخدام قوائم التحكم في الوصول (ACLs)

بالإضافة إلى سلسلة المجتمع، يجب تطبيق قائمة تحكم بالوصول (ACL) من شأنها أن تقيّد وصول SNMP على نحو إضافي إلى مجموعة محددة من عناوين IP للمصدر. يعمل هذا التكوين على تقييد وصول SNMP للقراءة فقط إلى الأجهزة المضيفة الطرفية الموجودة في مساحة العنوان 192.168.100.0/24 وتقييد وصول SNMP للقراءة والكتابة إلى الجهاز المضيف الطرفي على 192.168.100.1.

ملاحظة: تتطلب الأجهزة المسموح بها من قبل قوائم التحكم في الوصول (ACLs) هذه وجود سلسلة المجتمع المناسبة للوصول إلى معلومات SNMP المطلوبة.

!

access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!

snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!

ارجع إلى مجتمع خادم Snmp في "مرجع أوامر إدارة شبكة Cisco IOS" للحصول على مزيد من المعلومات حول هذه الميزة.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

يمكن نشر قوائم التحكم في الوصول للبنية الأساسية (iACLs) لضمان أن المضيفين النهائيين بعناوين IP موثوقة فقط يمكنهم إرسال حركة مرور SNMP إلى جهاز يعمل بنظام التشغيل IOS. يجب أن تحتوي iACL على سياسة ترفض حزم SNMP غير المعتمدة على منفذ UDP 161.

راجع قسم تحديد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند للحصول على مزيد من المعلومات حول استخدام قوائم التحكم في الوصول للبنية الأساسية (iACLs).

طرق عرض SNMP

طرق عرض SNMP هي ميزة أمان يمكنها السماح بالوصول إلى بعض قواعد معلومات الإدارة (MIB) لـ SNMP أو رفضها. بمجرد إنشاء طريقة عرض وتطبيقها على سلسلة مجتمع باستخدام أوامر التكوين العالمية لطريقة عرض مجتمع لـ مجتمع خادم snmp، إذا قمت بالوصول إلى بيانات قاعدة معلومات الإدارة، فهذا يعني أنك مقيد بالأذونات التي تم تعريفها بواسطة طريقة العرض. وعند الاقتضاء، يوصى باستخدام طرق العرض لتحديد مستخدمي SNMP للبيانات المطلوبة.

يقوم مثال التكوين هذا بتقييد وصول SNMP باستخدام سلسلة المجتمع المحدودة مع بيانات قاعدة معلومات الإدارة الموجودة في مجموعة النظام:

!

snmp-server view VIEW-SYSTEM-ONLY system include
!

snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO
!

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات.

SNMP الإصدار 3

يتم تحديد الإصدار 3 من SNMP ‫(SNMPv3)‬ بواسطة RFC3410، وRFC3411، وRFC3412، وRFC3413، وRFC3414، وRFC3415  ويكون بروتوكولاً مستندًا إلى المعايير قابل للتشغيل البيني لإدارة الشبكة. تقوم SNMPv3 بتوفير وصول آمن إلى الأجهزة نظرًا لأنه يقوم بمصادقة وتشفير الحزم على الشبكة اختياريًا. حيث يكون SNMPv3 مدعومًا، يمكن استخدامه لإضافة طبقة أمان أخرى عند نشر بروتوكول SNMP. يتكون SNMPv3 من ثلاثة خيارات تكوين أساسية:

• لا توجد مصادقة - لا يتطلب هذا الوضع أي مصادقة ولا أي تشفير لحِزم SNMP
  
  
• المصادقة - يتطلب هذا الوضع مصادقة حزمة SNMP دون تشفير
  
  
• priv - يتطلب هذا الوضع المصادقة والتشفير (الخصوصية) لكل حزمة من حزم SNMP

يجب أن يكون معرف المحرك المخول موجودا لاستخدام آليات أمان SNMPv3 - المصادقة أو المصادقة والتشفير - لمعالجة حزم SNMP؛ وبشكل افتراضي، يتم إنشاء معرف المحرك محليا. يمكن عرض معرّف المحرك باستخدام أمر ‪show snmp engineID‬ كما هو موضح في هذا المثال:

router#show snmp engineID 
   Local SNMP engineID: 80000009030000152BD35496
   Remote Engine ID          IP-addr    Port

ملاحظة: إذا تم تغيير engineID، يجب إعادة تكوين جميع حسابات مستخدمي SNMP.

تتمثل الخطوة التالية في تكوين مجموعة SNMPv3. يقوم هذا الأمر بتكوين جهاز ‪Cisco IOS‬ لـ SNMPv3 باستخدام AUTHGROUP لمجموعة خوادم SNMP ويمكّن فقط المصادقة لهذه المجموعة باستخدام الكلمة الأساسية المصادقة:

!
snmp-server group AUTHGROUP v3 auth
!

يقوم هذا الأمر بتكوين جهاز ‪Cisco IOS‬ لـ SNMPv3 باستخدام PRIVGROUP لمجموعة خوادم SNMP ويمكّن كلاً من المصادقة والتشفير لهذه المجموعة باستخدام الكلمة الأساسية priv :

!
snmp-server group PRIVGROUP v3 priv
!

يقوم هذا الأمر بتكوين snmpv3user لمستخدم باستخدام كلمة مرور مصادقة MD5 من authpassword وكلمة مرور تشفير 3DES من privpassword:

!

snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des 
     privpassword
!

لاحظ أنه لا يتم عرض أوامر تكوين مستخدم خادم snmp في خرج تكوين الجهاز كما هو مطلوب بواسطة RFC 3414، وبالتالي، لا يمكن عرض كلمة مرور المستخدم من التكوين. لعرض المستخدمين الذين تم تكوينهم، أدخل أمر ‪show snmp user‬ كما هو موضح في هذا المثال:

router#show snmp user 
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile        active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات حول هذه الميزة.

حماية مستوى الإدارة

يمكن استخدام ميزة حماية مستوى الإدارة (MPP) في برنامج ‪Cisco IOS‬ للمساعدة في تأمين SNMP لأنها تقيد الواجهات التي يمكن لحركة مرور SNMP الإنهاء من خلالها على الجهاز. تسمح ميزة حماية مستوى الإدارة (MPP) للمسؤول بتعيين واجهة واحدة أو أكثر كواجهات الإدارة. يُسمح لحركة مرور الإدارة بإدخال جهاز فقط من خلال واجهات الإدارة. بعد تمكين حماية مستوى الإدارة (MPP)، لا تقبل أي واجهات باستثناء واجهات الإدارة المعينة حركة مرور إدارة الشبكة المعينة إلى الجهاز.

لاحظ أن حماية مستوى الإدارة (MPP) هي مجموعة فرعية من ميزة CPPr وتتطلب إصدارًا من IOS يدعم CPPr. راجع فهم حماية مستوى التحكم للحصول على مزيد من المعلومات حول CPPr.

في هذا المثال، تُستخدم حماية مستوى الإدارة (MPP) لتقييد وصول SNMP وSSH إلى واجهة ‪FastEthernet 0/0‬ فقط:

!
control-plane host
 management-interface FastEthernet0/0 allow ssh snmp 
!

راجع دليل ميزة حماية مستوى الإدارة للحصول على مزيد من المعلومات.

أفضل ممارسات التسجيل

يوفر لك تسجيل الأحداث إمكانية رؤية لتشغيل جهاز ‪Cisco IOS‬ والشبكة التي يتم نشره فيها. يوفر برنامج ‪Cisco IOS‬ العديد من خيارات التسجيل المرنة التي يمكن أن تساعد في تحقيق أهداف إدارة الشبكة وإمكانية الرؤية للمؤسسة.

وتوفر هذه الأقسام أفضل ممارسات التسجيل الأساسية التي يمكن أن تساعد المسؤول على الاستفادة من التسجيل بنجاح أثناء تقليل تأثير التسجيل إلى جهاز ‪Cisco IOS‬.

إرسال السجلات إلى موقع مركزي

يُوصى بإرسال معلومات التسجيل إلى خادم syslog عن بُعد. وهذا يجعل من الممكن ربط أحداث الشبكة والأمان ومراجعتها عبر أجهزة الشبكة بشكل أكثر فاعلية. لاحظ أن رسائل syslog يتم إرسالها بشكل غير موثوق به بواسطة UDP وفي نص واضح. ولهذا السبب، يجب أن تكون أي أوجه حماية تتحملها الشبكة لحركة مرور الإدارة (على سبيل المثال، التشفير أو الوصول خارج النطاق الترددي) موسعة لتضمين حركة مرور syslog.

يقوم مثال التكوين هذا بتكوين جهاز ‪Cisco IOS‬ لإرسال معلومات التسجيل إلى خادم syslog عن بُعد:

!
logging host <ip-address>
!

راجع تحديد الحوادث باستخدام أحداث Syslog لموّجه IOS وجدار الحماية للحصول على مزيد من المعلومات حول ارتباط السجل.

التسجيل لميزة التخزين غير المتطاير المحلي (قرص ATA) مدمج في 12.4(15)T وتم تقديمه في الأصل في 12.0(26)S، ويمكن أن يحفظ رسائل تسجيل النظام التي سيتم حفظها على قرص الذاكرة المؤقتة من الملحق التقني المتقدم (ATA). تستمر الرسائل المحفوظة على محرك أقراص ATA بعد إعادة تمهيد الموّجه.

يقوم سطر التكوين هذا بتكوين 134,217,728 بايت (128 ميجابايت) لرسائل التسجيل إلى دليل syslog للذاكرة المؤقتة للملحق التقني المتقدم (ATA) ‫(disk0)‬، ويحدد حجم ملف 16,384 بايت:

logging buffered
logging persistent url disk0:/syslog size 134217728 filesize 16384

قبل كتابة رسائل التسجيل إلى ملف على قرص الملحق التقني المتقدم (ATA)، يتحقق برنامج ‪Cisco IOS‬ ما إذا كانت هناك مساحة كافية على القرص. وإذا لم تكن هناك مساحة، سيتم حذف الملف الأقدم من رسائل التسجيل (حسب الطابع الزمني)، ويتم حفظ الملف الحالي. تنسيق اسم الملف هو log_month:day:year::time.

ملاحظة: يحتوي أحد محركات الذاكرة المؤقتة للملحق التقني المتقدم (ATA) على مساحة محدودة على القرص وبالتالي يجب الحفاظ عليه لتجنب إستبدال البيانات المخزنة.

يوضّح هذا المثال كيفية نسخ رسائل التسجيل من قرص الذاكرة المؤقتة للملحق التقني المتقدم (ATA) الخاص بالموّجه إلى قرص خارجي على خادم ‪FTP 192.168.1.129‬ كجزء من إجراءات الصيانة:

copy disk0:/syslog ftp://myuser/mypass@192.168.1.129/syslog

راجع التسجيل إلى التخزين غير المتطاير المحلي (قرص ATA) للحصول على مزيد من المعلومات حول هذه الميزة.

مستوى التسجيل

يتم تعيين كل رسالة من رسائل السجل التي يتم إنشاؤها بواسطة أحد أجهزة ‪Cisco IOS‬ بمرحلة واحدة من ثماني مراحل خطورة تتراوح من المستوى 0 وحالات الطوارئ وخلال المستوى 7 وتصحيح الأخطاء. ما لم يكن مطلوبا تحديدا، يوصى بتجنب تسجيل الدخول إلى المستوى 7. ينتج عن التسجيل إلى المستوى 7 حمل مرتفع لوحدة المعالجة المركزية على الجهاز الذي يمكن أن يؤدي إلى عدم إستقرار الجهاز والشبكة.

يتم استخدام مستوى أمر التكوين العام ‪logging trap‬ لتحديد رسائل التسجيل التي يتم إرسالها إلى خوادم syslog البعيدة. يشير المستوى المحدد إلى الرسالة الأقل خطورة التي يتم إرسالها. بالنسبة للتسجيل المُخزن مؤقتًا، يتم استخدام الأمر ‪logging buffered‬ .

ويحد مثال التكوين هذا من رسائل السجل التي يتم إرسالها إلى خوادم syslog البعيدة والمُخزن المؤقت للسجل المحلي إلى مراحل الخطورة 6 (إعلامية) حتى 0 (حالات الطوارئ):

!

logging trap 6
logging buffered 6
!

راجع استكشاف الأخطاء وإصلاحها وإدارة الأعطال والتسجيل للحصول على مزيد من المعلومات.

عدم التسجيل إلى جلسات المراقبة أو وحدة التحكم

باستخدام برنامج ‪Cisco IOS‬، من الممكن إرسال رسائل السجل لجلسات المراقبة - جلسات المراقبة هي جلسات الإدارة التفاعلية التي قد تم إصدار أمر EXEC ‪terminal monitor‬ فيها وإلى وحدة التحكم. ومع ذلك، قد يؤدي ذلك إلى رفع حمل وحدة المعالجة المركزية لجهاز IOS، وبالتالي لا يُوصي بذلك. وبدلاً من ذلك، يُنصح بإرسال معلومات التسجيل إلى المُخزن المؤقت للسجل المحلي، والذي يمكن عرضه باستخدام الأمر ‪show logging‬ .

استخدم أوامر التكوين العام ‪no logging console‬ و‪no logging monitor‬ لتعطيل تسجيل الدخول إلى وحدة التحكم وجلسات المراقبة. يوضّح مثال التكوين هذا استخدام هذه الأوامر:

!

no logging console
no logging monitor
!

راجع مرجع أوامر إدارة شبكة ‪Cisco IOS‬ للحصول على مزيد من المعلومات حول أوامر التكوين العام.

استخدام التسجيل المخزن مؤقتًا

يدعم برنامج ‪Cisco IOS‬ استخدام مخزن مؤقت للسجل المحلي حتى يمكن أن يعرض المسؤول رسائل السجل التي تم إنشاؤها محليًا. يُوصى باستخدام التسجيل المخزن مؤقتًا بشدة مقارنةً بالتسجيل إلى جلسات المراقبة أو إلى وحدة التحكم.

هناك خياران للتكوين ذي صلة عند تكوين التسجيل المخزن مؤقتا: حجم مخزن التسجيل المؤقت ومراحل خطورة الرسالة التي يتم تخزينها في المخزن المؤقت. تم تكوين حجم ‪logging buffer‬ باستخدام حجم أمر التكوين العام ‪logging buffered‬ . يتم تكوين الخطورة الأقل المُضمّنة في المخزن المؤقت باستخدام أمر الخطورة المخزن مؤقتًا للتسجيل. يمكن أن يعرض المسؤول محتويات المخزن المؤقت للتسجيل من خلال أمر EXEC ‪show logging‬ .

يتضمن مثال التكوين هذا تكوين مخزن مؤقت لتسجيل من 16384 بايت، بالإضافة إلى خطورة 6 الإعلامية، وهي تشير إلى تخزين الرسائل الموجودة من المستويات 0 (حالات الطوارئ) حتى 6 (الإعلامية):

!

logging buffered 16384 6
!

راجع مرجع أمر إدارة شبكة ‪Cisco IOS‬ للحصول على مزيد من المعلومات حول التسجيل المخزن مؤقتًا.

تكوين واجهة مصدر التسجيل

لتوفير مستوى أكبر من التناسق عند جمع رسائل السجل ومراجعتها، يُنصح بتكوين واجهة مصدر تسجيل بشكل ثابت. يتم تحقيق ذلك عبر أمر الواجهة ‪logging source-interface‬ ، ويضمن تكوين واجهة مصدر تسجيل بشكل ثابت ظهور عنوان IP نفسه في جميع رسائل التسجيل التي يتم إرسالها من جهاز واحد من أجهزة ‪Cisco IOS‬. للحصول على استقرار إضافي، يُوصى باستخدام واجهة استرجاع كمصدر تسجيل.

يوضح مثال التكوين هذا استخدام أمر التكوين العام للواجهة ‪logging source-interface‬ لتحديد استخدام عنوان IP الخاص بواجهة الاسترجاع 0 لجميع رسائل السجل:

!
logging source-interface Loopback 0
!

راجع مرجع أمر ‪Cisco IOS‬ للحصول على مزيد من المعلومات.

تكوين الطوابع الزمنية للتسجيل

يساعدك تكوين الطوابع الزمنية للتسجيل على ربط الأحداث عبر أجهزة الشبكة. من المهم تنفيذ تكوين طابع زمني صحيح ومتسق للتسجيل لضمان إمكانية ربط بيانات التسجيل. يجب تكوين الطوابع الزمنية للتسجيل لتضمين التاريخ والوقت بدقة المللي ثانية ولتضمين المنطقة الزمنية المُستخدمة على الجهاز.

يتضمن هذا المثال تكوين الطوابع الزمنية للتسجيل بدقة المللي ثانية في منطقة التوقيت العالمي المنسق (UTC):

!
service timestamps log datetime msec show-timezone
!

إذا كنت تفضل عدم تسجيل التوقيتات ذات الصلة بالتوقيت العالمي المنسق (UTC)، يمكنك تكوين منقطة زمنية محلية محددة وتكوين هذه المعلومات لتكون موجودة في رسائل السجل التي تم إنشاؤها. يوضّح هذا المثال تكوين جهاز لمنطقة توقيت المحيط الهادئ القياسي (PST):

!

clock timezone PST -8
service timestamps log datetime msec localtime show-timezone
!

إدارة تكوين برنامج Cisco IOS Software

يتضمن برنامج ‪Cisco IOS‬ العديد من الميزات التي يمكنها تمكين نموذج إدارة تكوين على جهاز ‪Cisco IOS‬. وتتضمن هذه الميزات وظيفة أرشفة التكوينات وإرجاع التكوين إلى إصدار سابق بالإضافة إلى إنشاء سجل تغيير مفصّل للتكوين.

استبدال التكوين والعودة إلى حالة التكوين السابقة

في الإصدار 12.3(7)T من البرنامج ‪Cisco IOS Software‬ والإصدارات الأحدث، تتيح لك ميزات استبدال التكوين والرجوع إلى حالة التكوين السابقة أرشفة تكوين جهاز ‪Cisco IOS‬ على الجهاز. ويتم تخزين التكوينات يدويًا أو تلقائيًا، ويمكن استخدام التكوينات الموجودة في هذا الأرشيف لاستبدال التكوين الجاري تشغيله حاليًا باستخدام أمر اسم الملف ‪configure replace‬ . هذا على النقيض من الأمر ‪copy filename running-config‬ يقوم أمر اسم الملف ‪configure replace‬ باستبدال التكوين الجاري تشغيله بدلاً من الدمج الذي تم إجراؤه بواسطة الأمر copy .

يُنصح بتمكين هذه الميزة على جميع أجهزة ‪Cisco IOS‬ في الشبكة. وبمجرد تمكينها، يمكن أن يتسبب المسؤول في إضافة التكوين الجاري تشغيله الحالي إلى الأرشيف باستخدام أمر EXEC للمستوى المتميز ‪archive config‬ . ويمكن عرض التكوينات التي تمت أرشفتها باستخدام أمر EXEC ‪show archive‬ .

يوضّح هذا المثال تكوين أرشفة التكوين التلقائي. يرشد هذا المثال جهاز Cisco IOS لتخزين التكوينات التي تمت أرشفتها كملفات باسم archived-config-N على disk0: نظام الملفات، للحفاظ على 14 عملية نسخ إحتياطي كحد أقصى، وللأرشفة مرة واحدة في اليوم (1440 دقيقة) وعندما يصدر المسؤول أمر EXEC write memory.

!

archive
 path disk0:archived-config
 maximum 14
 time-period 1440
 write-memory
!

وعلى الرغم من إمكانية تخزين وظائف أرشيف التكوين إلى ما يصل إلى 14 تكوينًا تم نسخه احتياطيًا، يُنصح بالتفكير في متطلبات المساحة قبل استخدام الأمر maximum .

الوصول الحصري إلى تغيير التكوين

تضمن ميزة "الوصول الحصري إلى تغيير التكوين" التي تمت إضافتها إلى الإصدار 12.3(14)T من البرنامج ‪Cisco IOS Software‬ إجراء مسؤول واحد لتغييرات التكوين على جهاز ‪Cisco IOS‬ في وقت معين. تساعد هذه الميزة في القضاء على التأثير غير المرغوب فيه للتغييرات المتزامنة التي يتم إجراؤها على مكونات التكوين ذات الصلة. يتم تكوين هذه الميزة باستخدام وضع أمر التكوين العام configuration mode exclusive وتعمل في أحد الوضعين: auto و manual. في الوضع التلقائي، يتم قفل التكوين تلقائيًا عندما يصدر المسؤول أمر EXEC ‪configure terminal‬ . في الوضع اليدوي، يستخدم المسؤول الأمر ‪configure terminal lock‬ لقفل التكوين عند دخوله إلى وضع التكوين.

يوضّح هذا المثال تكوين هذه الميزة لقفل التكوين التلقائي:

!
configuration mode exclusive auto
!

التكوين المرن لبرنامج Cisco IOS Software

تتيح ميزة "التكوين المرن" التي تمت إضافتها في الإصدار 12.3(8)T من البرنامج ‪Cisco IOS Software‬ إمكانية تخزين نسخة من صورة البرنامج ‪Cisco IOS software‬ وتكوين الجهاز الذي يتم استخدامه حاليًا بواسطة جهاز ‪Cisco IOS‬ بأمان. عند تمكين هذه الميزة، لا يمكن تغيير ملفات النسخ الاحتياطي هذه أو إزالتها. يُنصح بتمكين هذه الميزة لمنع كل المحاولات غير المقصودة والضارة لحذف هذه الملفات.

!
secure boot-image
secure boot-config!

وبمجرد تمكين هذه الميزة، من الممكن استعادة تكوين محذوف أو صورة برنامج ‪Cisco IOS‬. يمكن عرض حالة هذه الميزة الجاري تشغيلها حاليًا باستخدام أمر EXEC ‪show secure boot‬ .

برنامج Cisco Software الموقَّع رقميًا

تتيح ميزة "برنامج ‪Cisco Software‬ الموقَّع رقميًا" التي تمت إضافتها في الإصدار 15.0(1)M لموجهات السلسلة 1900 و2900 و3900 من Cisco من البرنامج ‪Cisco IOS Software‬ تسهيل استخدام البرنامج ‪Cisco IOS Software‬ الموقّع رقميًا وبالتالي موثوق به باستخدام تشفير غير متماثل (مفتاح عام) آمن.

تحتوي الصورة الموقّعة رقميًا على تجزئه مشفّرة (باستخدام مفتاح خاص) من ذاتها. عند التحقق، يقوم الجهاز بفك تشفير التجزئة باستخدام المفتاح العام المتوافق من المفاتيح الموجودة في مخزنها الأساسي وكما يقوم بحساب تجزئتها للصورة. إذا تطابقت التجزئة التي تم فك تشفيرها مع تجزئة الصورة التي تم حسابها، فهذا يدل على أنه لم يتم التلاعب بالصورة ويمكن الوثوق بها.

يتم تحديد مفاتيح برنامج Cisco الموقّع رقميًا حسب نوع المفتاح وإصداره. يمكن أن يكون أحد المفاتيح نوع مفتاح خاص أو إنتاج أو إعادة توجيه. تحتوي أنواع المفاتيح الخاصة أو مفاتيح الإنتاج على إصدار مفتاح مرتبط يتزايد أبجديًا عند إبطال المفتاح واستبداله. يتم توقيع كل من صور ROMMON وCisco IOS العادية باستخدام مفتاح خاص أو مفتاح إنتاج عند استخدام ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا". صورة ROMMON قابلة للترقية ويجب توقيعها بالمفتاح نفسه مثل الصورة الخاصة أو صورة الإنتاج التي يتم تحميلها.

يتحقق هذا الأمر من سلامة الصورة ‪c3900-universalk9-mz.SSA‬ في الذاكرة المؤقتة باستخدام المفاتيح الموجودة في مخزن مفاتيح الجهاز:

show software authenticity file flash0:c3900-universalk9-mz.SSA

كما تم دمج ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا" في الإصدار 3.1.0.SG من ‪Cisco IOS XE‬ للمحوّلات ‪Cisco Catalyst 4500 E-Series Switches‬.

راجع برنامج ‪Cisco Software‬ الموقّع رقميًا للحصول على مزيد من المعلومات حول هذه الميزة.

في الإصدار 15.1(1)T والإصدارات الأحدث من البرنامج ‪Cisco IOS Software‬، تم تقديم استبدال مفتاح لميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا". يعمل استبدال المفتاح وإبطاله على استبدال مفتاح يتم استخدامه للتحقق من برنامج ‪Cisco Software‬ موقّع رقميًا وإزالته من تخزين مفتاح نظام أساسي. يمكن إبطال مفاتيح الإنتاج والمفاتيح الخاصة فقط في حالة اختراق أحد المفاتيح.

يأتي مفتاح جديد (مفتاح الخاص أو مفتاح إنتاج) لصورة (خاصة أو إنتاج) في صورة (إنتاج أو إبطال) يتم استخدامها لإبطال المفتاح الخاص أو مفتاح الإنتاج السابق. يتم التحقق من سلامة صورة الإبطال باستخدام مفتاح إعادة توجيه يأتي مُخزنًا مسبقًا على النظام الأساسي. لا يتغير مفتاح إعادة التوجيه. عند إبطال مفتاح إنتاج، فإنه بعد تحميل صورة الإبطال تتم إضافة المفتاح الجديد الذي يحمله إلى المخزن الرئيسي ويمكن إبطال المفتاح القديم المتوافق طالما أنه تمت ترقية صورة ROMMON ويتم تمهيد صورة الإنتاج الجديدة. عند إبطال مفتاح خاص، يتم تحميل صورة إنتاج. تُضيف هذه الصورة المفتاح الخاص الجديد ويمكن أن تبطل المفتاح الخاص القديم. بعد ترقية ROMMON، يمكن تمهيد الصورة الخاصة الجديدة.

يوضّح هذا المثال عملية إبطال مفتاح خاص. تقوم هذه الأوامر بإضافة المفتاح الخاص الجديد إلى مخزن المفاتيح من صورة الإنتاج الحالية ونسخ صورة جديدة من ROMMON (‪C3900_rom-monitor.srec.SSB‬) إلى منطقة التخزين (usbflash0:) وترقية ملف ROMMON وإبطال المفتاح الخاص القديم:

software authenticity key add special
copy tftp://192.168.1.129/C3900_rom-monitor.srec.SSB usbflash0:
upgrade rom-monitor file usbflash0:C3900_PRIV_RM2.srec.SSB
software authenticity key revoke special

بعد ذلك يمكن نسخ صورة خاصة جديدة (‪c3900-universalk9-mz.SSB‬) إلى الذاكرة المؤقتة المُراد تحميلها ويتم التحقق من توقيع الصورة باستخدام المفتاح الخاص الذي تمت إضافته حديثًا (.SSB):

copy /verify tftp://192.168.1.129/c3900-universalk9-mz.SSB flash:

إبطال المفتاح واستبداله غير مدعوم على المحولات ‪Catalyst 4500 E-Series Switches‬ التي تقوم بتشغيل البرنامج ‪Cisco IOS XE Software‬، رغم دعم هذه المحولات لميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا."

راجع قسم إبطال مفتاح ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا" واستبداله من دليل برنامج ‪Cisco Software‬ الموقّع رقميًا للحصول على مزيد من المعلومات حول هذه الميزة.

الإعلام بتغيير التكوين وتسجيله

تتيح ميزة "الإعلام بتغيير التكوين وتسجيله" التي تمت إضافتها في الإصدار 12.3(4)T من البرنامج ‪Cisco IOS Software‬، إمكانية تسجيل تغييرات التكوين التي تم إجراؤها على جهاز ‪Cisco IOS‬. ويتم الاحتفاظ بالسجل على جهاز ‪Cisco IOS‬ ويحتوي على معلومات المستخدم الخاصة بالشخص الذي أجرى التغيير وأمر التكوين الذي تم إدخاله والوقت الذي تم إجراء التغيير فيه. يتم تمكين هذه الوظيفة مع أمر وضع التكوين مُسجل تغيير التكوين ‪logging enable‬ . يتم استخدام إدخالات الأوامر الاختيارية hidekeys و‪logging size‬ لتحسين التكوين الافتراضي لأنها تمنع تسجيل بيانات كلمة المرور وتُزيد من طول سجل التغيير.

يُوصى بتمكين هذه الوظيفة حتى يمكن فهم محفوظات تغيير التكوين الخاصة بجهاز ‪Cisco IOS‬ على نحو أكثر سهولة. وبالإضافة إلى ذلك، يُوصى باستخدام أمر التكوين ‪notify syslog‬ لتمكين إنشاء رسائل الدخول إلى النظام (syslog) عند إجراء تغيير على التكوين.

!

archive
 log config
  logging enable
  logging size 200
  hidekeys
  notify syslog
!

بعد تمكين ميزة "الإعلام بتغيير التكوين وتسجيله"، يمكن استخدام أمر EXEC للمستوى المتميز ‪show archive log config all‬ لعرض سجل التكوين.

مستوى التحكم

تتألف وظائف مستوى التحكم من البروتوكولات والعمليات التي تصل بين أجهزة الشبكة لنقل البيانات من المصدر إلى الوجهة. ويتضمن ذلك بروتوكولات التوجيه مثل بروتوكول العبّارة الحدودية، بالإضافة إلى بروتوكولات مثل ICMP وبروتوكول حجز الموارد (RSVP).

من المهم ألا تؤثر الأحداث في مستويات الإدارة والبيانات سلبًا على مستوى التحكم. ينبغي أن يؤثر حدث مستوى بيانات مثل هجوم رفض الخدمة (DoS) على مستوى التحكم، ويمكن أن تصبح الشبكة بالكامل غير مستقرة. يمكن أن تساعد هذه المعلومات المتعلقة بميزات برنامج Cisco IOS وتكويناتها على ضمان مرونة مستوى التحكم.

تقوية مستوى التحكم العام

تُعد حماية مستوى التحكم في جهاز شبكة أمرًا بالغ الأهمية لأن مستوى التحكم يضمن الحفاظ على مستويات الإدارة والبيانات وتشغيلها. إذا قد أصبح مستوى التحكم غير مستقر أثناء حادث أمني، فقد يكون من المستحيل بالنسبة لك استعادة استقرار الشبكة.

وفي العديد من الحالات، يمكنك تعطيل استلام أنواع معينة من الرسائل على واجهة وإرسالها لتقليل مقدار حمل وحدة المعالجة المركزية (CPU) المطلوب لمعالجة الحِزم غير الضرورية.

رسائل إعادة توجيه ICMP لحِزم IP

يمكن إنشاء رسالة إعادة توجيه ICMP بواسطة موجّه عند استلام حِزمة وإرسالها على الواجهة نفسها. في هذه الحالة، يقوم الموجّه بإعادة توجيه الحِزمة وإرسال رسالة إعادة توجيه ICMP مرة أخرى إلى مرسِل الحِزمة الأصلية. يتيح هذا السلوك للمرسِل تجاوز الموجّه وإعادة توجيه الحِزم المستقبلية مباشرةً إلى الوجهة (أو إلى موجّه أقرب إلى الوجهة). في شبكة IP تعمل بشكل صحيح، يُرسل الموجّه رسائل إعادة التوجيه إلى الأجهزة المُضيفة فقط على الشبكات الفرعية المحلية الخاصة به. وبمعنى آخر، لا يجب أن تعود رسائل إعادة توجيه ICMP خارج حدود الطبقة 3.

هناك نوعان من رسائل إعادة توجيه ICMP: إعادة التوجيه لعنوان مُضيف وإعادة التوجيه لشبكة فرعية بأكملها. يمكن للمستخدم الضار استغلال قدرة الموجّه على إرسال رسائل إعادة توجيه ICMP عن طريق إرسال الحِزم باستمرار إلى الموجّه، والذي يفرض على الموجّه الاستجابة باستخدام رسائل إعادة توجيه ICMP، ويؤدي إلى تأثير ضار على وحدة المعالجة المركزية (CPU) وأداء الموجّه. لمنع الموجّه من إرسال رسائل إعادة توجيه ICMP، استخدم أمر تكوين الواجهة ‪no ip redirects‬.

وجهات ICMP التي يتعذّر الوصول إليها

تقوم التصفية باستخدام قائمة الوصول إلى الواجهة بإرسال رسائل ICMP الذي يتعذّر الوصول إليه مرة أخرى إلى مصدر حركة المرور التي تمت تصفيتها. يمكن أن يزيد إنشاء هذه الرسائل استخدام وحدة المعالجة المركزية (CPU) على الجهاز. في البرنامج ‪Cisco IOS software‬، يقتصر إنشاء ICMP غير القابل للوصول على حِزمة واحدة كل 500 مللي ثانية بشكل افتراضي. يمكن تعطيل إنشاء رسالة برتوكول ICMP الذي يتعذّر الوصول إليه باستخدام أمر تكوين الواجهة ‪no ip unreachables‬. يمكن تغيير تحديد معدل ICMP الذي يتعذّر الوصول إليه من خلال الإعداد الافتراضي باستخدام أمر التكوين العام ‪ip icmp rate-limit unreachable interval-in-ms‬.

ARP للوكيل

ARP للوكيل هو الأسلوب يستجيب فيه جهاز واحد وعادةً ما يكون موجّهًا على طلبات ARP المُخصصة لجهاز آخر. من خلال "تزييف" هويته، يقبل الموجّه المسؤولية عن حِزم التوجيه إلى الوجهة الحقيقية. يمكن أن يساعد ARP للوكيل الأجهزة الموجودة على شبكة فرعية في الوصول إلى شبكات فرعية بعيدة دون تكوين توجيه أو عبّارة افتراضية. يتم تحديد ARP للوكيل في RFC 1027 .

هناك عدة عيوب لاستخدام ARP للوكيل. يمكن أن يؤدي ذلك إلى زيادة مقدار حركة مرور بيانات ARP على مقطع الشبكة واستهلاك الموارد وهجمات الدخيل. يمثل ARP للوكيل موجّه هجوم استهلاك الموارد نظرًا لأن كل طلب من ARP للوكيل يستهلك مقدارًا صغيرًا من الذاكرة. يمكن أن يكون أحد المهاجمين قادرًا على استهلاك جميع الذاكرة المتوفرة في حالة إرسال عدد كبير من طلبات ARP.

تمكّن هجمات الدخيل مضيفًا على الشبكة من انتحال عنوان MAC للموجّه، وينتج عن ذلك قيام مضيفين محل ثقة بإرسال حركة مرور البيانات إلى المهاجم. يمكن تعطيل ARP للوكيل باستخدام أمر تكوين الواجهة ‪no ip proxy-arp‬.

راجع تمكين ARP للوكيل للحصول على مزيد من المعلومات حول هذه الميزة.

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور بيانات مستوى التحكم

تُعد حماية مستوى التحكم أمرًا بالغ الأهمية. ونظرًا لإمكانية معاناة أداء التطبيق وتجربة المستخدم النهائي دون وجود حركة مرور البيانات والإدارة، فإن قابلية بقاء مستوى التحكم تضمن الحفاظ على المستويين الآخرين وتشغيلهما.

فهم حركة مرور بيانات مستوى التحكم

لحماية مستوى التحكم بشكل صحيح لجهاز ‪Cisco IOS‬، فمن الضروري فهم أنواع حركة مرور البيانات التي يتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU). عادةً ما تتكون حركة مرور البيانات التي يتم تحويلها للعملية من نوعين مختلفين من حركات مرور البيانات. يتم توجيه النوع الأول من حركة المرور إلى جهاز ‪Cisco IOS‬ ويجب معالجته مباشرةً بواسطة وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬. تتكون حركة المرور هذه من فئة استقبال حركة مرور التجاور. تحتوي حركة المرور هذه على إدخال في جدول إعادة التوجيه السريع من Cisco (CEF) حيث تمثل خطوة الموجّه التالية الجهاز نفسه، ويُشار إليها بواسطة استقبال المصطلحات في إخراج واجهة سطر الأوامر (CLI) ‪show ip cef‬ وهذا المؤشر هو حالة أي عنوان IP يتطلب المعالجة المباشرة بواسطة وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬ والتي تتضمن عناوين IP للواجهة ومساحة عنوان البث المتعدد ومساحة عنوان البث.

والنوع الثاني من حركة المرور التي تتم معالجتها بواسطة وحدة المعالجة المركزية هي حركة مرور مستوى البيانات - حركة مرور بوجهة خارج جهاز ‪Cisco IOS‬ نفسه - وتتطلب معالجة خاصة بواسطة وحدة المعالجة المركزية. وعلى الرغم من أنها ليست قائمة شاملة لحركة مرور مستوى البيانات التي تؤثر عليها وحدة المعالجة المركزية، فهذه الأنواع من حركة مرور يتم تحويلها ومن ثم يمكن أن تؤثر على تشغيل مستوى التحكم:

• تسجيل قائمة التحكم في الوصول - تتكون حركة مرور تسجيل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية "log".
  
  
• إعادة توجيه المسار العكسي للبث الأحادي (‪Unicast RPF‬) - يمكن أن ينتج عن Unicast RPF، المُستخدم بالارتباط مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحِزم.
  
  
• خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
  
  
• التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية لمعالجتها.
  
  
• انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد، الرسائل (نوع ICMP 11، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية.
  
  
• ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه أو MTU أو التصفية بواسطة وحدة المعالجة المركزية.
  
  
• حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود مطلوبًا وتتم المعالجة بواسطة وحدة المعالجة المركزية.
  
  
• حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.

تعرض هذه القائمة تفاصيل العديد من الطرق لتحديد أنواع حركة المرور التي تتم معالجتها بواسطة وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬:

• يوفر الأمر ‪show ip cef‬معلومات الخطوة التالية لكل بادئة IP موجودة في جدول CEF. وكما تمت الإشارة مسبقًا، يتم اعتبار الإدخالات التي تحتوي على استقبال على أنها "الخطوة التالية"، كاستقبال عمليات تجاور وتشير إلى أنه يجب إرسال حركة المرور مباشرةً إلى وحدة المعالجة المركزية.
  
  
• يوفر الأمر ‪show interface switching‬معلومات عن عدد الحِزم التي يتم تحويلها بواسطة جهاز.
  
  
• يوفر الأمر ‪show ip traffic‬ معلومات حول عدد حِزم IP:
  
  
  • باستخدام وجهة محلية (وذلك، حركة مرور استقبال التجاور)
  • باستخدام خيارات
  • تتطلب تجزئة
  • التي يتم إرسالها إلى مساحة عنوان البث
  • التي يتم إرسالها إلى مساحة عنوان البث المتعدد
    
    
• يمكن تحديد استقبال حركة مرور التجاور من خلال استخدام الأمر ‪show ip cache flow‬. تحتوي أي تدفقات موجهة إلى جهاز ‪Cisco IOS‬ على واجهة الوجهة (DstIf) من المحلية.
  
  
• يمكن استخدام تنظيم مستوى التحكم لتحديد نوع حركة المرور التي تصل إلى مستوى التحكم في جهاز ‪Cisco IOS‬ ومعدلها. يمكن تنفيذ تنظيم مستوى التحكم من خلال استخدام قوائم التحكم في الوصول الخاصة بالتصنيف متعدد المستويات والتسجيل واستخدام الأمر ‪show policy-map control-plane‬.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تحدد قوائم التحكم في الوصول للبنية الأساسية الاتصالات الخارجية بأجهزة الشبكة. تمت تغطية قوائم التحكم في الوصول للبنية الأساسية بشكل مكثّف في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند.

يُنصح بتنفيذ قوائم التحكم في الوصول لحماية مستوى التحكم بجميع أجهزة الشبكة.

استقبال قوائم التحكم بالوصول (ACL)

بالنسبة للأنظمة الأساسية الموزّعة، يمكن أن تكون قوائم التحكم في الوصول للاستقبال خيارًا لإصدارات برنامج ‪Cisco IOS Software‬، الإصدار 12.0(21)S2 لـ 12000 (GSR) و12.0(24)S لـ 7500 و12.0(31)S لـ 10720. تحمي قوائم التحكم في الوصول للاستقبال الجهاز من حركة المرور الضارة قبل أن تؤثر حركة المرور على معالج الموجّه. يتم تصميم قوائم التحكم في الوصول للاستقبال لحماية الجهاز الذي تم تكوينها عليه وحركة المرور العابرة التي لا تتأثر بقوائم التحكم في الوصول للاستقبال. ونتيجة لذلك، يشير عنوان IP للوجهة الذي يتم استخدامه في إدخالات التحكم في الوصول للمثال أدناه فقط إلى عناوين IP المادية أو الافتراضية للموجّه. كما تُعد قوائم التحكم في الوصول للاستقبال أفضل ممارسة أمان شبكة ويجب اعتبارها كإضافة طويلة المدى لأمان الشبكة الجيد.

هذا هو قائمة التحكم في الوصول لمسار الاستقبال الذي تتم كتابته للسماح لحركة مرور SSH ‫(منفذ TCP 22) من الأجهزة المضيفة الموثوقة على الشبكة 192.168.100.0/24:

!
!--- Permit SSH from trusted hosts allowed to the device.
!

access-list 151 permit tcp 192.168.100.0 0.0.0.255 any eq 22
!
!--- Deny SSH from all other sources to the RP.
!

access-list 151 deny tcp any any eq 22
!
!--- Permit all other traffic to the device.
!--- according to security policy and configurations.
!

access-list 151 permit ip any any
!
!--- Apply this access list to the receive path.
!

ip receive access-list 151
!

ارجع إلى GSR: قوائم التحكم في الوصول للاستقبال للمساعدة في تحديد حركة المرور الشرعية والسماح بها لجهاز ورفض جميع الحزم غير المرغوب فيها.

CoPP

كما يمكن استخدام ميزة CoPP لتقييد حِزم IP المُوجّهة إلى جهاز البنية الأساسية. في هذا المثال، يُسمح فقط لحركة مرور SSH من الأجهزة المضيفة الموثوقة بالوصول إلى وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬.

ملاحظة: يؤدي إسقاط حركة المرور من عناوين IP غير المعروفة أو غير الموثوق بها إلى منع الأجهزة المضيفة التي تحتوي على عناوين IP معينة بشكل ديناميكي من الاتصال بجهاز Cisco IOS.

!

access-list 152 deny tcp <trusted-addresses> <mask> any eq 22
access-list 152 permit tcp any any eq 22
access-list 152 deny ip any any
!

class-map match-all COPP-KNOWN-UNDESIRABLE
 match access-group 152
!

policy-map COPP-INPUT-POLICY
 class COPP-KNOWN-UNDESIRABLE
  drop
!

control-plane
 service-policy input COPP-INPUT-POLICY
!

في مثال CoPP السابق، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم غير المعتمدة بالإجراء المسموح به التخلص من هذه الحِزم من خلال وظيفة إسقاط خريطة التنظيم، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض بوظيفة إسقاط خريطة التنظيم.

يتوفر CoPP في برنامج ‪Cisco IOS Software‬ الإصدار trains 12.0S و12.2SX و12.2S و12.3T و12.4 و12.4T.

راجع نشر تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول تكوين ميزة CoPP واستخدامها.

حماية مستوى التحكم

يمكن استخدام حماية مستوى التحكم (CPPr)، المُقدمة في برنامج ‪Cisco IOS‬ الإصدار ‪12.4(4)T‬، لتقييد حركة مرور مستوى التحكم الموجهة إلى وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬ أو تنظيمها. وعلى الرغم من التشابه مع CoPP، فإنها حماية مستوى التحكم (CPPr) تتميز بالقدرة على تقييد حركة المرور بعدة مستويات أكثر دقة. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية: توجد الواجهات الفرعية للمضيف والنقل وفئات حركة مرور استثناء CEF. وبالإضافة إلى ذلك، تتضمن حماية مستوى التحكم (CPPr) ميزات حماية مستوى التحكم هذه:

• ميزة تصفية المنفذ - توفر هذه الميزة تنظيم الحِزم التي يتم إرسالها إلى منافذ TCP أو UDP المغلقة أو غير المصغية وإسقاطها.
  
  
• ميزة حد قائمة الانتظار - تحدد هذه الميزة عدد الحِزم لبروتوكول محدد مسموح به في قائمة انتظار إدخال IP لمستوى التحكم.

راجع حماية مستوى التحكم وفهم حماية مستوى التحكم (CPPr) للحصول على مزيد من المعلومات حول تكوين ميزة CPPr واستخدامها.

أدوات تحديد معدل المكونات المادية

يدعم محرك المشرف ‪Cisco Catalyst 6500 Series Supervisor Engine 32‬ و‪Supervisor Engine 720‬ أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) والمحددة بواسطة النظام الأساسي لسيناريوهات الشبكة الخاصة. وتتم الإشارة إلى أدوات تحديد معدل الأجهزة هذه كأدوات تحديد معدل حالة خاصة نظرًا لأنها تغطي مجموعة محددة ومعرّفة مسبقًا من سيناريوهات DoS للبث المتعدد والبث الأحادي وIPv6 وIPv4. يمكن أن تحمي أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) جهاز ‪Cisco IOS‬ من مجموعة متنوعة من الهجمات التي تتطلب معالجة الحِزم بواسطة وحدة المعالجة المركزية.

هناك العديد من أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) التي يتم تمكينها بشكل افتراضي. راجع الإعدادات الافتراضية لأدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) لـ PFC3 للحصول على مزيد من المعلومات.

راجع أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) على PFC3 للحصول على مزيد من المعلومات حول أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs).

BGP الآمن

بروتوكول العبّارة الحدودية (BGP) هو أساس التوجيه الخاص بالإنترنت. وهكذا تكون لأي مؤسسة متطلبات اتصال بسيط تستخدم بروتوكول BGP عادةً. وعادةً ما يتم استهداف بروتوكول BGP بواسطة المهاجمين بسبب وجوده المطلق وطبيعة المجموعة والنسيان من تكوينات BGP في المؤسسات الأصغر. ومع ذلك، هناك العديد من ميزات الأمان الخاصة بتكوين BGP التي يمكن الاستفادة منها لزيادة أمان تكوين BGP.

ويقدم ذلك نظرة عامة على ميزات أمان BGP الهامة. وحيثما كان ذلك مناسبًا، يتم إجراء توصيات التكوين.

أوجه الحماية الأمنية المستندة إلى TTL

تحتوي كل حزمة من حِزم IP على حقل مكوّن من 1 بايت معروف باسم مدة البقاء (TTL). يقوم كل جهاز عند اجتياز حزمة IP بخفض هذه القيمة بمقدار واحد. تختلف قيمة البدء حسب نظام التشغيل وعادةً ما تكون النطاقات من 64 إلى 255. يتم إسقاط الحزمة عندما تصل قيمة TTL الخاصة بها إلى صفر.

وتُعرف باسم آلية الأمان المعممة المستندة إلى TTL ‫(GTSM)‬ واختراق أمان BGP TTL ‫(BTSH)‬، وتستفيد حماية الأمان المستندة إلى TTL من قيمة TTL لحِزم IP للتأكد من أن حِزم BGP التي يتم استقبالها من نظير متصل مباشرةً. وغالبا ما تتطلب هذه الميزة التنسيق من موجهات نظير، ومع ذلك، بمجرد تمكينها، يمكنها هزيمة العديد من الهجمات المستندة إلى بروتوكول TCP بالكامل مقابل بروتوكول BGP.

يتم تمكين GTSM لبروتوكول BGP مع خيار أمان ttl لأمر تكوين موجّه BGP المجاور. يوضح هذا المثال تكوين هذه الميزة:

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> ttl-security hops <hop-count>
!

مع استقبال حِزم BGP، يتم التحقق من قيمة TTL ويجب أن تكون أكبر من أو تساوي 255 ناقص عدد الخطوات المحددة.

مصادقة نظير BGP باستخدام MD5

تقوم مصادقة النظير مع MD5 بإنشاء ملخص MD5 لكل حزمة يتم إرسالها كجزء من جلسة BGP. وبشكل محدد، يتم استخدام أجزاء من رؤوس IP وTCP، وحمولة TCP، ومفتاح سري لإنشاء الملخص.

وبعد ذلك، يتم تخزين الملخص الذي تم إنشاؤه في خيار TCP النوع 19، والذي تم إنشاؤه تحديدًا لهذا الغرض بواسطة ‪RFC 2385‬  . يستخدم مكبر صوت BGP المُستقبل نفس الخوارزمية والمفتاح السري لإعادة إنشاء ملخص الرسالة. إذا كانت الملخصات المُستلمة والمُحوسبة غير متطابقة، سيتم تجاهل الحزمة.

يتم تكوين مصادقة النظير مع MD5 باستخدام خيار كلمة المرور إلى أمر تكوين موجّه BGP المجاور. ويتم توضيح استخدام هذا الأمر كما يلي:

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> password <secret>
!

راجع مصادقة الموجّه المجاور للحصول على مزيد من المعلومات حول مصادقة نظير BGP مع MD5.

تكوين الحد الأقصى للبادئات

يتم تخزين بادئات BGP بواسطة موجّه في الذاكرة. وكلما زاد عدد البادئات التي يجب أن يستوعبها الموجّه، زادت مساحة الذاكرة التي يجب أن يستهلكها بروتوكول BGP. في بعض التكوينات، يمكن تخزين مجموعة فرعية من جميع بادئات الإنترنت، مثل التكوينات التي تستفيد من موجّه افتراضي أو موجّهات افتراضية فقط لشبكات العملاء الخاصة بالمزود.

لمنع استهلاك الذاكرة، من الهام تكوين الحد الأقصى لعدد من البادئات التي يتم قبولها على أساس كل نظير. يُوصى بتكوين حد لكل نظير BGP.

عندما تقوم بتكوين هذه الميزة باستخدام أمر تكوين موجه BGP المجاور neighbor maximum-prefix، يلزم وجود وسيطة واحدة: الحد الأقصى لعدد البادئات التي يتم قبولها قبل إيقاف تشغيل النظير. وبشكل اختياري، يمكن أيضًا إدخال رقم من 1 إلى 100. يمثل هذا الرقم النسبة المئوية للحد الأقصى من قيمة البادئات عند النقطة التي يتم إرسال رسالة سجل فيها.

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> maximum-prefix <shutdown-threshold> <log-percent>
!

راجع تكوين ميزة الحد الأقصى لبادئة BGP للحصول على مزيد من المعلومات حول الحد الأقصى لعدد البادئات لكل نظير.

تصفية بادئات BGP باستخدام قوائم البادئات

تسمح قوائم البادئات لمسؤول الشبكة بالسماح بالبادئات المحددة التي يتم إرسالها أو استقبالها عبر BGP أو رفضها. يجب استخدام قوائم البادئات حيثما كان ذلك ممكنًا لضمان إرسال حركة مرور الشبكة عبر المسارات المقصودة. ينبغي تطبيق قوائم البادئات على كل نظير من نظراء eBGP في كلا الاتجاهين الوارد والصادر.

تحدد قوائم البادئات المكوّنة البادئات التي يتم إرسالها أو استقبالها إلى تلك التي تسمح بها سياسة توجيه الشبكة بشكل محدد. وإذا لم يكن هذا ملائمًا بسبب العدد الكبير من البادئات التم تم استقبالها، ينبغي تكوين قائمة البادئات لحظر البادئات السيئة المعروفة بشكل محدد. تتضمن البادئات غير الصحيحة المعروفة هذه مساحة عنوان IP غير المخصصة والشبكات التي يتم حجزها لأغراض داخلية أو لأغراض الاختبار بواسطة ‪RFC 3330‬. ينبغي تكوين قوائم البادئات الصادرة للسماح فقط بالبادئات التي ترغب المؤسسة في الإعلان عنها.

يستخدم مثال التكوين هذا قوائم البادئات للحد من الموجهات التي يتم التعرف عليها والإعلان عنها. وعلى وجه الخصوص، يتم السماح بالموجّه الافتراضي للاتصال الوارد بواسطة قائمة البادئات BGP-PL-INBOUND، والبادئة 192.168.2.0/24 هي الموجّه الوحيد المسموح به للإعلان عنها بواسطة BGP-PL-OUTBOUND.

!

ip prefix-list BGP-PL-INBOUND seq 5 permit 0.0.0.0/0
ip prefix-list BGP-PL-OUTBOUND seq 5 permit 192.168.2.0/24
!

router bgp <asn>
 neighbor <ip-address> prefix-list BGP-PL-INBOUND in
 neighbor <ip-address> prefix-list BGP-PL-OUTBOUND out
!

راجع التوصيل بمزود الخدمة باستخدام BGP الخارجي لتغطية تصفية بادئات BGP بالكامل.

تصفية بادئات BGP باستخدام قوائم الوصول إلى مسار النظام الذاتي

تتيح قوائم الوصول إلى مسار النظام الذاتي لـ BGP ‫(AS)‬ للمستخدم تصفية البادئات المستلمة والمُعلن عنها استنادًا إلى سمة مسار النظام المستقل الخاصة بالبادئة. يمكن استخدام هذا الأمر بالاقتران مع قوائم البادئات لإنشاء مجموعة قوية من عوامل التصفية.

يستخدم مثال التكوين هذا قوائم الوصول إلى مسار النظام المستقل لتقييد البادئات الواردة لتلك التي تم إنشاؤها بواسطة بادئات النظام المستقل البعيدة والصادرة لتلك التي تم إنشاؤها بواسطة النظام الذاتي المحلي. تتم تصفية البادئات التي يتم الحصول عليها من جميع الأنظمة الذاتية الأخرى ولا يتم تثبيتها في جدول التوجيه.

!

ip as-path access-list 1 permit ^65501$
ip as-path access-list 2 permit ^$
!

router bgp <asn>
 neighbor <ip-address> remote-as 65501
 neighbor <ip-address> filter-list 1 in
 neighbor <ip-address> filter-list 2 out
!

بروتوكولات العبّارة الداخلية الآمنة

تعتمد قدرة الشبكة على إعادة توجيه حركة المرور والاسترداد من تغييرات المخطط أو الأخطاء على طريقة عرض دقيقة للمخطط. غالبًا ما يمكنك تشغيل بروتوكول العبّارة الداخلية (IGP) بالترتيب لتوفير طريقة العرض هذه. وبشكل افتراضي، تكون بروتوكولات العبّارة الداخلية ديناميكية وتكتشف الموجهات الإضافية التي تتصل ببروتوكول العبّارة المعيّن قيد الاستخدام. كما تكتشف بروتوكولات العبّارة الداخلية الموجهات التي يمكن استخدامها أثناء فشل ارتباط الشبكة.

توفر هذه الأقسام الفرعية نظرة عامة على ميزات أمان بروتوكول العبّارة الداخلية الهامة. يتم توفير التوصيات والأمثلة التي تغطي بروتوكول معلومات التوجيه الإصدار 2 ‫(RIPv2)‬ وبروتوكول التوجيه المحسّن للعبّارة الداخلية (EIGRP) وفتح أقصر مسار أولاً (OSPF) حيثما كان ذلك مناسبًا.

مصادقة بروتوكول التوجيه والتحقق منه باستخدام الرسالة Digest 5

يسمح الفشل بتأمين تبادل معلومات التوجيه للمهاجم بتقديم معلومات توجيه خاطئة إلى الشبكة. باستخدام مصادقة كلمة المرور مع بروتوكولات التوجيه بين الموجهات، يمكنك المساعدة في أمان الشبكة. ومع ذلك، نظرًا لأنه يتم إرسال هذه المصادقة كنص واضح، فقد يكون تخريب التحكم في الأمان هذا أمراً بسيطًا للمهاجم.

وبإضافة قدرات تجزئة MD5 إلى عملية المصادقة، لم تعد تحديثات التوجيه تحتوي على كلمات مرور نص واضح، وتكون المحتويات بأكملها لتحديث التوجيه أكثر مقاومة ليتم التلاعب بها. ومع ذلك، لا تزال مصادقة MD5 عرضة لهجمات عنيفة وهجمات القاموس إذا تم اختيار كلمات مرور ضعيفة. يُنصح باستخدام كلمات مرور بتوزيع عشوائي كافٍ. ونظرًا لأن مصادقة MD5 أكثر أمانًا عند مقارنتها بمصادقة كلمة المرور، فهذه الأمثلة محددة لمصادقة MD5. كما يمكن استخدام IPSec للتحقق من صحة بروتوكولات التوجيه وتأمينها، ولكن لا تقوم هذه الأمثلة بتفصيل استخدامها.

يستخدم EIGRP وRIPv2 سلاسل المفاتيح كجزء من التكوين. راجع المفتاح للحصول على مزيد من المعلومات حول تكوين سلاسل المفاتيح واستخدامها.

هذا مثال لتكوين مصادقة موجّه EIGRP باستخدام MD5:

!

key chain <key-name>
 key <key-identifier>
 key-string <password> 
!

interface <interface>
 ip authentication mode eigrp <as-number> md5
 ip authentication key-chain eigrp <as-number> <key-name>
!

هذا مثال لتكوين مصادقة موجّه MD5 لـ RIPv2. لا يدعم RIPv1 المصادقة.

!

key chain <key-name>
 key <key-identifier>
 key-string <password> 
!

interface <interface>
 ip rip authentication mode md5
 ip rip authentication key-chain <key-name>
!

هذا مثال لتكوين مصادقة موجّه OSPF باستخدام MD5. لا يستخدم OSPF سلاسل المفاتيح.

!

interface <interface>
 ip ospf message-digest-key <key-id> md5 <password>
!

router ospf <process-id>
 network 10.0.0.0 0.255.255.255 area 0
 area 0 authentication message-digest
!

راجع تكوين OSPF للحصول على مزيد من المعلومات.

أوامر الواجهة الخاملة

يمكن الحد من تسربات المعلومات أو تقديم معلومات خاطئة في بروتوكول العبّارة الداخلية من خلال استخدام أمر ‪passive-interface‬ الذي يساعد في التحكم في إعلان معلومات التوجيه. يُوصى بعدم الإعلان عن أي معلومات للشبكات الموجودة خارج التحكم الإداري الخاص بك.

يوضح هذا المثال استخدام هذه الميزة:

!

router eigrp <as-number> 
 passive-interface default
 no passive-interface <interface>
!

تصفية المسار

لتقليل احتمالية تقديم معلومات توجيه خاطئة في الشبكة، يجب أن تستخدم تصفية المسار. وعلى عكس أمر تكوين الموجّه ‪passive-interface‬، يحدث التوجيه على الواجهات بمجرد تمكين تصفية المسار، ولكن المعلومات المعلن عنها أو التي تمت معالجتها محدودة.

بالنسبة إلى EIGRP وRIP، يحد استخدام أمر distribute-list مع الكلمة الأساسية out المعلومات التي يتم الإعلان عنها، بينما يحد استخدام الكلمة الأساسية in التحديثات التي تتم معالجتها. يتوفر أمر distribute-list لـ OSPF، ولكنه لا يمنع الموجّه من نشر المسارات التي تمت تصفيتها. وبدلاً من ذلك، يمكن استخدام أمر ‪area filter-list‬.

يقوم مثال EIGRP هذا بتصفية الإعلانات الصادرة باستخدام أمر distribute-list وقائمة البادئات:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> out <interface>
!

يقوم مثال EIGRP هذا بتصفية التحديثات الواردة باستخدام قائمة البادئات:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> in <interface>
!

راجع تكوين ميزات بروتوكول توجيه IP غير المعتمدة على البروتوكول للحصول على مزيد من المعلومات حول كيفية التحكم في إعلان تحديثات التوجيه ومعالجتها.

يستخدم مثال OSPF هذا قائمة البادئات بأمر ‪area filter-list‬ المحدد من OSPF:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router ospf <process-id>
 area <area-id> filter-list prefix <list-name> in 
!

استهلاك مورد عملية التوجيه

يتم تخزين بادئات بروتوكول التوجيه بواسطة موجّه في الذاكرة، ويزداد استهلاك الموارد مع البادئات الإضافية التي يجب أن يستوعبها الموجّه. لمنع استهلاك الموارد، من المهم تكوين بروتوكول التوجيه لتحديد استهلاك الموراد. وذلك ممكن باستخدام OSPF في حال استخدام ميزة "حماية الحمل الزائد لقاعدة بيانات حالة الارتباط".

يوضح هذا المثال تكوين ميزة "حماية الحمل الزائد لقاعدة بيانات حالة ارتباط OSPF":

!

router ospf <process-id>
 max-lsa <maximum-number> 
!

راجع تحديد عدد إعلانات حالة الارتباط المنشأة ذاتيًا لعملية OSPF للحصول على مزيد من المعلومات حول "حماية الحمل الزائد لقاعدة بيانات حالة ارتباط OSPF".

بروتوكولات تكرار النقلة الأولى الآمنة

توفر بروتوكولات تكرار الخطوة الأولى (FHRPs) مرونة وتكرار للأجهزة التي تعمل كعبّارات افتراضية. هذا الموقف وهذه البروتوكولات شائعة في البيئات التي يوفر فيها زوج من أجهزة الطبقة الثالثة وظيفة العبّارة الافتراضية لمقطع الشبكة أو مجموعة من شبكات VLAN التي تحتوي على خوادم أو محطات عمل.

بروتوكول موازنة حمل العبّارة (GLBP)، وبروتوكول موجّه الاستعداد السريع (HSRP)، وبروتوكول تكرار الموجّه الظاهري (VRRP) هي بروتوكولات تكرار الخطوة الأولى (FHRP). وبشكل افتراضي، تتصل هذه البروتوكولات بالاتصالات غير المصدّق عليها. ويمكن أن يتيح هذا النوع من الاتصال للمهاجم التظاهر بأنه جهاز يعمل ببروتوكول FHRP لأخذ دور العبّارة الافتراضية على الشبكة. سيتيح هذا الاستيلاء للمهاجم تنفيذ هجوم الدخيل واعتراض جميع حركة مرور المستخدم التي تخرج الشبكة.

لمنع هذا النوع من الهجوم، تتضمن جميع بروتوكولات تكرار الخطوة الأولى (FHRP) التي يدعمها برنامج ‪Cisco IOS‬ قدرة المصادقة باستخدام سلاسل النص أو MD5. ونظرًا لأن التهديد الذي تشكله بروتوكولات تكرار الخطوة الأولى (FHRPs) غير المصدّق عليها، يُوصى بأن تستخدم مثيلات هذه البروتوكولات مصادقة MD5. يوضح مثال التكوين هذا استخدام مصادقة GLBP وHSRP و‪VRRP MD5‬:

!

interface FastEthernet 1
 description *** GLBP Authentication ***
 glbp 1 authentication md5 key-string <glbp-secret>
 glbp 1 ip 10.1.1.1
!

interface FastEthernet 2
 description *** HSRP Authentication ***
 standby 1 authentication md5 key-string <hsrp-secret>
 standby 1 ip 10.2.2.1
!

interface FastEthernet 3
 description *** VRRP Authentication ***
 vrrp 1 authentication md5 key-string <vrrp-secret> 
 vrrp 1 ip 10.3.3.1
!

مستوى البيانات

وعلى الرغم من أن مستوى البيانات مسؤول عن نقل البيانات من المصدر إلى الوجهة، داخل سياق الأمان، فإن مستوى البيانات هو الأقل أهمية من المستويات الثلاثة. ولهذا السبب من المهم حماية مستويات الإدارة والتحكم في التفضيلات على مستوى البيانات عند تأمين جهاز شبكة.

ومع ذلك، في مستوى البيانات نفسه، يوجد العديد من الميزات وخيارات التكوين التي يمكنها المساعدة في تأمين حركة المرور. وتقوم هذه الأقسام بتفصيل هذه الميزات والخيارات التي يمكنك من خلالها تأمين الشبكة بسهولة أكبر.

تقوية مستوى البيانات العامة

تتدفق الغالبية العظمى لحركة مرور مستوى البيانات عبر الشبكة كما هو محدد بواسطة تكوين توجيه الشبكة. ومع ذلك، توجد وظيفة شبكة IP لتغيير مسار الحِزم عبر الشبكة. تشكل الميزات مثل خيارات IP، تحديدًا خيار توجيه المصدر، اختبار أمان في شبكات اليوم.

ويكون استخدام قوائم التحكم في الوصول إلى النقل ذا صلة أيضًا بزيادة مستوى البيانات.

راجع قسم حركة مرور النقل مع قوائم التحكم في الوصول إلى النقل في هذا المستند للحصول على مزيد من المعلومات.

الإسقاط الانتقائي لخيارات IP

هناك نوعان من المخاوف الأمنية التي تقدمها خيارات IP. يجب تحويل حركة المرور التي تحتوي على خيارات IP بواسطة أجهزة ‪Cisco IOS‬، والتي يمكن أن تؤدي إلى حمل مرتفع لوحدة المعالجة المركزية. كما تتضمن خيارات IP وظيفة تغيير المسار الذي تسلكه حركة المرور عبر الشبكة، مما قد يسمح بتخريب عناصر التحكم في الأمان.

ونظرًا لهذه المخاوف، تمت إضافة أمر التكوين العام ‪ip options {drop‬ | ‪ignore}‬ إلى برنامج ‪CISCO IOS‬ الإصدار ‪12.3(4)T‬، و‪12.0(22)S‬، و‪12.2(25)S‬ في النموذج الأول من هذا الأمر، ‪ip options drop‬، يتم إسقاط جميع حِزم IP التي تحتوي على خيارات IP والتي يتم استقبالها بواسطة جهاز ‪Cisco IOS‬. ويؤدي ذلك إلى منع حمل وحدة المعالجة المركزية المرتفع والتخريب المحتمل لعناصر التحكم الأمنية التي يمكن لبروتوكولات IP تمكينها.

ويكوّن النموذج الثاني من هذا الأمر، ‪ip options ignore‬، جهاز ‪Cisco IOS‬ لتجاهل خيارات IP الموجودة في الحِزم المستلمة. بينما يؤدي ذلك إلى تخفيف التهديدات المتعلقة بخيارات IP الخاصة بالجهاز المحلي، من الممكن أن تتأثر أجهزة تدفق البيانات من الخادم بوجود خيارات IP. ولهذا السبب يُوصى بشدة بنموذج drop لهذا الأمر. وهذا موضح في مثال التكوين:

!
ip options drop
!

لاحظ أن بعض البروتوكولات، على سبيل المثال RSVP، تجعله استخدامًا شرعيًا لخيارات IP. لقد تأثرت وظائف هذه البروتوكولات بهذا الأمر.

وبمجرد تمكين الإسقاط الانتقائي لخيارات IP، يمكن استخدام أمر EXEC ‫‪show ip traffic‬ لتحديد عدد الحِزم التي يتم إسقاطها بسبب وجود خيارات IP. هذه المعلومات موجودة في عداد الإسقاط الإجباري.

راجع الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول للحصول على مزيد من المعلومات حول هذه الميزة.

تعطيل توجيه مصدر IP

يستغل توجيه مصدر IP خيارات تسجيل المسار ومسار المصدر غير المُحكم في نفس الوقت أو مسار المصدر المقيد مع خيار تسجيل المسار لتمكين مصدر مخطط بيانات IP لتحديد مسار الشبكة الذي تسلكه الحزمة. يمكن استخدام هذه الوظيفة لمحاولات توجيه حركة المرور حول عناصر التحكم في الأمان في الشبكة.

إذا لم يتم تعطيل خيارات IP بالكامل بواسطة ميزة الإسقاط الانتقائي لخيارات IP، فمن المهم تعطيل توجيه مصدر IP. يتم تعطيل توجيه مصدر IP، والذي يتم تمكينه بشكل افتراضي في جميع إصدارات برنامج ‪Cisco IOS‬، عبر أمر التكوين العام ‪no ip source-route‬. يوضح مثال التكوين هذا استخدام هذا الأمر:

!
no ip source-route
!

تعطيل عمليات إعادة توجيه ICMP

يتم استخدام عمليات إعادة توجيه ICMP لإعلام جهاز الشبكة بمسار أفضل لوجهة IP. وبشكل افتراضي، يُرسل برنامج ‪Cisco IOS‬ إعادة توجيه إذا كان يستقبل حزمة يجب توجيهها عبر الواجهة التي استقبلتها.

وفي بعض الحالات، قد يكون من الممكن أن يتسبب المهاجم في أن يرسل جهاز ‪Cisco IOS‬ العديد من رسائل إعادة توجيه ICMP، والتي ينتج عنها حمل مرتفع لوحدة المعالجة المركزية. ولهذا السبب، يُوصى بتعطيل عمليات إعادة توجيه ICMP للنقل. يتم تعطيل عمليات إعادة توجيه ICMP باستخدام أمر تكوين الواجهة ‪no ip redirects‬، كما هو موضح في مثال التكوين:

!

interface FastEthernet 0
 no ip redirects
!

تعطيل عمليات بث IP الموجهة أو الحد منها

تتيح عمليات بث IP الموجهة إمكانية إرسال حزمة بث IP إلى شبكة IP فرعية بعيدة. وبمجرد وصولها إلى الشبكة البعيدة، يُرسل جهاز IP لإعادة التوجيه الحزمة كبث من الطبقة 2 إلى جميع المحطات الموجودة على الشبكة الفرعية. وقد تتم الاستفادة من وظيفة البث الموجّه هذه كمساعدة للتضخيم والانعكاس في العديد من الهجمات، بما في ذلك هجوم smurf.

وتحتوي الإصدارات الحالية من برنامج Cisco IOS على هذه الوظيفة معطلة بشكل افتراضي، ومع ذلك، يمكن تمكينها عبر أمر تكوين الواجهة ip directed-broadcast. وتحتوي إصدارات برنامج ‪Cisco IOS‬ التي تسبق الإصدار 12.0 على هذه الوظيفة المُمكنة بشكل افتراضي.

إذا كانت الشبكة تتطلب وظيفة بث موجّه تمامًا، فيجب التحكم في استخدامها. ويمكن استخدام قائمة التحكم في الوصول كخيار لأمر ‪ip directed-broadcast‬. يحدد مثال التكوين هذا عمليات البث الموجهة إلى حِزم UDP هذه التي تنشأ في شبكة موثوق بها، ‪192.168.1.0/24‬:

!

access-list 100 permit udp 192.168.1.0 0.0.0.255 any
!

interface FastEthernet 0
 ip directed-broadcast 100
!

تصفية حركة مرور بيانات العبور باستخدام قوائم التحكم في الوصول (ACLs) إلى العبور

من الممكن التحكم في حركة المرور التي تنقل الشبكة باستخدام قوائم التحكم في الوصول إلى النقل (tACLs). وهذا على عكس قوائم التحكم في الوصول للبنية الأساسية التي تسعى لتصفية حركة المرور الموجهة إلى الشبكة نفسها. والتصفية المُقدمة من قوائم التحكم في الوصول إلى النقل (tACLs) مفيدة عندما يُراد تصفية حركة المرور إلى مجموعة معينة من الأجهزة أو حركة المرور التي تنقل الشبكة.

يتم إجراء هذا النوع من التصفية بشكل تقليدي بواسطة جدران الحماية. ومع ذلك، توجد مثيلات حيث قد يكون من المفيد إجراء هذه التصفية على جهاز ‪Cisco IOS‬ في الشبكة، على سبيل المثال، حيث يجب إجراء التصفية ولكن لا يوجد جدار حماية.

قوائم التحكم في الوصول إلى النقل هي أيضًا مكان مناسب لتنفيذ أوجه الحماية الثابتة من الانتحال.

راجع قسم أوجه الحماية من الانتحال في هذا المستند للحصول على مزيد من المعلومات.

راجع قوائم التحكم في الوصول إلى النقل: التصفية في Edge للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول إلى النقل (tACLs).

تصفية حزم ICMP

تم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول تحكم لـ IP. على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تداعيات بعيدة المدى على بروتوكولات TCP وIP بشكل عام. يتم إستخدام ICMP بواسطة أدوات أستكشاف أخطاء الشبكة وإصلاحها الأمر ping وtraceroute، بالإضافة إلى اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار؛ ومع ذلك، نادرا ما يكون اتصال ICMP الخارجي ضروريا للتشغيل السليم للشبكة.

يوفر برنامج ‪Cisco IOS‬ الوظائف اللازمة لتصفية رسائل ICMP على وجه التحديد حسب الاسم أو النوع والرمز. يتيح مثال قائمة التحكم في الوصول هذا لـ ICMP من الشبكات الموثوق بها أثناء حظر جميع حِزم ICMP من مصادر أخرى:

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Permit ICMP packets from trusted networks only
!

 permit icmp host <trusted-networks> any 
!
!--- Deny all other IP traffic to any network device
!

 deny icmp any any
!

تصفية أجزاء IP

وكما هو موضح مسبقًا في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند، يمكن أن تطرح تصفية حِزم IP التي تمت تجزئتها تحديًا في أجهزة الأمان.

نظرًا للطبيعة غير السهلة للتعامل مع الأجزاء، غالبًا ما يتم السماح بأجزاء IP بشكل غير مقصود بواسطة قوائم التحكم في الوصول. غالبًا ما يتم استخدام التجزئة أيضًا في محاولات التهرب من الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبًا ما يتم استخدام أجزاء IP في الهجمات، وينبغي أن تتم تصفيتها بشكل صريح في الجزء العلوي من أي قوائم التحكم في الوصول إلى النقل مكوّنة. تضمن قائمة التحكم في الوصول أدناه تصفية شاملة لأجزاء IP. يجب استخدام الوظيفة الموضحة في هذا المثال بالاقتران مع وظيفة الأمثلة السابقة.

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in 
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments
!

ارجع إلى قوائم التحكم في الوصول وأجزاء IP لمزيد من المعلومات حول معالجة قائمة التحكم في الوصول لحِزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

في الإصدار ‪12.3(4)T‬ من البرنامج ‪Cisco IOS‬ والإصدارات الأحدث، يدعم برنامج ‪Cisco IOS‬ استخدام قوائم التحكم في الوصول إلى تصفية حِزم IP استنادًا إلى خيارات IP المُضمّنة في الحِزمة. قد يشير وجود خيارات IP داخل الحِزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص النقل لحِزمة. ولهذه الأسباب ينبغي تصفية الحِزم المزودة بخيارات IP عند حافة الشبكة.

يجب استخدام هذا المثال مع المحتوى من الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options
!

عمليات الحماية من انتحال الهوية

تستخدم العديد من الهجمات انتحال عنوان IP للمصدر ليكون فعالاً أو لإخفاء المصدر الحقيقي للهجوم ويعيق traceback الدقيق. يوفر برنامج ‪Cisco IOS‬ واقي مصدر IP ‫(IPSG)‬ وإعادة توجيه المسار العكسي (RPF) للبث الأحادي لمنع الهجمات التي تعتمد على انتحال عنوان IP للمصدر. وبالإضافة إلى ذلك، غالبًا ما يتم نشر قوائم التحكم في الوصول والتوجيه الفارغ كوسائل يدوية لمنع الانتحال.

يعمل واقي مصدر IP على تقليل الانتحال للشبكات تحت التحكم الإداري المباشر عن طريق تنفيذ منفذ المحول وعنوان MAC والتحقق من عنوان المصدر. توفر إعادة توجيه المسار العكسي (RPF) للبث الأحادي التحقق من شبكة المصدر ويمكنها تقليل الهجمات المنتحلة من الشبكات التي لا تكون تحت التحكم الإداري المباشر. يمكن استخدام أمان المنفذ للتحقق من صحة عناوين MAC في طبقة الوصول. يحد الفحص الديناميكي لبروتوكول تحليل العنوان (ARP) ‫(DAI)‬ من موجهات الهجمات التي تستخدم تسميم ARP على المقاطع المحلية.

إعادة توجيه المسار العكسي (RPF) للبث الأحادي

تمكن إعادة توجيه المسار العكسي (RPF) للبث الأحادي الجهاز من التحقق من إمكانية الوصول إلى عنوان المصدر للحزمة المُعاد توجيهها عبر الواجهة التي تلقت الحزمة. يجب ألا تعتمد على إعادة توجيه المسار العكسي (RPF) للبث الأحادي كحماية وحيدة من الانتحال. يمكن للحِزم المنتحلة الدخول في الشبكة من خلال واجهة إعادة توجيه المسار العكسي (RPF) للبث الأحادي في حال وجود مسار إرجاع مناسب إلى عنوان IP للمصدر. تعتمد إعادة توجيه المسار العكسي (RPF) للبث الأحادي عليك لتمكين إعادة توجيه ‪Cisco Express‬ على كل جهاز وتكوينه على أساس كل واجهة.

يمكن تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي في أحد الوضعين: غير مُحكم أو مقيد. في الحالات التي يكون فيها التوجيه غير المتماثل، يُفضل الوضع غير المحكم لأن الوضع المقيد معروف بإسقاط الحِزم في هذه المواقف. أثناء تكوين أمر تكوين واجهة ‪ip verify‬، تكوّن الكلمة الأساسية any الوضع غير المحكم بينما تكوّن الكلمة الأساسية rx الوضع المقيد.

يوضح هذا المثال تكوين هذه الميزة:

!

ip cef
!

interface <interface>
  ip verify unicast source reachable-via <mode>
!

راجع فهم إعادة توجيه المسار العكسي للبث الأحادي للحصول على مزيد من المعلومات حول تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي واستخدامها.

واقي مصدر بروتوكول الإنترنت

يعد واقي مصدر بروتوكول الإنترنت وسيلة فعالة لمنع الانتحال الذي يمكن استخدامه إذا قمت بالتحكم في واجهات الطبقة 2. يستخدم واقي مصدر بروتوكول الإنترنت معلومات من التطفل على بروتوكول DHCP لتكوين قائمة التحكم في الوصول إلى المنفذ (PACL) بشكل ديناميكي على واجهة الطبقة 2، مع رفض أي حركة مرور من عناوين IP غير المقترنة بجدول ربط مصدر IP.

يمكن تطبيق واقي مصدر بروتوكول الإنترنت على واجهات الطبقة 2 التي تنتمي إلى شبكات VLAN التي تم تمكين التطفل على بروتوكول DHCP عليها. تمكن هذه الأوامر التطفل على بروتوكول DHCP:

!

ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!

بعد تمكين التطفل على بروتوكول DHCP، تقوم هذه الأوامر بتمكين IPSG:

!
interface <interface-id>
   ip verify source 
!

يمكن تمكين أمان المنفذ باستخدام أمر تكوين واجهة ‪ip verify source port security‬. يتطلب هذا أمر التكوين العام ip dhcp snooping information option؛ وبالإضافة إلى ذلك، يجب أن يدعم خادم DHCP خيار DHCP ‫82‬.

راجع تكوين ميزات DHCP وواقي مصدر بروتوكول الإنترنت للحصول على مزيد من المعلومات حول هذه الميزة.

أمان المنفذ

يُستخدم أمان المنفذ للحد من انتحال عنوان MAC في واجهة الوصول. يمكن أن يستخدم أمان المنفذ عناوين MAC (لاصق) التي تم التعرف عليها ديناميكيًا لتسهيل التكوين الأولي. وبمجرد تحديد أمان المنفذ لانتهاك MAC، يمكن أن يستخدم أحد أوضاع الانتهاك الأربعة. وتحمي هذه الأوضاع شبكة VLAN، وتقيدها، وتوقف تشغيلها. في الحالات التي يوفر فيها المنفذ الوصول إلى محطة عمل واحدة فقط باستخدام البروتوكولات القياسية، قد يكون الحد الأقصى لعدد إحداها كافيًا. لا تعمل البروتوكولات التي تستغل عناوين MAC الظاهرية مثل HSRP عند تعيين الحد الأقصى للعدد على واحد.

!

interface <interface> 
  switchport
  switchport mode access 
  switchport port-security
  switchport port-security mac-address sticky
  switchport port-security maximum <number>
  switchport port-security violation <violation-mode>
!

راجع تكوين أمان المنفذ للحصول على مزيد من المعلومات حول تكوين أمان المنفذ.

فحص ARP (بروتوكول تحليل العناوين) الديناميكي

يمكن استخدام فحص ARP الديناميكي (DAI) للحد من هجمات تسميم ARP على المقاطع المحلية. هجوم تسميم ARP هي طريقة يُرسل فيها المهاجم معلومات ARP مزورة إلى مقطع محلي. وتم تصميم هذه المعلومات ليتم إتلاف ذاكرة تخزين ARP المؤقت للأجهزة الأخرى. وغالبًا ما يستخدم المهاجم تسميم ARP لتنفيذ هجوم الدخيل.

يعترض الفحص الديناميكي لـ ARP ‫(DAI)‬ ويتحقق من صحة علاقة عنوان IP إلى MAC لجميع حِزم ARP على المنافذ غير الموثوق بها. وفي بيئات DHCP، يستخدم الفحص الديناميكي لـ ARP البيانات التي تم إنشاؤها بواسطة ميزة التطفل على بروتوكول DHCP. لا يتم التحقق من حِزم ARP المستلمة على الواجهات الموثوق بها ويتم تجاهل الحِزم غير الصالحة على الواجهات غير الموثوق بها. في بيئات غير DHCP، يلزم استخدام قوائم التحكم في الوصول لـ ARP.

تمكن هذه الأوامر التطفل على بروتوكول DHCP:

!
ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!

بمجرد تمكين التطفل على بروتوكول DHCP، تقوم هذه الأوامر بتمكين DAI:

!
ip arp inspection vlan <vlan-range> 
!

وفي بيئات غير DHCP، يلزم توافر قوائم التحكم في الوصول لـ ARP لتمكين DAI. يوضح هذا المثال التكوين الأساسي لـ DAI مع قوائم التحكم في الوصول لـ ARP:

!

arp access-list <acl-name>
 permit ip host <sender-ip> mac host <sender-mac>
!

ip arp inspection filter <arp-acl-name> vlan <vlan-range>
!

كما يمكن تمكين DAi على أساس كل واجهة حيثما تم دعمها.

ip arp inspection limit rate <rate_value> burst interval <interval_value>

راجع تكوين الفحص الديناميكي لـ ARP للحصول على مزيد من المعلومات حول كيفية تكوين DAI.

قوائم التحكم في الوصول (ACLs) المضادة لانتحال الهوية

يمكن أن توفر قوائم التحكم في الوصول المكوّنة يدويًا حماية ثابتة من الانتحال ضد الهجمات التي تستخدم مساحة عناوين معروفة غير مستخدمة وغير موثوقة. وبشكل عام، يتم تطبيق قوائم التحكم في الوصول المضادة للانتحال هذه لدخول حركة المرور في حدود الشبكة كأحد مكونات قوائم التحكم في الوصول الأكبر. تتطلب قوائم التحكم في الوصول المضادة للانتحال مراقبة منتظمة لأنه يمكن أن تتغير بشكل متكرر. يمكن تقليل الانتحال في حركة المرور التي تنشأ من الشبكة المحلية إذا قمت بتطبيق قوائم التحكم في الوصول الصادرة التي تحد من حركة المرور إلى العناوين المحلية الصالحة.

يوضح هذا المثال كيف يمكن استخدام قوائم التحكم في الوصول للحد من انتحال عناوين IP. يتم تطبيق قائمة التحكم في الوصول هذه بالداخل على الواجهة المطلوبة. لا تعد وحدات ACE التي تشكل قائمة التحكم في الوصول هذه شاملة. إذا قمت بتكوين هذه الأنواع من قوائم التحكم في الوصول، فابحث عن مرجع حديث يكون حاسمًا.

!

ip access-list extended ACL-ANTISPOOF-IN
 deny	ip 10.0.0.0 0.255.255.255 any
 deny	ip 192.168.0.0 0.0.255.255 any
!

interface <interface>
 ip access-group ACL-ANTISPOOF-IN in
!

ارجع إلى تكوين قوائم التحكم في الوصول إلى IP المُستخدمة بشكل شائع للحصول على مزيد من المعلومات حول كيفية تكوين قوائم التحكم في الوصول.

يتم الاحتفاظ بالقائمة الرسمية لعناوين الإنترنت غير المخصصة بواسطة Team Cymru. تتوفر معلومات إضافية حول تصفية العناوين غير المُستخدمة في صفحة مرجع Bogon  .

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور مستوى البيانات

والغرض الأساسي من الموجهات والمحولات هو إعادة توجيه الحِزم والإطارات من خلال الجهاز الموجود في الوجهة النهائية. ويمكن أن تؤثر هذه الحِزم، والتي تقوم بنقل الأجهزة المنشورة عبر الشبكة، إلى عمليات وحدة المعالجة المركزية الخاصة بالجهاز. ينبغي تأمين مستوى البيانات الذي يتكون من حركة مرور تنقل جهاز الشبكة لضمان تشغيل مستويات الإدارة والتحكم. إذا كان من الممكن أن تتسبب حركة مرور النقل في أن يعالج الجهاز حركة مرور المحول، يمكن أن يتأثر مستوى التحكم في الجهاز مما قد يؤدي إلى الاحتمالات التشغيلية.

الميزات وأنواع حركة مرور البيانات التي تؤثر على وحدة المعالجة المركزية (CPU)

وعلى الرغم من أن هذه القائمة شاملة، فهي تتضمن أنواع حركة مرور مستوى البيانات الذي يتطلب معالجة وحدة المعالجة المركزية الخاصة ويتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU):

• تسجيل قائمة التحكم في الوصول - تتكون حركة مرور تسجيل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية log.
  
  
• إعادة توجيه المسار العكسي (RPF) للبث الأحادي - يمكن أن ينتج عن ‪Unicast RPF‬، المُستخدم بالارتباط مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحِزم.
  
  
• خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
  
  
• التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية لمعالجتها.
  
  
• انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد الرسائل (نوع ICMP 11، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية.
  
  
• ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه، أو MTU، أو التصفية بواسطة وحدة المعالجة المركزية.
  
  
• حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود مطلوبًا وتتم المعالجة بواسطة وحدة المعالجة المركزية.
  
  
• حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.

راجع قسم زيادة مستوى البيانات العامة في هذا المستند للحصول على مزيد من المعلومات حول زيادة مستوى البيانات.

التصفية على قيمة TTL

يمكنك استخدام دعم قائمة التحكم في الوصول للتصفية في ميزة قيمة TTL، المُقدمة في برنامج ‪Cisco IOS‬ الإصدار ‪12.4(2)T‬، في قائمة وصول IP الموسّعة لتصفية الحِزم بناءً على قيمة TTL. ويمكن استخدام هذه الميزة لحماية الجهاز الذي يستقبل حركة مرور النقل حيث تكون قيمة TTL صفر أو واحد. كما يمكن استخدام حِزم التصفية التي تستند إلى قيم TTL لضمان أن قيمة TTL ليست أقل من قطر الشبكة، وبالتالي حماية مستوى التحكم بأجهزة البنية الأساسية لتدفق البيانات من الخادم من هجمات انتهاء صلاحية TTL.

لاحظ أن بعض التطبيقات والأدوات مثل traceroute تستخدم حِزم انتهاء صلاحية TTL لأغراض الاختبار والتشخيص. تستخدم بعض البروتوكولات، مثل IGMP، بشكل شرعي قيمة TTL من واحد.

يقوم مثال قائمة التحكم في الوصول هذا بإنشاء سياسة تعمل على تصفية حِزم IP حيث تكون قيمة TTL أقل من 6.

!
!--- Create ACL policy that filters IP packets with a TTL value
!--- less than 6
!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any ttl lt 6
 permit ip any any
!
!--- Apply access-list to interface in the ingress direction
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

ارجع إلى تخفيف وتعريف هجوم انتهاء صلاحية TTL للحصول على مزيد من المعلومات حول تصفية الحِزم استنادًا إلى قيمة TTL.

راجع دعم قائمة التحكم في الوصول للتصفية على قيمة TTL للحصول على مزيد من المعلومات حول هذه الميزة.

في برنامج ‪Cisco IOS‬ الإصدار ‪12.4(4)T‬ والإصدارات الأحدث، يسمح تطابق الحِزم المرن (FPM) للمسؤول بالمطابقة على وحدات البت العشوائية الخاصة بالحزمة. تسقط سياسة تطابق الحِزم المرن هذه الحِزم بقيمة TTL أقل من ستة.

!

load protocol flash:ip.phdf
!

class-map type access-control match-all FPM-TTL-LT-6-CLASS
 match field IP ttl lt 6
!

policy-map type access-control FPM-TTL-LT-6-DROP-POLICY
 class  FPM-TTL-LT-6-CLASS
  drop
!

interface FastEthernet0
 service-policy type access-control input FPM-TTL-LT-6-DROP-POLICY
!

ارجع إلى تطابق الحِزم المرن، الموجود في الصفحة الرئيسية تطابق الحِزم المرن من ‪Cisco IOS‬، للحصول على مزيد من المعلومات حول الميزة.

التصفية على وجود خيارات IP

في برنامج ‪Cisco IOS‬ الإصدار ‪12.3(4)T‬ والإصدارات الأحدث، يمكنك استخدام دعم قائمة التحكم في الوصول لميزة خيارات IP للتصفية في قائمة وصول IP المسماة والموسّعة لتصفية حِزم IP باستخدام خيارات IP الموجودة. كما يمكن استخدام حِزم IP للتصفية التي تستند إلى وجود خيارات IP لمنع مستوى التحكم لأجهزة البنية الأساسية من الاضطرار إلى معالجة هذه الحِزم في مستوى وحدة المعالجة المركزية.

لاحظ أنه يمكن استخدام دعم قائمة التحكم في الوصول لميزة خيارات IP للتصفية فقط مع قوائم التحكم في الوصول الموسّعة والمسماة. كما ينبغي ملاحظة أنه قد لا يتمكن RSVP، وهندسة حركة مرور تحويل التسمية متعدد البروتوكولات، وIGMP الإصدار 2 و3، والبروتوكولات الأخرى التي تستخدم حِزم خيارات IP، من العمل بشكل صحيح إذا تم إسقاط الحِزم الخاصة بهذه البروتوكولات. إذا كانت هذه البروتوكولات قيد الاستخدام في الشبكة، يمكن إستخدام دعم قائمة التحكم في الوصول لتصفية خيارات IP؛ ومع ذلك، يمكن أن تسقط ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول حركة المرور هذه وقد لا تعمل هذه البروتوكولات بشكل صحيح. إذا لم توجد بروتوكولات قيد الاستخدام تتطلب خيارات IP، فإن ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول هي الطريقة المُفضلة لإسقاط هذه الحِزم.

يقوم مثال قائمة التحكم بالوصول هذا بإنشاء سياسة تقوم بتصفية حِزم IP التي تحتوي على أي من خيارات IP:

!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option any-options
 permit ip any any
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

يوضح هذا المثال لقائمة التحكم في الوصول سياسة تقوم بتصفية حِزم IP بخمسة خيارات محددة من خيارات IP. يتم رفض الحِزم التي تحتوي على هذه الخيارات:

• 0 نهاية قائمة الخيارات (eool)
  
  
• 7 تسجيل المسار (record-route)
  
  
• 68 الطابع الزمني (timestamp)
  
  
• 131 - مسار المصدر غير المحكم (lsr)
  
  
• 137 - مسار المصدر المقيد (ssr)

!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option eool
 deny ip any any option record-route
 deny ip any any option timestamp
 deny ip any any option lsr
 deny ip any any option ssr
 permit ip any any
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

راجع قسم زيادة مستوى البيانات العامة في هذا المستند للحصول على مزيد من المعلومات حول ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول.

ارجع إلى قوائم التحكم في الوصول العابرة: التصفية في Edge للحصول على مزيد من المعلومات حول تصفية حركة مرور الحافة والنقل.

هناك ميزة أخرى في برنامج ‪Cisco IOS‬ يمكن استخدامها لتصفية الحِزم باستخدام خيارات IP هي CoPP. في برنامج ‪Cisco IOS‬ الإصدار ‪12.3(4)T‬ والإصدارات الأحدث، تسمح ميزة CoPP للمسؤول بتصفية تدفق حركة المرور الخاصة بحِزم مستوى التحكم. قد يستخدم الجهاز الذي يدعم دعم CoPP وقائمة التحكم في الوصول لتصفية خيارات IP، المُقدمة في إصدار برنامج ‪Cisco IOS‬ الإصدار ‪12.3(4)T‬، سياسة قائمة الوصول لتصفية الحِزم التي تحتوي على خيارات IP.

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود أي من خيارات IP:

!

ip access-list extended ACL-IP-OPTIONS-ANY
 permit ip any any option any-options
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS-ANY
!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop
!

control-plane
 service-policy input COPP-POLICY
!

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود خيارات IP هذه:

• 0 نهاية قائمة الخيارات (eool)
  
  
• 7 تسجيل المسار (record-route)
  
  
• 68 الطابع الزمني (timestamp)
  
  
• 131 مسار المصدر غير المحكم (lsr)
  
  
• 137 - مسار المصدر المقيد (ssr)

!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS
!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop
!

control-plane
 service-policy input COPP-POLICY
!

في سياسات CoPP السابقة، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم بالإجراء المسموح به هذه الحِزم التي يتم التخلص منها من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

راجع نشر تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول ميزة CoPP.

حماية مستوى التحكم

في برنامج ‪Cisco IOS‬ الإصدار ‪12.4(4)T‬ والإصدارات الأحدث، يمكن استخدام حماية مستوى التحكم (CPPr) لتقييد أو تنظيم حركة مرور مستوى التحكم بواسطة وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬. وعلى الرغم من التشابه مع CoPP، فإن تتميز حماية مستوى التحكم بالقدرة على تقييد حركة المرور أو تنظيمها باستخدام عدة مستويات أكثر دقة من CoPP. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية: توجد الواجهات الفرعية للمضيف والنقل واستثناء إعادة التوجيه السريع من Cisco ‫(CEF).

تسقط سياسة حماية مستوى التحكم هذه الحِزم العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL أقل من 6 والحزم العابرة وغير العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL صفر أو واحد. كما تقوم سياسة حماية مستوى التحكم بإسقاط الحِزم بخيارات IP المحددة التي يتم استقبالها بواسطة الجهاز.

!

ip access-list extended ACL-IP-TTL-0/1
 permit ip any any ttl eq 0 1
!

class-map ACL-IP-TTL-0/1-CLASS
 match access-group name ACL-IP-TTL-0/1
!

ip access-list extended ACL-IP-TTL-LOW
 permit ip any any ttl lt 6
!

class-map ACL-IP-TTL-LOW-CLASS
 match access-group name ACL-IP-TTL-LOW
!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS
!

policy-map CPPR-CEF-EXCEPTION-POLICY
 class ACL-IP-TTL-0/1-CLASS
  drop
 class ACL-IP-OPTIONS-CLASS
  drop
!

!-- Apply CPPr CEF-Exception policy CPPR-CEF-EXCEPTION-POLICY to
!-- the CEF-Exception CPPr sub-interface of the device

!

control-plane cef-exception
 service-policy input CPPR-CEF-EXCEPTION-POLICY
!

policy-map CPPR-TRANSIT-POLICY
 class ACL-IP-TTL-LOW-CLASS
  drop
!

control-plane transit
 service-policy input CPPR-TRANSIT-POLICY
!

في سياسة حماية مستوى التحكم السابقة، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم بالإجراء المسموح به هذه الحِزم التي يتم التخلص منها من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

ارجع إلى فهم حماية مستوى التحكم وحماية مستوى التحكم لمزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr).

تحديد حركة المرور وTraceback

وفي بعض الأحيان، ربما تحتاج إلى التعرف بسرعة على حركة مرور الشبكة وtraceback، وخاصةً أثناء استجابة الحدث أو أداء الشبكة الضعيف. قوائم التحكم في الوصول للتصنيف وNetFlow هما الطريقتان الأساسيتان للقيام بذلك باستخدام برنامج ‪Cisco IOS‬. يمكن أن يوفر NetFlow إمكانية رؤية لجميع حركات المرور على الشبكة. وبالإضافة إلى ذلك، يمكن تنفيذ NetFlow باستخدام أدوات التجميع التي يمكنها توفير التحليل التلقائي وبتوجيه طويلة المدى. قوائم التحكم في الوصول للتصنيف هي مكوّن في قوائم التحكم في الوصول وتتطلب تخطيطًا مسبقًا لتحديد حركة مرور معينة والتدخل اليدوي أثناء التحليل. وتوفر هذه الأقسام نظرة عامة مختصرة على كل ميزة.

Netflow

يحدد NetFlow نشاط الشبكة المرتبط بالأمان ومجهول الهوية عن طريق تعقب تدفقات الشبكة. يمكن عرض بيانات NetFlow وتحليلها عبر واجهة سطر الأوامر، أو يمكن تصدير البيانات إلى مجمّع NetFlow تجاري أو مجاني للتجميع والتحليل. ويمكن أن توفر أدوات تجميع NetFlow، من خلال التوجيه طويلة المدى، سلوك الشبكة وتحليل الاستخدام. يعمل NetFlow عن طريق إجراء تحليل على سمات معينة داخل حِزم IP وإنشاء التدفقات. الإصدار 5 هو الإصدار الأكثر استخدامًا من NetFlow، ومع ذلك، الإصدار 9 هو الأكثر شمولية. يمكن إنشاء تدفقات NetFlow باستخدام بيانات حركة المرور النموذجية في بيئات كبيرة الحجم.

إعادة التوجيه السريع (CEF) أو إعادة التوجيه السريع الموزّعة ضروريتان لتمكين NetFlow. يمكن تكوين NetFlow على الموجهات والمحولات.

يوضح هذا المثال تكوين هذه الميزة الأساسي. في الإصدارات السابقة من برنامج ‪Cisco IOS‬، يكون الأمر لتمكين NetFlow على الواجهة هو ‪ip route-cache flow‬ بدلاً من ‪ip flow {ingress‬ | egress}.

!

ip flow-export destination <ip-address> <udp-port>
ip flow-export version <version>
!

interface <interface> 
 ip flow <ingess|egress> 
!

هذا مثال على إخراج NetFlow من واجهة سطر الأوامر. يمكن أن تساعد سمة SrcIf في traceback.

router#show ip cache flow
IP packet size distribution (26662860 total packets):
   1-32   64   96  128	160  192  224  256  288  320  352  384	416  448  480
   .741 .124 .047 .006 .005 .005 .002 .008 .000 .000 .003 .000 .001 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .001 .007 .039 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  55 active, 65481 inactive, 1014683 added
  41000680 ager polls, 0 flow alloc failures
  Active flows timeout in 2 minutes
  Inactive flows timeout in 60 seconds
IP Sub Flow Cache, 336520 bytes
  110 active, 16274 inactive, 2029366 added, 1014683 added to flow
  0 alloc failures, 0 force free
  1 chunk, 15 chunks added
  last clearing of statistics never
Protocol	 Total	  Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------	 Flows	   /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet	 11512	    0.0        15    42      0.2      33.8      44.8
TCP-FTP 	  5606	    0.0 	3    45      0.0      59.5      47.1
TCP-FTPD	  1075	    0.0        13    52      0.0       1.2      61.1
TCP-WWW 	 77155	    0.0        11   530      1.0      13.9      31.5
TCP-SMTP	  8913	    0.0 	2    43      0.0      74.2      44.4
TCP-X		   351	    0.0 	2    40      0.0       0.0      60.8
TCP-BGP 	   114	    0.0 	1    40      0.0       0.0      62.4
TCP-NNTP	   120	    0.0 	1    42      0.0       0.7      61.4
TCP-other	556070	    0.6 	8   318      6.0       8.2      38.3
UDP-DNS 	130909	    0.1 	2    55      0.3      24.0      53.1
UDP-NTP 	116213	    0.1 	1    75      0.1       5.0      58.6
UDP-TFTP	   169	    0.0 	3    51      0.0      15.3      64.2
UDP-Frag	     1	    0.0 	1  1405      0.0       0.0      86.8
UDP-other	 86247	    0.1       226    29     24.0      31.4      54.3
ICMP		 19989	    0.0        37    33      0.9      26.0      53.9
IP-other	   193	    0.0 	1    22      0.0       3.0      78.2
Total:	       1014637	    1.2        26    99     32.8      13.8      43.9

SrcIf	      SrcIPaddress    DstIf	    DstIPaddress    Pr SrcP DstP Pkts
Gi0/1	      192.168.128.21  Local	    192.168.128.20  11 CB2B 07AF   3
Gi0/1	      192.168.150.60  Gi0/0	    10.89.17.146    06 0016 101F  55
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 101F 0016   9
Gi0/1	      192.168.150.60  Local	    192.168.206.20  01 0000 0303  11
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 07F1 0016   1

ارجع إلى ‪Cisco IOS NetFlow‬ للحصول على مزيد من المعلومات حول إمكانيات NetFlow.

ارجع إلى مقدمة عن ‪Cisco IOS NetFlow‬ - نظرة عامة فنية للحصول على نظرة عامة فنية على NetFlow.

قوائم التحكم في الوصول (ACLs) إلى التصنيف

توفر قوائم التحكم في الوصول إلى التصنيفات إمكانية رؤية لحركة المرور التي تجتاز الواجهة. لا تغير قوائم التحكم في الوصول إلى التصنيفات سياسة الأمان للشبكة ويتم إنشاؤها عادةً لتصنيف البروتوكولات الفردية أو عناوين المصدر أو الوجهات. وعلى سبيل المثال، ACE الذي يسمح بفصل حركة المرور في بروتوكولات أو منافذ معينة. ويمكن أن يساعد هذا التصنيف متعدد المستويات بشكل أكبر لحركة المرور في وحدات ACE المحددة في توفير فهم لحركة مرور الشبكة نظرًا لأن كل فئة من فئات حركه المرور تحتوي على عداد الدخول الخاص بها. كما يمكن أن يفصل المسؤول الرفض الضمني في نهاية قائمة التحكم في الوصول إلى وحدات ACE متعددة المستويات للمساعدة في تحديد أنواع حركة المرور المرفوضة.

يمكن أن يقوم المسؤول بتسريع استجابة الحدث باستخدام قوائم التحكم في الوصول إلى التصنيفات باستخدام أوامر EXEC ‫‪show access-list‬ و‪clear ip access-list counters‬.

يوضح هذا المثال تكوين قائمة التحكم في الوصول إلى التصنيفات لتحديد حركة مرور SMB قبل الرفض الافتراضي:

!

ip access-list extended ACL-SMB-CLASSIFY
 remark Existing contents of ACL
 remark Classification of SMB specific TCP traffic 
 deny	tcp any any eq 139
 deny	tcp any any eq 445
 deny	ip any any 
!

لتحديد حركة المرور التي تستخدم قائمة التحكم في الوصول إلى التصنيفات، استخدم أمر EXEC ‫‪show access-list acl-name‬. يمكن مسح عدادات قائمة التحكم في الوصول باستخدام أمر EXEC ‫‪clear ip access-list counters acl-name‬.

router#show access-list ACL-SMB-CLASSIFY 
Extended IP access list ACL-SMB-CLASSIFY
    10 deny tcp any any eq 139 (10 matches)
    20 deny tcp any any eq 445 (9 matches)
    30 deny ip any any (184 matches) 

راجع فهم تسجيل قائمة التحكم في الوصول للحصول على مزيد من المعلومات حول كيفية تمكين إمكانيات التسجيل داخل قوائم التحكم في الوصول.

التحكم في الوصول باستخدام قوائم التحكم في الوصول إلى المنفذ وخرائط الشبكة المحلية الافتراضية (VLAN)

توفر قوائم التحكم في الوصول إلى شبكة VLAN ‫(VACLs)‬ أو خرائط شبكة VLAN وقوائم التحكم في الوصول إلى المنفذ (PACL)، إمكانية فرض التحكم في الوصول على حركة المرور غير الموجهة الأقرب إلى الأجهزة الطرفية من قوائم التحكم في الوصول التي يتم تطبيقها على الواجهات الموجهة.

توفر هذه الأقسام نظرة عامة على الميزات والمزايا وسيناريوهات الاستخدام المحتملة لقوائم التحكم في الوصول إلى شبكة VLAN وقوائم التحكم في الوصول إلى المنفذ (PACL).

التحكم في الوصول باستخدام خرائط الشبكة المحلية الافتراضية (VLAN)

توفر قوائم التحكم في الوصول إلى شبكة VLAN أو خرائط VLAN التي تنطبق على جميع الحِزم التي تدخل شبكة VLAN، إمكانية فرض التحكم في الوصول على حركة المرور بين شبكات VLAN. لا يمكن استخدام قوائم التحكم في الوصول على الواجهات الموجهة. على سبيل المثال، يمكن استخدام خريطة VLAN لمنع الأجهزة المضيفة التي تحتوي على نفس شبكة VLAN من الاتصال ببعضها الآخر، مما يقلل من فرص المهاجمين المحليين أو الفيروسات المتنقلة لاستغلال الجهاز المضيف على نفس مقطع الشبكة. لرفض استخدام الحِزم لخريطة VLAN، يمكنك إنشاء قائمة تحكم في الوصول (ACL) تطابق حركة المرور، وتعيين الإجراء المُراد إسقاطه، في خريطة VLAN. وبمجرد تكوين خريطة VLAN، يتم تقييم جميع الحِزم التي تدخل شبكة LAN بشكل تسلسلي مقابل خريطة VLAN التي تم تكوينها. تدعم خرائط الوصول إلى شبكة VLAN قوائم وصول IPv4 و MAC، ومع ذلك، فهي لا تدعم قوائم التحكم في الوصول إلى IPv6 والتسجيل.

يستخدم هذا المثال قائمة الوصول المسماة والموسّعة التي توضح تكوين هذه الميزة:

!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address>
     <destination-port>
!

vlan access-map <name> <number>
 match ip address <acl-name>
 action <drop|forward>
!

يوضح هذا المثال استخدام خريطة VLAN لرفض منافذ TCP ‫139‬ و445 بالإضافة إلى بروتوكول vines-ip:

!

ip access-list extended VACL-MATCH-ANY
 permit ip any any
!

ip access-list extended VACL-MATCH-PORTS
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 445
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 139
!

mac access-list extended VACL-MATCH-VINES
 permit any any vines-ip
!

vlan access-map VACL 10
 match ip address VACL-MATCH-VINES 
 action drop
!

vlan access-map VACL 20 
 match ip address VACL-MATCH-PORTS
 action drop
!

vlan access-map VACL 30
 match ip address VACL-MATCH-ANY
 action forward
!

vlan filter VACL vlan 100 
!

راجع تكوين أمان الشبكة باستخدام قوائم التحكم في الوصول للحصول على مزيد من المعلومات حول تكوين خرائط VLAN.

التحكم في الوصول باستخدام قوائم التحكم في الوصول للمنفذ (PACLs)

يمكن تطبيق قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) فقط على الاتجاه الوارد فقط على الواجهات المادية للطبقة 2 من المحول. وكما هو الحال مع خرائط VLAN، توفر قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) التحكم في الوصول على حركة المرور غير الموجهة أو حركة مرور الطبقة 2. تكون الصياغة لإنشاء قوائم التحكم في الوصول الخاصة بالمنفذ (PACL)، مما يعطي الأولوية على خرائط VLAN وقوائم التحكم في الوصول للموجّه، هي نفسها لقوائم التحكم في الوصول للموجّه. إذا تم تطبيق قائمة التحكم في الوصول على واجهة الطبقة 2، حينئذٍ تتم الإشارة إليها باسم قائمة التحكم في الوصول الخاصة بالمنفذ (PACL). يتضمن التكوين إنشاء قائمة التحكم بالوصول الخاصة ببروتوكول IPv4 أو IPv6 أو MAC وتطبيقها على واجهة الطبقة 2.

يستخدم هذا المثال قائمة الوصول المسماة والموسّعة لتوضيح تكوين هذه الميزة:

!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address> 
     <destination-port>
!

interface <type> <slot/port>
 switchport mode access
 switchport access vlan <vlan_number>
 ip access-group <acl-name> in 
!

راجع قسم قائمة التحكم في الوصول الخاصة بالمنفذ من تكوين أمان الشبكة باستخدام قوائم التحكم في الوصول للحصول على مزيد من المعلومات حول تكوين خرائط قوائم التحكم في الوصول الخاصة بالمنفذ (PACL).

التحكم في الوصول باستخدام MAC

يمكن تطبيق قوائم التحكم في الوصول إلى MAC أو القوائم الموسّعة على شبكة IP باستخدام هذا الأمر في وضع تكوين الواجهة:

Cat6K-IOS(config-if)#mac packet-classify

ملاحظة: إنه لتصنيف حزم الطبقة 3 كحزم من الطبقة 2. يتم دعم الأمر في برنامج ‪Cisco IOS‬ الإصدار ‪12.2(18)SXD‬ (لـ Sup 720) وبرنامج ‪Cisco IOS‬ الإصدار ‪12.2(33)SRA‬ أو الإصدارات الأحدث.

يجب تطبيق أمر الواجهة هذا على واجهة الدخول وهو يرشد محرك إعادة التوجيه لعدم فحص عنوان IP. والنتيجة هي أنه يمكنك استخدام قائمة الوصول إلى MAC على بيئة IP.

استخدام الشبكة المحلية الافتراضية (VLAN) الخاصة

شبكات VLAN الخاصة (PVLANs) هي ميزة أمان الطبقة 2 التي تحد من الاتصال بين محطات العمل أو الخوادم داخل شبكة VLAN. بدون شبكات VLAN الخاصة، يمكن أن تتصل جميع الأجهزة الموجودة على شبكة VLAN للطبقة 2 بحرية. توجد حالات الشبكات حيث يمكن أن يساعد الأمان بتقييد الاتصال بين الأجهزة الموجودة على شبكة VLAN واحدة. على سبيل المثال، غالبًا ما يتم استخدام شبكات VLAN الخاصة لمنع الاتصال بين الخوادم في شبكة فرعية يمكن الوصول إليها بشكل عام. في حال تم اختراق خادم واحد، قد يساعد نقص الاتصال بالخوادم الأخرى بسبب تطبيق شبكات VLAN الخاصة في الحد من الاختراق للخادم الواحد.

هناك ثلاثة أنواع من شبكات VLAN الخاصة: شبكات VLAN المعزولة، وشبكات VLAN المجتمعية، وشبكات VLAN الأساسية. يستخدم تكوين VLAN الخاصة شبكات VLAN الأساسية والثانوية. تحتوي شبكة VLAN الأساسية على جميع المنافذ المختلطة، والموضحة لاحقًا، وتتضمن شبكة واحدة أو أكثر من شبكات VLAN الثانوية، والتي يمكن أن تكون شبكات VLAN المعزولة أو المجتمعية.

شبكات VLAN المعزولة

يمنع تكوين شبكة VLAN الثانوية كشبكة VLAN معزولة بشكل كامل الاتصال بين الأجهزة في شبكة VLAN الثانوية. قد تكون هناك شبكة VLAN معزولة واحدة فقط لكل شبكة VLAN أساسية، ويمكن للمنافذ المختلطة فقط الاتصال بالمنافذ في شبكة VLAN المعزولة. يجب استخدام شبكات VLAN المعزولة على الشبكات غير الموثوقة مثل الشبكات التي تدعم الضيوف.

يقوم مثال التكوين هذا بتكوين شبكة VLAN 11 كشبكة VLAN معزولة وربطها بشبكة VLAN الأساسية، VLAN 20. كما يقوم المثال التالي بتكوين الواجهة ‪FastEthernet 1/1‬ كمنفذ معزول في شبكة VLAN 11:

!

vlan 11
 private-vlan isolated
!

vlan 20
 private-vlan primary
 private-vlan association 11
!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11
!

شبكات VLAN المجتمعية

تسمح شبكة VLAN الثانوية التي تم تكوينها كشبكة VLAN مجتمعية بالاتصال بين أعضاء شبكة VLAN وكذلك المنافذ المختلطة في شبكة VLAN الأساسية. ومع ذلك، لا يمكن إجراء أي اتصال بين أي من شبكتي VLAN المجتمعيتين أو من شبكة VLAN المجتمعية إلى شبكة VLAN المعزولة. يجب استخدام شبكات VLAN المجتمعية لتجميع الخوادم التي تحتاج إلى الاتصال ببعضها البعض، ولكن في حال كان الاتصال بجميع الأجهزة الأخرى في شبكة VLAN غير مطلوب. وهذا السيناريو شائع في شبكة يمكن الوصول إليها بشكل عام أو في أي مكان توفر فيه الخوادم محتوى إلى عملاء غير موثوق بهم.

يقوم هذا المثال بتكوين شبكة VLAN مجتمعية واحدة ويقوم بتكوين منفذ المحول ‪FastEthernet 1/2‬ كعضو في شبكة VLAN هذه. شبكة VLAN المجتمعية، شبكة VLAN 12، هي شبكة VLAN الثانوية لشبكة VLAN 20 الأساسية.

!

vlan 12
 private-vlan community
!

vlan 20
 private-vlan primary
 private-vlan association 12
!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12
!

المنافذ المختلطة

منافذ المحول التي يتم وضعها في شبكة VLAN الأساسية معروفة بالمنافذ المختلطة. يمكن للمنافذ المختلطة الاتصال بجميع المنافذ الأخرى في شبكات VLAN الأساسية والثانوية. واجهات جدار الحماية أو الموجّه هي الأجهزة الأكثر شيوعًا التي تم العثور عليها على شبكات VLAN.

يجمع مثال التكوين هذا بين أمثلة شبكات VLAN المجتمعية والمعزولة السابقة ويضيف تكوين الواجهة ‪FastEthernet 1/12‬ كمنفذ مختلط:

!

vlan 11
 private-vlan isolated
!

vlan 12
 private-vlan community
!

vlan 20
 private-vlan primary
 private-vlan association 11-12
!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11
!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12
!

interface FastEthernet 1/12
 description *** Promiscuous Port ***
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 20 add 11-12
!

عند تنفيذ شبكات VLAN الخاصة، من المهم التأكد من أن تكوين الطبقة 3 في موضعه يدعم القيود التي يتم فرضها بواسطة شبكات VLAN الخاصة ولا يسمح بتخريب تكوين شبكات VLAN الخاصة. يمكن أن تمنع تصفية الطبقة 3 باستخدام جدار الحماية أو قائمة التحكم في الوصول للموّجه تخريب تكوين شبكة VLAN الخاصة.

راجع شبكات VLAN الخاصة (PVLANs) - المختلطة، والمعزولة، والمجتمعية، الموجودة علة الصفحة الرئيسية أمان شبكة LAN، للحصول على مزيد من المعلومات حول استخدام شبكات VLAN الخاصة وتكوينها.

القرار

يمنحك هذا المستند نظرة عامة واسعة على الطرق التي يمكن استخدامها لتأمين جهاز نظام ‪Cisco IOS‬. إذا قمت بتأمين الأجهزة، فإنها تزيد من الأمان الكلي للشبكات التي تُديرها. في هذه النظرة العامة، تتم مناقشة حماية مستويات الإدارة والتحكم والبيانات، ويتم توفير توصيات للتكوين. وحيثما كان ذلك مناسبًا، يتم توفير تفاصيل كافية لتكوين كل ميزة مقترنة. ومع ذلك، في جميع الحالات، يتم توفير المراجع الشاملة لتزويدك بالمعلومات اللازمة للحصول على مزيد من التقييم.

الإقرارات

تمت كتابة بعض أوصاف الميزات في هذا المستند بواسطة فرق تطوير المعلومات من Cisco.

الملحق: قائمة التحقق من تعزيز جهاز Cisco IOS

قائمة التحقق هذه هي مجموعة من كل خطوات التعزيز الواردة في هذا الدليل. يمكن للمسؤولين استخدامها كتذكير لكل ميزات التعزيز المُستخدمة والتي يتم اعتبارها لجهاز ‪Cisco IOS‬، حتى في حالة عدم تنفيذ ميزة لأنه لم يتم تطبيقها. يُنصح المسؤولون بتقييم كل خيار لمخاطره المحتملة قبل تنفيذ الخيار.

مستوى الإدارة

• كلمات المرور
  
  
  • تمكين تجزئة MD5 (خيار سري) للتمكين وكلمات مرور المستخدم المحلي
  • تكوين تأمين إعادة محاولة كلمة المرور
  • تعطيل استرداد كلمة المرور (اعتبار المخاطر)
    
    
• تعطيل الخدمات غير المُستخدمة
  
  
• تكوين رسائل تنشيط TCP لجلسات الإدارة
  
  
• تعيين إعلامات حد وحدة المعالجة المركزية والذاكرة
  
  
• التكوين
  
  
  • إعلامات حد وحدة المعالجة المركزية والذاكرة
  • حجز الذاكرة للوصول إلى وحدة التحكم
  • مكتشف تسريب الذاكرة
  • اكتشاف تجاوز سعة المخزن المؤقت
  • مجموعة Crashinfo المحسّنة
    
    
• استخدام قائمة التحكم في الوصول إلى البنية الأساسية لتقييد الوصول إلى الإدارة
  
  
• التصفية (اعتبار ال\مخاطر)
  
  
  • حِزم ICMP
  • أجزاء IP
  • خيارات IP
  • قيمة TTL في الحِزم
    
    
• حماية مستوى التحكم
  
  
  • تكوين تصفية المنفذ
  • تكوين حدود قوائم الانتظار
    
    
• الوصول إلى الإدارة
  
  
  • استخدام حماية مستوى الإدارة لتقييد واجهات الإدارة
  • ضبط مهلة exec
  • استخدام بروتوكول النقل المشفّر (مثل SSH) للوصول إلى واجهة سطر الأوامر
  • التحكم في النقل لخطوط tty وvty (خيار فئة الوصول)
  • التحذير باستخدام الشعارات
    
    
• AAA
  
  
  • استخدم المصادقة والتفويض والمحاسبة (AAA) للمصادقة والاستعادة
  • استخدام المصادقة والتفويض والمحاسبة (‪TACACS+‬) لتفويض الأوامر
  • استخدام المصادقة والتفويض والمحاسبة (AAA) للمحاسبة
  • استخدام خوادم المصادقة والتفويض والمحاسبة (AAA) المتكررة
    
    
• SNMP
  
  
  • تكوين مجتمعات SNMPv2 وتطبيق قوائم التحكم في الوصول
  • تكوين SNMPv3
    
    
• التسجيل
  
  
  • تكوين التسجيل المركزي
  • تعيين مستويات التسجيل لجميع المكونات ذات الصلة
  • ضبط واجهة مصدر التسجيل
  • تكوين مستوى دقة الطوابع الزمنية للتسجيل
    
    
• إدارة التكوين
  
  
  • الاستبدال والإرجاع
  • الوصول الحصري إلى تغيير التكوين
  • تكوين البرنامج المرن
  • إعلام تغيير التكوين

مستوى التحكم

• تعطيل (اعتبار المخاطر)
  
  
  • عمليات إعادة توجيه ICMP
  • وجهات ICMP التي يتعذّر الوصول إليها
  • ARP للوكيل
    
    
• تكوين مصادقة NTP إذا كان NTP قيد الاستخدام
  
  
• تكوين تنظيم/حماية مستوى التحكم (تصفية المنافذ، حدود قوائم الانتظار)
  
  
• تأمين بروتوكولات التوجيه
  
  
  • BGP ‫(TTL، MD5‬، الحد الأقصى للبادئات، قوائم البادئات، قوائم التحكم في الوصول الخاصة بمسار النظام)
  • IGP ‫(MD5‬، الواجهة السلبية، تصفية المسار، استهلاك الموارد)
    
    
• تكوين أدوات تحديد معدل الأجهزة
  
  
• بروتوكولات تكرار الخطوة الأولى الآمنة (GLBP، ‫HSRP،‬ VRRP)

مستوى البيانات

• تكوين الإسقاط الانتقائي لخيارات IP
  
  
• تعطيل (اعتبار المخاطر)
  
  
  • توجيه مصدر IP
  • عمليات بث IP الموجّهة
  • عمليات إعادة توجيه ICMP
    
    
• الحد من عمليات بث IP الموجّهة
  
  
• تكوين قوائم التحكم في الوصول إلى النقل (اعتبار المخاطر)
  
  
  • تصفية ICMP
  • تصفية أجزاء IP
  • تصفية خيارات IP
  • تصفية قيم TTL
    
    
• تكوين أوجه الحماية المطلوبة من الانتحال
  
  
  • ACLs
  • واقي مصدر بروتوكول الإنترنت
  • فحص ARP (بروتوكول تحليل العناوين) الديناميكي
  • إعادة توجيه المسار العكسي (RPF) للبث الأحادي
  • أمان المنفذ
    
    
• حماية مستوى التحكم (‪control-plane cef-exception‬)
  
  
• تكوين قوائم التحكم في الوصول إلى التصنيفات وNetFlow لتعريف حركة المرور
  
  
• تكوين قوائم التحكم في الوصول الخاصة بالتحكم في الوصول المطلوب (خرائط VLAN، شبكات VLAN الخاصة، MAC)
  
  
• تكوين شبكات VLAN الخاصة