تقوية أجهزة IOS

المقدمة

يوضح هذا المستند كيفية تأمين أجهزة نظام Cisco IOS^® وزيادة الأمان الإجمالي لشبكتك.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الخلفية

عند تأمين أجهزة نظام Cisco IOS لديك، يزيد الأمان العام لشبكتك.

يتمحور الأمان الإجمالي لشبكتك حول المستويات الثلاثة التي يمكن من خلالها تصنيف وظائف جهاز الشبكة. المستويات الوظيفية الثلاثة للشبكة هي: مستوى الإدارة ومستوى التحكم ومستوى البيانات، يوفر كل مستوى وظائف مختلفة يلزم حمايتها. يوفر هذا المستند نظرة عامة على كل ميزة ومراجع مضمنة للوثائق ذات الصلة.

• مستوى الإدارة - يُدير مستوى الإدارة حركة مرور البيانات التي يتم إرسالها إلى جهاز CISCO IOS ويتكون من تطبيقات وبروتوكولات مثل طبقة الأمان (SSH) وبروتوكول إدارة الشبكة البسيط (SNMP).
  
  
• مستوى التحكم- يعمل مستوى التحكم بجهاز الشبكة على معالجة حركة مرور البيانات وهو ما يعد أمرًا في غاية الأهمية للحفاظ على وظائف البنية التحتية للشبكة. يتكون مستوى التحكم من تطبيقات وبروتوكولات بين أجهزة الشبكة، مثل بروتوكول العبّارة الحدودية (BGP)، بالإضافة إلى بروتوكولات العبّارة الداخلية (IGPs). كما تم تضمين بروتوكول توجيه العبّارة الداخلي المحسّن (EIGRP) وبروتوكول فتح أقصر مسار أولاً (OSPF).
  
  
• مستوى البيانات- يعمل مستوى البيانات على إعادة توجيه البيانات من خلال جهاز الشبكة. لا يتضمن مستوى البيانات حركة مرور البيانات التي يتم إرسالها إلى جهاز Cisco IOS المحلي.

غالبًا ما توفر لك ميزات الأمان التي يغطيها هذا المستند تفاصيل كافية لتكوين الميزة الموضحة. ومع ذلك، في حالة عدم توفر التفاصيل، يتم شرح الميزة بطريقة يمكنك من خلالها تقييم ما إذا كان مطلوبًا توجيه اهتمام إضافي بالميزة. حيثما يكون ذلك ممكنًا ومناسبًا، يحتوي هذا المستند على توصيات، والتي في حال تنفيذها، ستساعد على تأمين الشبكة.

العمليات الآمنة

تعد عمليات الشبكة الآمنة موضوعًا جوهريًا. وعلى الرغم من أنه قد تم تخصيص معظم محتوى هذا المستند للتكوين الآمن لجهاز ‪Cisco IOS‬، إلا أن عمليات التكوين وحدها لا تؤمّن الشبكة بشكل كامل. تساهم الإجراءات التشغيلية المُستخدمة في الشبكة في الأمان بنفس قدر مساهمتها في تكوين الأجهزة الأساسية.

تحتوي هذه الموضوعات على توصيات تشغيلية نوصيك بتنفيذها. تلقي هذه الموضوعات الضوء على المناطق الهامة المخصصة لعمليات الشبكة وهي ليست شاملة.

مراقبة استجابات واستشارات أمان Cisco

يعمل فريق الاستجابة لحوادث أمان منتجات Cisco ‫(PSIRT)‬ على إنشاء والاحتفاظ بالمنشورات، التي يُشار اليها عادةً باسم "توجيهاتPSIRT"، الخاصة بالمشكلات المتعلقة بالأمان في منتجات Cisco. الطريقة المُستخدمة للتواصل مع المشاكل الأقل خطورة هي "استجابة أمان Cisco". تتوفر الخدمات الاستشارية والاستجابات الأمنية على الخدمات الاستشارية الأمنية من Cisco.

كما تتوفر معلومات إضافية حول وسائل التواصل هذه في نهج الثغرات الأمنية من Cisco.

للحفاظ على أمان الشبكة، كن على دراية بالاستجابات والخدمات الاستشارية الأمنية من Cisco التي تم إصدارها. تحتاج إلى معرفة الثغرة الأمنية قبل إمكانية تقييم التهديد الذي يمكن أن يواجه الشبكة. ارجع إلى إعلانات تصنيف المخاطر على الثغرات الأمنية للمساعدة في عملية التقييم هذه.

الاستفادة من المصادقة والتفويض والمحاسبة

يعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا حيويًا لتأمين أجهزة الشبكة. كما يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) مصادقة جلسات عمل الإدارة ويمكنه أيضًا تقييد المستخدمين بأوامر محددة ومُعرفة من قِبل المسؤول وتسجيل جميع الأوامر التي تم إدخالها بواسطة جميع المستخدمين. راجع قسم المصادقة والتفويض والمحاسبة في هذا المستند للحصول على مزيد من المعلومات حول كيفية الاستفادة من المصادقة والتفويض والمحاسبة (AAA).

تمركز جمع السجلات وعملية المراقبة

لاكتساب المعرفة بشأن الأحداث الحالية والناشئة والمحفوظة المتعلقة بالحوادث الأمنية، يجب أن تكون لمؤسستك استراتيجية موحدة لسجلات الأحداث وربطها. يجب أن تعمل هذه الاستراتيجية الموحدة على الاستفادة من السجلات من جميع أجهزة الشبكة واستخدام إمكانيات الربط القابلة للتخصيص والتي تم تجميعها في حزم مسبقًا.

بعد تنفيذ السجلات المركزية، يجب عليك تطوير أسلوب مهيكل لتحليل السجل وتتبع الحوادث. وبناءً على احتياجات مؤسستك، يمكن أن يتراوح هذا الأسلوب من مراجعة شاملة بسيطة لبيانات السجل إلى التحليل المتقدم القائم على القواعد.

راجع قسم أفضل ممارسات التسجيل في هذا المستند للحصول على مزيد من المعلومات حول كيفية تنفيذ السجلات على أجهزة شبكة Cisco IOS.

استخدام بروتوكولات آمنة عند الإمكان

يتم استخدام عدة بروتوكولات لحمل بيانات إدارة الشبكة الحساسة. استخدم بروتوكولات آمنة كلما أمكن ذلك. ويتضمن خيار البروتوكول الآمن استخدام الطبقة الآمنة (SSH) بدلاً من برنامج Telnet حتى يتم تشفير بيانات المصادقة ومعلومات الإدارة. بالإضافة إلى ذلك، استخدم بروتوكولات نقل الملفات الآمنة عند نسخ بيانات التكوين. والمثال على ذلك هو استخدام بروتوكول النسخ الآمن (SCP) بدلاً من FTP أو TFTP. 

راجع قسم جلسات عمل الإدارة التفاعلية الآمنة في هذا المستند للحصول على مزيد من المعلومات حول الإدارة الآمنة لأجهزة Cisco IOS.

اكتساب إمكانية الرؤية لحركة مرور البيانات باستخدام NetFlow

يتيح لك NetFlow إمكانية مراقبة تدفقات حركة مرور البيانات في الشبكة. وبتصميمه في الأصل لتصدير معلومات حركة مرور البيانات إلى تطبيقات إدارة الشبكة، فإنه من الممكن أيضًا استخدام NetFlow لعرض معلومات تدفق البيانات على الموّجه. تتيح لك هذه الإمكانية الاطّلاع على حركة مرور البيانات التي تجتاز الشبكة في الوقت الفعلي. وبغض النظر عما إذا كانت معلومات التدفق يتم تصديرها إلى مجمِّع بعيد أم لا، فإننا ننصحك بتكوين أجهزة الشبكة لـ NetFlow حتى يمكن استخدامه بشكل تفاعلي عند الحاجة.

يتوفر المزيد من المعلومات حول هذه الميزة في قسم تعريف حركة مرور البيانات وتتبع الأثر في هذا المستند وعلى Cisco IOS NetFlow.

ملاحظة: يحظى مستخدمو Cisco المسجلون فقط بإمكانية الوصول إلى المعلومات والأدوات الداخلية.

إدارة التكوين

إدارة التكوين هي عملية يتم من خلالها اقتراح تغييرات التكوين ومراجعتها والموافقة عليها ونشرها. وضمن سياق تكوين جهاز ‪Cisco IOS‬، هناك جانبان إضافيان في إدارة التكوين على قدر كبير من الأهمية: أرشفة التكوين وأمانه.

استخدم أرشيفات التكوين لاستعادة التغييرات التي تم إجراؤها على أجهزة الشبكة. في إطار سياق أمني، يمكن استخدام أرشيفات التكوين أيضًا لتحديد التغييرات الأمنية التي تم إجراؤها ووقت حدوث هذه التغييرات. ومع بيانات سجل المصادقة والتفويض والمحاسبة (AAA)، يمكن أن تساعد هذه المعلومات في تدقيق الأمان لأجهزة الشبكة.

يحتوي تكوين جهاز ‪Cisco IOS‬ على العديد من التفاصيل الحساسة. أسماء المستخدمين وكلمات المرور ومحتويات قوائم التحكم في الوصول هي أمثلة على هذه المعلومات الحساسة. يجب تأمين المستودع المُستخدم لأرشفة تكوينات جهاز Cisco IOS. فقد يؤدي الوصول غير الآمن إلى هذه المعلومات إلى تقويض أمان الشبكة بالكامل.

مستوى الإدارة

يتكون مستوى الإدارة من وظائف تحقق أهداف إدارة الشبكة. وهذا المستوى يتضمن جلسات عمل الإدارة التفاعلية التي تستخدم الطبقة الآمنة (SSH)، وكذلك تجميع الإحصائيات باستخدام بروتوكول SNMP أو NetFlow. عندما تضع أمان جهاز الشبكة في الاعتبار، فمن المهم أن يكون مستوى الإدارة محميًا. إذا كانت الحادثة الأمنية قادرة على تقويض وظائف مستوى الإدارة، فقد يكون من المستحيل استرداد الشبكة أو جعلها مستقرة.

تفصِّل هذه الأقسام في هذا المستند ميزات الأمان والتكوينات المتوفرة في برنامج ‪Cisco IOS software‬ والتي تساعد على تقوية مستوى الإدارة.

تقوية مستوى الإدارة العامة

يُستخدم مستوى الإدارة للوصول إلى الجهاز وتكوينه وإدارته، وكذلك مراقبة عملياته والشبكة التي يتم نشره عليها. يستقبل مستوى الإدارة حركة مرور البيانات ويرسلها لعمليات هذه الوظائف. قم بتأمين كل من مستوى الإدارة ومستوى التحكم للجهاز، لأن عمليات مستوى التحكم تؤثر بشكل مباشر على عمليات مستوى الإدارة. تتضمن هذه البروتوكولات المُستخدمة بواسطة مستوى الإدارة ما يلي:

• بروتوكول إدارة الشبكة البسيط
• Telnet
• بروتوكول طبقة الأمان
• بروتوكول نقل الملفات
• بروتوكول نقل النص التشعبي / بروتوكول نقل النص التشعبي الآمن

• بروتوكول نقل الملفات المبسط
• بروتوكول النسخ الآمن
• TACACS+
• RADIUS
• Netflow
• بروتوكول وقت الشبكة
• Syslog

يجب اتخاذ خطوات لضمان استمرارية مستويات الإدارة والتحكم أثناء الحوادث الأمنية. في حال مهاجمة أي من هذين المستويين بنجاح، فمن الممكن اختراق جميع المستويات.

إدارة كلمة المرور

تتحكم كلمات المرور في الوصول إلى الموارد أو الأجهزة. ويتم تحقيق ذلك من خلال كلمة المرور المُستخدمة لمصادقة الطلبات. عند تلقي طلب للوصول إلى مورد أو جهاز، يتم اعتراض الطلب للتحقُّق من كلمة المرور والهوية، ويمكن منح حق الوصول أو رفضه أو تقييده بناءً على النتيجة. كأفضل ممارسة أمان، يجب إدارة كلمات المرور باستخدام خادم مصادقة ‪TACACS+‬ أو RADIUS. ومع ذلك، لا تزال هناك حاجة إلى كلمة مرور يتم تكوينها محليًا للوصول المميز في حالة فشل خدمات ‪TACACS+‬ أو RADIUS. وقد يحتوي الجهاز أيضًا على معلومات كلمة المرور الأخرى الموجودة ضمن التكوين الخاص به، مثل مفتاح NTP أو سلسلة مجتمع SNMP أو مفتاح بروتوكول التوجيه.

يتم إستخدام الأمر enable secret لتعيين كلمة المرور التي تمنح حق الوصول الإداري المميز إلى نظام Cisco IOS system. يجب إستخدامenable secretالأمر، بدلا من الأمر الأقدمenable password. يستخدم الأمرenable passwordخوارزمية تشفير ضعيفة.

إذا لم يتم تعيين أي enable secret كلمة مرور وتم تكوين كلمة مرور لسطر tty في وحدة التحكم، يمكن إستخدام كلمة مرور وحدة التحكم لتلقي حق الوصول المميز، حتى من جلسة عمل tty افتراضية (vty) عن بعد. من المؤكد أن هذا الإجراء غير مرغوب فيه غالبًا وهو سبب آخر لضمان تكوين أمر enable secret.

service password-encryption يوجه أمر التكوين العام برنامج Cisco IOS software لتشفير كلمات المرور، والمفاتيح السرية لبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP)، والبيانات المماثلة التي يتم حفظها في ملف التكوين الخاص به. ويُعد هذا التشفير مفيدًا لمنع المراقبين غير الرسميين من مراقبة كلمات المرور، كما هو الحال عندما ينظرون إلى الشاشة عبر المعلومات الخفية لمسؤول. ومع ذلك، فإن الخوارزمية التي يستخدمها service password-encryption الأمر هي أسلوب تشفير Vigen re cipher بسيط. لم يتم تصميم الخوارزمية لحماية ملفات التكوين من التحليل الخطير حتى من قِبل المهاجمين المعقدين قليلاً ويجب عدم استخدامها لهذا الغرض. يجب التعامل مع أي ملف تكوين في نظام Cisco IOS يحتوي على كلمات مرور مشفرة بالعناية نفسها التي يتم إيلاؤها لقائمة النصوص غير المشفرة لكلمات المرور هذه.

بينما لا يتم إستخدام خوارزمية التشفير الضعيفة هذه من قبل enable secret الأمر، فإنها تستخدم من قبل أمر التكوين enable password العام، وكذلك أمر تكوين password السطر. enable secret يجب إزالة هذا النوع من كلمات المرور ويلزم إستخدام الأمر أو ميزة أمان كلمة المرور المحسن.

يستخدمenable secretكل من الأمر وميزة "أمان كلمة المرور المحسن" دالة "هضم الرسالة 5 (MD5)" لتجزئة كلمة المرور. لقد خضعت هذه الخوارزمية لمراجعة عامة معتبرة ولا تُعرف على أنها قابلة للعكس. ومع ذلك، تخضع الخوارزمية إلى هجمات القاموس. في إحدى هجمات القاموس، يحاول أحد المهاجمين تجربة كل كلمة في قاموس أو قائمة أخرى من كلمات المرور المرشحة للعثور على تطابق. لذلك، يجب تخزين ملفات التكوين بشكل آمن ومشاركتها فقط مع الأفراد الموثوق بهم.

أمان كلمة المرور المحسن

تتيح ميزة "أمان كلمة المرور المحسن"، المقدمة في الإصدار 12.2(8)T من برنامج Cisco IOS Software، للمسؤول إمكانية تكوين تجزئة MD5 لكلمات مرورusernameالأمر. قبل هذه الميزة، كان هناك نوعان من كلمات المرور: Type 0، وهي كلمة مرور للنصوص غير المشفرة، وType 7، التي تستخدم الخوارزمية من أسلوب التشفير Vigen re cipher. لا يمكن استخدام ميزة "أمان كلمة المرور المحسّن" مع البروتوكولات التي تتطلب كلمة مرور النصوص غير المشفرة لتكون قابلة للاسترداد، مثل بروتوكول CHAP.

لتشفير كلمة مرور مستخدم باستخدام تجزئة MD5، قم بإصدار أمر التكوين العامusername secret.

!

username <name> secret <password>

!

قفل إعادة محاولة تسجيل الدخول بكلمة المرور

تتيح لك ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور"، التي تمت إضافتها في الإصدار ‪12.3(14)T‬ من البرنامج Cisco IOS Software، إمكانية قفل حساب مستخدم محلي بعد عدد يتم تكوينه لمحاولات تسجيل الدخول غير الناجحة. بمجرد قفل حساب مستخدم، يتم قفل حسابه حتى تفتحه أنت. لا يمكن قفل حساب مستخدم مفوَّض تم تكوينه بمستوى الامتياز 15 باستخدام هذه الميزة. احتفظ بعدد المستخدمين الذين يتمتعون بمستوى الامتياز 15 عند الحد الأدنى.

لاحظ أنه يمكن للمستخدمين المفوَّضين قفل حساباتهم بأنفسهم من جهاز ما إذا تم الوصول إلى عدد محاولات تسجيل الدخول غير الناجحة. بالإضافة إلى ذلك، يمكن لمستخدم ضار إنشاء حالة قطع الخدمة (DoS) بمحاولات متكررة للمصادقة باستخدام اسم مستخدم صالح.

يوضح المثال التالي كيفية تمكين ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور":

!

aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local

!

username <name> secret <password>

!

تنطبق هذه الميزة أيضًا على طرق المصادقة، مثل بروتوكول CHAP وبروتوكول مصادقة كلمة المرور (PAP).

لا يوجد استرداد لكلمة مرور الخدمة

في الإصدار ‪12.3(14)T‬ من برنامج Cisco IOS Software والإصدارات الأحدث، لا تشمح ميزة "عدم استرداد كلمة مرور الخدمة" لأي شخص يتمتع بحق الوصول إلى وحدة التحكم بالوصول بشكل غير آمن إلى تكوين الجهاز ومسح كلمة المرور. كما أنها لا تسمح للمستخدمين الضارين بتغيير قيمة سجل التكوين والوصول إلى NVRAM (ذاكرة الوصول العشوائي غير المتطايرة).

!

no service password-recovery

!

يوفر برنامج Cisco IOS إجراء لاسترداد كلمة المرور يعتمد على الوصول إلى "وضع مراقبة ذاكرة القراءة فقط (ROMMON)" الذي يستخدم مفتاح Break (الإيقاف المؤقت) أثناء بدء تشغيل النظام. في وضع ROMMON، يمكن إعادة تحميل برنامج الجهاز من أجل المطالبة بتكوين جديد للنظام يتضمن كلمة مرور جديدة.

يتيح إجراء استرداد كلمة المرور الحالية لأي شخص لديه حق وصول إلى وحدة التحكم إمكانية الوصول إلى الجهاز وشبكته. تمنع ميزة "عدم استرداد كلمة مرور الخدمة" إكمال تسلسل مفتاح Break (الإيقاف المؤقت) ودخول ROMMON أثناء بدء تشغيل النظام.

في حال no service password-recovery تمكين الجهاز، فمن المستحسن أن يتم حفظ نسخة من تكوين الجهاز دون اتصال بالإنترنت وتنفيذ حل أرشفة للتكوين. إذا كان من الضروري استعادة كلمة المرور الخاصة بجهاز Cisco IOS بمجرد تمكين هذه الميزة، فسيتم حذف التكوين بالكامل.

ارجع إلى مثال تكوين ROMMON الآمن للحصول على مزيد من المعلومات حول هذه الميزة.

تعطيل الخدمات غير المُستخدمة

كواحدة من أفضل الممارسات الأمنية، يجب تعطيل أي خدمة غير ضرورية. نادرًا ما يتم استخدام الخدمات غير الضرورية، وخاصة تلك التي تستخدم بروتوكول مخطط بيانات المستخدم (UDP)، لأغراض مشروعة، ولكن يمكن استخدامها من أجل تشغيل رفض الخدمة (DoS) والهجمات الأخرى التي يتم منعها بخلاف ذلك بواسطة تصفية الحِزم.

قم بتعطيل خدمات TCP وUDP الصغيرة. وتشمل هذه الخدمات ما يلي:

• echo (منفذ رقم 7)
  
  
• discard (منفذ رقم 9)
  
  
• daytime (منفذ رقم 13)
  
  
• chargen (منفذ رقم 19)

على الرغم من أنه يمكن تجنُّب إساءة استخدام الخدمات الصغيرة أو جعلها أقل خطورة من خلال قوائم الوصول المضادة للانتحال، قم بتعطيل الخدمات على أي جهاز يمكن الوصول إليه داخل الشبكة. وبشكل افتراضي، يتم تعطيل الخدمات الصغيرة في الإصدار 12.0 من برنامج Cisco IOS والإصدارات الأحدث. في إصدارات البرنامج السابقة، يمكن إصدار أوامر التكوين no service tcp-small-servers العام no service udp-small-servers و تعطيلها.

تتضمن الخدمات الإضافية التي يجب تعطيلها، في حالة عدم استخدامها:

• قم بإصدارno ip fingerأمر التكوين العام لتعطيل خدمة Finger. وبشكل افتراضي، تقوم الإصدارات الأحدث من الإصدارين ‪12.1(5)‬ و‪12.1(5)T‬ من برنامج Cisco IOS بتعطيل هذه الخدمة بشكل افتراضي.
• قم بإصدارno ip bootp serverأمر التكوين العام لتعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP).
• في الإصدار ‪12.2(8)‬ والإصدارات الأحدث من برنامج Cisco IOS، إصدار الأمر ip dhcp bootp ignore في وضع التكوين العام لتعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP). وهذا يؤدي إلى تمكين خدمات بروتوكول التكوين الديناميكي للمضيف (DHCP).
• يمكن تعطيل خدمات DHCP إذا لم تكن خدمات ترحيل DHCP مطلوبة. قم بإصدار الأمر no service dhcp في وضع التكوين العام.
• إصدار الأمر no mop enabled في وضع تكوين الواجهة لتعطيل خدمة بروتوكول عملية الصيانة (MOP).
• إصدار أمر التكوين العام no ip domain-lookup لتعطيل خدمات تحليل نظام اسم المجال (DNS).
• إصدار الأمر no service pad في وضع التكوين العام لتعطيل خدمة مجمِّع/مجزِّئ الحِزم (PAD)، والتي يتم استخدامها لشبكات X.25.
  يمكن تعطيل خادم HTTP باستخدام الأمر no ip http server في وضع التكوين العام، ويمكن تعطيل خادم HTTP الآمن (HTTPS) باستخدام أمر التكوين العام no ip http secure-server.
  إذا لم تسترد أجهزة Cisco IOS التكوينات من الشبكة أثناء بدء التشغيل، فيجب استخدام أمر التكوين العام no service config. وهذا يؤدي إلى منع جهاز Cisco IOS من محاولة تحديد موقع ملف تكوين على الشبكة باستخدام TFTP.
  بروتوكول اكتشاف Cisco ‫(CDP)‬ هو بروتوكول شبكة يتم استخدامه لاكتشاف الأجهزة الأخرى التي تم تمكين CDP عليها لتجاور الأجهزة القريبة وهيكل الشبكة. يمكن استخدام CDP بواسطة أنظمة إدارة الشبكة (NMS) أو عند حدوث عزل للمشكلة. يجب تعطيل CDP على جميع الواجهات المتصلة بالشبكات غير الموثوق بها. ويتم تحقيق ذلك باستخدام أمر الواجهة no cdp enable. بدلاً من ذلك، يمكن تعطيل CDP بشكل عام باستخدام أمر التكوين العام no cdp run. لاحظ أنه يمكن استخدام CDP من قِبل مستخدم ضار لاستكشاف الشبكة وتخطيطها.
• بروتوكول اكتشاف طبقة الارتباط (LLDP) هو بروتوكول IEEE الذي يتم تعريفه في المعيار 802.1AB وهو مشابه لـ CDP. ومع ذلك، يتيح هذا البروتوكول قابلية التشغيل البيني بين الأجهزة الأخرى التي لا تدعم بروتوكول CDP. يجب التعامل مع بروتوكول LLDP بنفس الطريقة التي يتم بها التعامل مع CDP ويجب تعطيلها في جميع الواجهات التي تتصل بالشبكات غير الموثوق بها. ولتحقيق ذلك، قم بإصدار أمرَيْ تكوين الواجهة no lldp transmit وno lldp receive. قم بإصدار أمر التكوين العام no lldp run لتعطيل LLDP بشكل عام. كما يمكن استخدام LLDP من قِبل مستخدم ضار لاكتشاف الشبكة وتخطيطها.

• بالنسبة للمُبدّلات التي تدعم التمهيد من sdflash، يمكن تحسين الأمان من خلال التمهيد من الذاكرة المؤقتة (flash) وتعطيل sdflash باستخدام أمر التكوين "no sdflash".

مهلة EXEC

لتعيين الفاصل الزمني الذي ينتظره مترجم أمر EXEC لإدخال المستخدم قبل إنهاء الجلسة، قم بإصدار أمر تكوين سطر exec-timeout. استخدم الأمر exec-timeout لتسجيل الخروج من الجلسات على خطوط vty أو tty التي تم تركها في وضع الخمول. وبشكل افتراضي، يتم فصل الجلسات بعد عشر دقائق من عدم النشاط.

!

line con 0
 exec-timeout <minutes> [seconds]
line vty 0 4
 exec-timeout <minutes> [seconds]
!

رسائل Keepalive لجلسات عمل TCP

تتيح أوامر التكوين العام service tcp-keepalives-in وservice tcp-keepalives-out للجهاز إمكانية إرسال حِزم TCP keepalive لجلسات عمل بروتوكول التحكم في الإرسال (TCP). استخدم هذا التكوين لتمكين رسائل تنشيط اتصال TCP على الاتصالات الواردة إلى الجهاز والاتصالات الصادرة من الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة تتم إزالتها من جهاز Cisco IOS المحلي.

!

service tcp-keepalives-in
service tcp-keepalives-out
!

استخدام واجهة الإدارة

يتم الوصول إلى مستوى إدارة الجهاز داخل النطاق الترددي أو خارج النطاق الترددي على واجهة إدارة مادية أو منطقية. وبشكل مثالي، يوجد الوصول إلى الإدارة داخل النطاق الترددي وخارجه على السواء لكل جهاز شبكة بحيث يمكن الوصول إلى مستوى الإدارة أثناء حالات انقطاع الشبكة.

وتُعد واجهة الاسترجاع المنطقية واحدة من أكثر الواجهات شيوعًا التي يتم استخدامها للوصول داخل النطاق الترددي إلى الجهاز. ودائمًا ما تكون واجهات الاسترجاع قيد التشغيل، في حين أن الواجهات المادية يمكن أن تغير الحالة، ومن المحتمل ألا تكون الواجهة قابلة للوصول إليها. يُوصى بإضافة واجهة استرجاع لكل جهاز كواجهة إدارة وأن يتم استخدامها حصريًا لمستوى الإدارة. وهذا يسمح للمسؤول بتطبيق السياسات عبر الشبكة لمستوى الإدارة. بمجرد تكوين واجهة الاسترجاع على جهاز، يمكن استخدامها من قِبل بروتوكولات مستوى الإدارة، مثل SSH وSNMP وsyslog، لإرسال حركة مرور البيانات واستقبالها.

!
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!

إعلامات حد الذاكرة

تتيح لك ميزة "إعلام حد الذاكرة"، التي تمت إضافتها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS، إمكانية تخفيف حالات انخفاض الذاكرة على الجهاز. وتستخدم هذه الميزة طريقتين للقيام بذلك: "إعلام حد الذاكرة" و"حجز الذاكرة".

تقوم ميزة "إعلام حد الذاكرة" بإنشاء رسالة سجل للإشارة إلى انخفاض الذاكرة المتاحة على الجهاز عن الحد الذي تم تكوينه. ويوضح مثال التكوين التالي كيفية تمكين هذه الميزة باستخدام أمر التكوين العام memory free low-watermark. فهذا يتيح للجهاز إمكانية إنشاء إعلام عندما تنخفض الذاكرة الحرة المتاحة عن الحد المحدد، ومرةً أخرى عندما ترتفع الحرة المتاحة لأعلى من الحد المحدد بنسبة خمسة بالمائة.

!

memory free low-watermark processor <threshold>
memory free low-watermark io <threshold>
!

يتم استخدام ميزة "حجز الذاكرة" بحيث تتوفر ذاكرة كافية للإعلامات الهامة. يوضّح مثال التكوين هذا كيفية تمكين هذه الميزة لضمان استمرار عمليات الإدارة في عملها عند استنفاد ذاكرة الجهاز.

!

memory reserve critical <value>
!

ارجع إلى ميزة إعلامات حد الذاكرة للحصول على مزيد من المعلومات حول هذه الميزة.

إعلام وضع حد وحدة المعالجة المركزية (CPU)

تتيح لك ميزة "إعلام حد وحدة المعالجة المركزية (CPU)"، التي تم تقديمها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS، إمكانية اكتشاف حالات تجاوز حِمل وحدة المعالجة المركزية (CPU) على جهاز ما للحد الذي تم تكوينه وتلقي إعلام بها. عندما يتم تجاوز الحد، يقوم الجهاز بإنشاء رسالة تنبيه SNMP وإرسالها. كلتا طريقتي وضع حد إستخدام وحدة المعالجة المركزية (CPU) مدعومتان على برنامج Cisco IOS software: حد الارتفاع وحد الهبوط.

يوضّح مثال التكوين التالي كيفية تمكين حدّي الارتفاع والهبوط اللذين يؤديان إلى تشغيل رسالة إعلام لحد وحدة المعالجة المركزية (CPU):

!

snmp-server enable traps cpu threshold
!

snmp-server host <host-address> <community-string> cpu 
!

process cpu threshold type <type> rising <percentage> interval <seconds> 
     [falling <percentage> interval <seconds>]
process cpu statistics limit entry-percentage <number> [size <seconds>]
!

ارجع إلى إعلام حد وحدة المعالجة المركزية (CPU) للحصول على مزيد من المعلومات حول هذه الميزة.

حجز الذاكرة للوصول إلى وحدة التحكم

في الإصدار ‪12.4(15)T‬ والإصدارات الأحدث من البرنامج Cisco IOS، يمكن استخدام ميزة "حجز الذاكرة لوصول وحدة التحكم" من أجل حجز مساحة كافية في الذاكرة لضمان وصول وحدة التحكم إلى جهاز Cisco IOS لأغراض إدارية وأغراض عزل المشكلة. تكون هذه الميزة مفيدة بشكل خاص عندما تنخفض مساحة ذاكرة الجهاز المتاحة. يمكنك إصدار أمر التكوين العام memory reserve console لتمكين هذه الميزة. يعمل هذا المثال على تكوين جهاز Cisco IOS لحجز 4096 كيلوبايت لهذا الغرض.

!
memory reserve console 4096
!

مكتشف تسريب الذاكرة

تتيح لك ميزة "مكتشف تسريب الذاكرة"، التي تم تقديمها في الإصدار ‪12.3(8)T1‬ من برنامج Cisco IOS Software، بإمكانية اكتشاف تسريب الذاكرة على الجهاز. يمكن لميزة "مكتشف تسريب الذاكرة" العثور على التسريبات الموجودة في جميع تجمّعات الذاكرة ومخازن الحِزم المؤقتة والقطع الصغيرة. تكون تسريبات الذاكرة عبارة عن عمليات تخصيص ثابتة أو ديناميكية للذاكرة لا تخدم أي غرض مفيد. تركّز هذه الميزة على عمليات تخصيص الذاكرة الديناميكية. يمكنك استخدام أمر EXEC ‫show memory debug leaks لاكتشاف وجود تسريبات في الذاكرة.

تجاوز سعة التخزين المؤقت: اكتشاف تلف Redzone (المنطقة الحمراء) وتصحيحه

في الإصدار ‪12.3(7)T‬ من البرنامج Cisco IOS Software والإصدارات الأحدث، يمكن تمكين ميزة "تجاوز سعة التخزين المؤقت: اكتشاف تلف Redzone (المنطقة الحمراء) وتصحيحه من خلال جهاز لاكتشاف تجاوز سعة كتلة في الذاكرة وتصحيحه ومتابعة العمليات.

يمكن استخدام أوامر التكوين العام لتمكين هذه الميزة. وبمجرد تكوينها، يمكن استخدام الأمر show memory overflow لعرض إحصائيات اكتشاف تجاوز سعة التخزين المؤقت وتصحيحها.

!
exception memory ignore overflow io
exception memory ignore overflow processor
!

مجموعة ملفات Crashinfo المحسّنة

تقوم ميزة "التجميع المحسّن لملفات Crashinfo" تلقائيًا بحذف ملفات crashinfo القديمة. وتتيح هذه الميزة، التي تمت إضافتها في الإصدار ‪12.3(11)T‬ من برنامج Cisco IOS، للجهاز بإعادة استدعاء مساحة من أجل إنشاء ملفات crashinfo جديدة عند تعطل الجهاز. كما تتيح هذه الميزة تكوين عدد من ملفات crashinfo المُراد حفظها.

!
exception crashinfo maximum files <number-of-files>
!

بروتوكول وقت الشبكة

لا يُعد "بروتوكول وقت الشبكة (NTP)" خدمة خطيرة، ولكن أي خدمة غير ضرورية قد تكون ناقلة للهجوم. إذا تم استخدام بروتوكول وقت الشبكة (NTP)، فمن المهم تكوين مصدر وقت موثوق به بشكل صريح واستخدام المصادقة المناسبة. يلزم توفر وقت دقيق وموثوق به لأغراض syslog (الدخول إلى النظام)، كما هو الحال أثناء التحقيقات الجنائية للهجمات المحتملة، وكذلك لاتصال VPN الناجح عند الاعتماد على شهادات مصادقة المرحلة الأولى.

• منطقة NTP الزمنية - عند تكوين بروتوكول وقت الشبكة (NTP)، يلزم تكوين المنطقة الزمنية بحيث يمكن ربط الطوابع الزمنية بدقة. هناك طريقتان نموذجيتان لتكوين المنطقة الزمنية للأجهزة في الشبكة ذات الحضور العالمي. تتمثل أولاهما في تكوين جميع أجهزة الشبكة باستخدام التوقيت العالمي المنسق (UTC) (توقيت جرينتش المركزي (GMT) سابقًا). بينما تتمثل الطريقة الأخرى في تكوين أجهزة الشبكة باستخدام المنطقة الزمنية المحلية. يمكن العثور على مزيد من المعلومات حول هذه الميزة في "المنطقة الزمنية للساعة" في وثائق منتجات Cisco.
  
  
• مصادقة NTP - إذا قمت بتكوين مصادقة NTP، فإنها توفر ضمانًا بتبادل رسائل NTP بين أقران NTP الموثوق بهم.

هذا نموذج تكوين يستخدم مصادقة NTP:

العميل:

(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5
(config)#ntp server 172.16.1.5 key 5

الخادم:

(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5

تعطيل التثبيت الذكي

تعتمد أفضل ممارسات الأمان التي تتعلق بميزة "التثبيت الذكي (SMI) من Cisco" على كيفية إستخدام الميزة في بيئة مستخدم معينة. تفرِّق Cisco بين حالات الاستخدام التالية:

• المستخدمون الذين لا يستخدمون ميزة SMI.
• المستخدمون الذين يستفيدون من ميزة SMI فقط للنشر دون لمس.
• المستخدمون الذين يستفيدون من ميزة Smart InstalSMI للنشر دون لمس (إدارة التكوين والصور).

وتصف الأقسام التالية كل سيناريو بالتفصيل:

• المستخدمون الذين لا يستخدمون ميزة SMI.
• يمكن للمستخدمين الذين لا يستخدمون ميزة SMI، ويقومون بتشغيل إصدار من برنامج Cisco IOS و Cisco IOS XE يتوفر فيه الأمر، تعطيل ميزة SMI باستخدام الأمر no vstack.

ملاحظة: تم إدخال الأمر vstack في الإصدار ‪12.2(55)SE03‬ من Cisco IOS.

هذا نموذج إخراج من الأمر show vstack على مُبدّل Cisco Catalyst مع تعطيل ميزة عميل SMI:

switch# show vstack 
config Role: Client (SmartInstall disabled) 
Vstack Director IP address: 0.0.0.0

العملاء الذين يستفيدون من ميزة "التثبيت الذكي" (SMI) فقط للنشر بدون لمس (Zero-Touch)

يمكنك تعطيل وظائف عميل SMI بعد اكتمال التثبيت من دون لمس أو باستخدام الأمر no vstack.

لانتشار الأمر no vstack في الشبكة، يمكنك استخدام إحدى الطريقتين التاليتين:

• إدخال الأمر no vstack على جميع مُبدّلات العميل يدويًا أو باستخدام برنامج نصي.
• إضافة الأمر no vstack كجزء من تكوين Cisco IOS الذي يتم دفعه إلى كل عميل SMI كجزء من التثبيت من دون لمس.
• في الإصدارات التي لا تدعم الأمر vstack (الإصدار ‪12.2(55)SE02‬ والإصدارات الأقدم من Cisco IOS)، يمكنك تطبيق قائمة تحكم في الوصول (ACL) على مُبدّلات العميل لحظر حركة مرور البيانات على منفذ TCP رقم 4786.

لتمكين وظائف عميل SMI لاحقًا، أدخِل الأمر vstack على جميع مُبدّلات العميل يدويًا أو باستخدام برنامج نصي.

العملاء الذين يستفيدون من ميزة SMI لأكثر من مجرد النشر بدون لمس (Zero-Touch)

في التصميم الخاص بالبنية التقنية لميزة SMI، توخَّ الحذر بحيث لا تكون مساحة عنوان IP للبنية الأساسية قابلة للوصول إليها من خلال أطراف غير موثوق بها. في الإصدارات التي لا تدعم الأمر vstack، تأكد من أن مدير SMI فقط لديه اتصال TCP لجميع عملاء SMI على المنفذ 4786.

يمكن للمسؤولين استخدام أفضل ممارسات الأمان التالية لعمليات نشر SMI على الأجهزة المتأثرة:

• قوائم التحكم في الوصول (ACLs) للواجهة
• تنظيم مستوى التحكم (CoPP). لا تتوفر هذه الميزة في جميع إصدارات برنامج Cisco IOS software.

يوضّح هذا المثال قائمة تحكم في الوصول (ACL) للواجهة مع عنوان IP لمدير SMI على 10.10.10.1 وعنوان IP لعميل SMI على 10.10.10.200:

ip access-list extended SMI_HARDENING_LIST
Permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

يجب نشر قائمة التحكم في الوصول (ACL) هذه على جميع واجهات IP على جميع العملاء. كما يمكن دفعها من قِبَل المدير عند نشر المُبدّلات لأول مرة.

ولإجراء مزيد من تقييد الوصول إلى جميع العملاء ضمن البنية التحتية، يمكن للمسؤولين استخدام أفضل ممارسات الأمان التالية على الأجهزة الأخرى في الشبكة:

• قوائم التحكم في الوصول إلى البنية الأساسية (iACLs)
• قوائم التحكم في الوصول إلى شبكة VLAN ‫(VACLs)‬

الحد من الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تُعد قوائم التحكم في الوصول للبنية التحتية (iACL)، التي تم تصميمها لمنع الاتصال المباشر غير المصرح به بأجهزة الشبكة، أحد أهم عناصر التحكم في الأمان المنفذة في الشبكات. حيث تستفيد قوائم التحكم في الوصول للبنية التحتية (iACL) من فكرة أن حركة مرور بيانات الشبكة كلها تقريبًا تعبر الشبكة ولا يتم توجيهها إلى الشبكة نفسها.

يتم إنشاء قائمة تحكم في الوصول إلى البنية الأساسية (iACL) وتطبيقها لتحديد الاتصالات من البيئات المضيفة أو الشبكات التي يجب السماح لها على أجهزة الشبكة. من الأمثلة الشائعة لهذه الأنواع من الاتصالات eBGP وSSH وSNMP. بعد السماح بالاتصالات المطلوبة، يتم رفض جميع حركات مرور البيانات الأخرى إلى البنية الأساسية بشكل صريح. ويتم بعد ذلك السماح بشكل صريح بجميع حركات مرور البيانات العابرة التي تعبر الشبكة ولا يتم توجيهها إلى أجهزة البنية الأساسية.

تُعد إجراءات الحماية التي توفرها قوائم التحكم في الوصول للبنية الأساسية (iACLs) ذات صلة بكل من مستويي الإدارة والتحكم. ويمكن تسهيل عملية تنفيذ قوائم التحكم في الوصول للبنية التحتية (iACLs) من خلال استخدام عناوين مميزة لأجهزة البنية التحتية للشبكة. ارجع إلى نهج موجّه نحو الأمان لعنونة IP للحصول على مزيد من المعلومات حول التأثيرات الأمنية لعناوين IP.

يوضّح هذا المثال لتكوين قائمة التحكم في الوصول للبنية التحتية (iACLs) البنية التي يجب استخدامها كنقطة بداية عند بدء عملية تنفيذ قائمة التحكم في الوصول للبنية التحتية (iACL):

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit required connections for routing protocols and
!--- network management
!

 permit tcp host <trusted-ebgp-peer> host <local-ebgp-address> eq 179
 permit tcp host <trusted-ebgp-peer> eq 179 host <local-ebgp-address>
 permit tcp host <trusted-management-stations> any eq 22
 permit udp host <trusted-netmgmt-servers> any eq 161
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ويجب تطبيق قائمة التحكم في الوصول للبنية الأساسية (iACL)، بمجرد إنشائها، على جميع الواجهات التي تواجه الأجهزة غير التابعة للبنية الأساسية. وهذا يشمل الواجهات التي تتصل بمؤسسات أخرى وشرائح الوصول عن بُعد وشرائح المستخدمين والشرائح الموجودة في مراكز البيانات.

ارجع إلى حماية طبقتك الأساسية: قوائم التحكم في الوصول لحماية البنية الأساسية للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول (ACLs) للبنية الأساسية.

تصفية حزم ICMP

يتم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول للتحكم في بروتوكول الإنترنت (IP). على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تفاعل كبير مع بروتوكولات TCP وIP بشكل عام. وبينما تستخدم أداتا الشبكة، ping وtraceroute، لاستكشاف الأخطاء وإصلاحها بروتوكول رسائل التحكم في الإنترنت (ICMP)، يكون من النادر أن تكون هناك حاجة إلى اتصال بروتوكول رسائل التحكم في الإنترنت (ICMP) الخارجي للتشغيل السليم للشبكة.

يوفر برنامج ‪Cisco IOS‬ الوظائف اللازمة لتصفية رسائل ICMP على وجه التحديد حسب الاسم أو النوع والرمز. وهذا المثال لقائمة التحكم في الوصول (ACL)، والذي يجب استخدامه مع إدخالات التحكم في الوصول (ACEs) من الأمثلة السابقة، يسمح بأدوات اختبار الاتصال الواردة من محطات الإدارة الموثوق فيها وخوادم NMS ويحظر جميع حِزم ICMP الأخرى:

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit ICMP Echo (ping) from trusted management stations and servers
!

 permit icmp host <trusted-management-stations> any echo
 permit icmp host <trusted-netmgmt-servers> any echo
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

تصفية أجزاء IP

يمكن أن تُمثل عملية تصفية حِزم IP المجزأة تحديًا بالنسبة لأجهزة الأمان. وهذا يرجع لأن معلومات الطبقة 4 التي يتم استخدامها لتصفية حِزم TCP وUDP موجودة فقط في الجزء الأولي. يستخدم برنامج Cisco IOS طريقة خاصة للتحقق من الأجزاء غير الأولية مقابل قوائم الوصول التي تم تكوينها. ويعمل برنامج Cisco IOS على تقييم هذه الأجزاء غير الأولية مقابل قائمة التحكم في الوصول (ACL) ويتجاهل أي معلومات تمت تصفيتها من الطبقة 4. وهذا يتسبب في تقييم الأجزاء غير الأولية فقط على جزء الطبقة 3 من أي إدخال للتحكم في الوصول (ACE) تم تكوينه. 

في مثال التكوين هذا، إذا تمت تجزئة حِزمة TCP الموجّهة إلى 192.168.1.1 على المنفذ 22 أثناء العبور، فيتم إسقاط الجزء الأولي كما هو متوقع من إدخال التحكم في الوصول (ACE) الثاني القائم على معلومات الطبقة 4 داخل الحِزمة. ومع ذلك، فإنه يتم السماح بجميع الأجزاء المتبقية (غير الأولية) من قِبل إدخال التحكم في الوصول (ACE) الأول القائم بشكل كامل على معلومات الطبقة 3 في الحِزمة وإدخال التحكم في الوصول (ACE). ويتم توضيح هذا السيناريو في هذا التكوين:

!

ip access-list extended ACL-FRAGMENT-EXAMPLE
 permit tcp any host 192.168.1.1 eq 80
 deny tcp any host 192.168.1.1 eq 22
!

نظرًا للطبيعة غير البديهية للتعامل مع الأجزاء، غالبًا ما يتم السماح بأجزاء IP دون قصد بواسطة قوائم التحكم في الوصول (ACLs). غالبًا ما يتم استخدام التجزئة في محاولات التهرب من عمليات الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبًا ما يتم استخدام أجزاء IP في الهجمات، وهذا يفسّر سبب وجوب تصفيتها بشكل صريح في قمة أي قوائم تحكم في الوصول إلى البنية التحتية (iACLs) تم تكوينها. ويتضمن هذا المثال على قائمة التحكم في الوصول (ACL) التصفية الشاملة لأجزاء IP. يجب استخدام الوظائف الواردة من هذا المثال مع وظائف الأمثلة السابقة.

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ارجع إلى قوائم التحكم في الوصول وأجزاء IP للحصول على مزيد من المعلومات حول كيفية معالجة قائمة التحكم في الوصول (ACL) لحِزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

أضاف الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS دعم استخدام قوائم التحكم في الوصول (ACLs) إلى تصفية حِزم IP استنادًا إلى خيارات IP المُضمّنة في الحِزمة. تمثل خيارات IP تحديًا أمنيًا لأجهزة الشبكة لأنه يجب معالجة هذه الخيارات كحِزم استثناء. وهذا يتطلب مستوى من جهد وحدة المعالجة المركزية (CPU) لا يكون مطلوبًا للحِزم النموذجية التي تجتاز الشبكة. كما يمكن أن يشير وجود خيارات IP داخل الحِزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص عبور الحِزمة بطريقة خلاف ذلك. ولهذه الأسباب يجب تصفية الحِزم المزودة بخيارات IP عند حافة الشبكة.

يجب استخدام هذا المثال مع إدخالات التحكم في الوصول (ACEs) الواردة من الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

دعم قائمة التحكم في الوصول (ACL) للتصفية حسب قيمة مدة البقاء (TTL)

أضاف الإصدار ‪12.4(2)T‬ من برنامج Cisco IOS دعم قائمة التحكم في الوصول (ACL) لتصفية حِزم IP استنادًا إلى قيمة مدة البقاء (TTL). يتم تقليل قيمة مدة البقاء (TTL) لمخطط بيانات IP تدريجيًا بواسطة كل جهاز على الشبكة أثناء تدفق الحِزمة من المصدر إلى الوجهة. رغم اختلاف القيم الأولية حسب نظام التشغيل، إلا أنه يجب إسقاط الحِزمة عندما تصل مدة البقاء (TTL) للحِزمة إلى صفر. ويلزم وجود الجهاز الذي يقلل تدريجيًا من مدة البقاء (TTL) إلى الصفر، وبالتالي يقوم بإسقاط الحزمة، لإنشاء رسالة "تجاوز وقت بروتوكول التحكم برسائل الإنترنت (ICMP)" وإرسالها إلى مصدر الحِزمة.

يُعد إنشاء هذه الرسائل وإرسالها عملية استثنائية. يمكن أن تؤدي الموجّهات هذه الوظيفة عندما يكون عدد حِزم IP التي من المقرر أن تنتهي صلاحيتها منخفضًا؛ لكن إذا كان عدد الحِزم التي من المقرر أن تنتهي صلاحيتها مرتفعًا، فيمكن أن يستهلك إنشاء هذه الرسائل وإرسالها جميع موارد وحدة المعالجة المركزية (CPU) المتاحة. وهذا يقدّم متجهًا لهجوم رفض الخدمة (DoS). ولهذا السبب يجب زيادة صلابة الأجهزة ضد هجمات رفض الخدمة (DoS) التي تستخدم معدلاً مرتفعًا من حِزم IP التي من المقرر أن تنتهي صلاحيتها.

يُوصى بقيام المؤسسات بتصفية حِزم IP ذات قيم مدة البقاء (TTL) المنخفضة عند حافة الشبكة. تؤدي التصفية الكاملة للحِزم ذات قيم مدة البقاء (TTL) غير الكافية لاجتياز الشبكة إلى التخفيف من تهديد الهجمات القائمة على مدة البقاء (TTL).

هذا المثال على قائمة التحكم في الوصول (ACL) يقوم بتصفية الحِزم ذات قيم مدة البقاء (TTL) الأقل من ستة. وهذا يوفر الحماية ضد هجمات انتهاء صلاحية مدة البقاء (TTL) للشبكات التي يصل عرضها إلى خمس نقلات.

!

ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets with TTL values insufficient to traverse the network
!

 deny ip any any ttl lt 6
!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!

 permit ip any any
!

ملاحظة: تحقق بعض البروتوكولات استخدامًا شرعيًا للحِزم ذات قيم مدة البقاء (TTL) المنخفضة. eBGP هو واحد من تلك البروتوكولات. ارجع إلى تحديد هجوم انتهاء صلاحية مدة البقاء (TTL) والتخفيف منه للحصول على مزيد من المعلومات حول التخفيف من الهجمات القائمة على انتهاء صلاحية مدة البقاء (TTL).

تأمين جلسات الإدارة التفاعلية

توفر جلسات الإدارة للأجهزة إمكانية عرض وتجميع المعلومات التي تتعلق بجهاز ما وعملياته. إذا تم الإفصاح عن هذه المعلومات لمستخدم ضار، يمكن أن يصبح الجهاز هدفًا لهجوم أو أن يتم اختراقه أو استخدامه لتنفيذ هجمات إضافية. يتمتع أي شخص لديه حق الوصول المميز إلى جهاز ما بالقدرة على التحكم الإداري الكامل في ذلك الجهاز. يلزم تأمين جلسات الإدارة لمنع الإفصاح عن المعلومات والوصول غير المصرح به إليها.

حماية مستوى الإدارة

في الإصدار 12.4(6)T من برنامج Cisco IOS Software والإصدارات الأحدث، تتيح ميزة "حماية مستوى الإدارة (MPP)" للمسؤول فرض قيود على حركة مرور بيانات إدارة الواجهات المختلفة التي يتم استقبالها بواسطة جهاز. وهذا يسمح للمسؤول بالتحكم الإضافي في الجهاز وكيفية الوصول إليه.

يوضح هذا المثال كيفية تمكين ميزة حماية مستوى الإدارة (MPP) للسماح فقط لكل من SSH وHTTPS على واجهة GigabitEthernet0/1:

!

control-plane host
  management-interface GigabitEthernet 0/1 allow ssh https
!

ارجع إلى حماية مستوى الإدارة للحصول على مزيد من المعلومات عن ميزة "حماية مستوى الإدارة (MPP)".

ملاحظة: لا تدعم حماية مستوى الإدارة (MPP) مسار إدخال IPv6 وتقتصر على مسار إدخال IPv4. نظرًا لعدم تصفية IPv6، استخدم CoPP في بيئات IPv4/IPv6 المختلطة.

حماية مستوى التحكم

يتم إنشاء ميزة "حماية مستوى التحكم (CPPr)" على أساس وظائف "تنظيم مستوى التحكم" لتقييد حركة مرور بيانات مستوى التحكم التي يتم توجيهها إلى معالج التوجيه لجهاز Cisco IOS والتحكم فيها. تعمل ميزة "حماية مستوى التحكم (CPPr)"، التي تمت إضافتها في الإصدار ‪12.4(4)T‬ من برنامج Cisco IOS، على تقسيم مستوى التحكم إلى فئات منفصلة لمستوى التحكم، المعروفة باسم الواجهات الفرعية. توجد ثلاث واجهات فرعية لمستوى التحكم: المضيف والعبور واستثناء إعادة التوجيه السريع من Cisco (CEF). وبالإضافة إلى ذلك، تتضمن حماية مستوى التحكم (CPPr) ميزات حماية مستوى التحكم هذه:

• ميزة تصفية المنفذ - توفر للمسؤول تنظيم الحِزم التي تنتقل إلى منافذ TCP وUDP المغلقة أو غير المُصغية أو إسقاطها.
  
  
• ميزة سياسة حد قائمة الانتظار - تحدّد عدد الحِزم المسموح بها لبروتوكول محدد في قائمة انتظار إدخالات IP على مستوى التحكم.

تسمح حماية مستوى التحكم (CPPr) للمسؤول بتصنيف حركة مرور البيانات التي يتم إرسالها إلى جهاز ما لأغراض الإدارة مع الواجهة الفرعية للمضيف وتنظيمها وتقييدها. وتتضمن أمثلة الحِزم التي يتم تصنيفها لفئة الواجهة الفرعية للمضيف حركة مرور بيانات الإدارة مثل SSH أو Telnet وبروتوكولات التوجيه.

ملاحظة: لا تدعم حماية مستوى التحكم (CPPr) مسار إدخال IPv6 وتقتصر على مسار إدخال IPv4.

ارجع إلى دليل ميزة "حماية مستوى التحكم" - الإصدار 12.4T وفهم حماية مستوى التحكم للحصول على مزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr) من Cisco.

تشفير جلسات الإدارة

نظرًا لإمكانية الإفصاح عن المعلومات في جلسة إدارة تفاعلية، فإنه يجب تشفير حركة مرور البيانات هذه حتى لا يتمكّن المستخدم الضار من تحقيق الوصول إلى البيانات التي يتم إرسالها. يتيح تشفير حركة مرور البيانات وجود اتصال آمن للوصول عن بُعد إلى الجهاز. إذا تم إرسال حركة مرور بيانات لجلسة إدارة عبر الشبكة بنص غير مشفر، فيمكن للمهاجم الحصول على معلومات حساسة حول الجهاز والشبكة.

يستطيع المسؤول إنشاء اتصال مشفر وآمن لإدارة الوصول عن بُعد بجهاز مزود بميزات SSH أو HTTPS (بروتوكول نقل النص التشعبي الآمن). يدعم برنامج Cisco IOS software بروتوكول SSH الإصدار 1.0 (SSHv1) وبروتوكول SSH الإصدار 2.0 (SSHv2) وبروتوكول HTTPS الذي يستخدم طبقة مآخذ التوصيل الآمنة (SSL) وأمان طبقة النقل (TLS) لمصادقة البيانات وتشفيرها. لا يكون الإصداران SSHv1 وSSHv2 متوافقين. فالإصدار SSHv1 غير آمن ولا يخضع للمعايير، لذلك لا يُوصى باستخدامه إذا كان الإصدار SSHv2 متاحًا كخيار.

كما يدعم برنامج Cisco IOS "بروتوكول النسخ الآمن (SCP)"، والذي يسمح بوجود اتصال مشفر وآمن لنسخ تكوينات الجهاز أو صور البرامج. ويعتمد بروتوكول SCP على بروتوكول SSH. ويتيح مثال التكوين التالي تمكين SSH على جهاز Cisco IOS:

!

ip domain-name example.com
!

crypto key generate rsa modulus 2048
!

ip ssh time-out 60
ip ssh authentication-retries 3
ip ssh source-interface GigabitEthernet 0/1
!

line vty 0 4
 transport input ssh
!

يتيح مثال التكوين التالي تمكين خدمات SCP:

!

ip scp server enable
!

فيما يلي مثال تكوين لخدمات HTTPS:

!

crypto key generate rsa modulus 2048
!

ip http secure-server
!

ارجع إلى الأسئلة المتداولة حول تكوين "طبقة الأمان" على الموجهات والمحولات التي تشغّل برنامج Cisco IOS و"طبقة الأمان" (SSH) للحصول على مزيد من المعلومات حول ميزة SSH ببرنامج Cisco IOS software.

SSHv2

تتيح ميزة دعم SSHv2 التي تم تقديمها في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS للمستخدم إمكانية تكوين SSHv2. (تم تنفيذ دعم SSHv1 في إصدار أقدم من برنامج Cisco IOS Software.) يمكن تشغيل بروتوكول طبقة الأمان (SSH) فوق طبقة نقل موثوقة ويوفر إمكانات مصادقة وتشفير قوية. وطبقة النقل الوحيدة الموثوقة التي تم تعريفها لبروتوكول طبقة الأمان (SSH) هي TCP. يوفر بروتوكول طبقة الأمان (SSH) طريقة للوصول الآمن إلى الأوامر وتنفيذها بأمان على جهاز كمبيوتر أو جهاز آخر عبر الشبكة. تتيح ميزة "بروتوكول النسخ الآمن (SCP)" التي يتم إنشاء قنوات لها عبر بروتوكول SSH إمكانية النقل الآمن للملفات.

إذا لم يتم تكوين الأمر ip ssh version 2 بشكل صريح، فعندئذ يقوم Cisco IOS بتمكين الإصدار 1.99 من SSH. يسمح الإصدار 1.99 من SSH بكل من إتصالات SSHv1 و SSHv2. يُعد SSHv1 غير آمن وقد تكون له آثار ضارة على النظام. إذا تم تمكين بروتوكول SSH، فمن المستحسن تعطيل SSHv1 باستخدام الأمر ip ssh version 2.

ويتيح مثال التكوين التالي تمكين SSHv2 (مع تعطيل SSHv1) على جهاز Cisco IOS:

!
    
hostname router

!

ip domain-name example.com    

!
    
crypto key generate rsa modulus 2048

!

ip ssh time-out 60  
ip ssh authentication-retries 3  
ip ssh source-interface GigabitEthernet 0/1    

!
    
ip ssh version 2

!

line vty 0 4   
transport input ssh    

!
 

ارجع إلى دعم طبقة الأمان الإصدار 2 للحصول على مزيد من المعلومات حول استخدام SSHv2.

تحسينات SSHv2 لمفاتيح RSA

يدعم SSHv2 على برنامج Cisco IOS طرق المصادقة التفاعلية مع لوحة المفاتيح وتلك المستندة إلى كلمة المرور. كما تدعم تحسينات SSHv2 لميزة "مفاتيح RSA" مصادقة المفتاح العام المستندة إلى خوارزمية RSA للعميل والخادم.

بالنسبة لمصادقة المستخدم، تعمل مصادقة المستخدم المستندة إلى خوارزمية RSA على استخدام زوج مفاتيح خاص/عام مرتبط بكل مستخدم للمصادقة. يجب على المستخدم إنشاء زوج مفاتيح خاص/عام على العميل وتكوين مفتاح عام على خادم Cisco IOS SSH لإكمال المصادقة.

يقدّم مستخدم بروتوكول SSH الذي يحاول إنشاء بيانات الاعتماد توقيعًا مشفرًا باستخدام المفتاح الخاص. يتم إرسال التوقيع المُشفر والمفتاح العام الخاصين بالمستخدم إلى خادم SSH للمصادقة. يقوم خادم بروتوكول SSH بحساب تجزئة عبر المفتاح العام الذي يقدّمه المستخدم. يتم استخدام التجزئة لتحديد ما إذا كان لدى الخادم إدخال مطابق. إذا تم العثور على تطابق، يتم إجراء التحقق من صحة الرسائل المستندة إلى RSA باستخدام المفتاح العام. وبالتالي، تتم مصادقة المستخدم أو رفض الوصول بناءً على التوقيع المُشفّر.

بالنسبة إلى مصادقة الخادم، يجب على عميل Cisco IOS SSH تعيين مفتاح مضيف لكل خادم. عندما يحاول العميل إنشاء جلسة SSH مع خادم، فإنه يتلقى توقيع الخادم كجزء من رسالة تبادل المفاتيح. إذا تم تمكين علامة التحقق الصارم من مفتاح المضيف على العميل، فإن العميل يتحقق مما إذا كان لديه إدخال مفتاح المضيف الذي يتطابق مع الخادم المكوّن مسبقًا. إذا تم العثور على تطابق، يحاول العميل التحقق من صحة التوقيع باستخدام مفتاح مضيف الخادم. في حالة مصادقة الخادم بنجاح، يستمر إنشاء الجلسة؛ وإلا يتم إنهاؤها وتُعرض رسالة نصّها فشلت مصادقة الخادم.

ويتيح مثال التكوين التالي استخدام مفاتيح RSA مع SSHv2 على جهاز Cisco IOS:

!
! Configure a hostname for the device
!

hostname router
!
! Configure a domain name
!

ip domain-name cisco.com
!
! Specify the name of the RSA key pair (in this case, "sshkeys") to use for SSH
!

 ip ssh rsa keypair-name sshkeys
!
! Enable the SSH server for local and remote authentication on the router using 
! the "crypto key generate" command
! For SSH version 2, the modulus size must be at least 768 bits 
!

 crypto key generate rsa usage-keys label sshkeys modulus 2048
!
! Configure an ssh timeout (in seconds) 
!
! The following enables a timeout of 120 seconds for SSH connections
!

ip ssh time-out 120
!
! Configure a limit of five (5) authentication retries
!

ip ssh authentication-retries 5
!
! Configure SSH version 2
!

ip ssh version 2 
!

  

ارجع إلى تحسينات الإصدار 2 من بروتوكول طبقة الأمان لمفاتيح RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

ويتيح مثال التكوين هذا إمكانية إجراء خادم Cisco IOS SSH لمصادقة المستخدم المستندة إلى RSA. تكون مصادقة المستخدم ناجحة إذا تم التحقق من صحة مفتاح RSA العام المُخزن على الخادم مع زوج المفاتيح العام أو الخاص المُخزن على العميل.

!
! Configure a hostname for the device
!

hostname router
!
! Configure a domain name
!

ip domain-name cisco.com
!
! Generate RSA key pairs using a modulus of 2048 bits
!

crypto key generate rsa modulus 2048
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain
!
! Configure the SSH username
!

        username ssh-user
!
! Specify the RSA public key of the remote peer
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash command (followed by the SSH key type and version.)
!

ارجع إلى تكوين خادم Cisco IOS SSH لإجراء مصادقة المستخدم المستندة إلى RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

يتيح مثال التكوين هذا لعميل Cisco IOS SSH إجراء مصادقة العميل المستندة إلى RSA.

!
!

hostname router
!
ip domain-name cisco.c
!
! Generate RSA key pairs
!

crypto key generate rsa
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain
!
! Enable the SSH server for public-key authentication on the router 
!

        server SSH-server-name
!
! Specify the RSA public-key of the remote peer 
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash <key-type> <key-name> command (followed by the SSH key 
! type and version.)
!
! Ensure that server authentication takes place - The connection will be 
! terminated on a failure
!

ip ssh stricthostkeycheck 
!

ارجع إلى تكوين عميل Cisco IOS SSH لإجراء مصادقة العميل المستندة إلى RSA للحصول على مزيد من المعلومات حول استخدام مفاتيح RSA مع SSHv2.

منافذ وحدة التحكم والمنافذ (AUX) المساعدة

في أجهزة Cisco IOS، تُعد منافذ وحدة التحكم والمنافذ (AUX) المساعدة خطوطًا غير متزامنة يمكن استخدامها للوصول المحلي والوصول عن بُعد للجهاز. اعلم أن منافذ وحدة التحكم على أجهزة Cisco IOS لها امتيازات خاصة. تتيح هذه الامتيازات بشكل خاص للمسؤول تنفيذ إجراء استرداد كلمة المرور. ولإجراء استرداد كلمة المرور، سيحتاج المهاجم الذي لم تتم مصادقة بياناته إلى حق الوصول إلى منفذ وحدة التحكم والقدرة على قطع طاقة الجهاز أو التسبب في تعطيل الجهاز.

يجب تأمين أي طريقة تُستخدم للوصول إلى منفذ وحدة التحكم للجهاز بطريقة مساوية للتأمين الذي يتم فرضه للوصول المميز إلى الجهاز. ويجب أن تتضمن الطرق المُستخدمة  لتأمين الوصول استخدام كلمات مرور المصادقة والتفويض والمحاسبة (AAA) وexec-timeout والمودم (في حال اتصال مودم بوحدة التحكم).

إذا لم يكن إسترداد كلمة المرور مطلوبا، فيمكن حينئذ للمسؤول إزالة إمكانية تنفيذ إجراء إسترداد كلمة المرور من خلال أمر التكوين العام no service password-recovery؛ ومع ذلك، بمجرد تمكين الأمر no service password-recovery، لن يتمكن المسؤول من إجراء إسترداد كلمة المرور على الجهاز.

في معظم الحالات، يجب تعطيل المنفذ المساعد (AUX) بالجهاز لمنع الوصول غير المصرح به إليه. يمكن تعطيل المنفذ (AUX) المساعد باستخدام الأوامر التالية:

!

line aux 0
 transport input none
 transport output none
 no exec
 exec-timeout 0 1
 no password
!

التحكم في خطوط tty وvty

تستخدم جلسات الإدارة التفاعلية في برنامج Cisco IOS software خط tty أو tty ظاهري (vty). يُعد tty خطًا محليًا غير متزامن يمكن إرفاق جهاز طرفي به للوصول المحلي إلى الجهاز أو إلى مودم للوصول من خلال الطلب الهاتفي إلى جهاز ما. لاحظ أنه يمكن استخدام خطوط tty للاتصالات بمنافذ وحدة التحكم بالأجهزة الأخرى. وتتيح هذه الوظيفة للجهاز المزود بخطوط tty إمكانية العمل كخادم وحدة تحكم حيث يمكن إنشاء اتصالات عبر الشبكة بمنافذ وحدة التحكم للأجهزة المتصلة بخطوط tty. كما يجب التحكم في خطوط tty لهذه الاتصالات العكسية عبر الشبكة.

يتم استخدام خط vty لجميع اتصالات الشبكة عن بُعد الأخرى التي يدعمها الجهاز، بغض النظر عن البروتوكول (SSH أو SCP أو Telnet كأمثلة). لضمان إمكانية الوصول إلى جهاز عبر جلسة إدارة محلية أو عن بُعد، يجب فرض عناصر التحكم المناسبة على كل من خطوط vty وtty. تحتوي أجهزة Cisco IOS على عدد محدود من خطوط vty؛ ويمكن تحديد عدد الخطوط المتاحة باستخدام أمر EXEC ‫"show line"‬. عندما تكون جميع خطوط vty قيد الاستخدام، لن يمكن إنشاء جلسات إدارة جديدة، والتي يمكنها إنشاء حالة رفض الخدمة (DoS) للوصول إلى الجهاز.

وأبسط تحكم في الوصول إلى خط vty أو tty بجهاز ما هو من خلال استخدام المصادقة على جميع الخطوط، بغض النظر عن موقع الجهاز داخل الشبكة. وهذا أمر بالغ الأهمية لخطوط vty لأنه يمكن الوصول إليها عبر الشبكة. كما يمكن الوصول إلى خط tty المتصل بمودم يتم استخدامه للوصول عن بُعد إلى الجهاز، أو خط tty المتصل بمنفذ وحدة التحكم بالأجهزة الأخرى عبر الشبكة. يمكن فرض أشكال أخرى من عناصر التحكم في الوصول إلى خطوط vty وtty باستخدام أوامر التكوين transport input أو access-class، مع استخدام ميزات تنظيم مستوى التحكم (CoPP) وحماية مستوى التحكم (CPPr)، أو إذا قمت بتطبيق قوائم الوصول على الواجهات على الجهاز.

يمكن فرض المصادقة من خلال استخدام المصادقة والتفويض والمحاسبة ()AAA، وهي الطريقة المُوصى بها للوصول الذي تتم مصادقته إلى جهاز ما، مع استخدام قاعدة بيانات المستخدم المحلية، أو من خلال مصادقة بسيطة لكلمة المرور يتم تكوينها مباشرة على خط vty أو tty.

يجب استخدام الأمر exec-timeout لتسجيل الخروج من الجلسات على خطوط vty أو tty التي تم تركها في وضع الخمول. كما يجب استخدام الأمر service tcp-keepalives-in لتمكين رسائل تنشيط الاتصال لبروتوكول TCP على الاتصالات الواردة إلى الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة تتم إزالتها من جهاز Cisco IOS المحلي.

التحكم في النقل لخطوط tty وvty

قم بتكوين خط vty وtty لقبول اتصالات إدارة الوصول عن بُعد المُشفّرة والآمنة فقط بالجهاز أو من خلال الجهاز إذا تم استخدامه كخادم وحدة تحكم. يتناول هذا القسم خطوط tty لأن تلك الخطوط يمكن توصيلها بمنافذ وحدة التحكم على الأجهزة الأخرى، مما يتيح الوصول إلى خط tty عبر الشبكة. لمنع الإفصاح عن المعلومات أو الوصول غير المصرح به إلى البيانات التي يتم إرسالها بين المسؤول والجهاز، استخدم الأمر transport input ssh بدلاً من بروتوكولات النصوص غير المشفّرة، مثل Telnet وrlogin. يمكن تمكين التكوين transport input none على خط tty، الذي يعطل استخدام خط tty لاتصالات وحدة التحكم العكسية.

تتيح كل من خطوط vty وtty للمسؤول إمكانية الاتصال بأجهزة أخرى. لتحديد نوع النقل الذي يمكن أن يستخدمه المسؤول للاتصالات الصادرة، يمكنك استخدام أمر تكوين سطر transport output. إذا لم تكن هناك حاجة إلى الاتصالات الصادرة، فاستخدم الأمر transport output none. ومع ذلك، إذا تم السماح بالاتصالات الصادرة، فافرض طريقة وصول عن بُعد مشفّرة وآمنة للاتصال من خلال استخدام الأمر transport output ssh.

ملاحظة: يمكن استخدام بروتوكول IPSec لاتصالات الوصول عن بُعد المشفّرة والآمنة لجهاز ما، إذا كان مدعومًا. إذا كنت تستخدم بروتوكول IPSec، فإنه يضيف أيضًا عبئًا إضافيًا من وحدة المعالجة المركزية (CPU) إلى الجهاز. ومع ذلك، ما يزال يتعين فرض بروتوكول SSH كوسيلة النقل حتى عند استخدام IPSec.

شعارات التحذير

في بعض الولايات القضائية القانونية، قد يكون من المستحيل ملاحقة المستخدمين الضارين، وقد تكون مراقبة عملهم أمرًا غير قانوني ما لم يتم إعلامهم بأنه لا يُسمح لهم باستخدام النظام. وواحدة من طرق تقديم هذا الإعلام هي وضع هذه المعلومات في رسالة شعار يتم تكوينها باستخدام أمر تسجيل الدخول إلى شعار برنامج Cisco IOS.

تُعد متطلبات الإعلام القانوني معقدة، وتختلف باختلاف الولاية القضائية والوضع، ويلزم مناقشتها مع المستشار القانوني. حتى داخل الولايات القضائية، يمكن أن تختلف الآراء القانونية. وبالتعاون مع المستشار، يمكن أن يقدّم الشعار بعضًا من هذه المعلومات أو كلها:

• إخطار بأنه لا يمكن تسجيل الدخول إلى النظام أو استخدامه إلا من قِبل أفراد مصرح لهم بذلك تحديدًا وربما معلومات تتعلق بمَن يمكنه التفويض بالاستخدام.
  
  
• إخطار بأن أي استخدام غير مصرح به للنظام يُعد غير قانوني ويمكن أن يخضع لعقوبات مدنية وجنائية.
  
  
• إخطار بأن أي استخدام للنظام يمكن تسجيله أو مراقبته دون إرسال إخطار إضافي وأنه يمكن استخدام السجلات الناتجة كدليل في المحكمة.
  
  
• الإخطارات الخاصة التي تقتضيها القوانين المحلية.

من وجهة نظر أمنية، وليست قانونية، يجب ألا يحتوي شعار تسجيل الدخول على أي معلومات خاصة باسم الموجّه أو طرازه أو برنامجه أو ملكيته. حيث يمكن إساءة استخدام هذه المعلومات من قِبل المستخدمين الضارين.

المصادقة والتخويل والمحاسبة

يُعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا بالغ الأهمية لتأمين الوصول التفاعلي إلى أجهزة الشبكة. يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) بيئة قابلة للتكوين بدرجة عالية يمكن تخصيصها استنادًا إلى احتياجات الشبكة.

مصادقة ‪TACACS+‬

‪TACACS+‬ هو بروتوكول مصادقة يمكن لأجهزة Cisco IOS استخدامه لمصادقة مستخدمي الإدارة مقابل خادم AAA بعيد. ويمكن لمستخدمي الإدارة هؤلاء الوصول إلى جهاز Cisco IOS عبر بروتوكول SSH أو HTTPS أو telnet أو HTTP.

توفر مصادقة ‪TACACS+‬، أو بشكل أعم مصادقة AAA، القدرة على استخدام حسابات المستخدمين الفردية لكل مسؤول شبكة. عندما لا تعتمد على كلمة مرور مشتركة واحدة،يتحسّن أمان الشبكة وتقوى القدرة على تحديد المسؤوليات لديك.

أما RADIUS فهو بروتوكول مشابه في الغرض لبروتوكول ‪TACACS+‬؛ ومع ذلك، فإنه لا يقوم إلا بتشفير كلمة المرور المُرسلة عبر الشبكة. في المقابل، يقوم ‪TACACS+‬ بتشفير حمولة TCP بالكامل، والتي تتضمن كلاً من اسم المستخدم وكلمة المرور. ولهذا السبب، استخدم بروتوكول ‪TACACS+‬ بدلاً من RADIUS عندما يكون ‪TACACS+‬ مدعومًا من قِبل خادم AAA. ارجع إلى مقارنة ‪TACACS+‬ وRADIUS للحصول على مقارنة أكثر تفصيلاً بين هذين البروتوكولين.

يمكن تمكين مصادقة ‪TACACS+‬ على جهاز Cisco IOS بتكوين مشابه للمثال التالي:

!

aaa new-model
aaa authentication login default group tacacs+
!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!

يمكن استخدام التكوين السابق كنقطة البداية لقالب مصادقة AAA الخاص بمؤسسة. 

قائمة الطرق هي عبارة عن قائمة مسلسلة تصف طرق المصادقة المُراد الاستعلام عنها لمصادقة مستخدم ما. وتتيح لك قوائم الطرق إمكانية تعيين بروتوكول واحد أو أكثر من بروتوكولات الأمان المُراد استخدامها للمصادقة، وبالتالي ضمان نظام نسخ احتياطي للمصادقة في حال فشل الطريقة الأولية. يستخدم برنامج Cisco IOS software الطريقة الأولى المُدرجة التي تقبل مستخدمًا ما أو ترفضه بنجاح. تتم محاولة استخدام الطرق التالية إذا فشلت الطرق السابقة بسبب عدم توفّر الخادم أو التكوين غير الصحيح.

تعيين الطريقة الاحتياطية للمصادقة

إذا أصبحت جميع خوادم ‪TACACS+‬ التي تم تكوينها غير متاحة، فيمكن لجهاز Cisco IOS الاعتماد على بروتوكولات مصادقة ثانوية. حيث تشتمل التكوينات النموذجية على استخدام المصادقة المحلية أو تمكين المصادقة في حالة عدم توفّر جميع خوادم ‪TACACS+‬ التي تم تكوينها.

وتشتمل القائمة الكاملة لخيارات المصادقة على الجهاز على خيارات تمكين المصادقة والمصادقة المحلية ومصادقة الخطوط. ولكل خيار مزاياه. فيفضل إستخدام الأمر enable secret لأنه تتم تجزئة المفتاح السري باستخدام خوارزمية أحادية الإتجاه تكون أكثر أمانا بطبيعتها من خوارزمية التشفير المستخدمة مع كلمات المرور من النوع 7 للمصادقة المحلية ومصادقة الخطوط.

ومع ذلك، في إصدارات برنامج Cisco IOS software التي تدعم استخدام كلمات المرور السرية للمستخدمين المحددين محليًا، قد يكون من الأفضل تعيين الطريقة الاحتياطية على المصادقة المحلية. وهذا يسمح بإنشاء مستخدم محدد محليًا لواحد أو أكثر من مسؤولي الشبكة. إذا كان ‪TACACS+‬ غير متاح تمامًا، فيمكن لكل مسؤول استخدام اسم المستخدم وكلمة المرور المحليين لديه. على الرغم من أن هذا الإجراء يعزّز إمكانية تحديد المسؤوليات لدى مسؤولي الشبكة في حالات انقطاع عمل ‪TACACS+‬، إلا أنه يزيد العبء الإداري بشكل كبير لأنه يجب الحفاظ على حسابات المستخدمين المحليين على جميع أجهزة الشبكة.

يعتمد مثال التكوين التالي على مثال مصادقة TACACS+ السابق لتضمين طريقة المصادقة الاحتياطية لكلمة المرور التي تم تكوينها محليا باستخدام enable secret الأمر:

!

enable secret <password>
!

aaa new-model
aaa authentication login default group tacacs+ enable
!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!

استخدام كلمات المرور من النوع 7

نظرًا لتصميم كلمات المرور من النوع 7 في الأصل للسماح بفك تشفير سريع لكلمات المرور المُخزنة، فإنها لا تعتبر شكلاً آمنًا لتخزين كلمات المرور. وهناك العديد من الأدوات المتاحة لتفك بسهولة تشفير كلمات المرور هذه. تجنب استخدام كلمات المرور من النوع 7 ما لم تكن مطلوبة من قِبل ميزة قيد الاستخدام على جهاز Cisco IOS.

استخدم النوع 9 (scrypt) كلما أمكن:

username <username> privilege 15 algorithm-type scrypt secret <secret>

يمكن تنفيذ إزالة كلمات المرور من هذا النوع بواسطة مصادقة من النوع AAA واستخدام ميزة أمان كلمة المرور المحسن، والتي تتيح إستخدام كلمات المرور السرية مع المستخدمين الذين تم تعريفهم محليا من قبل أمر التكوين العامusername. فإذا تعذّر عليك منع استخدام كلمات المرور من النوع 7 بشكل كامل، فاعتبر أن كلمات المرور هذه مبهمة، وليست مشفرة.

للحصول على مزيد من المعلومات حول إزالة كلمات المرور من النوع 7، راجع قسم تقوية مستوى الإدارة العامة.

تفويض أوامر ‪TACACS+‬

يوفر تفويض الأوامر باستخدام ‪TACACS+‬ وAAA آلية تسمح بكل أمر يتم إدخاله بواسطة مستخدم إداري أو ترفضه. عندما يُدخل المستخدم أوامر EXEC، يرسل Cisco IOS كل أمر إلى خادم AAA الذي تم تكوينه. يستخدم خادم AAA سياساته التي تم تكوينها للسماح بالأمر أو رفضه لذلك المستخدم المعيّن.

يمكن إضافة التكوين التالي إلى مثال مصادقة AAA السابق لتنفيذ تفويض الأوامر:

!

aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none 
aaa authorization commands 15 default group tacacs none
!

محاسبة أوامر ‪TACACS+‬

عند تكوين عملية محاسبة أوامر AAA، فإنها ترسل معلومات حول كل أمر EXEC يتم إدخاله إلى خوادم ‪TACACS+‬ التي تم تكوينها. وتتضمن المعلومات المُرسلة إلى خادم ‪TACACS+‬ الأمر الذي تم تنفيذه وتاريخ تنفيذه واسم المستخدم الخاص بالشخص الذي قام بإدخال الأمر. لا تكون عملية محاسبة الأوامر مدعومة مع استخدام RADIUS.

ويتيح مثال التكوين التالي محاسبة أمر AAA لأوامر EXEC التي تم إدخالها في مستويات الامتيازات صفر و 1 و 15. يعتمد هذا التكوين على الأمثلة السابقة التي تتضمن تكوين خوادم TACACS.

!

aaa accounting exec default start-stop group tacacs 
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs
!

خوادم AAA المكررة

يمكن أن تكون خوادم AAA التي تتم الاستفادة منها في بيئة ما مكررة ويتم نشرها بطريقة تتحمل الأخطاء. فهذا يساعد على ضمان إمكانية الوصول التفاعلي للإدارة، مثل بروتوكول SSH، في حالة عدم توفّر خادم AAA.

عند تصميم حل خادم AAA مكرر أو تنفيذه، تذكّر هذه الاعتبارات:

• تَوفّر خوادم AAA في وقت وقوع حالات فشل محتملة في الشبكة
  
  
• تحديد وضع خوادم AAA المنتشر جغرافيًا
  
  
• التحميل على خوادم AAA الفردية في الحالات المستقرة وحالات الفشل
  
  
• زمن انتقال الشبكة بين خوادم الوصول إلى الشبكة وخوادم AAA
  
  
• تزامن قواعد بيانات خوادم AAA

ارجع إلى نشر خوادم التحكم في الوصول للحصول على مزيد من المعلومات.

تدعيم بروتوكول إدارة الشبكة البسيط

يسلط هذا القسم الضوء على العديد من الطرق التي يمكن استخدامها لتأمين نشر بروتوكول SNMP داخل أجهزة Cisco IOS. من المهم للغاية أن يتم تأمين بروتوكول SNMP بشكل صحيح من أجل حماية سرية كل من بيانات الشبكة وأجهزة الشبكة التي تمر من خلالها هذه البيانات ومن أجل تكامل البيانات والأجهزة وتَوفّرها. يوفر بروتوكول SNMP ثروة من المعلومات حول حالة أجهزة الشبكة. قم بحماية هذه المعلومات من المستخدمين الضارين الذين يرغبون في الاستفادة من هذه البيانات لتنفيذ هجمات ضد الشبكة.

سلاسل مجتمع SNMP

سلاسل المجتمع هي كلمات مرور يتم تطبيقها على جهاز Cisco IOS لتقييد الوصول، الوصول للقراءة فقط والوصول للقراءة والكتابة على السواء، إلى بيانات SNMP على الجهاز. يتم اختيار سلاسل المجتمع هذه، كما هو الحال مع جميع كلمات المرور، بعناية لضمان أنها ليست بديهية. قم بتغيير سلاسل المجتمع على فواصل زمنية منتظمة ووفقًا لسياسات أمان الشبكة. على سبيل المثال، قم بتغيير السلاسل عندما يقوم مسؤول شبكة بتغيير الأدوار أو بترك الشركة.

تقوم سطور التكوين التالية بتكوين سلسلة مجتمع للقراءة فقط من READONLY وسلسلة مجتمع للقراءة والكتابة من READWRITE:

!

snmp-server community READONLY RO
snmp-server community READWRITE RW  
!

ملاحظة: تم إختيار أمثلة سلسلة المجتمع السابقة لشرح إستخدام هذه السلاسل بشكل واضح. بالنسبة لبيئات الإنتاج، اختَر سلاسل المجتمع بحذر وقم بتضمين سلسلة من الرموز الأبجدية والرقمية وغير الأبجدية الرقمية فيها. 

ارجع إلى مرجع أوامر Cisco IOS SNMP للحصول على مزيد من المعلومات حول هذه الميزة.

سلاسل مجتمع SNMP باستخدام قوائم التحكم في الوصول (ACLs)

بالإضافة إلى سلسلة المجتمع، قم بتطبيق قائمة تحكم بالوصول (ACL) من شأنها أن تقيّد وصول SNMP على نحو إضافي إلى مجموعة محددة من عناوين IP للمصدر. يعمل هذا التكوين على تقييد وصول SNMP للقراءة فقط إلى الأجهزة المضيفة الطرفية الموجودة في مساحة العنوان 192.168.100.0/24 وتقييد وصول SNMP للقراءة والكتابة إلى الجهاز المضيف الطرفي على 192.168.100.1.

ملاحظة: تتطلب الأجهزة المسموح بها من قبل قوائم التحكم في الوصول (ACLs) هذه وجود سلسلة المجتمع المناسبة للوصول إلى معلومات SNMP المطلوبة.

!

access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!

snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!

ارجع إلى مجتمع خادم Snmp في "مرجع أوامر إدارة شبكة Cisco IOS" للحصول على مزيد من المعلومات حول هذه الميزة.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

يمكن نشر قوائم التحكم في الوصول للبنية التحتية (iACLs) لضمان أن المضيفين النهائيين بعناوين IP موثوقة فقط يمكنهم إرسال حركة مرور SNMP إلى جهاز Cisco IOS. بشكل مثالي، تحتوي قائمة التحكم في الوصول للبنية التحتية (iACL) على سياسة ترفض حِزم SNMP غير المُصرح بها على منفذ UDP ‫161.

راجع قسم تحديد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند للحصول على مزيد من المعلومات حول استخدام قوائم التحكم في الوصول للبنية الأساسية (iACLs).

طرق عرض SNMP

طرق عرض SNMP هي ميزة أمان يمكنها السماح بالوصول إلى بعض قواعد معلومات الإدارة (MIB) لـ SNMP أو رفضها. بمجرد إنشاء طريقة عرض وتطبيقها على سلسلة مجتمع باستخدام أوامر التكوين العالمية لطريقة عرض مجتمع لـ مجتمع خادم snmp، إذا قمت بالوصول إلى بيانات قاعدة معلومات الإدارة، فهذا يعني أنك مقيد بالأذونات التي تم تعريفها بواسطة طريقة العرض. وعند الاقتضاء، استخدم طرق العرض لتحديد مستخدمي SNMP للبيانات المطلوبة.

يقوم مثال التكوين هذا بتقييد وصول SNMP باستخدام سلسلة المجتمع المحدودة مع بيانات قاعدة معلومات الإدارة الموجودة في مجموعة النظام:

!

snmp-server view VIEW-SYSTEM-ONLY system include
!

snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO
!

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات.

SNMP الإصدار 3

يتم تحديد الإصدار 3 من SNMP ‫(SNMPv3)‬ بواسطة RFC3410، وRFC3411، وRFC3412، وRFC3413، وRFC3414، وRFC3415  ويكون بروتوكولاً مستندًا إلى المعايير قابل للتشغيل البيني لإدارة الشبكة. تقوم SNMPv3 بتوفير وصول آمن إلى الأجهزة نظرًا لأنه يقوم بمصادقة وتشفير الحزم على الشبكة اختياريًا. حيث يكون SNMPv3 مدعومًا، يمكن استخدامه لإضافة طبقة أمان أخرى عند نشر بروتوكول SNMP. يتكون SNMPv3 من ثلاثة خيارات تكوين أساسية:

• no auth - لا يتطلب هذا الوضع أي مصادقة أو أي تشفير لحِزم SNMP
  
  
• المصادقة - يتطلب هذا الوضع مصادقة حزمة SNMP دون تشفير
  
  
• priv - يتطلب هذا الوضع المصادقة والتشفير (الخصوصية) لكل حزمة من حزم SNMP

يجب أن يكون معرف المحرك المخول موجودا لاستخدام آليات أمان SNMPv3 - المصادقة أو المصادقة والتشفير - لمعالجة حزم SNMP؛ وبشكل افتراضي، يتم إنشاء معرّف المحرك محليًا. يمكن عرض معرف المحرك باستخدام الأمر show snmp engineID كما هو موضح في هذا المثال:

router#show snmp engineID 
   Local SNMP engineID: 80000009030000152BD35496
   Remote Engine ID          IP-addr    Port

ملاحظة: إذا تم تغيير engineID، يجب إعادة تكوين جميع حسابات مستخدمي SNMP.

تتمثل الخطوة التالية في تكوين مجموعة SNMPv3. يقوم هذا الأمر بتكوين جهاز ‪Cisco IOS‬ لـ SNMPv3 باستخدام AUTHGROUP لمجموعة خوادم SNMP ويمكّن فقط المصادقة لهذه المجموعة باستخدام الكلمة الأساسية المصادقة:

!
snmp-server group AUTHGROUP v3 auth
!

يقوم هذا الأمر بتكوين جهاز ‪Cisco IOS‬ لـ SNMPv3 باستخدام PRIVGROUP لمجموعة خوادم SNMP ويمكّن كلاً من المصادقة والتشفير لهذه المجموعة باستخدام الكلمة الأساسية priv :

!
snmp-server group PRIVGROUP v3 priv
!

يقوم هذا الأمر بتكوين snmpv3user لمستخدم باستخدام كلمة مرور مصادقة MD5 من authpassword وكلمة مرور تشفير 3DES من privpassword:

!

snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des 
     privpassword
!

اعلم أنه لا يتم عرض أوامر التكوين snmp-server user في خرج تكوين الجهاز كما هو مطلوب بواسطة RFC 3414. وبالتالي، لا يمكن عرض كلمة مرور المستخدم من التكوين. لعرض المستخدمين الذين تم تكوينهم، أدخل show snmp user الأمر، كما هو موضح في هذا المثال:

router#show snmp user 
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile        active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات حول هذه الميزة.

حماية مستوى الإدارة

يمكن استخدام ميزة حماية مستوى الإدارة (MPP) في برنامج ‪Cisco IOS‬ للمساعدة في تأمين SNMP لأنها تقيد الواجهات التي يمكن لحركة مرور SNMP إجراء الإنهاء من خلالها على الجهاز. تسمح ميزة حماية مستوى الإدارة (MPP) للمسؤول بتعيين واجهة واحدة أو أكثر كواجهات الإدارة. يُسمح لحركة مرور الإدارة بإدخال جهاز فقط من خلال واجهات الإدارة. بعد تمكين حماية مستوى الإدارة (MPP)، لا تقبل أي واجهات باستثناء واجهات الإدارة المعينة حركة مرور إدارة الشبكة المعينة إلى الجهاز.

حماية مستوى الإدارة (MPP) هي مجموعة فرعية من ميزة CPPr وتتطلب إصدارًا من Cisco IOS يدعم CPPr. راجع فهم حماية مستوى التحكم للحصول على مزيد من المعلومات حول CPPr.

في هذا المثال، تُستخدم حماية مستوى الإدارة (MPP) لتقييد وصول SNMP وSSH إلى واجهة ‪FastEthernet 0/0‬ فقط:

!
control-plane host
 management-interface FastEthernet0/0 allow ssh snmp 
!

راجع دليل ميزة حماية مستوى الإدارة للحصول على مزيد من المعلومات.

أفضل ممارسات التسجيل

توفر سجلات الأحداث إمكانية رؤية تشغيل جهاز Cisco IOS والشبكة التي يتم نشرها عليها. يوفر برنامج ‪Cisco IOS‬ العديد من خيارات تكوين السجل المرنة التي يمكن أن تساعد في تحقيق أهداف إدارة الشبكة وإمكانية الرؤية للمؤسسة.

وتوفر هذه الأقسام أفضل ممارسات ميزة السجل الأساسية التي يمكن أن تساعد المسؤول على الاستفادة من وظائف السجل بنجاح، مع تقليل تأثير على ميزة السجل على جهاز ‪Cisco IOS‬.

إرسال السجلات إلى موقع مركزي

يُوصى بإرسال معلومات السجل إلى خادم الدخول إلى النظام (syslog) عن بُعد. وهذا يجعل من الممكن ربط أحداث الشبكة والأمان ومراجعتها عبر أجهزة الشبكة بشكل أكثر فاعلية. لاحظ أن رسائل syslog يتم إرسالها بشكل غير موثوق به بواسطة UDP وفي نص واضح. ولهذا السبب، يمكن أن تكون أي أوجه حماية تتحملها الشبكة لحركة مرور الإدارة (على سبيل المثال، التشفير أو الوصول خارج النطاق الترددي) موسعة لتضمين حركة مرور syslog.

يقوم هذا المثال بتكوين جهاز ‪Cisco IOS‬ لإرسال معلومات السجل إلى خادم syslog عن بُعد:

!
logging host <ip-address>
!

راجع تحديد الحوادث باستخدام أحداث Syslog لموجه Cisco IOS وجدار الحماية للحصول على مزيد من المعلومات حول إرتباط السجل.

التسجيل لميزة التخزين غير المتطاير المحلي (قرص ATA) مدمج في ‪12.4(15)T‬ من Cisco IOS وتم تقديمه في الأصل في ‪12.0(26)S‬، ويمكن أن يحفظ رسائل سجل النظام التي سيتم حفظها على قرص الذاكرة المؤقتة من الملحق التقني المتقدم (ATA). تستمر الرسائل المحفوظة على محرك أقراص ATA بعد إعادة تمهيد الموّجه.

تقوم سطور التكوين هذه بتكوين 134,217,728 بايت (128 ميجابايت) لرسائل السجل إلى دليل الدخول إلى النظام (syslog) للذاكرة المؤقتة للملحق التقني المتقدم (ATA) ‫(disk0)‬، بحجم ملف محدد يبلغ 16,384 بايت:

logging buffered
logging persistent url disk0:/syslog size 134217728 filesize 16384

قبل كتابة رسائل السجل إلى ملف على قرص الملحق التقني المتقدم (ATA)، يتحقق برنامج ‪Cisco IOS‬ مما إذا كانت هناك مساحة كافية على القرص. وإذا لم تكن هناك مساحة، سيتم حذف رسالة ملف السجل الأقدم (حسب الطابع الزمني)، ويتم حفظ الملف الحالي. تنسيق اسم الملف هو log_month:day:year::time.

ملاحظة: يحتوي أحد محركات الذاكرة المؤقتة للملحق التقني المتقدم (ATA) على مساحة محدودة على القرص وبالتالي يجب الحفاظ عليه لتجنب إمكانية الكتابة فوق البيانات المخزنة.

يوضّح هذا المثال كيفية نسخ رسائل السجل من قرص الذاكرة المؤقتة للملحق التقني المتقدم (ATA) الخاص بالموّجه إلى قرص خارجي على خادم FTP ‫192.168.1.129 كجزء من إجراءات الصيانة:

copy disk0:/syslog ftp://myuser/mypass@192.168.1.129/syslog

راجع التسجيل إلى التخزين غير المتطاير المحلي (قرص ATA) للحصول على مزيد من المعلومات حول هذه الميزة.

مستوى التسجيل

يتم تعيين كل رسالة من رسائل السجل التي يتم إنشاؤها بواسطة أحد أجهزة Cisco IOS بمرحلة واحدة من ثماني مراحل خطورة تتراوح من المستوى 0 وحالات الطوارئ وخلال المستوى 7 وتصحيح الأخطاء. ما لم يكن مطلوبا تحديدا، يوصى بتجنب السجلات في المستوى 7. ينتج عن السجلات الموجودة في المستوى 7 حمل مرتفع لوحدة المعالجة المركزية على الجهاز، والذي يمكن أن يؤدي إلى عدم إستقرار الجهاز والشبكة.

يتم إستخدام مستوى أمر التكوين العام logging trap لتحديد رسائل السجل التي يتم إرسالها إلى خوادم syslog البعيدة. يشير المستوى المحدد إلى الرسالة الأقل خطورة التي يتم إرسالها. بالنسبة للسجلات المخزن مؤقتا، يتم إستخدام الأمر logging buffered level.

ويحد مثال التكوين هذا من رسائل السجل التي يتم إرسالها إلى خوادم الدخول إلى النظام (syslog) البعيدة والمخزن المؤقت للسجل المحلي إلى مراحل الخطورة 6 (إعلامية) حتى 0 (حالات الطوارئ):

!

logging trap 6
logging buffered 6
!

راجع استكشاف الأخطاء وإصلاحها وإدارة الأعطال والتسجيل للحصول على مزيد من المعلومات.

عدم التسجيل إلى جلسات المراقبة أو وحدة التحكم

باستخدام برنامج Cisco IOS، من الممكن إرسال رسائل السجل لجلسات المراقبة، وهي جلسات الإدارة التفاعلية التي قد terminal monitor تم إصدار أمر EXEC فيها، وإلى وحدة التحكم. ومع ذلك، قد يؤدي ذلك إلى رفع حمل وحدة المعالجة المركزية لجهاز Cisco IOS، وبالتالي لا يُوصي بذلك. بدلا من ذلك، قم بإرسال معلومات السجل إلى المخزن المؤقت للسجل المحلي الذي يمكن عرضه باستخدام الأمرshow logging.

أستخدم أوامر التكوين العام no logging console وتعطيل السجلات no logging monitor إلى وحدة التحكم وجلسات المراقبة. يوضّح مثال التكوين هذا استخدام هذه الأوامر:

!

no logging console
no logging monitor
!

راجع مرجع أوامر إدارة شبكة ‪Cisco IOS‬ للحصول على مزيد من المعلومات حول أوامر التكوين العام.

استخدام السجلات المُخزنة مؤقتًا

يدعم برنامج Cisco IOS استخدام مخزن مؤقت للسجل المحلي حتى يمكن أن يعرض المسؤول رسائل السجل التي تم إنشاؤها محليًا. يُوصى بشدة أن يتم استخدام السجلات المُخزنة مؤقتًا مقابل سجلات جلسات المراقبة أو وحدة التحكم.

هناك خياران للتكوين ذي صلة عند تكوين السجلات المخزن مؤقتا: حجم مخزن السجل المؤقت ومراحل خطورة الرسالة المخزنة في المخزن المؤقت. يتم تكوين حجم logging buffer التخزين المؤقت باستخدام أمر التكوين العام logging buffered size. يتم تكوين الخطورة الأقل المضمنة في المخزن المؤقت باستخدام أمر الخطورة المخزن مؤقتا للسجل. يمكن أن يعرض المسؤول محتويات المخزن المؤقت للسجل من خلال أمر EXEC show logging .

يتضمن مثال التكوين هذا تكوين مخزن مؤقت لسجل من 16384 بايت، بالإضافة إلى الخطورة 6، الإعلامي، وهي تشير إلى تخزين الرسائل الموجودة من المستويات 0 (حالات الطوارئ) حتى المستوى 6 (الإعلامية):

!

logging buffered 16384 6
!

راجع مرجع أمر إدارة شبكة Cisco IOS للحصول على مزيد من المعلومات حول السجلات المُخزنة مؤقتًا.

تكوين واجهة مصدر التسجيل

لتوفير مستوى أكبر من التناسق عند جمع رسائل السجل ومراجعتها، يُنصح بتكوين واجهة مصدر تسجيل بشكل ثابت. ويتم تحقيق ذلك بواسطة أمر logging source-interface الواجهة. ويضمن تكوين واجهة مصدر تسجيل بشكل ثابت ظهور عنوان IP نفسه الموجود في جميع رسائل السجل التي يتم إرسالها من جهاز واحد من أجهزة Cisco IOS. للحصول على استقرار إضافي، يُوصى باستخدام واجهة استرجاع كمصدر السجل.

يوضح مثال التكوين هذا إستخدام أمر التكوين العام logging source-interface للواجهة لتحديد عنوان IP الخاص بواجهة الاسترجاع 0 لجميع رسائل السجل:

!
logging source-interface Loopback 0
!

راجع مرجع أمر ‪Cisco IOS‬ للحصول على مزيد من المعلومات.

تكوين الطوابع الزمنية للسجل

يساعدك تكوين الطوابع الزمنية للسجل على ربط الأحداث عبر أجهزة الشبكة. من المهم تنفيذ تكوين طابع زمني صحيح ومتسق للسجل لضمان أنه يمكنك ربط بيانات السجل. قم بتكوين الطوابع الزمنية للسجل لتضمين التاريخ والوقت، بدقة المللي ثانية، ولتضمين المنطقة الزمنية المُستخدمة على الجهاز.

يتضمن هذا المثال تكوين الطوابع الزمنية للسجل، بدقة المللي ثانية، في منطقة التوقيت العالمي المنسق (UTC):

!
service timestamps log datetime msec show-timezone
!

إذا كنت تفضل عدم تسجيل التوقيتات ذات الصلة بالتوقيت العالمي المنسق (UTC)، يمكنك تكوين منقطة زمنية محلية محددة وتكوين هذه المعلومات لتكون موجودة في رسائل السجل التي تم إنشاؤها. يوضّح هذا المثال تكوين جهاز لمنطقة توقيت المحيط الهادئ القياسي (PST):

!

clock timezone PST -8
service timestamps log datetime msec localtime show-timezone
!

إدارة تكوين برنامج Cisco IOS Software

يتضمن برنامج Cisco IOS العديد من الميزات لتمكين نموذج إدارة تكوين على جهاز Cisco IOS. وتتضمن هذه الميزات وظيفة أرشفة التكوينات وإرجاع التكوين إلى إصدار سابق بالإضافة إلى إنشاء سجل مُفصّل لتغيير التكوين.

استبدال التكوين والعودة إلى حالة التكوين السابقة

في الإصدار 12.3(7)T من البرنامج ‪Cisco IOS Software‬ والإصدارات الأحدث، تتيح لك ميزات استبدال التكوين والرجوع إلى حالة التكوين السابقة أرشفة تكوين جهاز ‪Cisco IOS‬ على الجهاز. ويتم تخزين التكوينات يدويا أو تلقائيا، ويمكن إستخدام التكوينات الموجودة في هذا الأرشيف لاستبدال التكوين الجاري تشغيله حاليا باستخدام أمر اسم الملف configure replace . هذا على النقيض من الأمر copy اسم الملف running-config . يقوم أمر اسم الملف configure replace باستبدال التكوين الجاري تشغيله، بدلا من الدمج الذي تم إجراؤه بواسطة copy الأمر.

يُنصح بتمكين هذه الميزة على جميع أجهزة Cisco IOS في الشبكة. وبمجرد تمكينها، يمكن أن يتسبب المسؤول في إضافة التكوين الجاري تشغيله الحالي إلى الأرشيف باستخدام archive config EXEC الأمر. ويمكن عرض التكوينات التي تمت أرشفتها باستخدام الأمرshow archive EXEC.

يوضّح هذا المثال تكوين أرشفة التكوين التلقائي. يرشد هذا المثال جهاز ‪Cisco IOS‬ لتخزين التكوينات التي تمت أرشفتها كملفات باسم ‪archived-config-N‬ على disk0: نظام الملفات، للحفاظ على 14 عملية نسخ إحتياطي كحد أقصى، وللأرشفة مرة واحدة في اليوم (1440 دقيقة) عندما يصدر المسؤول الأمرwrite memory EXEC.

!

archive
 path disk0:archived-config
 maximum 14
 time-period 1440
 write-memory
!

وعلى الرغم من إمكانية تخزين وظيفة أرشيف التكوين إلى ما يصل إلى 14 تكوينا تم نسخه إحتياطيا، ينصح بالتفكير في متطلبات المساحة قبل إستخدام الأمرmaximum.

الوصول الحصري إلى تغيير التكوين

تضمن ميزة "الوصول الحصري إلى تغيير التكوين" التي تمت إضافتها إلى الإصدار ‪12.3(14)T‬ من برنامج Cisco IOS إجراء مسؤول واحد لتغييرات التكوين على جهاز Cisco IOS في وقت معين. تساعد هذه الميزة في القضاء على التأثير غير المرغوب فيه للتغييرات المتزامنة التي يتم إجراؤها على مكونات التكوين ذات الصلة. يتم تكوين هذه الميزة باستخدام وضع أمر التكوين العام configuration mode exclusive وتعمل في أحد الوضعين: التلقائي أو اليدوي. في الوضع التلقائي، يتم قفل التكوين تلقائيا عندما يصدر المسؤول configure terminal EXEC الأمر. في الوضع اليدوي، يستخدم المسؤول الأمر configure terminal lock لقفل التكوين عند دخوله إلى وضع التكوين.

يوضّح هذا المثال تكوين هذه الميزة لقفل التكوين التلقائي:

!
configuration mode exclusive auto
!

التكوين المرن لبرنامج Cisco IOS Software

تتيح ميزة "التكوين المرن" التي تمت إضافتها في الإصدار ‪12.3(8)T‬ من برنامج Cisco IOS إمكانية تخزين نسخة من صورة برنامج Cisco IOS وتكوين الجهاز الذي يتم استخدامه حاليًا بواسطة جهاز Cisco IOS بأمان. عند تمكين هذه الميزة، لا يمكن تغيير ملفات النسخ الاحتياطي هذه أو إزالتها. يُنصح بتمكين هذه الميزة لمنع كل المحاولات غير المقصودة والضارة لحذف هذه الملفات.

!
secure boot-image
secure boot-config!

وبمجرد تمكين هذه الميزة، من الممكن استعادة تكوين محذوف أو صورة برنامج ‪Cisco IOS‬. يمكن عرض الحالة الحالية لهذه الميزة باستخدام الأمرshow secure boot EXEC.

برنامج Cisco Software الموقَّع رقميًا

تتيح ميزة "برنامج Cisco Software الموقَّع رقميًا"، التي تمت إضافتها في الإصدار ‪15.0(1)M‬ من برنامج Cisco IOS لموجّهات السلسلة 1900 و2900 و3900 من Cisco، تسهيل استخدام برنامج Cisco IOS الموقّع رقميًا وبالتالي موثوق به باستخدام تشفير غير متماثل (مفتاح عام) آمن.

تحتوي الصورة الموقّعة رقميًا على تجزئه مشفّرة (باستخدام مفتاح خاص) من ذاتها. عند التحقق، يقوم الجهاز بفك تشفير التجزئة باستخدام المفتاح العام المرتبط من المفاتيح الموجودة في مخزن المفاتيح الخاص به وكما يقوم بحساب التجزئة الخاصة به للصورة. إذا تطابقت التجزئة التي تم فك تشفيرها مع تجزئة الصورة التي تم حسابها، فهذا يدل على أنه لم يتم التلاعب بالصورة ويمكن الوثوق بها.

يتم تحديد مفاتيح برنامج Cisco الموقّع رقميًا حسب نوع المفتاح وإصداره. يمكن أن يكون أحد المفاتيح نوع مفتاح خاص أو إنتاج أو إعادة توجيه. تحتوي أنواع المفاتيح الخاصة أو مفاتيح الإنتاج على إصدار مفتاح مرتبط يتزايد أبجديًا عند إبطال المفتاح واستبداله. يتم توقيع كل من صور ROMMON وCisco IOS العادية باستخدام مفتاح خاص أو مفتاح إنتاج عند استخدام ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا". صورة ROMMON قابلة للترقية ويجب توقيعها بالمفتاح نفسه مثل الصورة الخاصة أو صورة الإنتاج التي يتم تحميلها.

يتحقق هذا الأمر من سلامة الصورة ‪c3900-universalk9-mz.SSA‬ في الذاكرة المؤقتة باستخدام المفاتيح الموجودة في مخزن مفاتيح الجهاز:

show software authenticity file flash0:c3900-universalk9-mz.SSA

كما تم دمج ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا" في الإصدار 3.1.0.SG من ‪Cisco IOS XE‬ للمحوّلات ‪Cisco Catalyst 4500 E-Series Switches‬.

راجع برنامج ‪Cisco Software‬ الموقّع رقميًا للحصول على مزيد من المعلومات حول هذه الميزة.

في الإصدار 15.1(1)T والإصدارات الأحدث من البرنامج ‪Cisco IOS Software‬، تم تقديم استبدال مفتاح لميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا". يعمل استبدال المفتاح وإبطاله على استبدال مفتاح يتم استخدامه للتحقق من "برنامج Cisco Software الموقّع رقميًا" وإزالته من منصة تخزين مفتاح نظام أساسي. يمكن إبطال مفاتيح الإنتاج والمفاتيح الخاصة فقط في حالة اختراق أحد المفاتيح.

يأتي مفتاح جديد (مفتاح الخاص أو مفتاح إنتاج) لصورة (خاصة أو إنتاج) في صورة (إنتاج أو إبطال) يتم استخدامها لإبطال المفتاح الخاص أو مفتاح الإنتاج السابق. يتم التحقق من سلامة صورة الإبطال باستخدام مفتاح إعادة توجيه يأتي مُخزنًا مسبقًا على النظام الأساسي. لا يتغير مفتاح إعادة التوجيه. عند إبطال مفتاح إنتاج، فإنه بعد تحميل صورة الإبطال تتم إضافة المفتاح الجديد الذي يحمله إلى المخزن الرئيسي ويمكن إبطال المفتاح القديم المرتبط طالما أنه تمت ترقية صورة ROMMON ويتم تمهيد صورة الإنتاج الجديدة. عند إبطال مفتاح خاص، يتم تحميل صورة إنتاج. تُضيف هذه الصورة المفتاح الخاص الجديد ويمكن أن تبطل المفتاح الخاص القديم. بعد ترقية ROMMON، يمكن تمهيد الصورة الخاصة الجديدة.

يوضّح هذا المثال عملية إبطال مفتاح خاص. تقوم هذه الأوامر بإضافة المفتاح الخاص الجديد إلى مخزن المفاتيح من صورة الإنتاج الحالية ونسخ صورة جديدة من ROMMON ‫(C3900_rom-monitor.srec.SSB) إلى منطقة التخزين (usbflash0:) وترقية ملف ROMMON وإبطال المفتاح الخاص القديم:

software authenticity key add special
copy tftp://192.168.1.129/C3900_rom-monitor.srec.SSB usbflash0:
upgrade rom-monitor file usbflash0:C3900_PRIV_RM2.srec.SSB
software authenticity key revoke special

بعد ذلك يمكن نسخ صورة خاصة جديدة (‪c3900-universalk9-mz.SSB‬) إلى الذاكرة المؤقتة المُراد تحميلها ويتم التحقق من توقيع الصورة باستخدام المفتاح الخاص الذي تمت إضافته حديثًا (.SSB):

copy /verify tftp://192.168.1.129/c3900-universalk9-mz.SSB flash:

إبطال المفتاح واستبداله غير مدعوم على المحولات ‪Catalyst 4500 E-Series Switches‬ التي تقوم بتشغيل البرنامج ‪Cisco IOS XE Software‬، رغم دعم هذه المحولات لميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا."

راجع قسم إبطال مفتاح ميزة "برنامج ‪Cisco Software‬ الموقّع رقميًا" واستبداله من دليل برنامج ‪Cisco Software‬ الموقّع رقميًا للحصول على مزيد من المعلومات حول هذه الميزة.

الإعلام بتغيير التكوين وتسجيله

تتيح ميزة "الإعلام بتغيير التكوين وتسجيله" التي تمت إضافتها في الإصدار 12.3(4)T من البرنامج ‪Cisco IOS Software‬، إمكانية تسجيل تغييرات التكوين التي تم إجراؤها على جهاز ‪Cisco IOS‬. ويتم الاحتفاظ بالسجل على جهاز Cisco IOS ويحتوي على معلومات المستخدم الخاصة بالشخص الذي أجرى التغيير وأمر التكوين الذي تم إدخاله والوقت الذي تم إجراء التغيير فيه. يتم تمكين هذه الوظيفة مع أمر وضع التكوين مسجل تغيير logging enable التكوين. يتم إستخدام الأوامر الاختيارية hidekeys والمدخلات logging size لتحسين التكوين الافتراضي لأنها تمنع سجلات بيانات كلمة المرور وتزيد من طول سجل التغيير.

يُوصى بتمكين هذه الوظيفة حتى يمكن فهم محفوظات تغيير التكوين الخاصة بجهاز Cisco IOS على نحو أكثر سهولة. وبالإضافة إلى ذلك، يوصى باستخدام أمر notify syslog التكوين لتمكين إنشاء رسائل الدخول إلى النظام (syslog) عند إجراء تغيير على التكوين.

!

archive
 log config
  logging enable
  logging size 200
  hidekeys
  notify syslog
!

بعد تمكين ميزة "الإعلام بتغيير التكوين وتسجيله"، يمكن إستخدام أمر EXEC للمستوى المتميز show archive log config all لعرض سجل التكوين.

مستوى التحكم

تتألف وظائف مستوى التحكم من البروتوكولات والعمليات التي تصل بين أجهزة الشبكة لنقل البيانات من المصدر إلى الوجهة. ويتضمن ذلك بروتوكولات التوجيه مثل بروتوكول العبّارة الحدودية (BGP)، بالإضافة إلى بروتوكولات مثل ICMP وبروتوكول حجز الموارد (RSVP).

من المهم ألا تؤثر الأحداث في مستويات الإدارة والبيانات سلبًا على مستوى التحكم. إذا كان حدث مستوى البيانات، مثل هجوم رفض الخدمة (DoS)، يؤثر على مستوى التحكم، فقد تصبح الشبكة بأكملها غير مستقرة. يمكن أن تساعد هذه المعلومات المتعلقة بميزات برنامج Cisco IOS وتكويناتها على ضمان مرونة مستوى التحكم.

تقوية مستوى التحكم العام

تُعد حماية مستوى التحكم في جهاز شبكة أمرًا بالغ الأهمية لأن مستوى التحكم يضمن الحفاظ على مستويات الإدارة والبيانات وتشغيلها. إذا أصبح مستوى التحكم غير مستقر أثناء حادث أمني، فقد يكون من المستحيل استعادة استقرار الشبكة.

وفي العديد من الحالات، يمكنك تعطيل استلام أنواع معينة من الرسائل على واجهة وإرسالها لتقليل مقدار حمل وحدة المعالجة المركزية (CPU) المطلوب لمعالجة الحِزم غير الضرورية.

رسائل إعادة توجيه ICMP لحِزم IP

يمكن إنشاء رسالة إعادة توجيه ICMP بواسطة موجّه عند استلام حِزمة وإرسالها على الواجهة نفسها. في هذه الحالة، يقوم الموجّه بإعادة توجيه الحِزمة وإرسال رسالة إعادة توجيه ICMP مرة أخرى إلى مرسِل الحِزمة الأصلية. يتيح هذا السلوك للمرسِل تجاوز الموجّه وإعادة توجيه الحِزم المستقبلية مباشرةً إلى الوجهة (أو إلى موجّه أقرب إلى الوجهة). في شبكة IP تعمل بشكل صحيح، يُرسل الموجّه رسائل إعادة التوجيه إلى الأجهزة المُضيفة فقط على الشبكات الفرعية المحلية الخاصة به. وبمعنى آخر، لا تتجاوز عمليات إعادة توجيه ICMP عادةً حدود الطبقة 3.

هناك نوعان من رسائل إعادة توجيه ICMP: قم بإعادة التوجيه لعنوان جهاز مُضيف وإعادة التوجيه للشبكة الفرعية بأكملها. يمكن للمستخدم الضار استغلال قدرة الموجّه على إرسال رسائل إعادة توجيه ICMP عن طريق إرسال الحِزم المستمر إلى الموجّه، والذي يفرض على الموجّه الاستجابة باستخدام رسائل إعادة توجيه ICMP، ويؤدي إلى تأثير ضار على وحدة المعالجة المركزية (CPU) وأداء الموجّه. لمنع الموجه من إرسال رسائل إعادة توجيه ICMP، أستخدم أمر تكوين no ip redirects الواجهة.

وجهات ICMP التي يتعذّر الوصول إليها

تقوم التصفية باستخدام قائمة الوصول إلى الواجهة بإرسال رسائل ICMP الذي يتعذّر الوصول إليها مرة أخرى إلى مصدر حركة المرور التي تمت تصفيتها. يمكن أن يزيد إنشاء هذه الرسائل استخدام وحدة المعالجة المركزية (CPU) على الجهاز. وبشكل افتراضي، في برنامج Cisco IOS، يقتصر إنشاء ICMP غير القابل للوصول على حِزمة واحدة كل 500 مللي ثانية. يمكن تعطيل إنشاء رسالة برتوكول ICMP الذي يتعذر الوصول إليه باستخدام أمر تكوين الواجهة no ip unreachables. يمكن تغيير حد معدل ICMP الذي يتعذر الوصول إليه من خلال الإعداد الافتراضي باستخدام أمر التكوين العام ip icmp rate-limit unreachable interval-in-ms.

ARP للوكيل

ARP للوكيل هو الأسلوب الذي يستجيب فيه جهاز واحد وعادةً ما يكون موجّهًا على طلبات ARP المُخصصة لجهاز آخر. من خلال تزييف هويته، يقبل الموجّه المسؤولية توجيه الحِزم نحو الوجهة الحقيقية. يمكن أن يساعد ARP للوكيل الأجهزة الموجودة على شبكة فرعية في الوصول إلى شبكات فرعية بعيدة دون تكوين مسار أو عبّارة افتراضية. يتم تحديد ARP للوكيل في RFC 1027 .

هناك عيوب لاستخدام ARP للوكيل. يمكن أن يؤدي ذلك إلى زيادة مقدار حركة مرور بيانات ARP على مقطع الشبكة واستهلاك الموارد وهجمات الدخيل. يمثل ARP للوكيل موجّه هجوم استهلاك الموارد نظرًا لأن كل طلب من ARP للوكيل يستهلك مقدارًا صغيرًا من الذاكرة. يمكن أن يكون أحد المهاجمين قادرًا على استهلاك جميع الذاكرة المتوفرة في حالة إرسال عدد كبير من طلبات ARP.

تمكّن هجمات الدخيل مضيفًا على الشبكة من انتحال عنوان MAC للموجّه، وينتج عن ذلك قيام مضيفين بإرسال حركة مرور البيانات بدون قصد إلى المهاجم. يمكن تعطيل ARP للوكيل باستخدام أمر تكوين الواجهة no ip proxy-arp.

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور بيانات مستوى التحكم

تُعد حماية مستوى التحكم أمرًا بالغ الأهمية. ونظرًا لإمكانية معاناة أداء التطبيق وتجربة المستخدم النهائي دون وجود حركة مرور البيانات والإدارة، فإن قابلية بقاء مستوى التحكم تضمن الحفاظ على المستويين الآخرين وتشغيلهما.

فهم حركة مرور بيانات مستوى التحكم

لحماية مستوى التحكم بشكل صحيح لجهاز Cisco IOS، فمن الضروري فهم أنواع حركة مرور البيانات التي يتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU). عادةً ما تتكون حركة مرور البيانات التي يتم تحويلها للعملية من نوعين مختلفين من حركات مرور البيانات. يتم توجيه النوع الأول من حركة المرور إلى جهاز Cisco IOS ويجب معالجته مباشرةً بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS. تتكون حركة المرور هذه من فئة استقبال حركة مرور التجاور. show ip cef تحتوي حركة المرور هذه على إدخال في جدول إعادة التوجيه السريع من Cisco (CEF)، حيث تمثل خطوة الموجه التالية الجهاز نفسه، ويشار إليها بواسطة إستقبال المصطلحات في إخراج واجهة سطر الأوامر (CLI). وهذا المؤشر هو حالة أي عنوان IP يتطلب المعالجة المباشرة بواسطة وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬ والتي تتضمن عناوين IP للواجهة ومساحة عنوان البث المتعدد ومساحة عنوان البث.

والنوع الثاني من حركة المرور التي تتم معالجتها بواسطة وحدة المعالجة المركزية هي حركة مرور مستوى البيانات - حركة مرور بوجهة خارج جهاز Cisco IOS نفسه، التي تتطلب معالجة خاصة بواسطة وحدة المعالجة المركزية (CPU). وعلى الرغم من أنها ليست قائمة شاملة لحركة مرور مستوى البيانات تؤثر عليها وحدة المعالجة المركزية، فهذه الأنواع من حركة المرور يتم تحويلها ومن ثم يمكن أن تؤثر على تشغيل مستوى التحكم:

• تسجيل قائمة التحكم في الوصول - تتكون حركة مرور سجل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية "log".
  
  
• إعادة توجيه المسار العكسي للبث الأحادي (Unicast RPF) - يمكن أن ينتج عن Unicast RPF، المُستخدم مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحِزم.
  
  
• خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
  
  
• التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية (CPU) لمعالجتها.
  
  
• انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد، الرسائل (نوع ICMP ‫11‬، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية (CPU).
  
  
• ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه، أو MTU، أو التصفية بواسطة وحدة المعالجة المركزية.
  
  
• حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود تتم معالجتها بواسطة وحدة المعالجة المركزية.
  
  
• حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.

تعرض هذه القائمة تفاصيل العديد من الطرق لتحديد أنواع حركة المرور التي ستتم معالجتها بواسطة وحدة المعالجة المركزية (CPU) لجهاز Cisco IOS:

• show ip cef يوفر الأمر معلومات الخطوة التالية لكل بادئة IP موجودة في جدول CEF. وكما تمت الإشارة مسبقًا، يتم اعتبار الإدخالات التي تحتوي على استقبال على أنها "الخطوة التالية"، كاستقبال عمليات تجاور وتشير إلى أنه يجب إرسال حركة المرور مباشرةً إلى وحدة المعالجة المركزية.
  
  
• يوفر الأمر show interface switching معلومات عن عدد الحزم التي يتم تحويلها بواسطة جهاز.
  
  
• يوفر show ip traffic الأمر معلومات حول عدد حزم IP:
  
  
  • باستخدام وجهة محلية (وذلك، حركة مرور استقبال التجاور)
  • باستخدام خيارات
  • تتطلب تجزئة
  • التي يتم إرسالها إلى مساحة عنوان البث
  • التي يتم إرسالها إلى مساحة عنوان البث المتعدد
    
    
• يمكن تحديد استقبال حركة مرور التجاور من خلال استخدام الأمر ‪show ip cache flow‬. تحتوي أي تدفقات موجهة إلى جهاز Cisco IOS على واجهة الوجهة (DstIf) من المحلية.
  
  
• يمكن استخدام Control Plane Policing لتحديد نوع حركة المرور التي تصل إلى مستوى التحكم في جهاز Cisco IOS ومعدلها. يمكن تنفيذ تنظيم مستوى التحكم من خلال إستخدام قوائم التحكم في الوصول الخاصة بالتصنيف متعدد المستويات والسجلات show policy-map control-plane والأمر.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تحدد قوائم التحكم في الوصول للبنية الأساسية الاتصالات الخارجية بأجهزة الشبكة. تمت تغطية قوائم التحكم في الوصول للبنية التحتية بشكل مكثّف في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية التحتية في هذا المستند.

يُنصح بتنفيذ قوائم التحكم في الوصول إلى البنية التحتية (iACL) لحماية مستوى التحكم بجميع أجهزة الشبكة.

استقبال قوائم التحكم بالوصول (ACL)

بالنسبة للأنظمة الأساسية الموزعة، يمكن أن تكون قوائم التحكم في الوصول للاستقبال خيارا لإصدارات برنامج Cisco IOS Software، الإصدار 12.0(21)S2 ل 12000 (GSR) و 12.0(24)S ل 7500 و 12.0(31)S ل 10720. تحمي قوائم التحكم في الوصول للاستقبال الجهاز من حركة المرور الضارة قبل أن تؤثر حركة المرور على معالج المسار. يتم تصميم قوائم التحكم في الوصول للاستقبال لحماية الجهاز الذي تم تكوينها عليه وحركة المرور العابرة التي لا تتأثر بقوائم التحكم في الوصول للاستقبال. ونتيجة لذلك، يشير عنوان IP للوجهة "أي" الذي يتم استخدامه في إدخالات التحكم في الوصول للمثال المعروض فقط إلى عناوين IP المادية أو الافتراضية للموجّه. كما تُعد قوائم التحكم في الوصول للاستقبال أفضل ممارسة أمان شبكة ويمكن اعتبارها كإضافة طويلة المدى لأمان الشبكة الجيد.

هذا هو قائمة التحكم في الوصول لمسار الاستقبال الذي تتم كتابته للسماح لحركة مرور SSH ‫(منفذ TCP 22) من الأجهزة المضيفة الموثوقة على الشبكة 192.168.100.0/24:

!
!--- Permit SSH from trusted hosts allowed to the device.
!

access-list 151 permit tcp 192.168.100.0 0.0.0.255 any eq 22
!
!--- Deny SSH from all other sources to the RP.
!

access-list 151 deny tcp any any eq 22
!
!--- Permit all other traffic to the device.
!--- according to security policy and configurations.
!

access-list 151 permit ip any any
!
!--- Apply this access list to the receive path.
!

ip receive access-list 151
!

راجع GSR: قوائم التحكم في الوصول للاستقبال للمساعدة في تحديد حركة المرور الشرعية والسماح بها لجهاز ورفض جميع الحزم غير المرغوب فيها.

CoPP

كما يمكن استخدام ميزة CoPP لتقييد حِزم IP المُوجّهة إلى جهاز البنية التحتية. في هذا المثال، يُسمح فقط لحركة مرور SSH من الأجهزة المضيفة الموثوقة بالوصول إلى وحدة المعالجة المركزية لجهاز ‪Cisco IOS‬. 

ملاحظة: يمكن أن تمنع حركة المرور التي تم إسقاطها من عناوين IP غير المعروفة أو غير الموثوق بها الأجهزة المضيفة التي تحتوي على عناوين IP معينة بشكل ديناميكي من إنشاء اتصال بجهاز Cisco IOS.

!

access-list 152 deny tcp <trusted-addresses> <mask> any eq 22
access-list 152 permit tcp any any eq 22
access-list 152 deny ip any any
!

class-map match-all COPP-KNOWN-UNDESIRABLE
 match access-group 152
!

policy-map COPP-INPUT-POLICY
 class COPP-KNOWN-UNDESIRABLE
  drop
!

control-plane
 service-policy input COPP-INPUT-POLICY
!

في مثال CoPP السابق، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم غير المعتمدة بالإجراء المسموح به التخلص من هذه الحِزم من خلال وظيفة إسقاط خريطة التنظيم، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض بوظيفة إسقاط خريطة التنظيم.

يتوفر CoPP في برنامج ‪Cisco IOS Software‬ الإصدار trains 12.0S و12.2SX و12.2S و12.3T و12.4 و12.4T.

حماية مستوى التحكم

يمكن استخدام حماية مستوى التحكم (CPPr)، المُقدمة في الإصدار ‪12.4(4)T‬ من برنامج Cisco IOS، لتقييد حركة مرور مستوى التحكم الموجهة إلى وحدة المعالجة المركزية لجهاز Cisco IOS أو تنظيمها. وعلى الرغم من التشابه مع CoPP، فإن حماية مستوى التحكم (CPPr) تتميز بالقدرة على تقييد حركة المرور بعدة مستويات أكثر دقة. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية. توجد الواجهات الفرعية للمضيف والنقل وفئات حركة مرور استثناء CEF. وبالإضافة إلى ذلك، تتضمن حماية مستوى التحكم (CPPr) ميزات حماية مستوى التحكم هذه:

• ميزة تصفية المنفذ - توفر هذه الميزة تنظيم الحِزم التي يتم إرسالها إلى منافذ TCP أو UDP المغلقة أو غير المصغية وإسقاطها.
  
  
• ميزة حد قائمة الانتظار - تحدد هذه الميزة عدد الحِزم لبروتوكول محدد مسموح به في قائمة انتظار إدخال IP لمستوى التحكم.

راجع فهم حماية مستوى التحكم (CPPr) للحصول على مزيد من المعلومات حول إستخدام ميزة CPPr.

أدوات تحديد معدل المكونات المادية

يدعم محرك المشرف Cisco Catalyst 6500 Series Supervisor Engine 32 وSupervisor Engine 720 أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) الخاصة بالنظام الأساسي لسيناريوهات الشبكة الخاصة. وتتم الإشارة إلى أدوات تحديد معدل الأجهزة هذه كأدوات تحديد معدل حالة خاصة نظرًا لأنها تغطي مجموعة محددة ومعرّفة مسبقًا من سيناريوهات DoS للبث المتعدد والبث الأحادي وIPv6 وIPv4. يمكن أن تحمي أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) جهاز Cisco IOS من مجموعة متنوعة من الهجمات التي تتطلب معالجة الحِزم بواسطة وحدة المعالجة المركزية.

هناك العديد من أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) التي يتم تمكينها بشكل افتراضي. راجع الإعدادات الافتراضية لأدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) لـ PFC3 للحصول على مزيد من المعلومات حول أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs).

راجع أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) على PFC3 للحصول على مزيد من المعلومات حول أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs).

BGP الآمن

بروتوكول العبّارة الحدودية (BGP) هو أساس التوجيه الخاص بالإنترنت. وهكذا تكون لأي مؤسسة متطلبات اتصال بسيط تستخدم بروتوكول BGP عادةً. وعادةً ما يتم استهداف بروتوكول BGP بواسطة المهاجمين بسبب وجوده المطلق وطبيعة التعيين والنسيان من تكوينات BGP في المؤسسات الأصغر. ومع ذلك، هناك العديد من ميزات الأمان الخاصة بتكوين BGP التي يمكن الاستفادة منها لزيادة أمان تكوين BGP.

يوفر ذلك نظرة عامة على أهم ميزات أمان BGP، وعند الاقتضاء، يتم إجراء توصيات بشأن التكوين.

أوجه الحماية الأمنية المستندة إلى TTL

تحتوي كل حزمة من حِزم IP على حقل مكوّن من 1 بايت معروف باسم مدة البقاء (TTL). يقوم كل جهاز عند اجتياز حزمة IP بخفض هذه القيمة بمقدار واحد. تختلف قيمة بدء TTL حسب نظام التشغيل وعادة ما تكون النطاقات من 64 إلى 255. يتم إسقاط الحزمة عندما تصل قيمة TTL الخاصة بها إلى صفر.

وتُعرف باسم آلية الأمان المعممة المستندة إلى TTL ‫(GTSM) واختراق أمان BGP TTL ‫(BTSH)، وتستفيد حماية الأمان المستندة إلى TTL من قيمة TTL لحِزم IP للتأكد من أن حِزم BGP التي يتم استقبالها من نظير متصل مباشرةً. وغالبا ما تتطلب هذه الميزة التنسيق من موجهات نظير؛ ومع ذلك، بمجرد تمكينها، يمكنها هزيمة العديد من الهجمات المستندة إلى بروتوكول TCP بالكامل مقابل بروتوكول BGP.

يتم تمكين GTSM لبروتوكول BGP مع ttl-security الخيار لأمر تكوين موجه neighbor BGP. يوضح هذا المثال تكوين هذه الميزة:

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> ttl-security hops <hop-count>
!

مع استقبال حِزم BGP، يتم التحقق من قيمة TTL ويجب أن تكون أكبر من أو تساوي 255 ناقص عدد الخطوات المحددة.

مصادقة نظير BGP باستخدام MD5

تقوم مصادقة النظير مع MD5 بإنشاء ملخص MD5 لكل حزمة يتم إرسالها كجزء من جلسة BGP. وبشكل محدد، يتم استخدام أجزاء من رؤوس IP وTCP، وحمولة TCP، ومفتاح سري لإنشاء الملخص.

وبعد ذلك، يتم تخزين الملخص الذي تم إنشاؤه في خيار TCP النوع 19، والذي تم إنشاؤه تحديدًا لهذا الغرض بواسطة ‪RFC 2385‬  . يستخدم مكبر صوت BGP المُستقبل نفس الخوارزمية والمفتاح السري لإعادة إنشاء ملخص الرسالة. إذا كانت الملخصات المُستلمة والمُحوسبة غير متطابقة، سيتم تجاهل الحزمة.

يتم تكوين مصادقة النظير مع MD5 باستخدام password الخيار إلى أمر تكوين موجه neighbor BGP. ويتم توضيح استخدام هذا الأمر هنا:

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> password <secret>
!

راجع مصادقة الموجّه المجاور للحصول على مزيد من المعلومات حول مصادقة نظير BGP مع MD5.

تكوين الحد الأقصى للبادئات

يتم تخزين بادئات BGP بواسطة موجّه في الذاكرة. كلما زاد عدد البادئات التي يجب أن يستوعبها الموجّه، زادت مساحة الذاكرة التي يستهلكها بروتوكول BGP. في بعض التكوينات، يمكن تخزين مجموعة فرعية من جميع بادئات الإنترنت، مثل التكوينات التي تستفيد من موجّه افتراضي أو موجّهات افتراضية فقط لشبكات المستخدم المزود.

لمنع استهلاك الذاكرة، قم بتكوين الحد الأقصى لعدد من البادئات التي يتم قبولها على أساس كل نظير. يُوصى بتكوين حد لكل نظير BGP.

neighbor maximum-prefix عندما تقوم بتكوين هذه الميزة باستخدام أمر تكوين موجه BGP، يلزم وجود وسيطة واحدة: الحد الأقصى لعدد البادئات التي تم قبولها قبل إيقاف تشغيل النظير. وبشكل اختياري، يمكن أيضًا إدخال رقم من 1 إلى 100. يمثل هذا الرقم النسبة المئوية للحد الأقصى من قيمة البادئات عند إرسال رسالة سجل.

!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> maximum-prefix <shutdown-threshold> <log-percent>
!

راجع تكوين ميزة الحد الأقصى لبادئة BGP للحصول على مزيد من المعلومات حول الحد الأقصى لعدد البادئات لكل نظير.

تصفية بادئات BGP باستخدام قوائم البادئات

تسمح قوائم البادئات لمسؤول الشبكة بالسماح بالبادئات المحددة التي يتم إرسالها أو استقبالها بواسطة BGP أو رفضها. استخدم قوائم البادئات، حيثما كان ذلك ممكنًا، لضمان إرسال حركة مرور الشبكة عبر المسارات المقصودة. قم بتطبيق قوائم البادئات على كل نظير من نظراء eBGP في كلا الاتجاهين الوارد والصادر.

تحدد قوائم البادئات المكوّنة البادئات التي يتم إرسالها أو استقبالها إلى تلك التي تسمح بها سياسة توجيه الشبكة بشكل محدد. وإذا لم يكن هذا ملائمًا بسبب العدد الكبير من البادئات التم تم استقبالها، قم بتكوين قائمة البادئات لحظر البادئات السيئة المعروفة بشكل محدد. تتضمن هذه البادئات السيئة المعروفة مساحة عنوان IP غير المخصصة والشبكات المحجوزة لأغراض الاختبار أو الداخلية بواسطة RFC 3330. قم بتكوين قوائم البادئات الصادرة للسماح فقط بالبادئات التي ترغب المؤسسة في الإعلان عنها.

يستخدم مثال التكوين هذا قوائم البادئات للحد من الموجهات التي يتم التعرف عليها والإعلان عنها. وعلى وجه الخصوص، يتم السماح بالموجّه الافتراضي للاتصال الوارد بواسطة قائمة البادئات BGP-PL-INBOUND، والبادئة 192.168.2.0/24 هي الموجّه الوحيد المسموح به للإعلان عنها بواسطة BGP-PL-OUTBOUND.

!

ip prefix-list BGP-PL-INBOUND seq 5 permit 0.0.0.0/0
ip prefix-list BGP-PL-OUTBOUND seq 5 permit 192.168.2.0/24
!

router bgp <asn>
 neighbor <ip-address> prefix-list BGP-PL-INBOUND in
 neighbor <ip-address> prefix-list BGP-PL-OUTBOUND out
!

راجع التوصيل بمزود الخدمة باستخدام BGP الخارجي للحصول على تغطية كاملة للمعلومات الخاصة بتصفية بادئات BGP.

تصفية بادئات BGP باستخدام قوائم الوصول إلى مسار النظام الذاتي

تتيح قوائم الوصول إلى مسار النظام الذاتي (AS) لـ BGP للمستخدم تصفية البادئات المستلمة والمُعلن عنها استنادًا إلى سمة مسار النظام الذاتي للبادئة. يمكن استخدام هذا الأمر  مع قوائم البادئات لإنشاء مجموعة قوية من عوامل التصفية.

يستخدم مثال التكوين هذا قوائم الوصول إلى مسار النظام الذاتي لتقييد البادئات الواردة لتلك التي تم إنشاؤها بواسطة بادئات النظام المستقل البعيدة والصادرة لتلك التي تم إنشاؤها بواسطة النظام الذاتي المحلي. تتم تصفية البادئات التي يتم الحصول عليها من جميع الأنظمة الذاتية الأخرى ولا يتم تثبيتها في جدول التوجيه.

!

ip as-path access-list 1 permit ^65501$
ip as-path access-list 2 permit ^$
!

router bgp <asn>
 neighbor <ip-address> remote-as 65501
 neighbor <ip-address> filter-list 1 in
 neighbor <ip-address> filter-list 2 out
!

بروتوكولات العبّارة الداخلية الآمنة

تعتمد قدرة الشبكة على إعادة توجيه حركة المرور والاسترداد من تغييرات المخطط أو الأخطاء بشكل صحيح على طريقة عرض دقيقة للمخطط. غالبًا ما يمكنك تشغيل بروتوكول العبّارة الداخلية (IGP) لتوفير طريقة العرض هذه. وبشكل افتراضي، تكون بروتوكولات العبّارة الداخلية ديناميكية وتكتشف الموجهات الإضافية التي تتصل ببروتوكول العبّارة المعيّن قيد الاستخدام. كما تكتشف بروتوكولات العبّارة الداخلية الموجهات التي يمكن استخدامها عند فشل ارتباط الشبكة.

توفر هذه الأقسام الفرعية نظرة عامة على ميزات أمان بروتوكول العبّارة الداخلية الهامة. يتم توفير التوصيات والأمثلة التي تغطي بروتوكول معلومات التوجيه الإصدار 2 ‫(RIPv2)‬ وبروتوكول التوجيه المحسّن للعبّارة الداخلية (EIGRP) وفتح أقصر مسار أولاً (OSPF) حيثما كان ذلك مناسبًا.

مصادقة بروتوكول التوجيه والتحقق منه باستخدام الرسالة Digest 5

يسمح الفشل بتأمين تبادل معلومات التوجيه للمهاجم بتقديم معلومات توجيه خاطئة إلى الشبكة. استخدم مصادقة كلمة المرور مع بروتوكولات التوجيه بين الموجّهات للمساعدة في أمان الشبكة. ومع ذلك، نظرًا لأنه يتم إرسال هذه المصادقة كنص واضح، فقد يكون تخريب التحكم في الأمان هذا أمراً بسيطًا للمهاجم.

عند إضافة قدرات تجزئة MD5 إلى عملية المصادقة، لم تعد تحديثات التوجيه تحتوي على كلمات مرور غير مُشفّرة، وتكون المحتويات بأكملها لتحديث التوجيه أكثر مقاومة ليتم التلاعب بها. ومع ذلك، لا تزال مصادقة MD5 عرضة لهجمات عنيفة وهجمات القاموس إذا تم استخدام كلمات مرور ضعيفة. يُنصح باستخدام كلمات مرور بتوزيع عشوائي كافٍ. ونظرًا لأن مصادقة MD5 أكثر أمانًا عند مقارنتها بمصادقة كلمة المرور، فهذه الأمثلة محددة لمصادقة MD5. كما يمكن استخدام IPSec للتحقق من صحة بروتوكولات التوجيه وتأمينها، ولكن لا تقوم هذه الأمثلة بتفصيل استخدامها.

يستخدم كل من EIGRP وRIPv2 سلاسل المفاتيح كجزء من التكوين. راجع المفتاح للحصول على مزيد من المعلومات حول تكوين سلاسل المفاتيح واستخدامها.

هذا مثال لتكوين مصادقة موجّه EIGRP الذي يستخدم MD5:

!

key chain <key-name>
 key <key-identifier>
 key-string <password> 
!

interface <interface>
 ip authentication mode eigrp <as-number> md5
 ip authentication key-chain eigrp <as-number> <key-name>
!

هذا مثال لتكوين مصادقة موجه MD5 ل RIPv2. لا يدعم RIPv1 المصادقة.

!

key chain <key-name>
 key <key-identifier>
 key-string <password> 
!

interface <interface>
 ip rip authentication mode md5
 ip rip authentication key-chain <key-name>
!

هذا مثال لتكوين مصادقة موجه OSPF باستخدام MD5. لا يستخدم OSPF سلاسل المفاتيح.

!

interface <interface>
 ip ospf message-digest-key <key-id> md5 <password>
!

router ospf <process-id>
 network 10.0.0.0 0.255.255.255 area 0
 area 0 authentication message-digest
!

راجع تكوين OSPF للحصول على مزيد من المعلومات.

أوامر الواجهة الخاملة

passive-interface يمكن الحد من تسربات المعلومات أو تقديم معلومات خاطئة في بروتوكول العبارة الداخلية من خلال إستخدام الأمر الذي يساعد في التحكم في إعلان معلومات التوجيه. يُوصى بعدم الإعلان عن أي معلومات للشبكات الموجودة خارج التحكم الإداري الخاص بك.

يوضح هذا المثال استخدام هذه الميزة:

!

router eigrp <as-number> 
 passive-interface default
 no passive-interface <interface>
!

تصفية المسار

لتقليل احتمالية تقديم معلومات مسار خاطئة في الشبكة، استخدم تصفية المسار. passive-interface وعلى عكس أمر تكوين الموجه، يحدث التوجيه على الواجهات بمجرد تمكين تصفية المسار، ولكن المعلومات المعلن عنها أو التي تمت معالجتها محدودة.

بالنسبة إلى EIGRP و RIP، يحد إستخدام distribute-list الأمر مع الكلمة out الأساسية المعلومات المعلن عنها، بينما يحد إستخدام الكلمة in الأساسية التحديثات التي تمت معالجتها. يتوفر distribute-list الأمر ل OSPF، ولكنه لا يمنع الموجه من نشر المسارات التي تمت تصفيتها. وبدلا من ذلك، يمكن إستخدام الأمرarea filter-list.

يقوم مثال EIGRP هذا بتصفية الإعلانات الصادرة باستخدام distribute-list الأمر وقائمة البادئات:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> out <interface>
!

يقوم مثال EIGRP هذا بتصفية التحديثات الواردة باستخدام قائمة البادئات:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> in <interface>
!

يستخدم مثال OSPF هذا قائمة البادئات الخاصة ب OSPF area filter-list command:

!

ip prefix-list <list-name> seq 10 permit <prefix> 
!

router ospf <process-id>
 area <area-id> filter-list prefix <list-name> in 
!

استهلاك مورد عملية التوجيه

يتم تخزين بادئات بروتوكول التوجيه بواسطة موجّه في الذاكرة، ويزداد استهلاك الموارد مع البادئات الإضافية التي يجب أن يستوعبها الموجّه. لمنع استهلاك الموارد، قم بتكوين بروتوكول التوجيه للحد من استهلاك الموارد. وذلك ممكن باستخدام OSPF في حال استخدام ميزة "حماية الحمل الزائد لقاعدة بيانات حالة الارتباط".

يوضح هذا المثال تكوين ميزة "حماية الحمل الزائد لقاعدة بيانات حالة ارتباط OSPF":

!

router ospf <process-id>
 max-lsa <maximum-number> 
!

بروتوكولات تكرار النقلة الأولى الآمنة

توفر بروتوكولات تكرار الخطوة الأولى (FHRPs) مرونة وتكرار للأجهزة التي تعمل كعبّارات افتراضية. هذا الموقف وهذه البروتوكولات شائعة في البيئات التي يوفر فيها زوج من أجهزة الطبقة الثالثة وظيفة العبّارة الافتراضية لمقطع الشبكة أو مجموعة من شبكات VLAN التي تحتوي على خوادم أو محطات عمل.

بروتوكول موازنة حمل العبّارة (GLBP)، وبروتوكول موجّه الاستعداد السريع (HSRP)، وبروتوكول تكرار الموجّه الظاهري (VRRP) هي بروتوكولات تكرار الخطوة الأولى (FHRP). وبشكل افتراضي، تتصل هذه البروتوكولات بالاتصالات غير المصدّق عليها. ويمكن أن يتيح هذا النوع من الاتصال للمهاجم التظاهر بأنه جهاز يمتثل لبروتوكول FHRP لأخذ دور العبّارة الافتراضية على الشبكة. يتيح هذا الاستيلاء للمهاجم تنفيذ هجوم الدخيل واعتراض جميع حركة مرور المستخدم التي تخرج الشبكة.

لمنع هذا النوع من الهجوم، تتضمن جميع بروتوكولات تكرار الخطوة الأولى (FHRP) التي يدعمها برنامج Cisco IOS قدرة المصادقة باستخدام سلاسل النص أو MD5. ونظرًا لأن التهديد الذي تشكله بروتوكولات تكرار الخطوة الأولى (FHRPs) غير المصدّق عليها، يُوصى بأن تستخدم مثيلات هذه البروتوكولات مصادقة MD5. يوضح مثال التكوين هذا استخدام مصادقة GLBP وHSRP و‪VRRP MD5‬:

!

interface FastEthernet 1
 description *** GLBP Authentication ***
 glbp 1 authentication md5 key-string <glbp-secret>
 glbp 1 ip 10.1.1.1
!

interface FastEthernet 2
 description *** HSRP Authentication ***
 standby 1 authentication md5 key-string <hsrp-secret>
 standby 1 ip 10.2.2.1
!

interface FastEthernet 3
 description *** VRRP Authentication ***
 vrrp 1 authentication md5 key-string <vrrp-secret> 
 vrrp 1 ip 10.3.3.1
!

مستوى البيانات

وعلى الرغم من أن مستوى البيانات مسؤول عن نقل البيانات من المصدر إلى الوجهة، داخل سياق الأمان، فإن مستوى البيانات هو الأقل أهمية من المستويات الثلاثة. ولهذا السبب، من المهم حماية مستويات الإدارة والتحكم في التفضيلات على مستوى البيانات عند تأمين جهاز شبكة.

ومع ذلك، في مستوى البيانات نفسه، يوجد العديد من الميزات وخيارات التكوين التي يمكنها المساعدة في تأمين حركة المرور. وتقوم هذه الأقسام بتفصيل الميزات والخيارات حتى يمكنك تأمين الشبكة بسهولة أكبر.

تقوية مستوى البيانات العامة

تتدفق الغالبية العظمى لحركة مرور مستوى البيانات عبر الشبكة كما هو محدد بواسطة تكوين توجيه الشبكة. ومع ذلك، توجد وظيفة شبكة IP لتغيير مسار الحِزم عبر الشبكة. تشكل الميزات مثل خيارات IP، تحديدًا خيار توجيه المصدر، تحديًا أمنيًا في شبكات اليوم.

يكون استخدام قوائم التحكم في الوصول إلى النقل ذا صلة أيضًا بزيادة مستوى البيانات.

لمزيد من المعلومات، راجع قسم حركة مرور النقل مع قوائم التحكم في الوصول إلى النقل.

الإسقاط الانتقائي لخيارات IP

هناك نوعان من المخاوف الأمنية التي تقدمها خيارات IP. يجب تحويل عملية حركة المرور التي تحتوي على خيارات IP بواسطة أجهزة Cisco IOS، والتي يمكن أن تؤدي إلى حمل مرتفع لوحدة المعالجة المركزية. كما تتضمن خيارات IP وظيفة تغيير المسار الذي تسلكه حركة المرور عبر الشبكة، مما قد يسمح بتخريب عناصر التحكم في الأمان.

ونظرا لهذه المخاوف، ip options {drop | ignore} تمت إضافة أمر التكوين العام إلى برنامج CISCO IOS الإصدار 12.3(4)T، و 12.0(22)S، و 12.2(25)S في النموذج الأول من هذا الأمر، ip options dropيتم إسقاط جميع حزم IP التي تحتوي على خيارات IP والتي يتم استقبالها بواسطة جهاز Cisco IOS. ويؤدي ذلك إلى منع حمل وحدة المعالجة المركزية المرتفع والتخريب المحتمل لعناصر التحكم الأمنية التي يمكن لبروتوكولات IP تمكينها.

ويكون النموذج الثاني من هذا الأمر، ip options ignoreجهاز Cisco IOS لتجاهل خيارات IP الموجودة في الحزم المستلمة. بينما يؤدي ذلك إلى تخفيف التهديدات المتعلقة بخيارات IP الخاصة بالجهاز المحلي، من الممكن أن تتأثر أجهزة تدفق البيانات من الخادم بوجود خيارات IP. ولهذا السبب، يوصى بشدة drop بنموذج هذا الأمر. كما هو موضح في مثال التكوين هذا:

!
ip options drop
!

تجعل بعض البروتوكولات، على سبيل المثال RSVP، استخدامًا شرعيًا لخيارات IP. لقد تأثرت وظائف هذه البروتوكولات بهذا الأمر.

وبمجرد تمكين الإسقاط الانتقائي لخيارات IP، يمكن إستخدام الأمر show ip traffic EXEC لتحديد عدد الحزم التي يتم إسقاطها بسبب وجود خيارات IP. هذه المعلومات موجودة في عداد الإسقاط الإجباري.

تعطيل توجيه مصدر IP

يستغل توجيه مصدر IP خيارات تسجيل المسار ومسار المصدر غير المحكم، في نفس الوقت؛ أو مسار المصدر المقيد، بجانب خيار تسجيل المسار لتمكين مصدر مخطط بيانات IP لتحديد مسار الشبكة الذي تسلكه الحزمة. يمكن استخدام هذه الوظيفة في محاولات توجيه حركة المرور حول عناصر التحكم في الأمان في الشبكة.

إذا لم يتم تعطيل خيارات IP بالكامل بواسطة ميزة الإسقاط الانتقائي لخيارات IP، فمن المهم تعطيل توجيه مصدر IP. يتم تعطيل توجيه مصدر IP، والذي يتم تمكينه بشكل افتراضي في جميع إصدارات برنامج Cisco IOS، بواسطة أمر التكوين no ip source-route العام. يوضح مثال التكوين هذا استخدام هذا الأمر:

!
no ip source-route
!

تعطيل عمليات إعادة توجيه ICMP

يتم استخدام عمليات إعادة توجيه ICMP لإعلام جهاز الشبكة بمسار أفضل لوجهة IP. وبشكل افتراضي، يُرسل برنامج ‪Cisco IOS‬ إعادة توجيه إذا كان يستقبل حزمة يجب توجيهها عبر الواجهة التي استقبلتها.

وفي بعض الحالات، قد يكون من الممكن أن يتسبب المهاجم في أن يرسل جهاز Cisco IOS العديد من رسائل إعادة توجيه ICMP، والتي ينتج عنها حمل مرتفع لوحدة المعالجة المركزية. ولهذا السبب، يُوصى بتعطيل عمليات إرسال عمليات إعادة توجيه ICMP. يتم تعطيل عمليات إعادة توجيه ICMP باستخدام no ip redirects أمر تكوين الواجهة، كما هو موضح في مثال التكوين هذا:

!

interface FastEthernet 0
 no ip redirects
!

تعطيل عمليات بث IP الموجهة أو الحد منها

تتيح عمليات بث IP الموجهة إمكانية إرسال حزمة بث IP إلى شبكة IP فرعية بعيدة. وبمجرد وصول الحِزمة إلى الشبكة البعيدة، يُرسل جهاز IP لإعادة التوجيه الحِزمة كبث من الطبقة 2 إلى جميع المحطات الموجودة على الشبكة الفرعية. وقد تتم الاستفادة من وظيفة البث الموجّه هذه كمساعدة للتضخيم والانعكاس في العديد من الهجمات، التي تتضمن هجوم smurf.

وبشكل افتراضي، تحتوي الإصدارات الحالية من برنامج Cisco IOS على هذه الوظيفة معطلة؛ ومع ذلك، يمكن تمكينها بواسطة أمر تكوين ip directed-broadcast الواجهة. تم تمكين هذه الوظيفة بشكل افتراضي في إصدارات جهاز Cisco IOS التي تسبق الإصدار 12.0.

إذا كانت الشبكة تتطلب وظيفة بث موجّه تمامًا، فتحكم في استخدامها. ويمكن إستخدام قائمة التحكم في الوصول (ACL) كخيار ip directed-broadcast للأمر. يحدد مثال التكوين هذا عمليات البث الموجهة إلى حِزم UDP التي تنشأ في شبكة موثوق بها، ‪192.168.1.0/24‬:

!

access-list 100 permit udp 192.168.1.0 0.0.0.255 any
!

interface FastEthernet 0
 ip directed-broadcast 100
!

تصفية حركة مرور بيانات العبور باستخدام قوائم التحكم في الوصول (ACLs) إلى العبور

من الممكن التحكم في حركة المرور التي تنقل الشبكة باستخدام قوائم التحكم في الوصول إلى النقل (tACLs). وهذا على عكس قوائم التحكم في الوصول للبنية التحتية التي تسعى لتصفية حركة المرور الموجهة إلى الشبكة نفسها. إن التصفية المُقدمة من قوائم التحكم في الوصول إلى النقل (tACLs) مفيدة عندما يكون الهدف هو تصفية حركة المرور إلى مجموعة معينة من الأجهزة أو حركة المرور التي تنقل الشبكة.

تجري جدران الحماية هذا النوع من التصفية بشكل تقليدي. ومع ذلك، هناك حالات قد يكون من المفيد فيها إجراء هذه التصفية على جهاز Cisco IOS في الشبكة. على سبيل المثال، حيث يجب إجراء التصفية ولكن لا يوجد جدار حماية.

قوائم التحكم في الوصول إلى النقل هي أيضًا مكان مناسب لتنفيذ أوجه الحماية الثابتة من الانتحال.

للحصول على مزيد من المعلومات، راجع قسم أوجه الحماية من الانتحال.

ارجع إلى قوائم التحكم في الوصول إلى النقل: التصفية في Edge للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول إلى النقل (tACLs).

تصفية حزم ICMP

تم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول تحكم لـ IP. على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تداعيات كبيرة على بروتوكولات TCP وIP بشكل عام. يتم إستخدام ICMP بواسطة الأدوات ping وtraceroute، لاستكشاف أخطاء الشبكة وإصلاحها، بالإضافة إلى اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار. ومع ذلك، نادرًا ما يكون اتصال ICMP الخارجي ضروريًا لتشغيل الشبكة بشكل صحيح.

يوفر برنامج ‪Cisco IOS‬ الوظائف اللازمة لتصفية رسائل ICMP على وجه التحديد حسب الاسم أو النوع والرمز. يتيح مثال قائمة التحكم في الوصول هذا لـ ICMP من الشبكات الموثوق بها أثناء حظر جميع حِزم ICMP من مصادر أخرى:

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Permit ICMP packets from trusted networks only
!

 permit icmp host <trusted-networks> any 
!
!--- Deny all other IP traffic to any network device
!

 deny icmp any any
!

تصفية أجزاء IP

وكما هو موضح مسبقًا في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية التحتية في هذا المستند، يمكن أن تطرح تصفية حِزم IP التي تمت تجزئتها تحديًا في أجهزة الأمان.

نظرًا للطبيعة غير السهلة للتحكم في الأجزاء، غالبًا ما يتم السماح بأجزاء IP بشكل غير مقصود بواسطة قوائم التحكم في الوصول. غالبًا ما يتم استخدام التجزئة أيضًا في محاولات التهرب من الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبًا ما يتم استخدام أجزاء IP في الهجمات، وهذا يفسّر سبب إمكانية تصفيتها بشكل صريح في قمة أي قوائم تحكم في الوصول إلى البنية التحتية (iACLs) تم تكوينها. ويتضمن مثال قائمة التحكم في الوصول (ACL) المُدرج التصفية الشاملة لأجزاء IP. يجب استخدام الوظيفة الموضحة في هذا المثال مع وظيفة الأمثلة السابقة:

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in 
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments
!

ارجع إلى قوائم التحكم في الوصول وأجزاء IP للحصول على مزيد من المعلومات حول كيفية معالجة قائمة التحكم في الوصول (ACL) لحِزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

في الإصدار ‪12.3(4)T‬ من البرنامج Cisco IOS والإصدارات الأحدث، يدعم برنامج Cisco IOS استخدام قوائم التحكم في الوصول إلى تصفية حِزم IP استنادًا إلى خيارات IP المُضمّنة في الحِزمة. يمكن أن يشير وجود خيارات IP داخل الحِزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص عبور الحِزمة بطريقة خلاف ذلك. ولهذه الأسباب يوصى بتصفية الحِزم المزودة بخيارات IP عند حافة الشبكة.

استخدم هذا المثال مع المحتوى الموجود في الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

!

ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options
!

عمليات الحماية من انتحال الهوية

تستخدم العديد من الهجمات انتحال عنوان IP للمصدر ليكون فعالاً أو لإخفاء المصدر الحقيقي للهجوم ويعيق traceback الدقيق. يوفر برنامج Cisco IOS واقي مصدر IP ‫(IPSG) وإعادة توجيه المسار العكسي (RPF) للبث الأحادي لمنع الهجمات التي تعتمد على انتحال عنوان IP للمصدر. وبالإضافة إلى ذلك، غالبًا ما يتم نشر قوائم التحكم في الوصول والتوجيه الفارغ كوسائل يدوية لمنع الانتحال.

يعمل واقي مصدر IP على تقليل الانتحال للشبكات تحت التحكم الإداري المباشر عن طريق تنفيذ منفذ المُبدّل وعنوان MAC والتحقق من عنوان المصدر. توفر إعادة توجيه المسار العكسي (RPF) للبث الأحادي التحقق من شبكة المصدر ويمكنها تقليل الهجمات المنتحلة من الشبكات التي لا تكون تحت التحكم الإداري المباشر. يمكن استخدام أمان المنفذ للتحقق من صحة عناوين MAC في طبقة الوصول. يحد الفحص الديناميكي لبروتوكول تحليل العنوان (ARP) ‫(DAI)‬ من موجهات الهجمات التي تستخدم تسميم ARP على المقاطع المحلية.

إعادة توجيه المسار العكسي (RPF) للبث الأحادي

تمكن إعادة توجيه المسار العكسي (RPF) للبث الأحادي الجهاز من التحقق من إمكانية الوصول إلى عنوان المصدر للحزمة المُعاد توجيهها عبر الواجهة التي تلقت الحزمة. لا تعتمد على إعادة توجيه المسار العكسي (RPF) للبث الأحادي كحماية وحيدة من الانتحال. يمكن للحِزم المنتحلة الدخول في الشبكة من خلال واجهة إعادة توجيه المسار العكسي (RPF) للبث الأحادي في حال وجود مسار إرجاع مناسب إلى عنوان IP للمصدر. تعتمد إعادة توجيه المسار العكسي (RPF) للبث الأحادي عليك لتمكين إعادة توجيه ‪Cisco Express‬ على كل جهاز وتكوينه على أساس كل واجهة.

يمكن تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي في أحد الوضعين: غير محكم أو مقيد. في الحالات التي يكون فيها التوجيه غير المتماثل، يُفضل الوضع غير المحكم لأن الوضع المقيد معروف بإسقاط الحِزم في هذه المواقف. ip verify أثناء تكوين أمر تكوين الواجهة، any تكون الكلمة الأساسية الوضع غير المحكم بينما تكون الكلمة الأساسية rx الوضع المقيد.

يوضح هذا المثال تكوين هذه الميزة:

!

ip cef
!

interface <interface>
  ip verify unicast source reachable-via <mode>
!

راجع فهم إعادة توجيه المسار العكسي للبث الأحادي للحصول على مزيد من المعلومات حول تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي واستخدامها.

واقي مصدر بروتوكول الإنترنت

يعد واقي مصدر بروتوكول الإنترنت وسيلة فعالة لمنع الانتحال الذي يمكن استخدامه إذا قمت بالتحكم في واجهات الطبقة 2. يستخدم واقي مصدر IP معلومات من التطفل على بروتوكول DHCP لتكوين قائمة التحكم في الوصول إلى المنفذ (PACL) بشكل ديناميكي على واجهة الطبقة 2، مع رفض أي حركة مرور من عناوين IP غير المقترنة بجدول ربط مصدر IP.

يمكن تطبيق واقي مصدر IP على واجهات الطبقة 2 التي تنتمي إلى شبكات VLAN التي تم تمكين التطفل على بروتوكول DHCP عليها. تمكن هذه الأوامر التطفل على بروتوكول DHCP:

!

ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!

بعد تمكين التطفل على بروتوكول DHCP، تقوم هذه الأوامر بتمكين IPSG:

!
interface <interface-id>
   ip verify source 
!

يمكن تمكين أمان المنفذ باستخدام أمر تكوين Tip verify source port security الواجهة. يتطلب هذا أمر التكوين العام ip dhcp snooping information option; بالإضافة إلى ذلك، يجب أن يدعم خادم DHCP خيار DHCP 82.

راجع تكوين ميزات DHCP وواقي مصدر بروتوكول الإنترنت للحصول على مزيد من المعلومات حول هذه الميزة.

أمان المنفذ

يُستخدم أمان المنفذ للحد من انتحال عنوان MAC في واجهة الوصول. يمكن أن يستخدم أمان المنفذ عناوين MAC (لاصق) التي تم التعرف عليها ديناميكيًا لتسهيل التكوين الأولي. وبمجرد تحديد أمان المنفذ لانتهاك MAC، يمكن أن يستخدم أحد أوضاع الانتهاك الأربعة. هذه الأوضاع هي: يحمي، يقيد، إيقاف عمل، وإيقاف عمل VLAN. في الحالات التي يوفر فيها المنفذ الوصول إلى محطة عمل واحدة فقط باستخدام البروتوكولات القياسية، قد يكون الحد الأقصى لعدد إحداها كافيًا. لا تعمل البروتوكولات التي تستغل عناوين MAC الافتراضية، مثل HSRP عند تعيين الحد الأقصى للعدد على واحد.

!

interface <interface> 
  switchport
  switchport mode access 
  switchport port-security
  switchport port-security mac-address sticky
  switchport port-security maximum <number>
  switchport port-security violation <violation-mode>
!

راجع تكوين أمان المنفذ للحصول على مزيد من المعلومات حول تكوين أمان المنفذ.

فحص ARP (بروتوكول تحليل العناوين) الديناميكي

يمكن استخدام فحص ARP الديناميكي (DAI) للحد من هجمات تسميم ARP على المقاطع المحلية. هجوم تسميم ARP هي طريقة يُرسل فيها المهاجم معلومات ARP مزورة إلى مقطع محلي. وتم تصميم هذه المعلومات ليتم إتلاف ذاكرة تخزين ARP المؤقتة للأجهزة الأخرى. غالبًا ما يستخدم المهاجم تسميم ARP لتنفيذ هجوم الدخيل.

يعترض الفحص الديناميكي لـ ARP ‫(DAI)‬ ويتحقق من صحة علاقة عنوان IP إلى MAC لجميع حِزم ARP على المنافذ غير الموثوق بها. وفي بيئات DHCP، يستخدم الفحص الديناميكي لـ ARP البيانات التي تم إنشاؤها بواسطة ميزة التطفل على بروتوكول DHCP. لا يتم التحقق من حِزم ARP المستلمة على الواجهات الموثوق بها ويتم تجاهل الحِزم غير الصالحة على الواجهات غير الموثوق بها. في بيئات غير DHCP، يلزم استخدام قوائم التحكم في الوصول لـ ARP.

تمكن هذه الأوامر التطفل على بروتوكول DHCP:

!
ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!

بمجرد تمكين التطفل على بروتوكول DHCP، تقوم هذه الأوامر بتمكين DAI:

!
ip arp inspection vlan <vlan-range> 
!

في بيئات غير DHCP، يلزم وجود قوائم التحكم في الوصول لـ ARP لتمكين DAI. يوضح هذا المثال التكوين الأساسي لـ DAI مع قوائم التحكم في الوصول لـ ARP:

!

arp access-list <acl-name>
 permit ip host <sender-ip> mac host <sender-mac>
!

ip arp inspection filter <arp-acl-name> vlan <vlan-range>
!

كما يمكن تمكين DAi على أساس كل واجهة حيثما تم دعمها.

ip arp inspection limit rate <rate_value> burst interval <interval_value>

راجع تكوين الفحص الديناميكي لـ ARP للحصول على مزيد من المعلومات حول كيفية تكوين DAI.

قوائم التحكم في الوصول (ACLs) المضادة لانتحال الهوية

يمكن أن توفر قوائم التحكم في الوصول المكوّنة يدويًا حماية ثابتة من الانتحال ضد الهجمات التي تستخدم مساحة عناوين معروفة غير مستخدمة وغير موثوقة. وبشكل عام، يتم تطبيق قوائم التحكم في الوصول المضادة للانتحال هذه لدخول حركة المرور في حدود الشبكة كأحد مكونات قوائم التحكم في الوصول الأكبر. تتطلب قوائم التحكم في الوصول المضادة للانتحال فترات زمنية لإجراء مراقبة منتظمة لأنه يمكن أن تتغير بشكل متكرر. يمكن تقليل الانتحال في حركة المرور التي تنشأ من الشبكة المحلية إذا قمت بتطبيق قوائم التحكم في الوصول الصادرة التي تحد من حركة المرور إلى العناوين المحلية الصالحة.

يوضح هذا المثال كيفية استخدام قوائم التحكم في الوصول للحد من انتحال عناوين IP. يتم تطبيق قائمة التحكم في الوصول هذه بالداخل على الواجهة المطلوبة. لا تعد وحدات ACE التي تشكل قائمة التحكم في الوصول هذه شاملة. إذا قمت بتكوين هذه الأنواع من قوائم التحكم في الوصول، فابحث عن مرجع حديث يكون حاسمًا.

!

ip access-list extended ACL-ANTISPOOF-IN
 deny	ip 10.0.0.0 0.255.255.255 any
 deny	ip 192.168.0.0 0.0.255.255 any
!

interface <interface>
 ip access-group ACL-ANTISPOOF-IN in
!

ارجع إلى تكوين قوائم التحكم في الوصول إلى IP المُستخدمة بشكل شائع للحصول على مزيد من المعلومات حول كيفية تكوين قوائم التحكم في الوصول.

يتم الاحتفاظ بالقائمة الرسمية لعناوين الإنترنت غير المخصصة بواسطة Team Cymru. تتوفر معلومات إضافية حول كيفية تصفية العناوين غير المُستخدمة في صفحة مرجع Bogon .

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور مستوى البيانات

والغرض الأساسي من الموجهات والمحولات هو إعادة توجيه الحِزم والإطارات من خلال الجهاز الموجود في الوجهة النهائية. ويمكن أن تؤثر هذه الحِزم، والتي تقوم بنقل الأجهزة المنشورة عبر الشبكة، إلى عمليات وحدة المعالجة المركزية الخاصة بالجهاز. قم بتأمين مستوى البيانات، الذي يتكون من حركة مرور تنقل جهاز الشبكة، لضمان تشغيل مستويات الإدارة والتحكم. إذا كان من الممكن أن تتسبب حركة مرور النقل في أن يعالج الجهاز حركة مرور المُبدّل، يمكن أن يتأثر مستوى التحكم في الجهاز مما يؤدي إلى الاحتمالات التشغيلية.

الميزات وأنواع حركة مرور البيانات التي تؤثر على وحدة المعالجة المركزية (CPU)

وعلى الرغم من أن هذه القائمة شاملة، فهي تتضمن أنواع حركة مرور مستوى البيانات الذي يتطلب معالجة وحدة المعالجة المركزية الخاصة ويتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU):

• تسجيل قائمة التحكم في الوصول - تتكون حركة مرور سجل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية log.
  
  
• إعادة توجيه المسار العكسي (RPF) للبث الأحادي - يمكن أن ينتج عن Unicast RPF، المُستخدم بالارتباط مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحِزم.
  
  
• خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
  
  
• التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية لمعالجتها.
  
  
• انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد الرسائل (نوع ICMP 11، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية.
  
  
• ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه، أو MTU، أو التصفية بواسطة وحدة المعالجة المركزية.
  
  
• حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود تتم معالجتها بواسطة وحدة المعالجة المركزية.
  
  
• حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.

لمزيد من المعلومات حول زيادة مستوى البيانات، راجع قسم زيادة مستوى البيانات العامة.

التصفية على قيمة TTL

يمكنك استخدام دعم قائمة التحكم في الوصول للتصفية في ميزة قيمة TTL، المُقدمة في الإصدار ‪12.4(2)T‬ من برنامج Cisco IOS، في قائمة وصول IP الموسّعة لتصفية الحِزم بناءً على قيمة TTL. يمكن أن تحمي هذه الميزة الجهاز الذي يستقبل حركة مرور النقل حيث تكون قيمة TTL صفر أو واحد. كما يمكن استخدام حِزم التصفية التي تستند إلى قيم TTL لضمان أن قيمة TTL ليست أقل من قطر الشبكة، ويحمي ذلك مستوى التحكم بأجهزة البنية التحتية لتدفق البيانات من الخادم من هجمات انتهاء صلاحية TTL.

بعض التطبيقات والأدوات، مثل traceroute إستخدام حزم انتهاء صلاحية TTL لأغراض الاختبار والتشخيص. تستخدم بعض البروتوكولات، مثل IGMP، بشكل شرعي قيمة TTL من واحد.

يقوم مثال قائمة التحكم في الوصول هذا بإنشاء سياسة تعمل على تصفية حِزم IP حيث تكون قيمة TTL أقل من 6.

!
!--- Create ACL policy that filters IP packets with a TTL value
!--- less than 6
!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any ttl lt 6
 permit ip any any
!
!--- Apply access-list to interface in the ingress direction
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

ارجع إلى تحديد هجوم انتهاء صلاحية مدة البقاء (TTL) والتخفيف منه للحصول على مزيد من المعلومات حول كيفية تصفية الحِزم استنادًا إلى قيمة TTL.

راجع دعم قائمة التحكم في الوصول للتصفية على قيمة TTL للحصول على مزيد من المعلومات حول هذه الميزة.

في برنامج ‪Cisco IOS‬ الإصدار ‪12.4(4)T‬ والإصدارات الأحدث، يسمح تطابق الحِزم المرن (FPM) للمسؤول بالمطابقة على وحدات البت العشوائية الخاصة بالحزمة. تسقط سياسة تطابق الحِزم المرنة هذه الحِزم بقيمة TTL أقل من ستة.

!

load protocol flash:ip.phdf
!

class-map type access-control match-all FPM-TTL-LT-6-CLASS
 match field IP ttl lt 6
!

policy-map type access-control FPM-TTL-LT-6-DROP-POLICY
 class  FPM-TTL-LT-6-CLASS
  drop
!

interface FastEthernet0
 service-policy type access-control input FPM-TTL-LT-6-DROP-POLICY
!

التصفية على وجود خيارات IP

في الإصدار ‪12.3(4)T‬ والإصدارات الأحدث من برنامج Cisco IOS، يمكنك استخدام دعم قائمة التحكم في الوصول لميزة خيارات IP للتصفية في قائمة وصول IP المسماة والموسّعة لتصفية حِزم IP باستخدام خيارات IP الموجودة. كما يمكن استخدام تصفية حِزم IP التي تستند إلى وجود خيارات IP لمنع مستوى التحكم لأجهزة البنية التحتية من الاضطرار إلى معالجة هذه الحِزم في مستوى وحدة المعالجة المركزية (CPU).

يمكن استخدام دعم قائمة التحكم في الوصول لميزة خيارات IP للتصفية فقط مع قوائم التحكم في الوصول الموسّعة والمسماة. قد لا يتمكن RSVP، وهندسة حركة مرور تحويل التسمية متعدد البروتوكولات، وIGMP الإصدار 2 و3، والبروتوكولات الأخرى التي تستخدم حِزم خيارات IP، من العمل بشكل صحيح إذا تم إسقاط الحِزم الخاصة بهذه البروتوكولات. إذا كانت هذه البروتوكولات قيد الاستخدام في الشبكة، يمكن استخدام دعم قائمة التحكم في الوصول لخيارات IP للتصفية. ومع ذلك، يمكن أن تسقط ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول حركة المرور هذه ولا يمكن أن تعمل هذه البروتوكولات بشكل صحيح. إذا لم توجد بروتوكولات قيد الاستخدام تتطلب خيارات IP، فإن ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول هي الطريقة المُفضلة لإسقاط هذه الحِزم.

يقوم مثال قائمة التحكم بالوصول هذا بإنشاء سياسة تقوم بتصفية حِزم IP التي تحتوي على أي من خيارات IP:

!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option any-options
 permit ip any any
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

يوضح هذا المثال لقائمة التحكم في الوصول سياسة تقوم بتصفية حِزم IP بخمسة خيارات محددة من خيارات IP. يتم رفض الحِزم التي تحتوي على هذه الخيارات:

• 0 نهاية قائمة الخيارات (eool)
  
  
• 7 تسجيل المسار (record-route)
  
  
• 68 الطابع الزمني (timestamp)
  
  
• 131 - مسار المصدر غير المحكم (lsr)
  
  
• 137 - مسار المصدر المقيد (ssr)

!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option eool
 deny ip any any option record-route
 deny ip any any option timestamp
 deny ip any any option lsr
 deny ip any any option ssr
 permit ip any any
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 
!

راجع قسم زيادة مستوى البيانات العامة في هذا المستند للحصول على مزيد من المعلومات حول ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول.

ارجع إلى قوائم التحكم في الوصول إلى النقل: التصفية في Edge للحصول على مزيد من المعلومات حول كيفية تصفية حركة مرور الحافة والنقل.

هناك ميزة أخرى في برنامج Cisco IOS يمكن استخدامها لتصفية الحِزم باستخدام خيارات IP هي CoPP. في برنامج ‪Cisco IOS‬ الإصدار ‪12.3(4)T‬ والإصدارات الأحدث، تسمح ميزة CoPP للمسؤول بتصفية تدفق حركة المرور الخاصة بحِزم مستوى التحكم. قد يستخدم الجهاز الذي يدعم دعم CoPP وقائمة التحكم في الوصول لتصفية خيارات IP، المُقدمة في الإصدار ‪12.3(4)T‬ من برنامج Cisco IOS، سياسة قائمة الوصول لتصفية الحِزم التي تحتوي على خيارات IP.

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود أي من خيارات IP:

!

ip access-list extended ACL-IP-OPTIONS-ANY
 permit ip any any option any-options
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS-ANY
!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop
!

control-plane
 service-policy input COPP-POLICY
!

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود خيارات IP هذه:

• 0 نهاية قائمة الخيارات (eool)
  
  
• 7 تسجيل المسار (record-route)
  
  
• 68 الطابع الزمني (timestamp)
  
  
• 131 مسار المصدر غير المحكم (lsr)
  
  
• 137 - مسار المصدر المقيد (ssr)

!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS
!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop
!

control-plane
 service-policy input COPP-POLICY
!

في سياسات CoPP السابقة، ينتج عن إدخالات قائمة التحكم في الوصول (ACEs) التي تطابق الحِزم بالإجراء المسموح به التخلص من هذه الحِزم من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

حماية مستوى التحكم

في الإصدار ‪12.4(4)T‬ والإصدارات الأحدث من برنامج Cisco IOS، يمكن استخدام حماية مستوى التحكم (CPPr) لتقييد أو تنظيم حركة مرور مستوى التحكم بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS. وعلى الرغم من التشابه مع CoPP، فإن حماية مستوى التحكم (CPPr) تتميز بالقدرة على تقييد أو تنظيم حركة المرور بعدة مستويات أكثر دقة من COPP. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية: توجد الواجهات الفرعية للمضيف والنقل وفئات حركة مرور استثناء CEF.

تسقط سياسة حماية مستوى التحكم هذه الحِزم العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL أقل من 6 والحزم العابرة وغير العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL صفر أو واحد. كما تقوم سياسة حماية مستوى التحكم بإسقاط الحِزم بخيارات IP المحددة التي يتم استقبالها بواسطة الجهاز.

!

ip access-list extended ACL-IP-TTL-0/1
 permit ip any any ttl eq 0 1
!

class-map ACL-IP-TTL-0/1-CLASS
 match access-group name ACL-IP-TTL-0/1
!

ip access-list extended ACL-IP-TTL-LOW
 permit ip any any ttl lt 6
!

class-map ACL-IP-TTL-LOW-CLASS
 match access-group name ACL-IP-TTL-LOW
!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr
!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS
!

policy-map CPPR-CEF-EXCEPTION-POLICY
 class ACL-IP-TTL-0/1-CLASS
  drop
 class ACL-IP-OPTIONS-CLASS
  drop
!

!-- Apply CPPr CEF-Exception policy CPPR-CEF-EXCEPTION-POLICY to
!-- the CEF-Exception CPPr sub-interface of the device

!

control-plane cef-exception
 service-policy input CPPR-CEF-EXCEPTION-POLICY
!

policy-map CPPR-TRANSIT-POLICY
 class ACL-IP-TTL-LOW-CLASS
  drop
!

control-plane transit
 service-policy input CPPR-TRANSIT-POLICY
!

في سياسة حماية مستوى التحكم السابقة، كانت إدخالات قائمة التحكم في الوصول التي تطابق الحِزم بنتيجة الإجراء المسموح به هي أنه يتم التخلص من هذه الحِزم من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

ارجع إلى فهم حماية مستوى التحكم وحماية مستوى التحكم لمزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr).

تحديد حركة المرور وTraceback

وفي بعض الأحيان، ربما تحتاج إلى التعرف بسرعة على حركة مرور الشبكة وtraceback، وخاصةً أثناء استجابة الحدث أو أداء الشبكة الضعيف. قوائم التحكم في الوصول للتصنيف وNetFlow هما الطريقتان الأساسيتان للقيام بذلك باستخدام برنامج Cisco IOS. يمكن أن يوفر NetFlow إمكانية رؤية لجميع حركات المرور على الشبكة. وبالإضافة إلى ذلك، يمكن تنفيذ NetFlow باستخدام أدوات التجميع التي يمكنها توفير التحليل التلقائي وبتوجيه طويلة المدى. قوائم التحكم في الوصول للتصنيف هي مكوّن في قوائم التحكم في الوصول وتتطلب تخطيطًا مسبقًا لتحديد حركة مرور معينة والتدخل اليدوي أثناء التحليل. وتوفر هذه الأقسام نظرة عامة مختصرة على كل ميزة.

Netflow

يحدد NetFlow نشاط الشبكة مجهول الهوية والمرتبط بالأمان عن طريق تعقب تدفقات الشبكة. يمكن عرض بيانات NetFlow وتحليلها بواسطة واجهة سطر الأوامر، أو يمكن تصدير البيانات إلى مجمّع NetFlow تجاري أو مجاني للتجميع والتحليل. يمكن أن توفر أدوات تجميع NetFlow، من خلال التوجهات طويلة المدى، سلوك الشبكة وتحليل الاستخدام. يقوم NetFlow بإجراء تحليل على سمات معينة داخل حِزم IP وإنشاء التدفقات. الإصدار 5 هو الإصدار الأكثر إستخداما من NetFlow؛ ومع ذلك، الإصدار 9 هو الأكثر شمولية. يمكن إنشاء تدفقات NetFlow باستخدام بيانات حركة المرور النموذجية في بيئات كبيرة الحجم.

إعادة التوجيه السريع (CEF)، أو إعادة التوجيه السريع الموزّعة، ضرورية لتمكين NetFlow. يمكن تكوين NetFlow على الموجهات والمحولات.

يوضح هذا المثال التكوين الأساسي لـ NetFlow. في الإصدارات السابقة من برنامج Cisco IOS، يكون الأمر لتمكين NetFlow على الواجهة ip route-cache flow بدلا من ip flow {ingress | egress}.

!

ip flow-export destination <ip-address> <udp-port>
ip flow-export version <version>
!

interface <interface> 
 ip flow <ingess|egress> 
!

هذا مثال على إخراج NetFlow من واجهة سطر الأوامر. يمكن أن تساعد سمة SrcIf في traceback.

router#show ip cache flow
IP packet size distribution (26662860 total packets):
   1-32   64   96  128	160  192  224  256  288  320  352  384	416  448  480
   .741 .124 .047 .006 .005 .005 .002 .008 .000 .000 .003 .000 .001 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .001 .007 .039 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  55 active, 65481 inactive, 1014683 added
  41000680 ager polls, 0 flow alloc failures
  Active flows timeout in 2 minutes
  Inactive flows timeout in 60 seconds
IP Sub Flow Cache, 336520 bytes
  110 active, 16274 inactive, 2029366 added, 1014683 added to flow
  0 alloc failures, 0 force free
  1 chunk, 15 chunks added
  last clearing of statistics never
Protocol	 Total	  Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------	 Flows	   /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet	 11512	    0.0        15    42      0.2      33.8      44.8
TCP-FTP 	  5606	    0.0 	3    45      0.0      59.5      47.1
TCP-FTPD	  1075	    0.0        13    52      0.0       1.2      61.1
TCP-WWW 	 77155	    0.0        11   530      1.0      13.9      31.5
TCP-SMTP	  8913	    0.0 	2    43      0.0      74.2      44.4
TCP-X		   351	    0.0 	2    40      0.0       0.0      60.8
TCP-BGP 	   114	    0.0 	1    40      0.0       0.0      62.4
TCP-NNTP	   120	    0.0 	1    42      0.0       0.7      61.4
TCP-other	556070	    0.6 	8   318      6.0       8.2      38.3
UDP-DNS 	130909	    0.1 	2    55      0.3      24.0      53.1
UDP-NTP 	116213	    0.1 	1    75      0.1       5.0      58.6
UDP-TFTP	   169	    0.0 	3    51      0.0      15.3      64.2
UDP-Frag	     1	    0.0 	1  1405      0.0       0.0      86.8
UDP-other	 86247	    0.1       226    29     24.0      31.4      54.3
ICMP		 19989	    0.0        37    33      0.9      26.0      53.9
IP-other	   193	    0.0 	1    22      0.0       3.0      78.2
Total:	       1014637	    1.2        26    99     32.8      13.8      43.9

SrcIf	      SrcIPaddress    DstIf	    DstIPaddress    Pr SrcP DstP Pkts
Gi0/1	      192.168.128.21  Local	    192.168.128.20  11 CB2B 07AF   3
Gi0/1	      192.168.150.60  Gi0/0	    10.89.17.146    06 0016 101F  55
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 101F 0016   9
Gi0/1	      192.168.150.60  Local	    192.168.206.20  01 0000 0303  11
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 07F1 0016   1

ارجع إلى ‪Cisco IOS NetFlow‬ للحصول على مزيد من المعلومات حول إمكانيات NetFlow.

ارجع إلى مقدمة عن ‪Cisco IOS NetFlow‬ - نظرة عامة فنية للحصول على نظرة عامة فنية على NetFlow.

قوائم التحكم في الوصول (ACLs) إلى التصنيف

توفر قوائم التحكم في الوصول إلى التصنيفات إمكانية رؤية لحركة المرور التي تجتاز الواجهة. لا تغير قوائم التحكم في الوصول إلى التصنيفات سياسة الأمان للشبكة ويتم إنشاؤها عادةً لتصنيف البروتوكولات الفردية أو عناوين المصدر أو الوجهات. وعلى سبيل المثال، ACE الذي يسمح بفصل حركة المرور في بروتوكولات أو منافذ معينة. ويمكن أن يساعد هذا التصنيف متعدد المستويات بشكل أكبر لحركة المرور في وحدات ACE المحددة في توفير إمكانية رؤية حركة مرور الشبكة نظرًا لأن كل فئة من فئات حركة المرور تحتوي على عداد الدخول الخاص بها. كما يمكن أن يفصل المسؤول الرفض الضمني في نهاية قائمة التحكم في الوصول إلى وحدات ACE متعددة المستويات للمساعدة في تحديد أنواع حركة المرور المرفوضة.

يمكن أن يقوم المسؤول بتسريع إستجابة الحدث من خلال إستخدام قوائم التحكم في الوصول إلى التصنيفات باستخدام أوامر show access-list EXEC clear ip access-list counters و.

يوضح هذا المثال تكوين قائمة التحكم في الوصول إلى التصنيفات لتحديد حركة مرور SMB قبل الرفض الافتراضي:

!

ip access-list extended ACL-SMB-CLASSIFY
 remark Existing contents of ACL
 remark Classification of SMB specific TCP traffic 
 deny	tcp any any eq 139
 deny	tcp any any eq 445
 deny	ip any any 
!

لتحديد حركة المرور التي تستخدم قائمة التحكم في الوصول إلى التصنيفات، أستخدم show access-list EXEC الأمر. يمكن مسح عدادات قائمة التحكم في الوصول باستخدام الأمرclear ip access-list counters EXEC.

router#show access-list ACL-SMB-CLASSIFY 
Extended IP access list ACL-SMB-CLASSIFY
    10 deny tcp any any eq 139 (10 matches)
    20 deny tcp any any eq 445 (9 matches)
    30 deny ip any any (184 matches) 

راجع فهم تسجيل قائمة التحكم في الوصول للحصول على مزيد من المعلومات حول كيفية تمكين  إمكانيات السجل ضمن قوائم التحكم في الوصول.

التحكم في الوصول باستخدام قوائم التحكم في الوصول إلى المنفذ وخرائط الشبكة المحلية الافتراضية (VLAN)

توفر قوائم التحكم في الوصول إلى شبكة VLAN ‫(VACLs)‬ أو خرائط شبكة VLAN وقوائم التحكم في الوصول إلى المنفذ (PACL)، إمكانية فرض التحكم في الوصول على حركة المرور غير الموجهة الأقرب إلى الأجهزة الطرفية من قوائم التحكم في الوصول التي يتم تطبيقها على الواجهات الموجهة.

توفر هذه الأقسام نظرة عامة على الميزات والمزايا وسيناريوهات الاستخدام المحتملة لقوائم التحكم في الوصول إلى شبكة VLAN وقوائم التحكم في الوصول إلى المنفذ (PACL).

التحكم في الوصول باستخدام خرائط الشبكة المحلية الافتراضية (VLAN)

توفر قوائم التحكم في الوصول إلى شبكة VLAN أو خرائط VLAN التي تنطبق على جميع الحِزم التي تدخل شبكة VLAN، إمكانية فرض التحكم في الوصول على حركة المرور بين شبكات VLAN. لا يمكن استخدام قوائم التحكم في الوصول على الواجهات الموجهة. على سبيل المثال، يمكن استخدام خريطة VLAN لمنع الأجهزة المضيفة التي تحتوي على شبكة VLAN نفسها من الاتصال ببعضها البعض، مما يقلل من فرص المهاجمين المحليين أو الفيروسات المتنقلة لاستغلال الجهاز المضيف على مقطع الشبكة نفسه. لرفض استخدام الحِزم لخريطة VLAN، قم بإنشاء قائمة تحكم في الوصول (ACL) تطابق حركة المرور، وتعيين الإجراء المُراد إسقاطه، في خريطة VLAN. وبمجرد تكوين خريطة VLAN، يتم تقييم جميع الحِزم التي تدخل شبكة LAN بشكل تسلسلي مقابل خريطة VLAN التي تم تكوينها. تدعم خرائط الوصول إلى شبكة VLAN قوائم وصول IPv4 وMAC؛ ومع ذلك، فهي لا تدعم السجلات أو قوائم التحكم في الوصول إلى IPv6.

يستخدم هذا المثال قائمة الوصول المسماة والموسّعة التي توضح تكوين هذه الميزة:

!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address>
     <destination-port>
!

vlan access-map <name> <number>
 match ip address <acl-name>
 action <drop|forward>
!

يوضح هذا المثال استخدام خريطة VLAN لرفض منافذ TCP ‫139‬ و445 بالإضافة إلى بروتوكول vines-ip:

!

ip access-list extended VACL-MATCH-ANY
 permit ip any any
!

ip access-list extended VACL-MATCH-PORTS
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 445
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 139
!

mac access-list extended VACL-MATCH-VINES
 permit any any vines-ip
!

vlan access-map VACL 10
 match ip address VACL-MATCH-VINES 
 action drop
!

vlan access-map VACL 20 
 match ip address VACL-MATCH-PORTS
 action drop
!

vlan access-map VACL 30
 match ip address VACL-MATCH-ANY
 action forward
!

vlan filter VACL vlan 100 
!

راجع تكوين أمان الشبكة باستخدام قوائم التحكم في الوصول للحصول على مزيد من المعلومات حول تكوين خرائط VLAN.

التحكم في الوصول باستخدام قوائم التحكم في الوصول للمنفذ (PACLs)

يمكن تطبيق قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) فقط على الاتجاه الوارد فقط على الواجهات المادية للطبقة 2 من المحول. وكما هو الحال مع خرائط VLAN، توفر قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) التحكم في الوصول على حركة المرور غير الموجهة أو حركة مرور الطبقة 2. تكون الصياغة لإنشاء قوائم التحكم في الوصول الخاصة بالمنفذ (PACL)، مما يعطي الأولوية على خرائط VLAN وقوائم التحكم في الوصول للموجّه، هي نفسها لقوائم التحكم في الوصول للموجّه. إذا تم تطبيق قائمة التحكم في الوصول على واجهة الطبقة 2، حينئذٍ تتم الإشارة إليها باسم قائمة التحكم في الوصول الخاصة بالمنفذ (PACL). يتضمن التكوين إنشاء قائمة التحكم بالوصول الخاصة ببروتوكول IPv4 أو IPv6 أو MAC وتطبيقها على واجهة الطبقة 2.

يستخدم هذا المثال قائمة الوصول المسماة والموسّعة لتوضيح تكوين هذه الميزة:

!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address> 
     <destination-port>
!

interface <type> <slot/port>
 switchport mode access
 switchport access vlan <vlan_number>
 ip access-group <acl-name> in 
!

راجع قسم قائمة التحكم في الوصول الخاصة بالمنفذ من تكوين أمان الشبكة باستخدام قوائم التحكم في الوصول للحصول على مزيد من المعلومات حول تكوين خرائط قوائم التحكم في الوصول الخاصة بالمنفذ (PACL).

التحكم في الوصول باستخدام MAC

يمكن تطبيق قوائم التحكم في الوصول إلى MAC أو القوائم الموسّعة على شبكة IP باستخدام هذا الأمر في وضع تكوين الواجهة:

Cat6K-IOS(config-if)#mac packet-classify

ملاحظة: قوائم التحكم في الوصول إلى MAC هي لتصنيف حزم الطبقة 3 كحزم من الطبقة 2. يتم دعم الأمر في برنامج ‪Cisco IOS‬ الإصدار ‪12.2(18)SXD‬ (لـ Sup 720) وبرنامج ‪Cisco IOS‬ الإصدار ‪12.2(33)SRA‬ أو الإصدارات الأحدث.

يجب تطبيق أمر الواجهة هذا على واجهة الدخول وإرشاد محرك إعادة التوجيه نحو عدم فحص عنوان IP. والنتيجة هي أنه يمكنك استخدام قائمة الوصول إلى MAC على بيئة IP.

استخدام الشبكة المحلية الافتراضية (VLAN) الخاصة

شبكات VLAN الخاصة (PVLANs) هي ميزة أمان الطبقة 2 التي تحد من الاتصال بين محطات العمل أو الخوادم على شبكة VLAN. بدون شبكات VLAN الخاصة، يمكن أن تتصل جميع الأجهزة الموجودة على شبكة VLAN للطبقة 2 بحرية. توجد حالات الشبكات حيث يمكن تعزيز الأمان من خلال تقييد الاتصال بين الأجهزة الموجودة على شبكة VLAN واحدة. على سبيل المثال، غالبًا ما يتم استخدام شبكات VLAN الخاصة لمنع الاتصال بين الخوادم في شبكة فرعية يمكن الوصول إليها بشكل عام. في حال تم اختراق خادم واحد، يمكن أن يساعد نقص الاتصال بالخوادم الأخرى بسبب تطبيق شبكات VLAN الخاصة على الحد من الاختراق للخادم الواحد.

هناك ثلاثة أنواع من شبكات VLAN الخاصة: شبكات VLAN المعزولة وشبكات VLAN المجتمعية وشبكات VLAN الأساسية. يستخدم تكوين VLAN الخاصة شبكات VLAN الأساسية والثانوية. تحتوي شبكة VLAN الأساسية على جميع المنافذ المختلطة، والموضحة لاحقًا، وتتضمن شبكة واحدة أو أكثر من شبكات VLAN الثانوية، والتي يمكن أن تكون شبكات VLAN المعزولة أو المجتمعية.

شبكات VLAN المعزولة

يمنع تكوين شبكة VLAN الثانوية كشبكة VLAN معزولة بشكل كامل الاتصال بين الأجهزة في شبكة VLAN الثانوية. يمكن أن تكون هناك شبكة VLAN معزولة واحدة فقط لكل شبكة VLAN أساسية، ويمكن للمنافذ المختلطة فقط الاتصال بالمنافذ الموجودة على شبكة VLAN المعزولة. يمكن استخدام شبكات VLAN المعزولة على الشبكات غير الموثوقة مثل الشبكات التي تدعم الضيوف.

يقوم مثال التكوين هذا بتكوين شبكة VLAN 11 كشبكة VLAN معزولة وربطها بشبكة VLAN الأساسية، VLAN 20. كما يقوم هذا المثال بتكوين الواجهة FastEthernet 1/1 كمنفذ معزول على شبكة VLAN 11:

!

vlan 11
 private-vlan isolated
!

vlan 20
 private-vlan primary
 private-vlan association 11
!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11
!

شبكات VLAN المجتمعية

تسمح شبكة VLAN الثانوية التي تم تكوينها كشبكة VLAN مجتمعية بالاتصال بين أعضاء شبكة VLAN ومع أي منافذ مختلطة على شبكة VLAN الأساسية. ومع ذلك، لا يمكن إجراء أي اتصال بين أي من شبكتي VLAN المجتمعيتين أو من شبكة VLAN المجتمعية إلى شبكة VLAN المعزولة. يجب استخدام شبكات VLAN المجتمعية لتجميع الخوادم التي تحتاج إلى الاتصال ببعضها البعض، ولكن في حال كان الاتصال بجميع الأجهزة الأخرى على شبكة VLAN غير مطلوب. وهذا السيناريو شائع على شبكة يمكن الوصول إليها بشكل عام أو في أي مكان توفر فيه الخوادم محتوى إلى عملاء غير موثوق بهم.

يقوم هذا المثال بتكوين شبكة VLAN مجتمعية واحدة ويقوم بتكوين منفذ المحول ‪FastEthernet 1/2‬ كعضو في شبكة VLAN هذه. شبكة VLAN المجتمعية، شبكة VLAN 12، هي شبكة VLAN الثانوية لشبكة VLAN 20 الأساسية.

!

vlan 12
 private-vlan community
!

vlan 20
 private-vlan primary
 private-vlan association 12
!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12
!

المنافذ المختلطة

منافذ المُبدّل التي يتم وضعها في شبكة VLAN الأساسية معروفة بالمنافذ المختلطة. يمكن للمنافذ المختلطة الاتصال بجميع المنافذ الأخرى على شبكات VLAN الأساسية والثانوية. واجهات جدار الحماية أو الموجّه هي الأجهزة الأكثر شيوعًا التي تم العثور عليها على شبكات VLAN.

يجمع مثال التكوين هذا بين أمثلة شبكات VLAN المجتمعية والمعزولة السابقة ويضيف تكوين الواجهة ‪FastEthernet 1/12‬ كمنفذ مختلط:

!

vlan 11
 private-vlan isolated
!

vlan 12
 private-vlan community
!

vlan 20
 private-vlan primary
 private-vlan association 11-12
!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11
!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12
!

interface FastEthernet 1/12
 description *** Promiscuous Port ***
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 20 add 11-12
!

عند تنفيذ شبكات VLAN الخاصة، من المهم التأكد من أن تكوين الطبقة 3 في موضعه يدعم القيود التي يتم فرضها بواسطة شبكات VLAN الخاصة ولا يسمح بتخريب تكوين شبكات VLAN الخاصة. يمكن أن تمنع تصفية الطبقة 3 باستخدام جدار الحماية أو قائمة التحكم في الوصول للموّجه تخريب تكوين شبكة VLAN الخاصة.

راجع شبكات VLAN الخاصة (PVLANs) - المختلطة، والمعزولة، والمجتمعية، الموجودة علة الصفحة الرئيسية أمان شبكة LAN، للحصول على مزيد من المعلومات حول استخدام شبكات VLAN الخاصة وتكوينها.

القرار

يمنحك هذا المستند نظرة عامة واسعة على الطرق التي يمكن استخدامها لتأمين جهاز نظام Cisco IOS. إذا قمت بتأمين الأجهزة، فإنها تزيد من الأمان الكلي للشبكات التي تُديرها. في هذه النظرة العامة، تتم مناقشة حماية مستويات الإدارة والتحكم والبيانات، ويتم توفير توصيات للتكوين. وحيثما كان ذلك مناسبًا، يتم توفير تفاصيل كافية لتكوين كل ميزة مقترنة. ومع ذلك، في جميع الحالات، يتم توفير المراجع الشاملة لتزويدك بالمعلومات اللازمة للحصول على مزيد من التقييم.

الإقرارات

تمت كتابة بعض أوصاف الميزات في هذا المستند بواسطة فرق تطوير المعلومات من Cisco.

الملحق: قائمة التحقق من تقوية جهاز ‪Cisco IOS‬

قائمة التحقق هذه هي مجموعة من كل خطوات تعزيز الأجهزة الواردة في هذا الدليل. يمكن للمسؤولين استخدامها كتذكير لكل ميزات التعزيز المُستخدمة والتي يتم اعتبارها لجهاز ‪Cisco IOS‬، حتى في حالة عدم تنفيذ ميزة لأنه لم يتم تطبيقها. يُنصح المسؤولون بتقييم كل خيار لمخاطره المحتملة قبل تنفيذ الخيار.

مستوى الإدارة

• كلمات المرور
  
  
  • تمكين تجزئة MD5 (خيار سري) للتمكين وكلمات مرور المستخدم المحلي
  • تكوين تأمين إعادة محاولة كلمة المرور
  • تعطيل استرداد كلمة المرور (اعتبار المخاطر)
    
    
• تعطيل الخدمات غير المُستخدمة
  
  
• تكوين رسائل تنشيط TCP لجلسات الإدارة
  
  
• تعيين إعلامات حد وحدة المعالجة المركزية والذاكرة
  
  
• التكوين
  
  
  • إعلامات حد وحدة المعالجة المركزية والذاكرة
  • حجز الذاكرة للوصول إلى وحدة التحكم
  • مكتشف تسريب الذاكرة
  • اكتشاف تجاوز سعة المخزن المؤقت
  • مجموعة Crashinfo المحسّنة
    
    
• استخدام قائمة التحكم في الوصول إلى البنية الأساسية لتقييد الوصول إلى الإدارة
  
  
• التصفية (اعتبار ال\مخاطر)
  
  
  • حِزم ICMP
  • أجزاء IP
  • خيارات IP
  • قيمة TTL في الحِزم
    
    
• حماية مستوى التحكم
  
  
  • تكوين تصفية المنفذ
  • تكوين حدود قوائم الانتظار
    
    
• الوصول إلى الإدارة
  
  
  • استخدام حماية مستوى الإدارة لتقييد واجهات الإدارة
  • ضبط مهلة exec
  • استخدام بروتوكول النقل المشفّر (مثل SSH) للوصول إلى واجهة سطر الأوامر
  • التحكم في النقل لخطوط tty وvty (خيار فئة الوصول)
  • تحذير مع استخدام الشعارات
    
    
• AAA
  
  
  • استخدم المصادقة والتفويض والمحاسبة (AAA) للمصادقة والاستعادة
  • استخدام المصادقة والتفويض والمحاسبة (‪TACACS+‬) لتفويض الأوامر
  • استخدام المصادقة والتفويض والمحاسبة (AAA) لأغراض المحاسبة
  • استخدام خوادم المصادقة والتفويض والمحاسبة (AAA) المتكررة
    
    
• SNMP
  
  
  • تكوين مجتمعات SNMPv2 وتطبيق قوائم التحكم في الوصول
  • تكوين SNMPv3
    
    
• التسجيل
  
  
  • تكوين السجلات المركزية
  • تعيين مستويات السجل لجميع المكونات ذات الصلة
  • تعيين واجهة مصدر السجل
  • تكوين مستوى دقة الطوابع الزمنية للسجل
    
    
• إدارة التكوين
  
  
  • الاستبدال والإرجاع
  • الوصول الحصري إلى تغيير التكوين
  • تكوين البرنامج المرن
  • إعلام تغيير التكوين

مستوى التحكم

• تعطيل (اعتبار المخاطر)
  
  
  • عمليات إعادة توجيه ICMP
  • وجهات ICMP التي يتعذّر الوصول إليها
  • ARP للوكيل
    
    
• تكوين مصادقة NTP إذا كان سيتم استخدام NTP
  
  
• تكوين تنظيم/حماية مستوى التحكم (تصفية المنافذ، حدود قوائم الانتظار)
  
  
• تأمين بروتوكولات التوجيه
  
  
  • BGP ‫(TTL، MD5‬، الحد الأقصى للبادئات، قوائم البادئات، قوائم التحكم في الوصول الخاصة بمسار النظام)
  • IGP (MD5، الواجهة السلبية، تصفية المسار، استهلاك الموارد)
    
    
• تكوين أدوات تحديد معدل الأجهزة
  
  
• بروتوكولات تكرار الخطوة الأولى الآمنة (GLBP، ‫HSRP،‬ VRRP)

مستوى البيانات

• تكوين الإسقاط الانتقائي لخيارات IP
  
  
• تعطيل (اعتبار المخاطر)
  
  
  • مسارات مصدر IP
  • عمليات بث IP الموجّهة
  • عمليات إعادة توجيه ICMP
    
    
• الحد من عمليات بث IP الموجّهة
  
  
• تكوين قوائم التحكم في الوصول إلى النقل (اعتبار المخاطر)
  
  
  • تصفية ICMP
  • تصفية أجزاء IP
  • تصفية خيارات IP
  • تصفية قيم TTL
    
    
• تكوين أوجه الحماية المطلوبة من الانتحال
  
  
  • ACLs
  • واقي مصدر بروتوكول الإنترنت
  • فحص ARP (بروتوكول تحليل العناوين) الديناميكي
  • إعادة توجيه المسار العكسي (RPF) للبث الأحادي
  • أمان المنفذ
    
    
• حماية مستوى التحكم (‪control-plane cef-exception‬)
  
  
• تكوين قوائم التحكم في الوصول إلى التصنيفات وNetFlow لتعريف حركة المرور
  
  
• تكوين قوائم التحكم في الوصول الخاصة بالتحكم في الوصول المطلوب (خرائط VLAN، شبكات VLAN الخاصة، MAC)
  
  
• تكوين شبكات VLAN الخاصة

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
2.0	12-Sep-2024	تحديث كامل لتنبيهات CCW بما في ذلك المقدمة، الترجمة الآلية، متطلبات النمط، والعشرات من الروابط المحدثة.
1.0	10-Dec-2001	الإصدار الأولي