سیسکو یکی از معتبرترین تولید کنندگان روتر و سوئیچ در سطح جهان است که از محصولات آن در مراکر شبکه ای متعددی استفاده می گردد . این شرکت تاکنون مدل های متعددی از روترها را با قابلیت های مختلفی تولید نموده است . سری ۱۶۰۰ ، ۲۵۰۰ و ۲۶۰۰ ، متداولترین نمونه در این زمینه می باشند . روترهای تولید شده توسط این شرکت از سری ۶۰۰ شروع و تا سری ۱۲۰۰۰ ادامه می یابد( در حال حاضر ) . شکل زیر برخی از نمونه های موجود را نشان می دهد :
مراحل زیر از مهم ترین مباحث امنیتی روترهای سیسکو میباشد
این ایمن سازی شامل ۹ مرحله است …
مرحله ۱ :
پورت های خطر ناک را ببندید..
_________________________________________
(۱۴۰ deny udp any any range 135 140 (8303931 matches
(۱۵۰ deny tcp any any eq 445 (24650346 matches
(۱۶۰ deny tcp any any eq 449 (11 matches
(۱۷۰ deny tcp any any eq daytime (39 matches
(۱۸۰ deny tcp any any range 27000 27020 (6547 matches
(۱۹۰ deny udp any any range 27000 27020 (290 matches
(۲۰۰ deny tcp any any range 1024 1030 (24568 matches
(۲۱۰ deny tcp any any range 1363 1380 (174634 matches
(۲۲۰ deny udp any any eq 11751 (23 matches
(۲۳۰ deny tcp any any eq 11751 (441 matches
(۲۴۰ deny udp any any eq 1434 (10814 matches
(۲۵۰ deny tcp any any eq 1433 (536911 matches
(۲۶۰ deny udp any any eq 1433 (193 matches
(۲۷۰ deny tcp any any eq 1434 (9133 matches
(۲۸۰ deny tcp any any eq 554 (191 matches
(۲۹۰ deny tcp any any eq 7070 (225 matches
(۳۰۰ deny tcp any any eq 2773 (5923 matches
(۳۱۰ deny tcp any any eq 54283 (590 matches
(۳۲۰ deny udp any any eq echo (812 matches
(۳۳۰ deny tcp any any eq echo (44 matches
(۳۴۰ deny tcp any any eq discard (44 matches
(۳۵۰ deny udp any any eq 554 (204 matches
(۳۶۰ deny udp any any eq 7070 (8 matches
(۳۷۰ deny tcp any any eq 8866 (261 matches
(۳۸۰ deny tcp any any eq 9898 (230 matches
(۳۹۰ deny tcp any any eq 10000 (271 matches
(۴۰۰ deny tcp any any eq 10080 (1031 matches
(۴۱۰ deny tcp any any eq 12345 (432 matches
(۴۲۰ deny tcp any any eq 17300 (221 matches
(۴۳۰ deny tcp any any eq 8554 (255 matches
(۴۴۰ deny udp any any eq 8554 (8 matches
(۴۵۰ deny udp any any eq 4444 (90 matches
(۴۶۰ deny tcp any any eq 4444 (3850 matches
(۴۷۰ deny tcp any any eq 5554 (369 matches
(۴۸۰ deny udp any any eq 1500 (173 matches
۴۹۰ deny tcp any any eq 1919 (8152 matches
(۵۰۰ deny tcp any any eq 2967 (5250 matches
(۵۱۰ deny udp any any eq 2967 (101 matches
(۵۲۰ deny tcp any any eq 1425 (10084 matches
(۵۳۰ deny tcp any any eq 6667 (18607 matches
(۵۴۰ deny tcp any any eq 8943 (221 matches
(۵۵۰ deny tcp any any eq 4662 (3630 matches
(۵۶۰ deny tcp any any eq 1034 (2946 matches
(۵۷۰ deny tcp any any eq 81 (9123 matches
(۵۸۰ deny tcp any any eq 8181 (420 matches
(۵۹۰ deny tcp any any eq 2339 (6884 matches
(۶۰۰ deny tcp any any eq 31337 (331 matches
(۶۱۰ deny tcp any any eq 2745 (6134 matches
(۶۲۰ deny tcp any any eq 37 (39 matches
(۶۳۰ deny tcp any any eq 1500 (9704 matches
(۶۴۰ deny tcp any any eq 1501 (9367 matches
(۶۵۰ deny tcp any any eq 1502 (9473 matches
(۶۶۰ deny tcp any any eq 1503 (9126 matches
(۶۷۰ deny udp any any eq 1501 (160 matches
(۶۸۰ deny udp any any eq 1502 (258 matches
(۶۹۰ deny udp any any eq 1503 (168 matches
(۷۰۰ deny tcp any any eq 1214 (11340 matches
(۷۱۰ deny udp any any eq 65506 (326 matches
(۷۲۰ deny udp any any eq 3410 (158 matches
(۷۳۰ deny udp any any eq 3128 (148 matches
(۷۴۰ deny udp any any eq 3127 (202 matches
(۷۵۰ deny udp any any eq 8080 (207 matches
(۷۶۰ deny udp any any eq 1111 (408 matches
(۷۷۰ deny udp any any eq 8998 (9 matches
۷۸۰ deny udp any any eq 27374 (51 matches
(۷۹۰ deny udp any any eq 1214 (107 matches
(۸۰۰ deny udp any any eq 9999 (36 matches
(۸۱۰ deny udp any any eq tftp
(۸۲۰ deny udp any any eq 2745 (208 matches
(۸۳۰ deny tcp any any eq 1080 (10329 matches
(۸۵۰ deny tcp any any eq sunrpc (42 matches
(۸۶۰ deny tcp any any eq nntp (46 matches
(۸۷۰ deny tcp any any eq drip (4244 matches
(۸۸۰ deny tcp any any eq exec (1 match
(۸۹۰ deny udp any any eq rip (1 match
(۹۰۰ deny udp any any eq ntp (58094 matches
(۹۱۰ deny tcp any any eq 2283 (6850 matches
(۹۲۰ deny tcp any any eq 2535 (6262 matches
(۹۳۰ deny udp any any eq 1026 (1711 matches
(۹۴۰ permit ip any any (864701348 matches
_________________________________________
لازم است یک ACL یا سیاست خودتان و مثلا پورت های عمومی و خطر افرین تهیه و آنرا بر روی اینترفیس ورودی اعمال کنید
_________________________________________
(۱۳۰ deny tcp any any range 135 140 (497235 matches
conf t
int gig0/0
ip acce firewall in
ip acce firewall out
_______________________________________________
مرحله ۲ : *مهم*
دسترسی تلنت را با SSH جایگزین کنید یا در غیر این صورت پورت تلنت را بر طبق مقاله قبل عوض کنید
مرحله ۳ :
آدرس های عمومی را در درگاه ورودی اینترنت جهت جلوگیری از Spoofing ببندید و نکته حرفه ای دیگر یک BGP Peering یا شبکه Team cymru برقرار کنید و ورودی Route را باز بگذارید
این شرکت آی پی های BOGON را برای شما ارسال میکند و این لسیت خود به خود آپدیت و جلوی Route شما به این دسته از آی پی ها را میگیرد
______________________________________________________
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
______________________________________________________
مرحله ۴ :
دسترسی SNP را ببندید یا محدود کنید
______________________________________________________
no snmp-server or >
snmp-server community SnMp@@!!123 RO 197
ip acce e 197
permit udp “trusted host ips” host “router ip” eq snmp
deny ip any any
______________________________________________________
مرحله ۵ :
بهتر است از Enable Secret بجای Enable password استفاده کنید
این باعث میشود که دسترسی به پسورد شما حتی اگر کسی فایل کانفیگ روتر را هم داشته باشد غیر ممکن شود
زیرا MD5 یک الگریتم یک طرفه است
______________________________________________________
service password-encryption
enable secret 5 f68a7a14ff272beddf3a6a3d3632158b/
username amirkhosro privilege 15 secret 5 $f68a7a14ff272beddf3a6a3d3632158b$.
______________________________________________________
مرحله ۶ :
سروریس بازنگاری پسورد را غیر فعال کنید
در این صورت اگر کسی دسترسی فیزیکی به روتر پیدا کنه امکان ریکاوری پسورد وجود ندارد
______________________________________________________
Aka-Core-Router(config)#no service password-recovery
WARNING:
Executing this command will disable password recovery me
chanism.
Do not execute this command without another plan for
password recovery.
Are you sure you want to continue? [yes/no]:yes
______________________________________________________
مرحله ۷ :
سرورس هایی که بدرد شما نمیخوره را غیر فعال کنید
______________________________________________________
Disable Echo, Chargen and discard
no service tcp-small-servers
no service udp-small-servers
Disable finger
no service finger
Disable the httpd interface
no ip http server
Disable ntp (if you are not using it)
ntp disable
Disable source routing
no ip source-route
Disable Proxy Arp
no ip proxy-arp روی تمامی اینترفیس ها
Disable ICMP redirects
interface gig0/0
no ip redirects روی تمامی اینترفیس ها
Disable Multicast route Caching
interface gig0/0 (your external interface)
no ip mroute-cache روی تمامی اینترفیس ها
Disable CDP
no cdp run
Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast روی تمامی اینترفیس ها
______________________________________________________
مرحله ۸ :
فقط آی پی های ست شده روی هر اینترفیس را مجاز کنید
______________________________________________________
Aka-Core-Router#sh run int fastEthernet 0/1.300
Building configuration…
Current configuration : 281 bytes
!
interface FastEthernet0/1.300
description esfehan
encapsulation dot1Q 300
ip address 217.218.1.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
end
Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 130
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 an
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.7 any
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int fas 0/1.300
Aka-Core-Router(config-subif)#ip acce 130 in
و صد البته روی اینترفیس خروجی ، فقط IP های شناخته شده شبکه خودتان را اجازه ترانزیت ترافیک بدهید
مثلا شما یک کلاس /۲۴ دارید ۲۱۷٫۲۱۸٫۱٫۰/۲۴ :
Aka-Core-Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Aka-Core-Router(config)#ip acce e 131
Aka-Core-Router(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-Core-Router(config-ext-nacl)#per ip any 217.218.1.0 0.0.0.255
Aka-Core-Router(config-ext-nacl)#per icmp any any
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit
Aka-Core-Router(config)#int gig 0/0 ( outside interface )
ip acce 131 in
ip acce 131 out
______________________________________________________
مرحله ۹ :
همه چیز را لاک کنید
______________________________________________________
logging trap debugging
logging ۱۹۲٫۱۶۸٫۱٫۱۰
______________________________________________________
________________________________________________________________________________
باسلام/
ضمن تشکر از مطلب ارسالی
لطفا راجعه به دستورات no service tcp-small-servers , no service udp-small-server توضیح دهید
درود دوست عزیز
توصیه میشه که این سرویس فعال نکنید مگر اینکه واقعا به اونها نیاز داشته باشید
چون این سرویس به طور غیر مستقم برای به دست آوردن اطلاعات در مورد سیستم هدف یا به طور مستقیم با استفاده از اکوی UDP به مورد Fraggle حمله میکند.