المقدمة

يصف هذا وثيقة معلومات أن يؤمن ك cisco IOS® XE نظام أداة، أي يزيد الأمنية العامة من شبكتك توثيق.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

وبإنشاء هذا المستند بناء على المستويات الثلاثة التي يمكن من خلالها تصنيف وظائف جهاز الشبكة، فإنه يوفر نظرة عامة على كل ميزة مضمنة ومراجع العناصر ذات الصلة.

المستويات الوظيفية الثلاثة للشبكة، مستوى الإدارة ومستوى التحكم ومستوى البيانات يوفر كل منها وظائف مختلفة يلزم حمايتها.

1. مستوى الإدارة- يدير مستوى الإدارة حركة مرور البيانات التي يتم إرسالها إلى جهاز CISCO IOS XE ويتكون من تطبيقات وبروتوكولات مثل طبقة الأمان (SSH) وبروتوكول إدارة الشبكة البسيط (SNMP).
2. مستوى التحكم- يعمل مستوى التحكم بجهاز الشبكة على معالجة حركة مرور البيانات وهو ما يعد أمرًا في غاية الأهمية للحفاظ على وظائف البنية التحتية للشبكة. يتكون مستوى التحكم من تطبيقات وبروتوكولات بين أجهزة الشبكة، تتضمن بروتوكول العبّارة المحدودة (BGP)، بالإضافة إلى بروتوكولات العبّارة الداخلية (IGPs) مثل بروتوكول توجيه العبّارة الداخلي المحسّن (EIGRP) وفتح أقصر مسار أولاً (OSPF).
3. مستوى البيانات- يعمل مستوى البيانات على إعادة توجيه البيانات من خلال جهاز الشبكة. لا يتضمن مستوى البيانات حركة مرور البيانات التي يتم إرسالها إلى جهاز Cisco IOS XE المحلي.
   
   وتوفر تغطية ميزات الأمان في هذا المستند غالبًا تفاصيل كافية لك لتكوين الميزة. ومع ذلك، في الحالات التي لا تتوفر فيها التفاصيل الكافية، يتم شرح الميزة بطريقة يمكنك من خلالها تقييم ما إذا كان مطلوبًا توجيه اهتمام إضافي بالميزة أم لا. حيثما يكون ذلك ممكنًا ومناسبًا، يحتوي هذا المستند على توصيات، في حال تنفيذها، ستساعد على تأمين الشبكة.

العمليات الآمنة

تعد عمليات الشبكة الآمنة موضوعًا جوهريًا. وعلى الرغم من أنه قد تم تخصيص معظم محتوى هذا المستند للتكوين الآمن لجهاز Cisco IOS XE، إلا أن عمليات التكوين وحدها لا تؤمن الشبكة بشكل كامل. تساهم الإجراءات التشغيلية المُستخدمة في الشبكة في الأمان بنفس قدر مساهمتها في تكوين الأجهزة الأساسية.

تحتوي هذه الموضوعات على توصيات تشغيلية نوصيك بتنفيذها. تلقي هذه الموضوعات الضوء على المناطق الهامة المخصصة لعمليات الشبكة وهي ليست شاملة.

مراقبة استجابات واستشارات أمان Cisco

يعمل فريق الاستجابة لحوادث أمان منتجات Cisco ‫(PSIRT)‬ على إنشاء والاحتفاظ بالمنشورات، التي يُشار اليها عادةً باسم "توجيهاتPSIRT"، الخاصة بالمشكلات المتعلقة بالأمان في منتجات Cisco. الطريقة المُستخدمة للتواصل مع المشاكل الأقل خطورة هي "استجابة أمان Cisco". تتوفر استجابات وتوجيهات الأمان في استجابات وتوجيهات أمان Cisco

كما تتوفر معلومات إضافية حول وسائل التواصل هذه في نهج الثغرات الأمنية من Cisco

للحفاظ على أمان الشبكة، يلزمك أن تكون على دراية باستجابات وتوجيهات الأمان من Cisco التي تم إصدارها. تحتاج إلى معرفة الثغرة الأمنية قبل إمكانية تقييم التهديد الذي يمكن أن يواجه الشبكة. ارجع إلى إعلانات تصنيف المخاطر على الثغرات الأمنية للمساعدة في عملية التقييم هذه.

الاستفادة من المصادقة والتفويض والمحاسبة

يعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا حيويًا لتأمين أجهزة الشبكة. كما يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) مصادقة جلسات عمل الإدارة ويمكنه أيضًا تقييد المستخدمين بأوامر محددة ومُعرفة من قِبل المسؤول وتسجيل جميع الأوامر التي تم إدخالها بواسطة جميع المستخدمين. راجع قسم المصادقة والتفويض والمحاسبة في هذا المستند للحصول على مزيد من المعلومات حول كيفية الاستفادة من المصادقة والتفويض والمحاسبة (AAA).

تمركز جمع السجلات ومراقبتها

من أجل الحصول على المعرفة حول الأحداث الحالية والناشئة والتاريخية المتعلقة بالحوادث الأمنية، يجب أن يكون لدى مؤسستك إستراتيجية موحدة لتسجيل الدخول إلى الحدث والترابط. يجب أن تعمل هذه الاستراتيجية على الاستفادة من التسجيل من جميع أجهزة الشبكة واستخدام إمكانيات الربط القابلة للتخصيص والتي تم تجميعها في حزم مسبقًا.

بعد تنفيذ التسجيل المركزي، يجب عليك تطوير أسلوب مهيكل لتحليل السجلات وتتبع الحوادث. وبناءً على احتياجات مؤسستك، يمكن أن يتراوح هذا الأسلوب من مراجعة شاملة بسيطة لبيانات السجل إلى التحليل المتقدم القائم على القواعد.

راجع قسم أفضل ممارسات التسجيل في هذا المستند للحصول على مزيد من المعلومات حول كيفية تنفيذ تسجيل الدخول إلى أجهزة شبكة Cisco IOS XE.

استخدام بروتوكولات آمنة عند الإمكان

يتم استخدام العديد من البروتوكولات لحمل بيانات إدارة الشبكة الحساسة. يجب أن تستخدم بروتوكولات آمنة كلما أمكنك ذلك. ويتضمن خيار البروتوكول الآمن استخدام الطبقة الآمنة (SSH) بدلاً من برنامج Telnet حتى يتم تشفير كل من بيانات المصادقة ومعلومات الإدارة. وبالإضافة إلى ذلك، يجب أن تستخدم بروتوكولات نقل الملفات الآمنة عند نسخ بيانات التكوين. والمثال على ذلك هو استخدام بروتوكول النسخ الآمن (SCP) بدلاً من FTP أو TFTP.

راجع قسم جلسات عمل الإدارة التفاعلية الآمنة في هذا المستند للحصول على مزيد من المعلومات حول الإدارة الآمنة لأجهزة Cisco IOS XE.

اكتساب إمكانية الرؤية لحركة مرور البيانات باستخدام NetFlow

يتيح لك NetFlow إمكانية مراقبة تدفقات حركة مرور البيانات في الشبكة. وبتصميمه في الأصل لتصدير معلومات حركة مرور البيانات إلى تطبيقات إدارة الشبكة، فإنه من الممكن أيضًا استخدام NetFlow لعرض معلومات تدفق البيانات على الموّجه. تتيح لك هذه الإمكانية الاطّلاع على حركة مرور البيانات التي تجتاز الشبكة في الوقت الفعلي. وبغض النظر عما إذا كانت معلومات التدفق يتم تصديرها إلى مجمِّع بعيد أم لا، فإننا ننصحك بتكوين أجهزة الشبكة لـ NetFlow حتى يمكن استخدامه بشكل تفاعلي عند الحاجة.

يتوفر المزيد من المعلومات حول هذه الميزة في قسم تعريف حركة مرور البيانات وتتبع الأثر في هذا المستند وفي Cisco IOS NetFlow (المستخدمون المسجلون فقط).

إدارة التكوين

إدارة التكوين هي عملية يتم من خلالها اقتراح تغييرات التكوين ومراجعتها والموافقة عليها ونشرها. وضمن سياق تكوين جهاز Cisco IOS XE، هناك جانبان إضافيان في إدارة التكوين على قدر كبير من الأهمية: أرشفة التكوين وأمانه.

يمكنك استخدام أرشيفات التكوين لاستعادة التغييرات التي تم إجراؤها على أجهزة الشبكة. في إطار سياق أمني، يمكن استخدام أرشيفات التكوين أيضًا لتحديد التغييرات الأمنية التي تم إجراؤها ووقت حدوث هذه التغييرات. وبالتعاون مع بيانات سجل المصادقة والتفويض والمحاسبة (AAA)، يمكن أن تساعد هذه المعلومات في تدقيق الأمان لأجهزة الشبكة.

يحتوي تكوين جهاز Cisco IOS XE على العديد من التفاصيل الحساسة. أسماء المستخدمين وكلمات المرور ومحتويات قوائم التحكم في الوصول هي أمثلة على هذا النوع من المعلومات. يلزم تأمين المستودع الذي تستخدمه لأرشفة تكوينات جهاز Cisco IOS XE. فقد يؤدي الوصول غير الآمن إلى هذه المعلومات إلى تقويض أمان الشبكة بالكامل.

مستوى الإدارة

يتكون مستوى الإدارة من وظائف تحقق أهداف إدارة الشبكة.

وهذا المستوى يتضمن جلسات عمل الإدارة التفاعلية التي تستخدم الطبقة الآمنة (SSH)، وكذلك تجميع الإحصائيات باستخدام بروتوكول SNMP أو NetFlow. عندما تضع أمان جهاز الشبكة في الاعتبار، فمن المهم أن يكون مستوى الإدارة محميًا. إذا كانت الحادثة الأمني قادرة على تقويض وظائف مستوى الإدارة، فقد يكون من المستحيل عليك استرداد الشبكة أو جعلها مستقرة.

وتقوم هذه الأقسام بتفصيل ميزات الأمان وتكويناته المتوفرة في برنامج Cisco IOS XE الذي يساعد على تدعيم مستوى الإدارة.

تقوية مستوى الإدارة العامة

يُستخدم مستوى الإدارة للوصول إلى الجهاز وتكوينه وإدارته، وكذلك مراقبة عملياته والشبكة التي يتم نشره عليها. مستوى الإدارة هو المستوى الذي يستقبل حركة مرور البيانات ويرسلها لعمليات هذه الوظائف. يجب تأمين كل من مستوى الإدارة ومستوى التحكم للجهاز، لأن عمليات مستوى التحكم تؤثر بشكل مباشر على عمليات مستوى الإدارة. ويستخدم مستوى الإدارة قائمة البروتوكولات التالية:

1. بروتوكول إدارة الشبكة البسيط
2. Telnet
3. بروتوكول طبقة الأمان
4. بروتوكول نقل الملفات
5. بروتوكول نقل النص التشعبي / بروتوكول نقل النص التشعبي الآمن
6. بروتوكول نقل الملفات المبسط
7. بروتوكول النسخ الآمن
8. TACACS+
9. RADIUS
10. Netflow
11. بروتوكول وقت الشبكة
12. Syslog
    
    يجب اتخاذ خطوات لضمان استمرارية مستويات الإدارة والتحكم أثناء الحوادث الأمنية. في حال مهاجمة أحد هذين المستويين بنجاح، فمن الممكن اختراق جميع المستويات.

إدارة كلمة المرور

تتحكم كلمات المرور في الوصول إلى الموارد أو الأجهزة. ويتم تحقيق ذلك من خلال تعريف كلمة مرور أو سر يتم إستخدامه لمصادقة الطلبات. عند تلقي طلب للوصول إلى مورد أو جهاز، يتم اعتراض الطلب للتحقُّق من كلمة المرور والهوية، ويمكن منح حق الوصول أو رفضه أو تقييده بناءً على النتيجة. كأفضل ممارسة أمان، يجب إدارة كلمات المرور باستخدام خادم مصادقة ‪TACACS+‬ أو RADIUS. ومع ذلك، لاحظ أنه ما تزال هناك حاجة إلى كلمة مرور يتم تكوينها محليًا للوصول المميز في حالة فشل خدمات ‪TACACS+‬ أو RADIUS. وقد يحتوي الجهاز أيضًا على معلومات كلمة المرور الأخرى الموجودة ضمن التكوين الخاص به، مثل مفتاح NTP أو سلسلة مجتمع SNMP أو مفتاح بروتوكول التوجيه.

يتم إستخدام الأمر enable secret لتعيين كلمة المرور التي تمنح حق الوصول الإداري المميز إلى نظام Cisco IOS XE system. يجب استخدام الأمر enable secret بدلاً من الأمر الأقدم enable password. يستخدم الأمر enable password خوارزمية تشفير ضعيفة.

إذا لم يتم تعيين أي أمر enable secret وتم تكوين كلمة مرور لسطر tty في وحدة التحكم، يمكن استخدام كلمة مرور وحدة التحكم لتلقي حق الوصول المميز، حتى من جلسة عمل tty افتراضية (vty) عن بُعد. من المؤكد أن هذا الإجراء غير مرغوب فيه غالبًا وهو سبب آخر لضمان تكوين أمر enable secret.

يوجه أمر التكوين العام service password-encryption برنامج Cisco IOS XE software لتشفير كلمات المرور، والمفاتيح السرية لبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP)، والبيانات المماثلة التي يتم حفظها في ملف التكوين الخاص به. ويُعد هذا التشفير مفيدًا لمنع المراقبين غير الرسميين من قراءة كلمات المرور، كما هو الحال عندما ينظرون إلى الشاشة عبر مجموعة مسؤول. ومع ذلك، فإن الخوارزمية التي يستخدمها الأمرservice password-encryption عبارة عن أسلوب تشفير Vigen re cipher بسيط. لم يتم تصميم الخوارزمية لحماية ملفات التكوين من التحليل الخطير حتى من قِبل المهاجمين المعقدين قليلاً ويجب عدم استخدامها لهذا الغرض. يجب التعامل مع أي ملف تكوين في نظام Cisco IOS XE يحتوي على كلمات مرور مشفرة بالعناية نفسها التي يتم إيلاؤها لقائمة النصوص غير المشفرة لكلمات المرور هذه.

بينما لا يتم استخدام خوارزمية التشفير الضعيفة هذه من قِبل الأمر enable secret، فإنها تُستخدَم من قِبل أمر التكوين العام enable password، وكذلك أمر تكوين سطر password. يجب إزالة كلمات المرور من هذا النوع ويلزم استخدام الأمر enable secret أو ميزة أمان كلمة المرور المحسن.

يستخدم كل من الأمر enable secret وميزة "أمان كلمة المرور المحسن" دالة "هضم الرسالة 5 (MD5)" لتجزئة كلمة المرور. لقد خضعت هذه الخوارزمية لمراجعة عامة معتبرة ولا تُعرف على أنها قابلة للعكس. ومع ذلك، تخضع الخوارزمية إلى هجمات القاموس. في إحدى هجمات القاموس، يحاول أحد المهاجمين تجربة كل كلمة في قاموس أو قائمة أخرى من كلمات المرور المرشحة للعثور على تطابق. لذلك، يجب تخزين ملفات التكوين بشكل آمن ومشاركتها فقط مع الأفراد الموثوق بهم.

أمان كلمة المرور المحسن

تتيح ميزة "أمان كلمة المرور المحسن"، التي عملت منذ الإصدار الأول من برنامج Cisco IOS XE Software، الإصدار 16.6.4، للمسؤول إمكانية تكوين تجزئة MD5 لكلمات مرور الأمر username. قبل هذه الميزة، كان هناك نوعان من كلمات المرور: النوع 0، وهو كلمة مرور النصوص غير المشفرة، والنوع 7، الذي يستخدم الخوارزمية من تشفير Vigen re cipher. لا يمكن استخدام ميزة "أمان كلمة المرور المحسّن" مع البروتوكولات التي تتطلب كلمة مرور النصوص غير المشفرة لتكون قابلة للاسترداد، مثل بروتوكول CHAP.

لتشفير كلمة مرور مستخدم باستخدام تجزئة MD5، قم بإصدار أمر التكوين العام username secret.

اسم المستخدم <name> سر <password>

قفل إعادة محاولة تسجيل الدخول بكلمة المرور

تتيح لك ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور"، والتي عملت منذ الإصدار الأول من برنامج Cisco IOS XE Software، الإصدار 16.6.4، إمكانية قفل حساب مستخدم محلي بعد عدد يتم تكوينه لمحاولات تسجيل الدخول غير الناجحة. بمجرد قفل حساب مستخدم، يتم قفل حسابه حتى تفتحه أنت. لا يمكن قفل حساب مستخدم مفوَّض تم تكوينه بمستوى الامتياز 15 باستخدام هذه الميزة. يجب الحفاظ على عدد المستخدمين الذين يتمتعون بمستوى الامتياز 15 عند الحد الأدنى.

يوضح المثال التالي كيفية تمكين ميزة "قفل إعادة محاولة تسجيل الدخول بكلمة المرور":

محاولات المصادقة المحلية AAA الجديدة-model AAA Local Authentication <max-fail <max-attempts> AAA تسجيل الدخول إلى المصادقة افتراضيا محليا 

اسم المستخدم <name> سر <password>

تنطبق هذه الميزة أيضًا على طرق المصادقة مثل بروتوكول CHAP وبروتوكول مصادقة كلمة المرور (PAP).

لا يوجد استرداد لكلمة مرور الخدمة

في الإصدار 16.6.4 من برنامج Cisco IOS XE Software والإصدارات الأحدث، لا تشمح ميزة "عدم إسترداد كلمة مرور الخدمة" لأي شخص يتمتع بحق الوصول إلى وحدة التحكم بالوصول بشكل غير آمن إلى تكوين الجهاز ومسح كلمة المرور. كما أنها لا تسمح للمستخدمين الضارين بتغيير قيمة سجل التكوين والوصول إلى NVRAM (ذاكرة الوصول العشوائي غير المتطايرة).

لا يوجد استرداد لكلمة مرور الخدمة

يوفر برنامج Cisco IOS XE software إجراء لاسترداد كلمة المرور يعتمد على الوصول إلى "وضع أداة مراقبة ذاكرة القراءة فقط (ROMMON)" ويستخدم مفتاح Break (الإيقاف المؤقت) أثناء بدء تشغيل النظام. في ROMMON، يمكن إعادة تحميل برنامج الجهاز من أجل المطالبة بتكوين جديد للنظام يتضمن كلمة مرور جديدة.

يتيح إجراء استرداد كلمة المرور الحالية لأي شخص لديه حق وصول إلى وحدة التحكم إمكانية الوصول إلى الجهاز وشبكته. تمنع ميزة "عدم استرداد كلمة مرور الخدمة" إكمال تسلسل مفتاح Break (الإيقاف المؤقت) ودخول ROMMON أثناء بدء تشغيل النظام.

في حال تمكين ميزة عدم استرداد كلمة مرور الخدمة على جهاز ما، فمن المستحسن أن يتم حفظ نسخة من تكوين الجهاز دون اتصال بالإنترنت وتنفيذ حل أرشفة للتكوين. إذا كان من الضروري إستعادة كلمة المرور الخاصة بجهاز Cisco IOS XE بمجرد تمكين هذه الميزة، فسيتم حذف التكوين بالكامل.

تعطيل الخدمات غير المُستخدمة

كواحدة من أفضل الممارسات الأمنية، يجب تعطيل أي خدمة غير ضرورية. نادرًا ما يتم استخدام هذه الخدمات غير الضرورية، وخاصة تلك التي تستخدم بروتوكول مخطط بيانات المستخدم (UDP)، لأغراض مشروعة ولكن يمكن استخدامها من أجل تشغيل رفض الخدمة (DoS) والهجمات الأخرى التي يتم منعها بخلاف ذلك بواسطة تصفية الحِزم.

يجب تعطيل خدمات TCP وUDP الصغيرة. وتشمل هذه الخدمات ما يلي:

1. echo (منفذ رقم 7)
2. discard (منفذ رقم 9)
3. daytime (منفذ رقم 13)
4. chargen (منفذ رقم 19)
   
   على الرغم من أنه يمكن تجنُّب إساءة استخدام الخدمات الصغيرة أو جعلها أقل خطورة من خلال قوائم الوصول المضادة لتزييف الهوية، إلا أنه يجب تعطيل الخدمات على أي جهاز يمكن الوصول إليه داخل الشبكة. يتم تعطيل الخدمات الصغيرة بشكل افتراضي في الإصدار 16.6.4 من البرنامج Cisco IOS XE Software والإصدارات الأحدث. في إصدارات البرنامج السابقة، لا يمكن إصدار أوامر التكوين العام no service tcp-small-servers وno service udp-small-servers لتعطيلها.
   
   هذه قائمة بالخدمات الإضافية التي يجب تعطيلها في حالة عدم استخدامها:
5. قم بإصدار أمر التكوين العام no ip finger من أجل تعطيل خدمة Finger. تقوم الإصدارات الأحدث من الإصدار 16.1 من برنامج Cisco IOS XE بتعطيل هذه الخدمة بشكل افتراضي.
6. قم بإصدار أمر التكوين العام no ip bootp server من أجل تعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP). تقوم الإصدارات الأحدث من الإصدار 16.1 من برنامج Cisco IOS XE بتعطيل هذه الخدمة بشكل افتراضي.
7. في الإصدار 16.6.4 من برنامج Cisco IOS XE والإصدارات الأحدث، قم بإصدار الأمر ip dhcp bootp ignore في وضع التكوين العام من أجل تعطيل بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP). وهذا يؤدي إلى تمكين خدمات بروتوكول التكوين الديناميكي للمضيف (DHCP).
8. يمكن تعطيل خدمات DHCP إذا لم تكن خدمات ترحيل DHCP مطلوبة. قم بإصدار الأمر no service dhcp في وضع التكوين العام.
9. قم بإصدار الأمر no mop enabled في وضع تكوين الواجهة لتعطيل خدمة بروتوكول عملية الصيانة (MOP).
10. قم بإصدار أمر التكوين العام no ip domain-lookup من أجل تعطيل خدمات تحليل نظام اسم المجال (DNS).
11. قم بإصدار الأمر no service pad في وضع التكوين العام لتعطيل خدمة مجمِّع/مجزِّئ الحِزم (PAD)، والتي يتم استخدامها لشبكات X.25.
12. يمكن تعطيل خادم HTTP باستخدام الأمر no ip http server في وضع التكوين العام، ويمكن تعطيل خادم HTTP الآمن (HTTPS) باستخدام أمر التكوين العام no ip http secure-server.
13. إذا لم تسترد أجهزة Cisco IOS XE التكوينات من الشبكة أثناء بدء التشغيل، فيجب إستخدام أمر التكوين العام no service config. وهذا يؤدي إلى منع جهاز Cisco IOS XE من محاولة تحديد موقع ملف تكوين على الشبكة باستخدام TFTP.
14. بروتوكول اكتشاف Cisco ‫(CDP)‬ هو بروتوكول شبكة يتم استخدامه لاكتشاف الأجهزة الأخرى التي تم تمكين CDP عليها لتجاور الأجهزة القريبة وهيكل الشبكة. يمكن استخدام CDP بواسطة أنظمة إدارة الشبكة (NMS) أو أثناء استكشاف الأخطاء وإصلاحها. يجب تعطيل CDP على جميع الواجهات المتصلة بالشبكات غير الموثوق بها. ويتم تحقيق ذلك باستخدام أمر الواجهة no cdp enable. بدلاً من ذلك، يمكن تعطيل CDP بشكل عام باستخدام أمر التكوين العام no cdp run. لاحظ أنه يمكن استخدام CDP من قِبل مستخدم ضار لاستطلاع الشبكة وتخطيطها.
15. بروتوكول اكتشاف طبقة الارتباط (LLDP) هو بروتوكول IEEE يتم تعريفه في المعيار 802.1AB. ويكون بروتوكول LLDP مماثلاً لبروتوكول CDP. ومع ذلك، يتيح هذا البروتوكول قابلية التشغيل البيني بين الأجهزة الأخرى التي لا تدعم بروتوكول CDP. يجب التعامل مع بروتوكول LLDP بنفس الطريقة التي يتم بها التعامل مع CDP ويجب تعطيلها في جميع الواجهات التي تتصل بالشبكات غير الموثوق بها. ومن أجل تحقيق ذلك، قم بإصدار أمرَيْ تكوين الواجهة no lldp transmit وno lldp receive. قم بإصدار أمر التكوين العام no lldp run لتعطيل LLDP بشكل عام. كما يمكن استخدام LLDP من قِبل مستخدم ضار لاستطلاع الشبكة وتخطيطها.
16. بالنسبة للمحولات التي تدعم التمهيد من sdflash، يمكن تحسين الأمان من خلال التمهيد من الذاكرة المؤقتة (flash) وتعطيل sdflash باستخدام أمر التكوين no sdflash.

مهلة EXEC

من أجل تعيين الفاصل الزمني الذي ينتظره مترجم أمر EXEC لإدخال المستخدم قبل إنهاء الجلسة، قم بإصدار أمر تكوين سطر exec-timeout. يجب استخدام الأمر exec-timeout لتسجيل الخروج من الجلسات على أسطر vty أو tty التي تم تركها في وضع الخمول. وبشكل افتراضي، يتم فصل الجلسات بعد عشر دقائق من عدم النشاط.

سطر con 0

exec-timeout <دقيقة> [ثوان]

خط vty 0 4

exec-timeout <دقيقة> [ثوان]

رسائل Keepalive لجلسات عمل TCP

تتيح أوامر التكوين العام service tcp-keepalives-in وservice tcp-keepalives-out للجهاز إمكانية إرسال حِزم TCP keepalive لجلسات عمل بروتوكول التحكم في الإرسال (TCP). يجب استخدام هذا التكوين لتمكين حِزم TCP keepalive على الاتصالات الواردة إلى الجهاز والاتصالات الصادرة من الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة سيتم إزالتها من جهاز Cisco IOS XE المحلي.

service tcp-keepalives-in

service tcp-keepalives-out

استخدام واجهة الإدارة

يتم الوصول إلى مستوى إدارة الجهاز داخل النطاق الترددي أو خارج النطاق الترددي على واجهة إدارة مادية أو منطقية. وبشكل مثالي، يوجد الوصول إلى الإدارة داخل النطاق الترديي وخارجه على السواء لكل جهاز شبكة بحيث يمكن الوصول إلى مستوى الإدارة أثناء حالات انقطاع الشبكة.

وتُعد واجهة الاسترجاع المنطقية واحدة من أكثر الواجهات شيوعًا التي يتم استخدامها للوصول داخل النطاق الترددي إلى الجهاز. ودائمًا ما تكون واجهات الاسترجاع قيد التشغيل، في حين أن الواجهات المادية يمكن أن تغير الحالة، ومن المحتمل ألا تكون الواجهة قابلة للوصول إليها. يُوصى بإضافة واجهة استرجاع لكل جهاز كواجهة إدارة وأن يتم استخدامها حصريًا لمستوى الإدارة. وهذا يسمح للمسؤول بتطبيق السياسات عبر الشبكة لمستوى الإدارة. بمجرد تكوين واجهة الاسترجاع على جهاز، يمكن استخدامها من قِبل بروتوكولات مستوى الإدارة، مثل SSH وSNMP وsyslog، لإرسال حركة مرور البيانات واستقبالها.

interface loopback0 

ip address 192.168.1.1 255.255.255.0

إعلامات حد الذاكرة

تتيح لك ميزة "إعلام حد الذاكرة"، التي تمت إضافتها في الإصدار 16.6.4 من برنامج Cisco IOS XE Software، إمكانية تخفيف حالات انخفاض الذاكرة على الجهاز. وتستخدم هذه الميزة طريقتين للقيام بذلك: "إعلام حد الذاكرة" و"حجز الذاكرة".

تقوم ميزة "إعلام حد الذاكرة" بإنشاء رسالة سجل للإشارة إلى انخفاض الذاكرة المتاحة على الجهاز عن الحد الذي تم تكوينه. ويوضح مثال التكوين التالي كيفية تمكين هذه الميزة باستخدام أمر التكوين العام memory free low-watermark. فهذا يتيح للجهاز إمكانية إنشاء إعلام عندما تنخفض الذاكرة الحرة المتاحة عن الحد المحدد، ومرةً أخرى عندما ترتفع الحرة المتاحة لأعلى من الحد المحدد بنسبة خمسة بالمائة.

<عتبة> معالج خال من العلامات المائية

Memory Free Low-Watermark io <Threshold>

يتم استخدام ميزة "حجز الذاكرة" بحيث تتوفر ذاكرة كافية للإعلامات الهامة. يوضّح مثال التكوين التالي كيفية تمكين هذه الميزة. وهذا يضمن استمرار عمليات الإدارة في عملها عند استنفاد ذاكرة الجهاز.

حجز الذاكرة الهام <value>

إعلام وضع حد وحدة المعالجة المركزية (CPU)

تتيح لك ميزة "إعلام حد وحدة المعالجة المركزية (CPU)"، التي تم تقديمها في الإصدار 16.6.4 من برنامج Cisco IOS XE Software، إمكانية اكتشاف حالات تجاوز تحميل وحدة المعالجة المركزية (CPU) على جهاز ما للحد الذي تم تكوينه وإعلامك بها. عندما يتم تجاوز الحد، يقوم الجهاز بإنشاء رسالة تنبيه SNMP وإرسالها. كلتا طريقتي وضع حد إستخدام وحدة المعالجة المركزية (CPU) مدعومتان على برنامج Cisco IOS XE software: العتبة المرتفعة والعتبة المنخفضة.

يوضّح مثال التكوين التالي كيفية تمكين حدّي الارتفاع والهبوط اللذين يؤديان إلى تشغيل رسالة إعلام لحد وحدة المعالجة المركزية (CPU):

حد وحدة المعالجة المركزية لتمكين الخوادم snmp-server

وحدة المعالجة المركزية لمضيف خادم snmp <host-address> <community-string>

معالجة نوع حد وحدة المعالجة المركزية <type> إرتفاع <percentage> فاصل <seconds> [انخفاض <percentage> فاصل <seconds>]

معالجة النسبة المئوية لنسبة الإدخال إلى إحصائيات وحدة المعالجة المركزية (CPU) <number> [الحجم <ثوان>]

بروتوكول وقت الشبكة

لا يُعد بروتوكول وقت الشبكة (NTP) خدمة خطيرة بوجه خاص، ولكن أي خدمة غير ضرورية قد تمثل متجه هجوم. إذا تم استخدام بروتوكول وقت الشبكة (NTP)، فمن المهم تكوين مصدر وقت موثوق به بشكل صريح واستخدام المصادقة المناسبة. يلزم توفر وقت دقيق وموثوق به لأغراض syslog (الدخول إلى النظام)، كما هو الحال أثناء التحقيقات الجنائية للهجمات المحتملة، وكذلك لاتصال VPN الناجح الذي يعتمد على شهادات مصادقة المرحلة الأولى.

1. منطقة NTP الزمنية - عند تكوين بروتوكول وقت الشبكة (NTP)، يلزم تكوين المنطقة الزمنية بحيث يمكن ربط الطوابع الزمنية بدقة. عادةً ما يكون هناك نهجان لتكوين المنطقة الزمنية للأجهزة في الشبكة ذات الحضور العالمي. تتمثل أولاهما في تكوين جميع أجهزة الشبكة باستخدام التوقيت العالمي المنسق (UTC) (توقيت جرينتش المركزي (GMT) سابقًا). بينما تتمثل الطريقة الأخرى في تكوين أجهزة الشبكة باستخدام المنطقة الزمنية المحلية. يمكن العثور على مزيد من المعلومات حول هذه الميزة في المنطقة الزمنية للساعة في وثائق منتجات Cisco.
2. مصادقة NTP - إذا قمت بتكوين مصادقة NTP، فإنها توفر ضمانًا بتبادل رسائل NTP بين أقران NTP الموثوق بهم.
   
   نموذج التكوين الذي يستخدم مصادقة NTP:
   
   العميل:
   
   (config)#ntp يصدق
   
   (config)#ntp authentication-key 5 md5 ciscoTime
   
   (config)#ntp trusted-key 5
   
   (config)#ntp نادل 172.16.1.5 مفتاح 5 نادل:
   
   (config)#ntp يصدق
   
   (config)#ntp authentication-key 5 md5 ciscoTime
   
   (config)#ntp trusted-key 5

الحد من الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تُعد قوائم التحكم في الوصول للبنية الاساسية (iACL)، التي تم تصميمها لمنع الاتصال المباشر غير المصرح به بأجهزة الشبكة، أحد أهم عناصر التحكم في الأمان التي يمكن تنفيذها في الشبكات. حيث تستفيد قوائم التحكم في الوصول (ACLs) للبنية الأساسية من فكرة أن حركة مرور بيانات الشبكة كلها تقريبًا تعبر الشبكة ولا يتم توجيهها إلى الشبكة نفسها.

يتم إنشاء قائمة تحكم في الوصول إلى البنية الأساسية (iACL) وتطبيقها لتحديد الاتصالات من البيئات المضيفة أو الشبكات التي يجب السماح لها على أجهزة الشبكة. من الأمثلة الشائعة لهذه الأنواع من الاتصالات eBGP وSSH وSNMP. بعد السماح بالاتصالات المطلوبة، يتم رفض جميع حركات مرور البيانات الأخرى إلى البنية الأساسية بشكل صريح. ويتم بعد ذلك السماح بشكل صريح بجميع حركات مرور البيانات العابرة التي تعبر الشبكة ولا يتم توجيهها إلى أجهزة البنية الأساسية.

تُعد إجراءات الحماية التي توفرها قوائم التحكم في الوصول للبنية الأساسية (iACLs) ذات صلة بكل من مستويي الإدارة والتحكم. ويمكن تسهيل عملية تنفيذ قوائم التحكم في الوصول للبنية الأساسية (iACLs) من خلال استخدام العنونة المميزة لأجهزة البنية الأساسية للشبكة. ارجع إلى نهج موجّه نحو الأمان لعنونة IP للحصول على مزيد من المعلومات حول التأثيرات الأمنية لعنونة IP.

يوضّح هذا المثال لتكوين قائمة التحكم في الوصول للبنية الأساسية (iACLs) البنية التي يجب استخدامها كنقطة بداية عند بدء عملية تنفيذ قائمة التحكم في الوصول للبنية الأساسية (iACLs):

IP access-list Extended ACL-Infrastructure-In

— السماح بالاتصالات المطلوبة لبروتوكولات التوجيه وإدارة الشبكة

السماح لمضيف TCP <trusted-ebgp-peer> مضيف <local-ebgp-address> eq 179

السماح لمضيف TCP <trusted-ebgp-peer> مضيف eq 179 <local-ebgp-address>

السماح لمضيف بروتوكول TCP <trusted-management-station> أي بروتوكول EQ 22

السماح لمضيف UDP <trusted-netmgmt-servers> أي eq 161

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض ip أي <infrastructure-address-space> <wildcard-mask>

— السماح بحركة المرور العابر

السماح ip any

ويجب تطبيق قائمة التحكم في الوصول للبنية الأساسية (iACL)، بمجرد إنشائها، على جميع الواجهات التي تواجه الأجهزة غير التابعة للبنية الأساسية. وهذا يشمل الواجهات التي تتصل بمؤسسات أخرى وشرائح الوصول عن بُعد وشرائح المستخدمين والشرائح الموجودة في مراكز البيانات.

ارجع إلى حماية طبقتك الأساسي: قوائم التحكم في الوصول لحماية البنية التحتية للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول (ACL) للبنية التحتية.

تصفية حزم ICMP

يتم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول للتحكم في بروتوكول الإنترنت (IP). على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تشعبات بعيدة المدى على بروتوكولات TCP وIP بشكل عام. وبينما تستخدم أداتا استكشاف أخطاء الشبكة وإصلاحها ping وtraceroute بروتوكول رسائل التحكم في الإنترنت (ICMP)، يكون من النادر أن تكون هناك حاجة إلى اتصال بروتوكول رسائل التحكم في الإنترنت (ICMP) الخارجي للتشغيل السليم للشبكة.

يوفر برنامج Cisco IOS XE software وظائف من أجل تصفية رسائل ICMP بشكل خاص حسب الاسم أو النوع والرمز. وهذا المثال لقائمة التحكم في الوصول (ACL)، والذي يجب استخدامه مع إدخالات التحكم في الوصول (ACEs) من الأمثلة السابقة، يسمح بأدوات اختبار الاتصال الواردة من محطات الإدارة الموثوق فيها وخوادم NMS ويحظر جميع حِزم ICMP الأخرى:

IP access-list Extended ACL-Infrastructure-In

— السماح بإجراء عملية الاتصال لصدى ICMP (إختبار الاتصال) من محطات الإدارة الموثوق بها والخوادم

السماح بمضيف ICMP <محطات الإدارة الموثوق بها> أي صدى

السماح بمضيف ICMP <trusted-netmgmt-servers> أي صدى

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض ip أي <infrastructure-address-space> <wildcard-mask>

— السماح بحركة المرور العابر

السماح ip any

تصفية أجزاء IP

يمكن أن تواجه عملية تصفية حِزم IP المجزأة تحديًا بالنسبة لأجهزة الأمان. وهذا يرجع لأن معلومات الطبقة الرابعة التي يتم استخدامها لتصفية حِزم TCP وUDP موجودة فقط في الجزء الأولي. يستخدم البرنامج Cisco IOS XE software طريقة خاصة للتحقق من الأجزاء غير الأولية مقابل قوائم الوصول التي تم تكوينها. ويعمل برنامج Cisco IOS XE software على تقييم هذه الأجزاء غير الأولية مقابل قائمة التحكم في الوصول (ACL) ويتجاهل أي معلومات تصفية من الطبقة الرابعة. وهذا يتسبب في تقييم الأجزاء غير الأولية فقط على جزء الطبقة الثالثة من أي إدخال تحكم في الوصول (ACE) تم تكوينه.

في مثال التكوين هذا، إذا تمت تجزئة حِزمة TCP الموجّهة إلى 192.168.1.1 على المنفذ 22 أثناء العبور، فيتم إسقاط الجزء الأولي كما هو متوقع من إدخال التحكم في الوصول (ACE) الثاني القائم على معلومات الطبقة الرابعة داخل الحِزمة. ومع ذلك، فإنه يتم السماح بجميع الأجزاء المتبقية (غير الأولية) من قِبل إدخال التحكم في الوصول (ACE) الأول البقائم الكامل على معلومات الطبقة الثالثة في الحِزمة وإدخال التحكم في الوصول (ACE). ويتم توضيح السيناريو في هذا التكوين:

مثال ACL-Fragment موسع ل IP access-list

السماح بأي مضيف 192.168.1.1 eq 80

رفض بروتوكول TCP أي مضيف 192.168.1.1 eq 22

نظرًا للطبيعة غير البديهية للتعامل مع الأجزاء، غالبًا ما يتم السماح بأجزاء IP دون قصد بواسطة قوائم التحكم في الوصول (ACLs). غالبًا ما يتم استخدام التجزئة أيضًا في محاولات التهرب من الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبًا ما يتم استخدام أجزاء IP في الهجمات، وهذا يفسّر سبب وجوب تصفيتها بشكل صريح في قمة أي قوائم تحكم في الوصول إلى البنية الأساسية (iACLs) تم تكوينها. ويتضمن هذا المثال على قائمة التحكم في الوصول (ACL) التصفية الشاملة لأجزاء IP. يجب استخدام الوظائف الواردة من هذا المثال بالاقتران مع وظائف الأمثلة السابقة.

IP access-list Extended ACL-Infrastructure-In

— رفض أجزاء IP التي تستخدم وحدات ACE الخاصة بالبروتوكول للمساعدة في

— تصنيف حركة مرور الهجمات

رفض TCP أي أجزاء

رفض أي أجزاء UDP

رفض ICMP أي أجزاء

رفض ip أي أجزاء

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض ip أي <infrastructure-address-space> <wildcard-mask>

— السماح بحركة المرور العابر

السماح ip any

ارجع إلى قوائم التحكم في الوصول وأجزاء IP للحصول على مزيد من المعلومات حول كيفية معالجة قائمة التحكم في الوصول (ACL) لحِزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

أضاف الإصدار 16.6.4 من برنامج Cisco IOS XE دعم إستخدام قوائم التحكم في الوصول (ACLs) إلى تصفية حزم IP استنادا إلى خيارات IP المضمنة في الحزمة. تمثل خيارات IP تحديًا أمنيًا لأجهزة الشبكة لأنه يجب معالجة هذه الخيارات كحِزم استثناء. وهذا يتطلب مستوى من جهد وحدة المعالجة المركزية (CPU) لا يكون مطلوبًا للحِزم النموذجية التي تجتاز الشبكة. كما يمكن أن يشير وجود خيارات IP داخل الحِزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص عبور الحِزمة بطريقة خلاف ذلك. ولهذه الأسباب يجب تصفية الحِزم المزودة بخيارات IP عند حافة الشبكة.

يجب استخدام هذا المثال مع إدخالات التحكم في الوصول (ACEs) الواردة من الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

IP access-list Extended ACL-Infrastructure-In

— رفض حزم IP التي تحتوي على خيارات IP

رفض ip أي خيار أي خيارات

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض ip أي <infrastructure-address-space> <wildcard-mask>

— السماح بحركة المرور العابر

السماح ip any

دعم قائمة التحكم في الوصول (ACL) للتصفية حسب قيمة مدة البقاء (TTL)

أضاف الإصدار 16.6.4 من برنامج Cisco IOS XE دعم قائمة التحكم في الوصول (ACL) لتصفية حزم IP استنادا إلى قيمة مدة البقاء (TTL). يتم تقليل قيمة مدة البقاء (TTL) لمخطط بيانات IP تدريجيًا بواسطة كل جهاز على الشبكة أثناء تدفق الحِزمة من المصدر إلى الوجهة. رغم اختلاف القيم الأولية حسب نظام التشغيل، إلا أنه يجب إسقاط الحِزمة عندما تصل مدة البقاء (TTL) للحِزمة إلى صفر. ويلزم وجود الجهاز الذي يقلل تدريجيًا من مدة البقاء (TTL) إلى الصفر، وبالتالي يقوم بإسقاط الحزمة، من أجل إنشاء رسالة "تجاوز وقت بروتوكول التحكم برسائل الإنترنت (ICMP)" وإرسالها إلى مصدر الحِزمة.

يُعد إنشاء هذه الرسائل وإرسالها عملية استثنائية. يمكن أن تؤدي الموجهات هذه الوظيفة عندما يكون عدد حِزم IP التي من المقرر أن تنتهي صلاحيتها منخفضًا؛ لكن إذا كان عدد الحِزم التي من المقرر أن تنتهي صلاحيتها مرتفعًا، فيمكن أن يستهلك إنشاء هذه الرسائل وإرسالها جميع موارد وحدة المعالجة المركزية (CPU) المتاحة. وهذا يقدّم متجهًا لهجوم رفض الخدمة (DoS). ولهذا السبب يجب زيادة صلابة الأجهزة ضد هجمات رفض الخدمة (DoS) التي تستخدم معدلاً مرتفعًا من حِزم IP التي من المقرر أن تنتهي صلاحيتها.

يُوصى بقيام المؤسسات بتصفية حِزم IP ذات قيم مدة البقاء (TTL) المنخفضة عند حافة الشبكة. تؤدي التصفية الكاملة للحِزم ذات قيم مدة البقاء (TTL) غير الكافية لاجتياز الشبكة إلى التخفيف من تهديد الهجمات القائمة على مدة البقاء (TTL).

في هذا المثال، تقوم قائمة التحكم في الوصول (ACL) بتصفية الحزم ذات قيم مدة البقاء (TTL) الأقل من ستة. وهذا يوفر الحماية ضد هجمات انتهاء صلاحية مدة البقاء (TTL) للشبكات التي يصل عرضها إلى خمس نقلات.

IP access-list Extended ACL-Infrastructure-In

— رفض حزم IP ذات قيم مدة البقاء (TTL) غير الكافية لاجتياز الشبكة

رفض ip أي TTL lt 6

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض ip أي <infrastructure-address-space> <mask>

— السماح بحركة المرور العابر

السماح ip any

تأمين جلسات الإدارة التفاعلية

تتيح لك جلسات الإدارة للأجهزة إمكانية عرض وتجميع المعلومات التي تتعلق بجهاز ما وعملياته. إذا تم الإفصاح عن هذه المعلومات لمستخدم ضار، يمكن أن يصبح الجهاز هدفًا لهجوم أو أن يتم اختراقه أو استخدامه لتنفيذ هجمات إضافية. يتمتع أي شخص لديه حق الوصول المميز إلى جهاز ما بالقدرة على التحكم الإداري الكامل في ذلك الجهاز. يلزم تأمين جلسات الإدارة لمنع الإفصاح عن المعلومات والوصول غير المصرح به إليها.

حماية مستوى الإدارة

في الإصدار 16.6.4 من برنامج Cisco IOS XE والإصدارات الأحدث، تتيح ميزة "حماية مستوى الإدارة (MPP)" للمسؤول وضع قيود على أي حركة مرور بيانات لإدارة الواجهات يمكن لجهاز إستلامها. وهذا يسمح للمسؤول بالتحكم الإضافي في الجهاز وكيفية الوصول إليه.

يوضح هذا المثال كيفية تمكين ميزة "حماية مستوى الإدارة (MPP)" للسماح فقط لكل من SSH وHTTPS على واجهة GigabitEthernet0/1:

مضيف مستوى التحكم

تسمح واجهة الإدارة GigabitEthernet 0/1 ل SSH https

حماية مستوى التحكم

يتم إنشاء ميزة "حماية مستوى التحكم (CPPr)" على أساس وظائف "تنظيم مستوى التحكم" لتقييد حركة مرور بيانات مستوى التحكم التي يتم توجيهها إلى معالج التوجيه لجهاز IOS-XE والتحكم فيها. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم إلى فئات منفصلة لمستوى التحكم تعرف بالواجهات الفرعية: توجد ثلاث واجهات فرعية لمستوى التحكم: المضيف والعبور واستثناء إعادة التوجيه السريع من Cisco (CEF). بالإضافة إلى ذلك، تتضمن ميزة "حماية مستوى التحكم (CPPr)" ميزات حماية مستوى التحكم الإضافية التالية:

1. ميزة تصفية المنفذ - تتكفل هذه الميزة بالتحكم في الحِزم التي تنتقل إلى منافذ TCP وUDP المغلقة أو الرافضة للحِزم أو إسقاط هذه الحِزم.
2. ميزة سياسة حد قائمة الانتظار - تحدّد هذه الميزة عدد الحِزم المسموح بها لبروتوكول محدد في قائمة انتظار إدخالات IP على مستوى التحكم.
   
   تسمح حماية مستوى التحكم (CPPr) للمسؤول بتصنيف حركة مرور البيانات التي يتم إرسالها إلى جهاز ما لأغراض الإدارة مع الواجهة الفرعية للمضيف والتحكم في حركة مرور البيانات هذه وتقييدها. وتتضمن أمثلة الحِزم التي يتم تصنيفها لفئة الواجهة الفرعية للمضيف حركة مرور بيانات االإدارة مثل SSH أو Telnet وبروتوكولات التوجيه.
   
   

   ملاحظة: لا تدعم حماية مستوى التحكم (CPPr) IPv6 وتقتصر على مسار إدخال IPv4.

   ارجع إلى تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr) من Cisco.

تشفير جلسات الإدارة

نظرًا لإمكانية الإفصاح عن المعلومات في جلسة إدارة تفاعلية، فإنه يجب تشفير حركة مرور البيانات هذه حتى لا يتمكّن المستخدم الضار من تحقيق الوصول إلى البيانات التي يتم إرسالها. يتيح تشفير حركة مرور البيانات وجود اتصال آمن للوصول عن بُعد إلى الجهاز. إذا تم إرسال حركة مرور بيانات لجلسة إدارة عبر الشبكة بنص غير مشفر، فيمكن للمهاجم الحصول على معلومات حساسة حول الجهاز والشبكة.

يستطيع المسؤول إنشاء اتصال مشفر وآمن لإدارة الوصول عن بعد بجهاز مزود بميزات SSH أو بروتوكول نقل النص التشعبي الآمن (HTTPS). يدعم برنامج Cisco IOS XE الإصدار 2.0 من SSH (SSHv2) و HTTPS الذي يستخدم طبقة مآخذ التوصيل الآمنة (SSL) وأمان طبقة النقل (TLS) لمصادقة البيانات وتشفيرها.

كما يدعم برنامج Cisco IOS XE software بروتوكول النسخ الآمن (SCP)، والذي يسمح بوجود اتصال مشفر وآمن من أجل نسخ تكوينات الجهاز أو صور البرامج. ويعتمد بروتوكول SCP على بروتوكول SSH.

ويتيح مثال التكوين التالي تمكين SSH على جهاز Cisco IOS XE:

ip domain-name example.com

معدل RSA 2048 الخاص بتوليد مفتاح التشفير

مهلة ip ssh 60

محاولات مصادقة ip ssh 3

واجهة مصدر IP SSH GigabitEthernet 0/1

خط vty 0 4

SSH إدخال النقل

يتيح مثال التكوين التالي تمكين خدمات SCP:

تمكين خادم ip scp

فيما يلي مثال تكوين لخدمات HTTPS:

معدل RSA 2048 الخاص بتوليد مفتاح التشفير

ip http secure-server

SSHv2

تم إدخال ميزة SSHv2 في برنامج Cisco IOS XE في الإصدار الأول جدا 16.6.4 الذي يسمح للمستخدم بتكوين SSHv2. يمكن تشغيل بروتوكول طبقة الأمان (SSH) فوق طبقة نقل موثوقة ويوفر إمكانات مصادقة وتشفير قوية. وطبقة النقل الوحيدة الموثوقة التي تم تعريفها لبروتوكول طبقة الأمان (SSH) هي TCP. يوفر بروتوكول طبقة الأمان (SSH) وسيلة للوصول الآمن إلى الأوامر وتنفيذها بأمان على جهاز كمبيوتر أو جهاز آخر عبر الشبكة. تتيح ميزة "بروتوكول النسخ الآمن (SCP)" التي يتم إنشاء قنوات لها عبر بروتوكول SSH إمكانية النقل الآمن للملفات.

إذا لم يتم تكوين الأمر ip ssh verson 2 بشكل صريح، فعندئذ يقوم Cisco IOS XE بتمكين الإصدار 1.99 من SSH. يسمح الإصدار 1.99 من SSH بكل من اتصالات SSHv1 وSSHv2. يُعد SSHv1 غير آمن وقد تكون له آثار ضارة على النظام. إذا تم تمكين بروتوكول SSH، فمن المستحسن تعطيل SSHv1 باستخدام الأمر ip ssh version 2.

ويتيح مثال التكوين التالي تمكين SSHv2 (مع تعطيل SSHv1) على جهاز Cisco IOS XE:

موجه اسم المضيف

ip domain-name example.com

معدل RSA 2048 الخاص بتوليد مفتاح التشفير

مهلة ip ssh 60

محاولات مصادقة ip ssh 3

واجهة مصدر IP SSH GigabitEthernet 0/1

ip ssh الإصدار 2

خط vty 0 4

SSH إدخال النقل

ارجع إلى دعم طبقة الأمان الإصدار 2 للحصول على مزيد من المعلومات حول استخدام SSHv2.

تحسينات SSHv2 لمفاتيح RSA

يدعم SSHv2 على برنامج Cisco IOS XE طرق المصادقة التفاعلية مع لوحة المفاتيح وتلك المستندة إلى كلمة المرور. كما تدعم تحسينات SSHv2 لميزة "مفاتيح RSA" مصادقة المفتاح العام المستندة إلى خوارزمية RSA للعميل والخادم.

بالنسبة لمصادقة المستخدم، تعمل مصادقة المستخدم المستندة إلى خوارزمية RSA على استخدام زوج مفاتيح خاص/عام مرتبط بكل مستخدم للمصادقة. يجب على المستخدم إنشاء زوج مفاتيح خاص/عام على العميل وتكوين مفتاح عام على خادم Cisco IOS XE SSH من أجل إكمال المصادقة.

يقدّم مستخدم بروتوكول SSH الذي يحاول إنشاء بيانات الاعتماد توقيعًا مشفرًا باستخدام المفتاح الخاص. يتم إرسال التوقيع والمفتاح العام الخاصين بالمستخدم إلى خادم SSH للمصادقة. يقوم خادم بروتوكول SSH بحساب تجزئة عبر المفتاح العام الذي يقدّمه المستخدم. ويتم استخدام التجزئة لتحديد ما إذا كان لدى الخادم إدخال مطابق. إذا تم العثور على تطابق، يتم إجراء التحقق من صحة الرسائل المستندة إلى RSA باستخدام المفتاح العام. وبالتالي، تتم مصادقة المستخدم أو رفض الوصول بناءً على التوقيع المُشفّر.

لمصادقة الخادم، يجب على عميل Cisco IOS XE SSH تعيين مفتاح مضيف لكل خادم. عندما يحاول العميل إنشاء جلسة SSH مع خادم، فإنه يتلقى توقيع الخادم كجزء من رسالة تبادل المفاتيح. إذا تم تمكين علامة التحقق الصارم من مفتاح المضيف على العميل، فإن العميل يتحقق مما إذا كان لديه إدخال مفتاح المضيف الذي يتطابق مع الخادم المكوّن مسبقًا. إذا تم العثور على تطابق، يحاول العميل التحقق من صحة التوقيع باستخدام مفتاح مضيف الخادم. في حال مصادقة الخادم بنجاح، يستمر إنشاء الجلسة؛ وإلا يتم إنهاؤها وتُعرض رسالة فشلت مصادقة الخادم.

ويتيح مثال التكوين التالي إستخدام مفاتيح RSA مع SSHv2 على جهاز Cisco IOS XE:

تكوين اسم مضيف للجهاز

موجه اسم المضيف

تكوين اسم مجال

ip domain-name example.com

قم بتمكين خادم SSH للمصادقة المحلية والبعيدة على الموجه الذي يستخدم

الأمر "crypto key generate".

بالنسبة للإصدار 2 من SSH، يجب أن يكون حجم المعامل 768 بت على الأقل

معامل تسمية مفاتيح إستخدام rsa لإنشاء مفاتيح التشفير 2048

حدد اسم زوج مفاتيح RSA (في هذه الحالة، "sshkeys") لاستخدامه ل SSH

المفاتيح ip ssh rsa keypair-name sshkeys

تكوين مهلة SSH (بالثواني).

يتيح الإخراج التالي مهلة قدرها 120 ثانية لاتصالات SSH.

مهلة ip ssh 120

قم بتكوين حد لخمس عمليات إعادة محاولة للمصادقة.

عمليات إعادة محاولة مصادقة ip ssh 5

تكوين SSH الإصدار 2.

ip ssh الإصدار 2

 

ارجع إلى تحسينات الإصدار 2 من بروتوكول طبقة الأمان لمفاتيح RSA للحصول على مزيد من المعلومات حول إستخدام مفاتيح RSA مع SSHv2.

يتيح مثال التكوين هذا لخادم Cisco IOS XE SSH إجراء مصادقة المستخدم المستندة إلى RSA. تكون مصادقة المستخدم ناجحة إذا تم التحقق من صحة مفتاح RSA العام المُخزن على الخادم مع زوج المفاتيح العام أو الخاص المُخزن على العميل.

قم بتكوين اسم مضيف للجهاز.

موجه اسم المضيف

قم بتكوين اسم مجال.

ip domain name cisco.com

قم بإنشاء أزواج مفاتيح RSA التي تستخدم معدل من 2048 بت.

معدل RSA 2048 الخاص بتوليد مفتاح التشفير

قم بتكوين مفاتيح SSH-RSA لمصادقة المستخدم والخادم على خادم SSH.

سلسلة ip ssh pubkey

قم بتكوين اسم مستخدم SSH.

قم بتكوين مفاتيح SSH-RSA لمصادقة المستخدم والخادم على خادم SSH.

سلسلة ip ssh pubkey

قم بتكوين اسم مستخدم SSH.

username ssh-user

حدد مفتاح RSA العام للنظير البعيد.

أنت ينبغي بعد ذلك شكلت إما ال key-string أمر

(متبوعة بمفتاح RSA العام للنظير البعيد) أو

أمر key-hash (يتبعه نوع مفتاح SSH وإصداره).

ارجع إلى تكوين خادم Cisco IOS XE SSH لإجراء مصادقة المستخدم المستندة إلى RSA للحصول على مزيد من المعلومات حول إستخدام مفاتيح RSA مع SSHv2.

يتيح مثال التكوين هذا لعميل Cisco IOS XE SSH إجراء مصادقة العميل المستندة إلى RSA.

موجه اسم المضيف

ip domain-name cisco.com

قم بإنشاء أزواج مفاتيح RSA.

crypto key generate rsa

قم بتكوين مفاتيح SSH-RSA لمصادقة المستخدم والخادم على خادم SSH.

سلسلة ip ssh pubkey

قم بتمكين خادم SSH لمصادقة المفتاح العام على الموجه.

خادم SSH-server-name

حدد مفتاح RSA العام للنظير البعيد.

أنت ينبغي بعد ذلك شكلت إما ال key-string أمر

 (يتبعه مفتاح RSA العام للنظير البعيد) أو THEA

الأمر <key-hash <key-type> <key-name> (يتبعه مفتاح SSH

النوع والإصدار).

التأكد من إجراء مصادقة الخادم - الاتصال

تم إنهاؤه على فشل.

التحقق من مفتاح IP SSH strictStstkeycheck

ارجع إلى تكوين عميل Cisco IOS XE SSH لإجراء مصادقة العميل المستندة إلى RSA للحصول على مزيد من المعلومات حول إستخدام مفاتيح RSA مع SSHv2.

منافذ وحدة التحكم والمنافذ (AUX) المساعدة

في أجهزة Cisco IOS XE، تعد منافذ وحدة التحكم والمنافذ (AUX) المساعدة خطوطا غير متزامنة يمكن إستخدامها للوصول المحلي والوصول عن بعد للجهاز. يجب أن تكون على دراية بأن منافذ وحدة التحكم على أجهزة Cisco لها امتيازات خاصة. تتيح هذه الامتيازات بشكل خاص للمسؤول تنفيذ إجراء استرداد كلمة المرور. ولإجراء استرداد كلمة المرور، سيحتاج المهاجم الذي لم تتم مصادقة بياناته إلى اكتساب حق الوصول إلى منفذ وحدة التحكم والقدرة على قطع طاقة الجهاز أو التسبب في تعطيل الجهاز.

يجب تأمين أي طريقة تُستخدم للوصول إلى منفذ وحدة التحكم للجهاز بطريقة مساوية للتأمين الذي يتم فرضه للوصول المميز إلى الجهاز. ويجب أن تتضمن الطرق المُستخدمة لتأمين الوصول استخدام كلمات مرور المصادقة والتفويض والمحاسبة (AAA) وexec-timeout والمودم في حال اتصال مودم بوحدة التحكم.

إذا لم يكن إسترداد كلمة المرور مطلوبا، فيمكن حينئذ للمسؤول إزالة إمكانية تنفيذ إجراء إسترداد كلمة المرور الذي يستخدم أمر التكوين العام no service password-recovery؛ ومع ذلك، بمجرد تمكين الأمر no service password-recovery، لن يعود بإمكان المسؤول إجراء إسترداد كلمة المرور على الجهاز.

في معظم الحالات، يجب تعطيل المنفذ (AUX) المساعد بالجهاز لمنع الوصول غير المصرح به إليه. يمكن تعطيل المنفذ (AUX) المساعد باستخدام الأوامر التالية:

خط aux 0

 لا شيء من إدخال النقل

 none إخراج النقل

 no exec exec-timeout 0 1

 لا توجد كلمة مرور

التحكم في خطوط tty وvty

تستخدم جلسات الإدارة التفاعلية في برنامج Cisco IOS XE software خط tty أو tty ظاهري (vty). يُعد tty خطًا محليًا غير متزامن يمكن إرفاق جهاز طرفي به للوصول المحلي إلى الجهاز أو إلى مودم للوصول من خلال الطلب الهاتفي إلى جهاز ما. لاحظ أنه يمكن استخدام خطوط tty للاتصالات بمنافذ وحدة التحكم بالأجهزة الأخرى. وتتيح هذه الوظيفة للجهاز المزود بخطوط tty إمكانية العمل كخادم وحدة تحكم حيث يمكن إنشاء اتصالات عبر الشبكة بمنافذ وحدة التحكم للأجهزة المتصلة بخطوط tty. كما يجب التحكم في خطوط tty لهذه الاتصالات العكسية عبر الشبكة.

يتم استخدام خط vty لجميع اتصالات الشبكة عن بُعد الأخرى التي يدعمها الجهاز، بغض النظر عن البروتوكول (SSH أو SCP أو Telnet كأمثلة). لضمان إمكانية الوصول إلى جهاز عبر جلسة إدارة محلية أو عن بُعد، يجب فرض عناصر التحكم المناسبة على كل من خطوط vty وtty. تحتوي أجهزة Cisco IOS XE على عدد محدود من خطوط vty، ويمكن تحديد عدد الخطوط المتاحة باستخدام أمر EXEC "show line". عندما تكون جميع خطوط vty قيد الاستخدام، لن يمكن إنشاء جلسات إدارة جديدة، مما يؤدي إلى إنشاء حالة رفض خدمة ()DoS للوصول إلى الجهاز.

وأبسط شكل من أشكال التحكم في الوصول إلى خط vty أو tty بجهاز ما هو من خلال استخدام المصادقة على جميع الخطوط بغض النظر عن موقع الجهاز داخل الشبكة. وهذا أمر بالغ الأهمية لخطوط vty لأنه يمكن الوصول إليها عبر الشبكة. كما يمكن الوصول إلى خط tty المتصل بمودم يتم استخدامه للوصول عن بُعد إلى الجهاز، أو خط tty المتصل بمنفذ وحدة التحكم بالأجهزة الأخرى عبر الشبكة. يمكن فرض أشكال أخرى من عناصر التحكم في الوصول إلى خطوط vty وtty باستخدام أوامر التكوين transport input أو access-class، مع استخدام ميزات تنظيم مستوى التحكم (CoPP) وحماية مستوى التحكم (CPPr)، أو إذا قمت بتطبيق قوائم الوصول على الواجهات على الجهاز.

يمكن فرض المصادقة من خلال استخدام المصادقة والتفويض والمحاسبة ()AAA، وهي الطريقة المُوصى بها للوصول الذي تتم مصادقته إلى جهاز ما، مع استخدام قاعدة بيانات المستخدم المحلية، أو من خلال مصادقة بسيطة لكلمة المرور يتم تكوينها مباشرة على خط vty أو tty.

يجب استخدام الأمر exec-timeout لتسجيل الخروج من الجلسات على أسطر vty أو tty التي تم تركها في وضع الخمول. كما يجب استخدام الأمر service tcp-keepalives-in من أجل تمكين رسائل keepalive لبروتوكول TCP على الاتصالات الواردة إلى الجهاز. وهذا يضمن أن الجهاز الموجود على الطرف البعيد من الاتصال ما يزال يمكن الوصول إليه وأن الاتصالات نصف المفتوحة أو المنعزلة سيتم إزالتها من جهاز IOS-XE المحلي.

التحكم في النقل لخطوط tty وvty

يمكن تكوين خط vty و tty من أجل قبول إتصالات إدارة الوصول عن بعد المشفرة والآمنة فقط بالجهاز أو من خلال الجهاز إذا تم إستخدامه كخادم وحدة تحكم. يتناول هذا القسم خطوط tty لأن تلك الخطوط يمكن توصيلها بمنافذ وحدة التحكم على الأجهزة الأخرى، مما يتيح الوصول إلى خط tty عبر الشبكة. وفي محاولة لمنع الإفصاح عن المعلومات أو الوصول غير المصرح به إلى البيانات التي يتم إرسالها بين المسؤول والجهاز، يمكن إستخدام الأمر transport input ssh بدلا من بروتوكولات النصوص غير المشفرة، مثل Telnet و rlogin. يمكن تمكين التكوين transport input none على خط tty، وهو ما يؤدي إلى تعطيل استخدام خط tty لاتصالات وحدة التحكم العكسية.

تتيح كل من خطوط vty وtty للمسؤول إمكانية الاتصال بأجهزة أخرى. لتحديد نوع النقل الذي يمكن أن يستخدمه المسؤول للاتصالات الصادرة، يمكنك استخدام أمر تكوين سطر transport output. إذا لم تكن هناك حاجة إلى الاتصالات الصادرة، فيمكن إستخدام الأمر transport output none. ومع ذلك، إذا تم السماح بالاتصالات الصادرة، يمكن فرض طريقة وصول عن بعد مشفرة وآمنة للاتصال من خلال إستخدام الأمر transport output ssh.

شعارات التحذير

في بعض الولايات القضائية القانونية، قد يكون من المستحيل ملاحقة المستخدمين الضارين وقد تكون مراقبة عملهم أمرًا غير قانوني ما لم يتم إعلامهم بأنه لا يُسمح لهم باستخدام النظام. وواحدة من طرق تقديم هذا الإعلام بوضع هذه المعلومات في رسالة شعار يتم تكوينها باستخدام أمر تسجيل الدخول إلى شعار برنامج Cisco IOS XE software.

تعد متطلبات الإعلام القانوني معقدة، وتختلف باختلاف الولاية القضائية والوضع، ويمكن مناقشتها مع المستشار القانوني. حتى داخل الولايات القضائية، يمكن أن تختلف الآراء القانونية. وبالتعاون مع المستشار، يمكن أن يقدّم الشعار بعضًا من المعلومات التالية أو كلها:

1. إخطار بأنه لا يمكن تسجيل الدخول إلى النظام أو استخدامه إلا من قِبل أفراد مصرح لهم بذلك تحديدًا وربما معلومات تتعلق بمَن يمكنه التفويض بالاستخدام.
2. إخطار بأن أي استخدام غير مصرح به للنظام يُعد غير قانوني ويمكن أن يخضع لعقوبات مدنية وجنائية.
3. إخطار بأن أي استخدام للنظام يمكن تسجيله أو رصده دون إشعار إضافي وأنه يمكن استخدام السجلات الناتجة كدليل في المحكمة.
4. الإخطارات الخاصة التي تقتضيها القوانين المحلية.
   
   من وجهة نظر أمنية، وليست قانونية، لا يمكن أن يحتوي شعار تسجيل الدخول على أي معلومات خاصة باسم الموجه أو طرازه أو برنامجه أو ملكيته. حيث يمكن إساءة استخدام هذه المعلومات من قِبل المستخدمين الضارين.

المصادقة والتخويل والمحاسبة

يُعد إطار عمل المصادقة والتفويض والمحاسبة (AAA) أمرًا بالغ الأهمية لتأمين الوصول التفاعلي إلى أجهزة الشبكة. يوفر إطار عمل المصادقة والتفويض والمحاسبة (AAA) بيئة قابلة للتكوين بدرجة عالية يمكن تخصيصها استنادًا إلى احتياجات الشبكة.

مصادقة ‪TACACS+‬

TACACS+ هو بروتوكول مصادقة يمكن لأجهزة Cisco IOS XE إستخدامه لمصادقة مستخدمي الإدارة مقابل خادم AAA بعيد. ويمكن لهؤلاء المستخدمين الإداريين الوصول إلى جهاز IOS-XE عبر بروتوكول SSH أو HTTPS أو telnet أو HTTP.

توفر مصادقة ‪TACACS+‬، أو بشكل أعم مصادقة AAA، القدرة على استخدام حسابات المستخدمين الفردية لكل مسؤول شبكة. عندما لا تعتمد على كلمة مرور مشتركة واحدة،يتحسّن أمان الشبكة وتقوى القدرة على تحديد المسؤوليات لديك.

أما بروتوكول RADIUS هو بروتوكول مشابه في الغرض لـ ‪TACACS+‬؛ ومع ذلك، لا يقوم إلا بتشفير كلمة المرور المُرسلة عبر الشبكة فقط. في المقابل، يقوم ‪TACACS+‬ بتشفير حمولة TCP بالكامل، والتي تتضمن كلاً من اسم المستخدم وكلمة المرور. ولهذا السبب، يقضل إستخدام بروتوكول TACACS+ على RADIUS عندما يكون TACACS+ مدعوما من قبل خادم AAA. ارجع إلى مقارنة ‪TACACS+‬ وRADIUS للحصول على مقارنة أكثر تفصيلاً بين هذين البروتوكولين.

يمكن تمكين مصادقة TACACS+ على جهاز Cisco IOS XE بتكوين مشابه للمثال التالي:

نموذج AAA جديد

مجموعة TACACS+ الافتراضية لتسجيل الدخول لمصادقة AAA

خادم tacacs <server_name>

 عنوان IPv4 <tacacs_server_ip_address>

 المفتاح <key>

يمكن استخدام التكوين السابق كنقطة بداية لقالب مصادقة AAA خاص بمؤسسة.

قائمة الطرق هي عبارة عن قائمة مسلسلة تصف طرق المصادقة المُراد الاستعلام عنها لمصادقة مستخدم ما. وتتيح لك قوائم الطرق إمكانية تعيين بروتوكول واحد أو أكثر من بروتوكولات الأمان المُراد استخدامها للمصادقة، وبالتالي ضمان نظام نسخ احتياطي للمصادقة في حالة فشل الطريقة الأولية. يستخدم برنامج Cisco IOS XE الطريقة الأولى المدرجة التي تقبل مستخدم أو ترفضه بنجاح. لا تتم محاولة استخدام الطرق التالية إلا في الحالات التي تفشل فيها الطرق السابقة بسبب عدم توفّر الخادم أو التكوين غير الصحيح له.

ارجع إلى قوائم الطرق المعيّنة للمصادقة للحصول على مزيد من المعلومات حول تكوين قوائم الطرق المعينة.

تعيين الطريقة الاحتياطية للمصادقة

إذا أصبحت جميع خوادم TACACS+ التي تم تكوينها غير متوفرة، فيمكن لجهاز Cisco IOS XE الاعتماد على بروتوكولات المصادقة الثانوية. حيث تشتمل التكوينات النموذجية على استخدام المصادقة المحلية أو تمكين المصادقة في حالة عدم توفّر جميع خوادم ‪TACACS+‬ التي تم تكوينها.

وتشتمل القائمة الكاملة لخيارات المصادقة على الجهاز على خيارات تمكين المصادقة والمصادقة المحلية ومصادقة الخطوط. ولكل خيار من هذه الخيارات مزاياه. فيُفضل استخدام الأمر "enable secret" لأنه تتم تجزئة المفتاح السري باستخدام خوارزمية أحادية الاتجاه تكون أكثر أمانًا بطبيعتها من خوارزمية التشفير التي يتم استخدامها مع كلمات المرور من النوع 7 للمصادقة المحلية ومصادقة الخطوط.

ومع ذلك، في إصدارات برنامج Cisco IOS XE software التي تدعم إستخدام كلمات المرور السرية للمستخدمين المحددين محليا، قد يكون من الأفضل تعيين الطريقة الاحتياطية على المصادقة المحلية. وهذا يسمح بإنشاء مستخدم محدد محليًا لواحد أو أكثر من مسؤولي الشبكة. إذا كان ‪TACACS+‬ على وشك أن يصبح غير متاح تمامًا، فيمكن لكل مسؤول استخدام اسم المستخدم وكلمة المرور المحليين لديه. على الرغم من أن هذا الإجراء يعزّز إمكانية تحديد المسؤوليات لدى مسؤولي الشبكة في حالات انقطاع عمل ‪TACACS+‬، إلا أنه يزيد العبء الإداري بشكل كبير لأنه يجب الحفاظ على حسابات المستخدمين المحليين على جميع أجهزة الشبكة.

يعتمد مثال التكوين التالي على مثال مصادقة ‪TACACS+‬ السابق لأجل تضمين طريقة المصادقة الاحتياطية لكلمة المرور التي تم تكوينها محليًا باستخدام الأمر enable secret:

enable secret <password>

نموذج AAA جديد

تمكين AAA لمصادقة تسجيل الدخول للمجموعة الافتراضية TACACS+

خادم tacacs <server_name>

 عنوان IPv4 <tacacs_server_ip_address>

 المفتاح <key>

ارجع إلى تكوين المصادقة للحصول على مزيد من المعلومات حول استخدام طريقة المصادقة الاحتياطية باستخدام المصادقة والتفويض والمحاسبة (AAA).

استخدام كلمات المرور من النوع 7

نظرًا لتصميم كلمات المرور من النوع 7 في الأصل للسماح بفك تشفير سريع لكلمات المرور المُخزنة، فإنها لا تعتبر شكلاً آمنًا لتخزين كلمات المرور. وهناك العديد من الأدوات المتاحة التي يمكنها بسهولة فك تشفير كلمات المرور هذه. يمكن تجنب إستخدام كلمات المرور من النوع 7 ما لم تكن مطلوبة من قبل ميزة قيد الاستخدام على جهاز Cisco IOS XE.

أما النوع 9 (scrypt) فيمكن إستخدامه كلما أمكن:

username <username> امتياز 15 خوارزمية-type scrypt secret <secret>

يمكن تسهيل عملية إزالة كلمات المرور من هذا النوع من خلال مصادقة من النوع AAA واستخدام ميزة أمان كلمة المرور المحسّن، والتي تتيح استخدام كلمات المرور السرية مع المستخدمين الذين تم تعريفهم محليًا من خلال أمر التكوين العام username. فإذا تعذّر عليك منع استخدام كلمات المرور من النوع 7 بشكل كامل، فاعتبر أن كلمات المرور هذه مبهمة، وليست مشفرة.

راجع قسم تقوية مستوى الإدارة العامة للحصول على مزيد من المعلومات حول إزالة كلمات المرور من النوع 7.

تفويض أوامر ‪TACACS+‬

يوفر تفويض الأوامر باستخدام ‪TACACS+‬ وAAA آلية تسمح بكل أمر يتم إدخاله بواسطة مستخدم إداري أو ترفضه. عندما يدخل المستخدم أوامر EXEC، يرسل Cisco IOS XE كل أمر إلى خادم AAA الذي تم تكوينه. ومن ثمّ، يستخدم خادم AAA سياساته التي تم تكوينها للسماح بالأمر أو رفضه لذلك المستخدم المعيّن.

يمكن إضافة التكوين التالي إلى مثال مصادقة AAA السابق من أجل تنفيذ تفويض الأوامر:

مجموعة TACACS+ none الافتراضية لبروتوكول AAA للتخويل

أوامر تفويض AAA 0 الافتراضية لمجموعة TACACS+ none

أوامر تخويل AAA 1 default group tacacs+ none

أوامر تخويل AAA 15 default group tacacs+ none

ارجع إلى تكوين التفويض للحصول على مزيد من المعلومات حول تفويض الأوامر.

محاسبة أوامر ‪TACACS+‬

عند تكوين عملية محاسبة أوامر AAA، فإنها ترسل معلومات حول كل أمر EXEC يتم إدخاله إلى خوادم ‪TACACS+‬ التي تم تكوينها. وتتضمن المعلومات المُرسلة إلى خادم ‪TACACS+‬ الأمر الذي تم تنفيذه وتاريخ تنفيذه واسم المستخدم الخاص بالمستخدم الذي يُدخل الأمر. لا تكون عملية محاسبة الأوامر مدعومة مع استخدام RADIUS.

يعمل مثال التكوين هذا على تمكين عملية محاسبة أوامر AAA لأوامر EXEC التي تم إدخالها عند مستويات التميّز صفر وواحد و15. ويعتمد هذا التكوين على الأمثلة السابقة التي تتضمن تكوين خوادم TACACS.

AAA المحاسبة EXEC مجموعة بدء-إيقاف افتراضية tacacs+

أوامر محاسبة AAA 0 مجموعة بدء-إيقاف افتراضية ل TACACS+

أوامر محاسبة AAA 1 مجموعة بدء تشغيل افتراضية ل TACACS+

أوامر محاسبة AAA الإصدار 15 الافتراضي لمجموعة بدء التوقف

ارجع إلى تكوين عملية المحاسبة للحصول على مزيد من المعلومات حول تكوين عملية محاسبة AAA.

خوادم AAA المكررة

يمكن أن تكون خوادم AAA التي تتم الاستفادة منها في بيئة ما مكررة ويتم نشرها بطريقة تتحمل الأخطاء. فهذا يساعد على ضمان إمكانية الوصول التفاعلي للإدارة، مثل بروتوكول SSH، في حالة عدم توفّر خادم AAA.

عند تصميم حل خادم AAA مكرر أو تنفيذه، تذكّر هذه الاعتبارات:

1. توفّر خوادم AAA أثناء حالات فشل الشبكة المحتملة
2. تحديد وضع خوادم AAA المنتشر جغرافيًا
3. التحميل على خوادم AAA الفردية في الحالات المستقرة وحالات الفشل
4. زمن انتقال الشبكة بين خوادم الوصول إلى الشبكة وخوادم AAA
5. تزامن قواعد بيانات خوادم AAA

ارجع إلى نشر خوادم التحكم في الوصول للحصول على مزيد من المعلومات.

تدعيم بروتوكول إدارة الشبكة البسيط

يسلط هذا القسم الضوء على العديد من الطرق التي يمكن إستخدامها من أجل تأمين نشر بروتوكول SNMP داخل أجهزة IOS-XE. من المهم للغاية أن يتم تأمين بروتوكول SNMP بشكل صحيح من أجل حماية سرية كل من بيانات الشبكة وأجهزة الشبكة التي تمر من خلالها هذه البيانات ومن أجل تكامل تلك البيانات وتوفّرها. يوفر لك بروتوكول SNMP ثروة من المعلومات حول حالة أجهزة الشبكة. يمكن حماية هذه المعلومات من المستخدمين الضارين الذين يرغبون في الاستفادة من هذه البيانات لتنفيذ هجمات ضد الشبكة.

سلاسل مجتمع SNMP

سلاسل المجتمع هي كلمات مرور يتم تطبيقها على جهاز IOS-XE لتقييد الوصول، الوصول للقراءة فقط والوصول للقراءة والكتابة على السواء، إلى بيانات SNMP على الجهاز. يمكن إختيار سلاسل المجتمع هذه بعناية، كما هو الحال مع جميع كلمات المرور، لضمان أنها ليست تافهة. يمكن تغيير سلاسل المجتمع على فواصل زمنية منتظمة ووفقا لسياسات أمان الشبكة.

على سبيل المثال، يمكن تغيير السلاسل عندما يقوم مسؤول شبكة بتغيير الأدوار أو بترك الشركة.

تقوم سطور التكوين التالية بتكوين سلسلة مجتمع للقراءة فقط من READONLY وسلسلة مجتمع للقراءة والكتابة من READWRITE:

توجيه للقراءة فقط لمجتمع خادم snmp

RW READWRITE مجتمع خادم snmp

سلاسل مجتمع SNMP باستخدام قوائم التحكم في الوصول (ACLs)

بالإضافة إلى سلسلة المجتمع، يمكن تطبيق قائمة تحكم بالوصول (ACL) من شأنها أن تقيد وصول SNMP على نحو إضافي إلى مجموعة محددة من عناوين IP للمصدر. يعمل هذا التكوين على تقييد وصول SNMP للقراءة فقط إلى الأجهزة المضيفة الطرفية الموجودة في مساحة العنوان 192.168.100.0/24 وتقييد وصول SNMP للقراءة إلى الجهاز المضيف الطرفي على 192.168.100.1.

تصريح قائمة الوصول 98 192.168.100.0.0.255

تصريح الوصول-list 99 192.168.100.1

مجتمع خادم snmp READONLY RO 98

مجتمع خادم snmp READWRITE RW 99

ارجع إلى مجتمع خادم Snmp في "مرجع أوامر إدارة شبكة Cisco IOS XE" للحصول على مزيد من المعلومات حول هذه الميزة.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

يمكن نشر قوائم التحكم في الوصول للبنية الأساسية (iACLs) لضمان أن المضيفين النهائيين بعناوين IP موثوقة فقط يمكنهم إرسال حركة مرور SNMP إلى جهاز IOS-XE. يمكن أن تحتوي iACL على سياسة ترفض حزم SNMP غير المعتمدة على منفذ UDP 161.

راجع قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند للحصول على مزيد من المعلومات حول إستخدام قوائم التحكم في الوصول للبنية الأساسية (iACLs).

طرق عرض SNMP

طرق عرض SNMP هي ميزة أمان يمكنها السماح بالوصول إلى بعض قواعد معلومات الإدارة (MIB) لـ SNMP أو رفضها. بمجرد إنشاء طريقة عرض وتطبيقها على سلسلة مجتمع باستخدام أوامر التكوين العالمية لطريقة عرض مجتمع ل مجتمع خادم snmp، إذا قمت بالوصول إلى بيانات قاعدة معلومات الإدارة، فهذا يعني أنك مقيد بالأذونات التي تم تعريفها بواسطة طريقة العرض. وعند الاقتضاء، يوصى باستخدام طرق العرض لتحديد مستخدمي SNMP للبيانات المطلوبة.

يقوم مثال التكوين هذا بتقييد وصول SNMP باستخدام سلسلة المجتمع المحدودة مع بيانات قاعدة معلومات الإدارة الموجودة في مجموعة النظام:

عرض خادم snmp <view_name> <mib_view_family_name> [include/exclude]

مجتمع خادم snmp <community_string>عرض <view_name> RO

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات.

SNMP الإصدار 3

يتم تحديد الإصدار 3 من SNMP (SNMPv3) بواسطة RFC3410، و RFC3411، و RFC3412، و RFC3413، وRFC3414، وRFC3415 ويكون بروتوكولا مستندا إلى المعايير قابل للتشغيل البيني لإدارة الشبكة. تقوم SNMPv3 بتوفير وصول آمن إلى الأجهزة نظرًا لأنه يقوم بمصادقة وتشفير الحزم على الشبكة اختياريًا. حيث يكون SNMPv3 مدعومًا، يمكن استخدامه لإضافة طبقة أمان أخرى عند نشر بروتوكول SNMP. يتكون SNMPv3 من ثلاثة خيارات تكوين أساسية:

1. لا توجد مصادقة - لا يتطلب هذا الوضع أي مصادقة ولا أي تشفير لحزم SNMP.
2. المصادقة - يتطلب هذا الوضع مصادقة حزمة SNMP دون تشفير.
3. priv - يتطلب هذا الوضع المصادقة والتشفير (الخصوصية) لكل حزمة من حزم SNMP.
   
   يجب أن يكون معرف المحرك المخول موجودا لاستخدام مصادقة أو مصادقة آليات أمان SNMPv3 وتشفيرها - لمعالجة حزم SNMP؛ وبشكل افتراضي، يتم إنشاء معرف المحرك محليا. يمكن عرض معرّف المحرك باستخدام أمر ‪show snmp engineID‬ كما هو موضح في هذا المثال:
   
   الموجه#show snmp engineID

معرف محرك SNMP المحلي: 8000009030000152BD35496

منفذ IP-addr لمعرف المحرك البعيد

تتمثل الخطوة التالية في تكوين مجموعة SNMPv3. يقوم هذا الأمر بتكوين جهاز Cisco IOS XE ل SNMPv3 باستخدام AUTHGROUP لمجموعة خوادم SNMP ويمكن فقط المصادقة لهذه المجموعة باستخدام الكلمة الأساسية المصادقة:

مصادقة AUTHGROUP v3 لمجموعة خوادم snmp

يقوم هذا الأمر بتكوين جهاز Cisco IOS XE ل SNMPv3 باستخدام مجموعة خوادم SNMP.

PRIVGROUP ويمكن كلا من المصادقة والتشفير لهذه المجموعة باستخدام الكلمة الأساسية priv :

الإصدار الأول من بروتوكول PRIVGROUP v3 لمجموعة خوادم snmp

يقوم هذا الأمر بتكوين snmpv3user لمستخدم باستخدام كلمة مرور مصادقة MD5 من authpassword وكلمة مرور تشفير 3DES من privpassword:

مستخدم خادم snmp mpV3user PRIVGROUP v3 auth MD5 authpassword priv 3des privpassword

اعلم أنه لا يتم عرض أوامر تكوين مستخدم خادم snmp في خرج تكوين الجهاز كما هو مطلوب بواسطة RFC 3414، وبالتالي، لا يمكن عرض كلمة مرور المستخدم من التكوين. لعرض المستخدمين الذين تم تكوينهم، أدخل أمر ‪show snmp user‬ كما هو موضح في هذا المثال:

router#show snmp user

اسم المستخدم: snmpv3user engine id: 8000009030000152bd35496

نوع التخزين: نشط غير متطاير

بروتوكول المصادقة: MD5
بروتوكول الخصوصية: 3DES
اسم المجموعة: PRIVGROUP

راجع تكوين دعم SNMP للحصول على مزيد من المعلومات حول هذه الميزة.

حماية مستوى الإدارة

يمكن إستخدام ميزة حماية مستوى الإدارة (MPP) في برنامج Cisco IOS XE للمساعدة في تأمين SNMP لأنها تقيد الواجهات التي يمكن لحركة مرور SNMP الإنهاء من خلالها على الجهاز. تسمح ميزة حماية مستوى الإدارة (MPP) للمسؤول بتعيين واجهة واحدة أو أكثر كواجهات الإدارة. يُسمح لحركة مرور الإدارة بإدخال جهاز فقط من خلال واجهات الإدارة. بعد تمكين حماية مستوى الإدارة (MPP)، لا تقبل أي واجهات باستثناء واجهات الإدارة المعينة حركة مرور إدارة الشبكة المعينة إلى الجهاز.

في هذا المثال، تُستخدم حماية مستوى الإدارة (MPP) لتقييد وصول SNMP وSSH إلى واجهة ‪FastEthernet 0/0‬ فقط:

مضيف مستوى التحكم

تسمح واجهة الإدارة FastEthernet0/0 ب SSH SNMP

راجع دليل ميزة حماية مستوى الإدارة للحصول على مزيد من المعلومات.

أفضل ممارسات التسجيل

يوفر لك تسجيل الأحداث إمكانية رؤية لتشغيل جهاز Cisco IOS XE والشبكة التي يتم نشره فيها. يوفر برنامج Cisco IOS XE العديد من خيارات التسجيل المرنة التي يمكن أن تساعد في تحقيق أهداف إدارة الشبكة وإمكانية الرؤية للمؤسسة.

توفر هذه الأقسام بعض أفضل ممارسات التسجيل الأساسية التي يمكن أن تساعد المسؤول على الاستفادة من التسجيل بنجاح وتقليل تأثير التسجيل على جهاز Cisco IOS XE إلى الحد الأدنى.

إرسال السجلات إلى موقع مركزي

يُوصى بإرسال معلومات التسجيل إلى خادم syslog عن بُعد. وهذا يجعل من الممكن ربط أحداث الشبكة والأمان ومراجعتها عبر أجهزة الشبكة بشكل أكثر فاعلية. كن على علم بأن رسائل syslog يتم إرسالها بشكل غير موثوق به بواسطة UDP وفي نص واضح. ولهذا السبب، يمكن أن تكون أي أوجه حماية تتحملها الشبكة لحركة مرور الإدارة (على سبيل المثال، التشفير أو الوصول خارج النطاق الترددي) موسعة لتضمين حركة مرور syslog.

يقوم مثال التكوين هذا بتكوين جهاز Cisco IOS XE لإرسال معلومات التسجيل إلى خادم syslog عن بعد:

مضيف التسجيل <ip-address>

راجع تحديد الحوادث باستخدام أحداث Syslog لموجه IOS-XE وجدار الحماية للحصول على مزيد من المعلومات حول إرتباط السجل.

التسجيل لميزة التخزين غير المتطاير المحلي (قرص ATA) يمكن رسائل تسجيل النظام التي سيتم حفظها على قرص الذاكرة المؤقتة من الملحق التقني المتقدم (ATA). تستمر الرسائل المحفوظة على محرك أقراص ATA بعد إعادة تمهيد الموّجه.

يقوم سطر التكوين هذا بتكوين 134،217،728 بايت (128 ميجابايت) لرسائل التسجيل إلى دليل syslog للذاكرة المؤقتة للملحق التقني المتقدم (ATA) (disk0)، ويحدد حجم ملف 16،384 بايت:

التسجيل المخزن مؤقتا.

تسجيل قرص url الثابت0:/syslog size 134217728 filesize 16384

قبل كتابة رسائل التسجيل إلى ملف على قرص الملحق التقني المتقدم (ATA)، يتحقق برنامج Cisco IOS XE ما إذا كانت هناك مساحة كافية على القرص. وإذا لم تكن هناك مساحة، سيتم حذف الملف الأقدم من رسائل التسجيل (حسب الطابع الزمني)، ويتم حفظ الملف الحالي. تنسيق اسم الملف هو log_month:day:year::time.

يوضّح هذا المثال كيفية نسخ رسائل التسجيل من قرص الذاكرة المؤقتة للملحق التقني المتقدم (ATA) الخاص بالموّجه إلى قرص خارجي على خادم ‪FTP 192.168.1.129‬ كجزء من إجراءات الصيانة:

copy disk0:/syslog ftp://myuser/mypass@192.168.1.129/syslog

راجع التسجيل إلى التخزين غير المتطاير المحلي للحصول على مزيد من المعلومات حول هذه الميزة.

مستوى التسجيل

يتم تعيين كل رسالة من رسائل السجل التي يتم إنشاؤها بواسطة أحد أجهزة Cisco IOS XE بمرحلة واحدة من ثماني مراحل خطورة تتراوح من المستوى 0 وحالات الطوارئ وخلال المستوى 7 وتصحيح الأخطاء. ما لم يكن مطلوبا تحديدا، يوصى بتجنب تسجيل الدخول إلى المستوى 7. ينتج عن التسجيل إلى المستوى 7 حمل مرتفع لوحدة المعالجة المركزية على الجهاز الذي يمكن أن يؤدي إلى عدم إستقرار الجهاز والشبكة.

يتم استخدام مستوى أمر التكوين العام ‪logging trap‬ لتحديد رسائل التسجيل التي يتم إرسالها إلى خوادم syslog البعيدة. يشير المستوى المحدد إلى الرسالة الأقل خطورة التي يتم إرسالها. بالنسبة للتسجيل المُخزن مؤقتًا، يتم استخدام الأمر ‪logging buffered‬ .

ويحد مثال التكوين هذا من رسائل السجل التي يتم إرسالها إلى خوادم syslog البعيدة والمُخزن المؤقت للسجل المحلي إلى مراحل الخطورة 6 (إعلامية) حتى 0 (حالات الطوارئ):

مصيدة التسجيل 6

التسجيل المخزن مؤقتا 6

عدم التسجيل إلى جلسات المراقبة أو وحدة التحكم

باستخدام برنامج Cisco IOS XE، من الممكن إرسال رسائل السجل لجلسات المراقبة - جلسات المراقبة هي جلسات الإدارة التفاعلية التي قد تم إصدار أمر EXEC terminal monitor فيها وإلى وحدة التحكم. ومع ذلك، قد يؤدي ذلك إلى رفع حمل وحدة المعالجة المركزية لجهاز IOS-XE، وبالتالي لا يوصي بذلك. وبدلاً من ذلك، يُنصح بإرسال معلومات التسجيل إلى المُخزن المؤقت للسجل المحلي، والذي يمكن عرضه باستخدام الأمر ‪show logging‬ .

استخدم أوامر التكوين العام ‪no logging console‬ و‪no logging monitor‬ لتعطيل تسجيل الدخول إلى وحدة التحكم وجلسات المراقبة. يوضّح مثال التكوين هذا استخدام هذه الأوامر:

لا توجد وحدة تحكم في التسجيل

عدم مراقبة التسجيل

راجع مرجع أوامر إدارة شبكة Cisco IOS XE للحصول على مزيد من المعلومات حول أوامر التكوين العام.

استخدام التسجيل المخزن مؤقتًا

يدعم برنامج Cisco IOS XE إستخدام مخزن مؤقت للسجل المحلي حتى يمكن أن يعرض المسؤول رسائل السجل التي تم إنشاؤها محليا. يُوصى باستخدام التسجيل المخزن مؤقتًا بشدة مقارنةً بالتسجيل إلى جلسات المراقبة أو إلى وحدة التحكم.

هناك خياران للتكوين ذي صلة عند تكوين التسجيل المخزن مؤقتا: حجم مخزن التسجيل المؤقت ومراحل خطورة الرسالة التي يتم تخزينها في المخزن المؤقت. تم تكوين حجم ‪logging buffer‬ باستخدام حجم أمر التكوين العام ‪logging buffered‬ . يتم تكوين الخطورة الأقل المُضمّنة في المخزن المؤقت باستخدام أمر الخطورة المخزن مؤقتًا للتسجيل. يمكن أن يعرض المسؤول محتويات المخزن المؤقت للتسجيل من خلال أمر EXEC ‪show logging‬ .

يتضمن مثال التكوين هذا تكوين مخزن مؤقت لتسجيل من 16384 بايت، بالإضافة إلى خطورة 6 الإعلامية، وهي تشير إلى تخزين الرسائل الموجودة من المستويات 0 (حالات الطوارئ) حتى 6 (الإعلامية):

التسجيل المخزن مؤقتا 16384 6

راجع إعداد الرسالة عرض جهاز وجهة Cisco IOS XE للحصول على مزيد من المعلومات حول التسجيل المخزن مؤقتا.

تكوين واجهة مصدر التسجيل

لتوفير مستوى أكبر من التناسق عند جمع رسائل السجل ومراجعتها، يُنصح بتكوين واجهة مصدر تسجيل بشكل ثابت.

يتم تحقيق ذلك عبر أمر الواجهة logging source-interface، ويضمن تكوين واجهة مصدر تسجيل بشكل ثابت ظهور عنوان IP نفسه في جميع رسائل التسجيل التي يتم إرسالها من جهاز واحد من أجهزة CiscoIOS. للحصول على استقرار إضافي، يُوصى باستخدام واجهة استرجاع كمصدر تسجيل.

يوضح مثال التكوين هذا استخدام أمر التكوين العام للواجهة ‪logging source-interface‬ لتحديد استخدام عنوان IP الخاص بواجهة الاسترجاع 0 لجميع رسائل السجل:

إسترجاع واجهة مصدر التسجيل 0

راجع برنامج Syslog Manager المدمج Cisco IOS XE للحصول على مزيد من المعلومات.

تكوين الطوابع الزمنية للتسجيل

يساعدك تكوين الطوابع الزمنية للتسجيل على ربط الأحداث عبر أجهزة الشبكة. من المهم تنفيذ تكوين طابع زمني صحيح ومتسق للتسجيل لضمان إمكانية ربط بيانات التسجيل. يمكن تكوين الطوابع الزمنية للتسجيل لتضمين التاريخ والوقت بدقة المللي ثانية ولتضمين المنطقة الزمنية المستخدمة على الجهاز.

يتضمن هذا المثال تكوين الطوابع الزمنية للتسجيل بدقة المللي ثانية في منطقة التوقيت العالمي المنسق (UTC):

المنطقة الزمنية للطابع الزمني للخدمة التاريخ والوقت الملي للثانية show

إذا كنت تفضل عدم تسجيل التوقيتات ذات الصلة بالتوقيت العالمي المنسق (UTC)، يمكنك تكوين منقطة زمنية محلية محددة وتكوين هذه المعلومات لتكون موجودة في رسائل السجل التي تم إنشاؤها. يوضّح هذا المثال تكوين جهاز لمنطقة توقيت المحيط الهادئ القياسي (PST):

المنطقة الزمنية للساعة PST -8

المنطقة الزمنية لعرض الوقت المحلي لتاريخ التاريخ للأختام الزمنية للخدمة msec

إدارة تكوين برنامج Cisco IOS XE Software

يتضمن برنامج Cisco IOS XE العديد من الميزات التي يمكنها تمكين نموذج إدارة تكوين على جهاز Cisco IOS XE. وتتضمن هذه الميزات وظيفة أرشفة التكوينات وإرجاع التكوين إلى إصدار سابق بالإضافة إلى إنشاء سجل تغيير مفصّل للتكوين.

استبدال التكوين والعودة إلى حالة التكوين السابقة

في الإصدار 16.6.4 من البرنامج Cisco IOS XE Software والإصدارات الأحدث، تتيح لك ميزات إستبدال التكوين والرجوع إلى حالة التكوين السابقة أرشفة تكوين جهاز Cisco IOS XE على الجهاز. ويتم تخزين التكوينات يدويًا أو تلقائيًا، ويمكن استخدام التكوينات الموجودة في هذا الأرشيف لاستبدال التكوين الجاري تشغيله حاليًا باستخدام أمر اسم الملف ‪configure replace‬ . هذا على النقيض من الأمر ‪copy filename running-config‬ يقوم أمر اسم الملف ‪configure replace‬ باستبدال التكوين الجاري تشغيله بدلاً من الدمج الذي تم إجراؤه بواسطة الأمر copy .

ينصح بتمكين هذه الميزة على جميع أجهزة Cisco IOS XE في الشبكة. وبمجرد تمكينها، يمكن أن يتسبب المسؤول في إضافة التكوين الجاري تشغيله الحالي إلى الأرشيف باستخدام أمر EXEC للمستوى المتميز ‪archive config‬ . ويمكن عرض التكوينات التي تمت أرشفتها باستخدام أمر EXEC ‪show archive‬ .

يوضّح هذا المثال تكوين أرشفة التكوين التلقائي. كما يرشد جهاز Cisco IOS XE لتخزين التكوينات التي تمت أرشفتها كملفات باسم archived-config-N على disk0: نظام الملفات، للحفاظ على 14 عملية نسخ إحتياطي كحد أقصى، وللأرشفة مرة واحدة في اليوم (1440 دقيقة) وعندما يصدر المسؤول أمر EXEC write memory.

أرشيف

مسار disk0:archived-config

الحد الأقصى 14

الفترة الزمنية 1440

وعلى الرغم من إمكانية تخزين وظائف أرشيف التكوين إلى ما يصل إلى 14 تكوينًا تم نسخه احتياطيًا، يُنصح بالتفكير في متطلبات المساحة قبل استخدام الأمر maximum .

الوصول الحصري إلى تغيير التكوين

تضمن ميزة "الوصول الحصري إلى تغيير التكوين" التي تمت إضافتها إلى الإصدار 16.6.4 من البرنامج Cisco IOS XE Software إجراء مسؤول واحد لتغييرات التكوين على جهاز Cisco IOS XE في وقت معين. تساعد هذه الميزة في القضاء على التأثير غير المرغوب فيه للتغييرات المتزامنة التي يتم إجراؤها على مكونات التكوين ذات الصلة. يتم تكوين هذه الميزة باستخدام وضع أمر التكوين العام configuration mode exclusive وتعمل في أحد الوضعين: auto و manual. في الوضع التلقائي، يتم قفل التكوين تلقائيًا عندما يصدر المسؤول أمر EXEC ‪configure terminal‬ . في الوضع اليدوي، يستخدم المسؤول الأمر ‪configure terminal lock‬ لقفل التكوين عند دخوله إلى وضع التكوين.

يوضّح هذا المثال تكوين هذه الميزة لقفل التكوين التلقائي:

وضع التكوين الحصري

برنامج Cisco Software الموقَّع رقميًا

تتيح ميزة "برنامج Cisco Software الموقع رقميا" التي تمت إضافتها في الإصدار 16.1 والإصدارات الأحدث من البرنامج Cisco IOS XE Software تسهيل إستخدام البرنامج Cisco IOS XE Software الموقع رقميا وبالتالي موثوق به باستخدام تشفير غير متماثل (مفتاح عام) آمن.

تحتوي الصورة الموقّعة رقميًا على تجزئه مشفّرة (باستخدام مفتاح خاص) من ذاتها. عند التحقق، يقوم الجهاز بفك تشفير التجزئة باستخدام المفتاح العام المتوافق من المفاتيح الموجودة في مخزنها الأساسي وكما يقوم بحساب تجزئتها للصورة. إذا تطابقت التجزئة التي تم فك تشفيرها مع تجزئة الصورة التي تم حسابها، فهذا يدل على أنه لم يتم التلاعب بالصورة ويمكن الوثوق بها.

يتم تحديد مفاتيح برنامج Cisco الموقّع رقميًا حسب نوع المفتاح وإصداره. يمكن أن يكون أحد المفاتيح نوع مفتاح خاص أو إنتاج أو إعادة توجيه. تحتوي أنواع المفاتيح الخاصة أو مفاتيح الإنتاج على إصدار مفتاح مرتبط يتزايد أبجديًا عند إبطال المفتاح واستبداله. يتم توقيع كل من صور ROMMON و Cisco IOS XE العادية باستخدام مفتاح خاص أو مفتاح إنتاج عند إستخدام ميزة "برنامج Cisco Software الموقع رقميا". صورة ROMMON قابلة للترقية ويجب توقيعها بالمفتاح نفسه مثل الصورة الخاصة أو صورة الإنتاج التي يتم تحميلها.

يتحقق هذا الأمر من سلامة الصورة isr4300-universalk9.16.06.04.SPA.bin في الذاكرة المؤقتة باستخدام المفاتيح الموجودة في مخزن مفاتيح الجهاز:

show software authenticity file bootflash:isr4300-universalk9.16.06.04.SPA.bin

راجع برنامج ‪Cisco Software‬ الموقّع رقميًا للحصول على مزيد من المعلومات حول هذه الميزة.

بعد ذلك يمكن نسخ صورة جديدة (isr4300-universalk9.16.10.03.SPA.bin) إلى الذاكرة المؤقتة المراد تحميلها ويتم التحقق من توقيع الصورة باستخدام المفتاح الخاص الذي تمت إضافته حديثا

copy /verify tftp://<server_ip>/isr4300-universalk9.16.10.03.SPA.bin flash:

الإعلام بتغيير التكوين وتسجيله

تتيح ميزة "الإعلام بتغيير التكوين وتسجيله" التي تمت إضافتها في الإصدار 16.6.4 من البرنامج Cisco IOS XE Software، إمكانية تسجيل تغييرات التكوين التي تم إجراؤها على جهاز Cisco IOS XE. ويتم الاحتفاظ بالسجل على جهاز Cisco IOS XE ويحتوي على معلومات المستخدم الخاصة بالشخص الذي أجرى التغيير وأمر التكوين الذي تم إدخاله والوقت الذي تم إجراء التغيير فيه. يتم تمكين هذه الوظيفة مع أمر وضع التكوين مُسجل تغيير التكوين ‪logging enable‬ . يتم إستخدام إدخالات الأوامر الاختيارية إخفاء المفاتيح وlogging size لتحسين التكوين الافتراضي لأنها تمنع تسجيل بيانات كلمة المرور وتزيد من طول سجل التغيير.

ينصح بتمكين هذه الوظيفة حتى يمكن فهم محفوظات تغيير التكوين لجهاز Cisco IOS XE بسهولة أكبر. وبالإضافة إلى ذلك، يُوصى باستخدام أمر التكوين ‪notify syslog‬ لتمكين إنشاء رسائل الدخول إلى النظام (syslog) عند إجراء تغيير على التكوين.

أرشيف

تكوين السجل

تمكين التسجيل

حجم التسجيل 200

هايدكيز

notify syslog

بعد تمكين ميزة "الإعلام بتغيير التكوين وتسجيله"، يمكن استخدام أمر EXEC للمستوى المتميز ‪show archive log config all‬ لعرض سجل التكوين.

مستوى التحكم

تتألف وظائف مستوى التحكم من البروتوكولات والعمليات التي تصل بين أجهزة الشبكة لنقل البيانات من المصدر إلى الوجهة. ويتضمن ذلك بروتوكولات التوجيه مثل بروتوكول العبّارة الحدودية، بالإضافة إلى بروتوكولات مثل ICMP وبروتوكول حجز الموارد (RSVP).

من المهم ألا تؤثر الأحداث في مستويات الإدارة والبيانات سلبًا على مستوى التحكم. عندما يؤثر حدث مستوى بيانات مثل هجوم رفض الخدمة (DoS) على مستوى التحكم، يمكن أن تصبح الشبكة بالكامل غير مستقرة. يمكن أن تساعد هذه المعلومات المتعلقة بميزات برنامج Cisco IOS XE وتكويناتها على ضمان مرونة مستوى التحكم.

تقوية مستوى التحكم العام

تُعد حماية مستوى التحكم في جهاز شبكة أمرًا بالغ الأهمية لأن مستوى التحكم يضمن الحفاظ على مستويات الإدارة والبيانات وتشغيلها. إذا قد أصبح مستوى التحكم غير مستقر أثناء حادث أمني، فقد يكون من المستحيل بالنسبة لك استعادة استقرار الشبكة.

وفي العديد من الحالات، يمكنك تعطيل استلام أنواع معينة من الرسائل على واجهة وإرسالها لتقليل مقدار حمل وحدة المعالجة المركزية (CPU) المطلوب لمعالجة الحِزم غير الضرورية.

رسائل إعادة توجيه ICMP لحِزم IP

يمكن إنشاء رسالة إعادة توجيه ICMP بواسطة موجّه عند استلام حِزمة وإرسالها على الواجهة نفسها. في هذه الحالة، يقوم الموجّه بإعادة توجيه الحِزمة وإرسال رسالة إعادة توجيه ICMP مرة أخرى إلى مرسِل الحِزمة الأصلية. يتيح هذا السلوك للمرسِل تجاوز الموجّه وإعادة توجيه الحِزم المستقبلية مباشرةً إلى الوجهة (أو إلى موجّه أقرب إلى الوجهة). في شبكة IP تعمل بشكل صحيح، يُرسل الموجّه رسائل إعادة التوجيه إلى الأجهزة المُضيفة فقط على الشبكات الفرعية المحلية الخاصة به. وبمعنى آخر، لا يمكن لعمليات إعادة توجيه ICMP أن تتجاوز حدود الطبقة 3.

هناك نوعان من رسائل إعادة توجيه ICMP: إعادة التوجيه لعنوان مُضيف وإعادة التوجيه لشبكة فرعية بأكملها. يمكن للمستخدم الضار استغلال قدرة الموجّه على إرسال رسائل إعادة توجيه ICMP عن طريق إرسال الحِزم باستمرار إلى الموجّه، والذي يفرض على الموجّه الاستجابة باستخدام رسائل إعادة توجيه ICMP، ويؤدي إلى تأثير ضار على وحدة المعالجة المركزية (CPU) وأداء الموجّه. لمنع الموجّه من إرسال رسائل إعادة توجيه ICMP، استخدم أمر تكوين الواجهة ‪no ip redirects‬.

وجهات ICMP التي يتعذّر الوصول إليها

تقوم التصفية باستخدام قائمة الوصول إلى الواجهة بإرسال رسائل ICMP الذي يتعذّر الوصول إليه مرة أخرى إلى مصدر حركة المرور التي تمت تصفيتها. يمكن أن يزيد إنشاء هذه الرسائل استخدام وحدة المعالجة المركزية (CPU) على الجهاز. في البرنامج Cisco IOS XE software، يقتصر إنشاء ICMP غير القابل للوصول على حزمة واحدة كل 500 مللي ثانية بشكل افتراضي. يمكن تعطيل إنشاء رسالة برتوكول ICMP الذي يتعذّر الوصول إليه باستخدام أمر تكوين الواجهة ‪no ip unreachables‬. يمكن تغيير تحديد معدل ICMP الذي يتعذّر الوصول إليه من خلال الإعداد الافتراضي باستخدام أمر التكوين العام ‪ip icmp rate-limit unreachable interval-in-ms‬.

ARP للوكيل

ARP للوكيل هو الأسلوب يستجيب فيه جهاز واحد وعادةً ما يكون موجّهًا على طلبات ARP المُخصصة لجهاز آخر. وعن طريق تزييف هويته، يقبل الموجه مسؤولية توجيه الحزم إلى الوجهة الحقيقية. يمكن أن يساعد ARP للوكيل الأجهزة الموجودة على شبكة فرعية في الوصول إلى شبكات فرعية بعيدة دون تكوين توجيه أو عبّارة افتراضية. يتم تحديد ARP للوكيل في RFC 1027 .

هناك عدة عيوب لاستخدام ARP للوكيل. يمكن أن يؤدي ذلك إلى زيادة مقدار حركة مرور بيانات ARP على مقطع الشبكة واستهلاك الموارد وهجمات الدخيل. يمثل ARP للوكيل موجّه هجوم استهلاك الموارد نظرًا لأن كل طلب من ARP للوكيل يستهلك مقدارًا صغيرًا من الذاكرة. يمكن أن يكون أحد المهاجمين قادرًا على استهلاك جميع الذاكرة المتوفرة في حالة إرسال عدد كبير من طلبات ARP.

تمكّن هجمات الدخيل مضيفًا على الشبكة من انتحال عنوان MAC للموجّه، وينتج عن ذلك قيام مضيفين محل ثقة بإرسال حركة مرور البيانات إلى المهاجم. يمكن تعطيل ARP للوكيل باستخدام أمر تكوين الواجهة ‪no ip proxy-arp‬.

راجع تمكين ARP للوكيل وتعطيله للحصول على مزيد من المعلومات حول هذه الميزة.

رسائل التحكم في NTP

تعد استعلامات رسائل التحكم في NTP وظيفة NTP التي ساعدت في وظائف إدارة الشبكة (NM) قبل إنشاء NMs الأفضل واستخدامها. ما لم تكن مؤسستك لا تزال تستخدم NTP لوظائف NM، فإن أفضل ممارسات أمان الشبكة تقوم بتعطيلها كلها معا بشكل كامل. إذا كنت تستخدمها، فيمكن أن تكون خدمة نوع فقط للشبكة الداخلية يتم حظرها بواسطة جدار الحماية أو جهاز خارجي آخر. لقد تمت إزالتها من جميع إصدارات IOS و IOS-XE باستثناء الإصدارات القياسية حيث لا يدعمها IOS-XR و NX-OS.

إن يختار أنت أن يعجز هذا سمة الأمر

الموجه (config)# لا يسمح ntp بالتحكم في الوضع

بعد ذلك يظهر هذا الأمر في running-config باعتباره no ntp allow mode control 0. من خلال القيام بذلك، تكون قد قمت بتعطيل رسائل التحكم في NTP على الجهاز وحماية الجهاز من الهجمات.

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور بيانات مستوى التحكم

تُعد حماية مستوى التحكم أمرًا بالغ الأهمية. ونظرًا لإمكانية معاناة أداء التطبيق وتجربة المستخدم النهائي دون وجود حركة مرور البيانات والإدارة، فإن قابلية بقاء مستوى التحكم تضمن الحفاظ على المستويين الآخرين وتشغيلهما.

فهم حركة مرور بيانات مستوى التحكم

لحماية مستوى التحكم بشكل صحيح لجهاز Cisco IOS XE، فمن الضروري فهم أنواع حركة مرور البيانات التي يتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU). عادةً ما تتكون حركة مرور البيانات التي يتم تحويلها للعملية من نوعين مختلفين من حركات مرور البيانات. يتم توجيه النوع الأول من حركة المرور إلى جهاز Cisco IOS XE ويجب معالجته مباشرة بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS XE. تتكون حركة المرور هذه من فئة استقبال حركة مرور التجاور. تحتوي حركة المرور هذه على إدخال في جدول إعادة التوجيه السريع من Cisco (CEF) حيث تمثل خطوة الموجّه التالية الجهاز نفسه، ويُشار إليها بواسطة استقبال المصطلحات في إخراج واجهة سطر الأوامر (CLI) ‪show ip cef‬ وهذا المؤشر هو حالة أي عنوان IP يتطلب المعالجة المباشرة بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS XE والتي تتضمن عناوين IP للواجهة ومساحة عنوان البث المتعدد ومساحة عنوان البث.

والنوع الثاني من حركة المرور التي تتم معالجتها بواسطة وحدة المعالجة المركزية هي حركة مرور مستوى البيانات - حركة مرور بوجهة خارج جهاز Cisco IOS XE نفسه - وتتطلب معالجة خاصة بواسطة وحدة المعالجة المركزية. وعلى الرغم من أنها ليست قائمة شاملة لوحدة المعالجة المركزية (CPU) التي تؤثر على حركة مرور مستوى البيانات، فهذه الأنواع من حركة مرور يتم تحويلها ومن ثم يمكن أن تؤثر على تشغيل مستوى التحكم:

1. تسجيل قائمة التحكم في الوصول - تتكون حركة مرور تسجيل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية "log".
2. إعادة توجيه المسار العكسي للبث الأحادي (‪Unicast RPF‬) - يمكن أن ينتج عن Unicast RPF، المُستخدم بالارتباط مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحِزم.
3. خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
4. التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية لمعالجتها.
5. انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد، الرسائل (نوع ICMP 11، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية.
6. ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه أو MTU أو التصفية بواسطة وحدة المعالجة المركزية.
7. حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود مطلوبًا وتتم المعالجة بواسطة وحدة المعالجة المركزية.
8. حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.
   
   تعرض هذه القائمة تفاصيل العديد من الطرق لتحديد أنواع حركة المرور التي تتم معالجتها بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS XE:
9. يوفر الأمر ‪show ip cef‬معلومات الخطوة التالية لكل بادئة IP موجودة في جدول CEF. وكما تمت الإشارة مسبقا، يتم إعتبار الإدخالات التي تحتوي على إستقبال على أنها الخطوة التالية، كاستقبال عمليات تجاور وتشير إلى أنه يجب إرسال حركة المرور مباشرة إلى وحدة المعالجة المركزية.
10. يوفر الأمر ‪show interface switching‬معلومات عن عدد الحِزم التي يتم تحويلها بواسطة جهاز.
11. يوفر الأمر show ip traffic معلومات حول عدد حزم IP: مع وجهة محلية (أي حركة مرور إستقبال التجاور) مع خيارات تتطلب التجزئة التي يتم إرسالها إلى مساحة عنوان البث المتعدد.
12. يمكن تحديد استقبال حركة مرور التجاور من خلال استخدام الأمر ‪show ip cache flow‬. تحتوي أي تدفقات موجهة إلى جهاز Cisco IOS XE على واجهة الوجهة (DstIf) من المحلية.
13. يمكن إستخدام تنظيم مستوى التحكم لتحديد نوع حركة المرور التي تصل إلى مستوى التحكم في جهاز Cisco IOS XE ومعدلها. يمكن تنفيذ تنظيم مستوى التحكم من خلال استخدام قوائم التحكم في الوصول الخاصة بالتصنيف متعدد المستويات والتسجيل واستخدام الأمر ‪show policy-map control-plane‬.

قوائم التحكم في الوصول (ACLs) للبنية الأساسية

تحدد قوائم التحكم في الوصول للبنية الأساسية الاتصالات الخارجية بأجهزة الشبكة.

تمت تغطية قوائم التحكم في الوصول للبنية الأساسية بشكل مكثّف في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند.

يُنصح بتنفيذ قوائم التحكم في الوصول لحماية مستوى التحكم بجميع أجهزة الشبكة.

استقبال قوائم التحكم بالوصول (ACL)

تحمي قوائم التحكم في الوصول للاستقبال الجهاز من حركة المرور الضارة قبل أن تؤثر حركة المرور على معالج الموجّه. يتم تصميم قوائم التحكم في الوصول للاستقبال لحماية الجهاز الذي تم تكوينها عليه وحركة المرور العابرة التي لا تتأثر بقوائم التحكم في الوصول للاستقبال. ونتيجة لذلك، يشير عنوان IP للوجهة الذي يتم إستخدامه في إدخالات التحكم في الوصول للمثال فقط إلى عناوين IP المادية أو الافتراضية للموجه. كما تعد قوائم التحكم في الوصول للاستقبال أفضل ممارسة أمان شبكة ويمكن اعتبارها كإضافة طويلة المدى لأمان الشبكة الجيد.

هذا هو قائمة التحكم في الوصول لمسار الاستقبال الذي تتم كتابته للسماح لحركة مرور SSH ‫(منفذ TCP 22) من الأجهزة المضيفة الموثوقة على الشبكة 192.168.100.0/24:

— السماح ل SSH من الأجهزة المضيفة الموثوقة المسموح بها للجهاز.

السماح لقائمة الوصول 151 ل TCP 192.168.100.0.0.255 أي eq 22

— رفض بروتوكول SSH من جميع المصادر الأخرى إلى بروتوكول RP.

access-list 151 deny tcp any eq 22

— السماح لجميع حركات المرور الأخرى إلى الجهاز.

— وفقا لسياسة الأمن والتكوينات.

قائمة الوصول 151 تصريح IP any

— تطبيق قائمة الوصول هذه على مسار التلقي.

قائمة الوصول إلى إستقبال ip 151

ارجع إلى قوائم التحكم في الوصول للمساعدة في تحديد حركة المرور الشرعية والسماح بها لجهاز ورفض جميع الحزم غير المرغوب فيها.

CoPP

كما يمكن استخدام ميزة CoPP لتقييد حِزم IP المُوجّهة إلى جهاز البنية الأساسية. في هذا المثال، يسمح فقط لحركة مرور SSH من الأجهزة المضيفة الموثوقة بالوصول إلى وحدة المعالجة المركزية لجهاز Cisco IOS XE.

رفض قائمة الوصول 152 لبروتوكول TCP <العناوين الموثوق بها> <mask> أي بروتوكول EQ 22

تصريح من قائمة الوصول 152 إلى TCP أي eq 22

قائمة الوصول 152 رفض ip any

class-map match-all CoPP-known-UNمرغوب match access-group 152

خريطة السياسة CoPP-Input-Policy-class CoPP-known-unمرغوب drop

control-plane service-policy input CoPP-input-policy

في مثال CoPP السابق، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم غير المعتمدة بالإجراء المسموح به التخلص من هذه الحِزم من خلال وظيفة إسقاط خريطة التنظيم، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض بوظيفة إسقاط خريطة التنظيم.

يتوفر CoPP في إصدار برنامج Cisco IOS XE Software.

راجع تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول تكوين ميزة CoPP واستخدامها.

حماية مستوى التحكم

يمكن إستخدام حماية مستوى التحكم (CPPr)، المقدمة في برنامج Cisco IOS XE الإصدار 16.6.4، لتقييد حركة مرور مستوى التحكم الموجهة إلى وحدة المعالجة المركزية لجهاز Cisco IOS XE أو تنظيمها. وعلى الرغم من التشابه مع CoPP، فإنها حماية مستوى التحكم (CPPr) تتميز بالقدرة على تقييد حركة المرور بعدة مستويات أكثر دقة. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية: توجد الواجهات الفرعية للمضيف والنقل وفئات حركة مرور استثناء CEF. وبالإضافة إلى ذلك، تتضمن حماية مستوى التحكم (CPPr) ميزات حماية مستوى التحكم هذه:

1. ميزة تصفية المنفذ - توفر هذه الميزة تنظيم الحِزم التي يتم إرسالها إلى منافذ TCP أو UDP المغلقة أو غير المصغية وإسقاطها.
2. ميزة حد قائمة الانتظار - تحدد هذه الميزة عدد الحِزم لبروتوكول محدد مسموح به في قائمة انتظار إدخال IP لمستوى التحكم.
   
   راجع حماية مستوى التحكم وفهم حماية مستوى التحكم (CPPr) للحصول على مزيد من المعلومات حول تكوين ميزة CPPr واستخدامها.

أدوات تحديد معدل المكونات المادية

يدعم محرك المشرف ‪Cisco Catalyst 6500 Series Supervisor Engine 32‬ و‪Supervisor Engine 720‬ أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) والمحددة بواسطة النظام الأساسي لسيناريوهات الشبكة الخاصة. وتتم الإشارة إلى أدوات تحديد معدل الأجهزة هذه كأدوات تحديد معدل حالة خاصة نظرًا لأنها تغطي مجموعة محددة ومعرّفة مسبقًا من سيناريوهات DoS للبث المتعدد والبث الأحادي وIPv6 وIPv4. يمكن أن تحمي أدوات تحديد المعدل المستندة إلى الأجهزة (HWRLs) جهاز Cisco IOS XE من مجموعة متنوعة من الهجمات التي تتطلب معالجة الحزم بواسطة وحدة المعالجة المركزية.

BGP الآمن

بروتوكول العبّارة الحدودية (BGP) هو أساس التوجيه الخاص بالإنترنت. وهكذا تكون لأي مؤسسة متطلبات اتصال بسيط تستخدم بروتوكول BGP عادةً. وعادةً ما يتم استهداف بروتوكول BGP بواسطة المهاجمين بسبب وجوده المطلق وطبيعة المجموعة والنسيان من تكوينات BGP في المؤسسات الأصغر. ومع ذلك، هناك العديد من ميزات الأمان الخاصة بتكوين BGP التي يمكن الاستفادة منها لزيادة أمان تكوين BGP.

ويقدم ذلك نظرة عامة على ميزات أمان BGP الهامة. وحيثما كان ذلك مناسبًا، يتم إجراء توصيات التكوين.

أوجه الحماية الأمنية المستندة إلى TTL

تحتوي كل حزمة من حِزم IP على حقل مكوّن من 1 بايت معروف باسم مدة البقاء (TTL). يقوم كل جهاز عند اجتياز حزمة IP بخفض هذه القيمة بمقدار واحد. تختلف قيمة البدء حسب نظام التشغيل وعادةً ما تكون النطاقات من 64 إلى 255. يتم إسقاط الحزمة عندما تصل قيمة TTL الخاصة بها إلى صفر.

وتُعرف باسم آلية الأمان المعممة المستندة إلى TTL ‫(GTSM)‬ واختراق أمان BGP TTL ‫(BTSH)‬، وتستفيد حماية الأمان المستندة إلى TTL من قيمة TTL لحِزم IP للتأكد من أن حِزم BGP التي يتم استقبالها من نظير متصل مباشرةً. وغالبا ما تتطلب هذه الميزة التنسيق من موجهات نظير، ومع ذلك، بمجرد تمكينها، يمكنها هزيمة العديد من الهجمات المستندة إلى بروتوكول TCP بالكامل مقابل بروتوكول BGP.

يتم تمكين GTSM لبروتوكول BGP مع خيار أمان ttl لأمر تكوين موجّه BGP المجاور. يوضح هذا المثال تكوين هذه الميزة:

الموجه BGP <asn>

المجاور <ip-address> remote-as <remote-asn>

نقلات <ip-address> TTL-security <hop-count> المجاورة

مع استقبال حِزم BGP، يتم التحقق من قيمة TTL ويجب أن تكون أكبر من أو تساوي 255 ناقص عدد الخطوات المحددة.

مصادقة نظير BGP باستخدام MD5

تقوم مصادقة النظير مع MD5 بإنشاء ملخص MD5 لكل حزمة يتم إرسالها كجزء من جلسة BGP. وبشكل محدد، يتم استخدام أجزاء من رؤوس IP وTCP، وحمولة TCP، ومفتاح سري لإنشاء الملخص.

وبعد ذلك، يتم تخزين الملخص الذي تم إنشاؤه في خيار TCP النوع 19، والذي تم إنشاؤه تحديدًا لهذا الغرض بواسطة RFC 2385  . يستخدم مكبر صوت BGP المُستقبل نفس الخوارزمية والمفتاح السري لإعادة إنشاء ملخص الرسالة. إذا كانت الملخصات المُستلمة والمُحوسبة غير متطابقة، سيتم تجاهل الحزمة

يتم تكوين مصادقة النظير مع MD5 باستخدام خيار كلمة المرور إلى أمر تكوين موجّه BGP المجاور. ويتم توضيح استخدام هذا الأمر كما يلي:

موجه BGP <asn> المجاور <ip-address> remote-as <remote-asn>

كلمة مرور <secret> للجارة <ip-address>

راجع مصادقة الموجّه المجاور للحصول على مزيد من المعلومات حول مصادقة نظير BGP مع MD5.

تكوين الحد الأقصى للبادئات

يتم تخزين بادئات BGP بواسطة موجّه في الذاكرة. وكلما زاد عدد البادئات التي يجب أن يستوعبها الموجّه، زادت مساحة الذاكرة التي يجب أن يستهلكها بروتوكول BGP. في بعض التكوينات، يمكن تخزين مجموعة فرعية من جميع بادئات الإنترنت، مثل التكوينات التي تستفيد من موجه افتراضي أو موجهات افتراضية فقط لشبكات المستخدم الخاصة بالمزود.

لمنع استهلاك الذاكرة، من الهام تكوين الحد الأقصى لعدد من البادئات التي يتم قبولها على أساس كل نظير. يُوصى بتكوين حد لكل نظير BGP.

عندما تقوم بتكوين هذه الميزة باستخدام أمر تكوين موجه BGP المجاور neighbor maximum-prefix، يلزم وجود وسيطة واحدة: الحد الأقصى لعدد البادئات التي يتم قبولها قبل إيقاف تشغيل النظير. وبشكل اختياري، يمكن أيضًا إدخال رقم من 1 إلى 100. يمثل هذا الرقم النسبة المئوية للحد الأقصى من قيمة البادئات عند النقطة التي يتم إرسال رسالة سجل فيها.

موجه BGP <asn> المجاور <ip-address> remote-as <remote-asn>

<ip-address> neighbor maximum-prefix <shutdown-threshold> <log-percent>

راجع تكوين ميزة الحد الأقصى لبادئة BGP للحصول على مزيد من المعلومات حول الحد الأقصى لعدد البادئات لكل نظير.

تصفية بادئات BGP باستخدام قوائم البادئات

تسمح قوائم البادئات لمسؤول الشبكة بالسماح بالبادئات المحددة التي يتم إرسالها أو استقبالها عبر BGP أو رفضها. يمكن إستخدام قوائم البادئات حيثما كان ذلك ممكنا لضمان إرسال حركة مرور الشبكة عبر المسارات المقصودة. يمكن تطبيق قوائم البادئات على كل نظير من نظراء eBGP في كلا الاتجاهين الوارد والصادر.

تحدد قوائم البادئات المكوّنة البادئات التي يتم إرسالها أو استقبالها إلى تلك التي تسمح بها سياسة توجيه الشبكة بشكل محدد. وإذا لم يكن هذا ملائما بسبب العدد الكبير من البادئات التم تم استقبالها، يمكن تكوين قائمة البادئات لحظر البادئات السيئة المعروفة بشكل محدد. تتضمن البادئات غير الصحيحة المعروفة هذه مساحة عنوان IP غير المخصصة والشبكات التي يتم حجزها لأغراض داخلية أو لأغراض الاختبار بواسطة ‪RFC 3330‬. يمكن تكوين قوائم البادئات الصادرة للسماح فقط بالبادئات التي ترغب المؤسسة في الإعلان عنها.

يستخدم مثال التكوين هذا قوائم البادئات للحد من الموجهات التي يتم التعرف عليها والإعلان عنها. وعلى وجه الخصوص، يتم السماح بالموجّه الافتراضي للاتصال الوارد بواسطة قائمة البادئات BGP-PL-INBOUND، والبادئة 192.168.2.0/24 هي الموجّه الوحيد المسموح به للإعلان عنها بواسطة BGP-PL-OUTBOUND.

تصريح IP prefix-list BGP-PL-INBOUND SEQ 5 0.0.0.0/0

تصريح IP prefix-list BGP-PL-OUTBOUND SEQ 5 192.168.2.0/24

الموجه BGP <asn>

BGP-PL-INBOUND الخاص ب <ip-address> المجاور للبادئة-list في

BGP-PL-OUTBOUND المجاور <ip-address> prefix-list

راجع تصفية المسار الصادرة المستندة إلى البادئة لتغطية تصفية بادئات BGP بالكامل.

تصفية بادئات BGP باستخدام قوائم الوصول إلى مسار النظام الذاتي

تتيح قوائم الوصول إلى مسار النظام الذاتي لـ BGP ‫(AS)‬ للمستخدم تصفية البادئات المستلمة والمُعلن عنها استنادًا إلى سمة مسار النظام المستقل الخاصة بالبادئة. يمكن استخدام هذا الأمر بالاقتران مع قوائم البادئات لإنشاء مجموعة قوية من عوامل التصفية.

يستخدم مثال التكوين هذا قوائم الوصول إلى مسار النظام المستقل لتقييد البادئات الواردة لتلك التي تم إنشاؤها بواسطة بادئات النظام المستقل البعيدة والصادرة لتلك التي تم إنشاؤها بواسطة النظام الذاتي المحلي. تتم تصفية البادئات التي يتم الحصول عليها من جميع الأنظمة الذاتية الأخرى ولا يتم تثبيتها في جدول التوجيه.

تصريح وصول ip as-path-list 1

تصريح وصول ip as-path-list 2

الموجه BGP <asn>

المجاور <ip-address> remote-as 65501

<ip-address> filter-list 1 المجاور في

مخرج <ip-address> filter-list 2 المجاور

بروتوكولات العبّارة الداخلية الآمنة

تعتمد قدرة الشبكة على إعادة توجيه حركة المرور والاسترداد من تغييرات المخطط أو الأخطاء على طريقة عرض دقيقة للمخطط. غالبًا ما يمكنك تشغيل بروتوكول العبّارة الداخلية (IGP) بالترتيب لتوفير طريقة العرض هذه. وبشكل افتراضي، تكون بروتوكولات العبّارة الداخلية ديناميكية وتكتشف الموجهات الإضافية التي تتصل ببروتوكول العبّارة المعيّن قيد الاستخدام. كما تكتشف بروتوكولات العبّارة الداخلية الموجهات التي يمكن استخدامها أثناء فشل ارتباط الشبكة.

توفر هذه الأقسام الفرعية نظرة عامة على ميزات أمان بروتوكول العبّارة الداخلية الهامة.

يتم توفير التوصيات والأمثلة التي تغطي بروتوكول معلومات التوجيه الإصدار 2 ‫(RIPv2)‬ وبروتوكول التوجيه المحسّن للعبّارة الداخلية (EIGRP) وفتح أقصر مسار أولاً (OSPF) حيثما كان ذلك مناسبًا.

مصادقة بروتوكول التوجيه والتحقق منه باستخدام الرسالة Digest 5

يسمح الفشل بتأمين تبادل معلومات التوجيه للمهاجم بتقديم معلومات توجيه خاطئة إلى الشبكة. باستخدام مصادقة كلمة المرور مع بروتوكولات التوجيه بين الموجهات، يمكنك المساعدة في أمان الشبكة. ومع ذلك، نظرًا لأنه يتم إرسال هذه المصادقة كنص واضح، فقد يكون تخريب التحكم في الأمان هذا أمراً بسيطًا للمهاجم.

عند إضافة قدرات تجزئة MD5 إلى عملية المصادقة، لم تعد تحديثات التوجيه تحتوي على كلمات مرور نص واضح، وتكون المحتويات بأكملها لتحديث التوجيه أكثر مقاومة ليتم التلاعب بها. ومع ذلك، لا تزال مصادقة MD5 عرضة لهجمات عنيفة وهجمات القاموس إذا تم اختيار كلمات مرور ضعيفة. يُنصح باستخدام كلمات مرور بتوزيع عشوائي كافٍ. ونظرًا لأن مصادقة MD5 أكثر أمانًا عند مقارنتها بمصادقة كلمة المرور، فهذه الأمثلة محددة لمصادقة MD5. كما يمكن استخدام IPSec للتحقق من صحة بروتوكولات التوجيه وتأمينها، ولكن لا تقوم هذه الأمثلة بتفصيل استخدامها.

يستخدم EIGRP وRIPv2 سلاسل المفاتيح كجزء من التكوين. راجع المفتاح للحصول على مزيد من المعلومات حول تكوين سلاسل المفاتيح واستخدامها.

هذا مثال لتكوين مصادقة موجّه EIGRP الذي يستخدم MD5:

سلسلة المفاتيح <key-name>

المفتاح <key-identifier>

سلسلة المفاتيح <password>

قارن <interface> ip صحة هوية أسلوب eigrp <as-number> md5

EIGRP لسلسلة مفاتيح مصادقة ip <as-number> <key-name>

هذا مثال لتكوين مصادقة موجّه MD5 لـ RIPv2. لا يدعم RIPv1 المصادقة.

سلسلة المفاتيح <key-name>

المفتاح <key-identifier>

سلسلة المفاتيح <password>

وضع مصادقة بروتوكول RIP للواجهة <interface> ip md5

سلسلة مفاتيح مصادقة ip rip <key-name>

هذا مثال لتكوين مصادقة موجه OSPF الذي يستخدم MD5. لا يستخدم OSPF سلاسل المفاتيح.

<interface> ip ospf message-digest-key <key-id> md5 <password>

موجه OSPF <process-id>

ملخص رسالة مصادقة المنطقة 0 في الشبكة 10.0.0.0.255.255.255 area 0

راجع تكوين OSPF للحصول على مزيد من المعلومات.

أوامر الواجهة الخاملة

يمكن الحد من تسربات المعلومات أو تقديم معلومات خاطئة في بروتوكول العبارة الداخلية من خلال إستخدام أمر passive-interface الذي يساعد في التحكم في إعلان معلومات التوجيه. يُوصى بعدم الإعلان عن أي معلومات للشبكات الموجودة خارج التحكم الإداري الخاص بك.

يوضح هذا المثال استخدام هذه الميزة:

الإعداد الافتراضي للواجهة الخاملة للموجه eigrp <as-number>

لا توجد واجهة سلبية <interface>

تصفية المسار

لتقليل احتمالية تقديم معلومات توجيه خاطئة في الشبكة، يجب أن تستخدم تصفية المسار. وعلى عكس أمر تكوين الموجّه ‪passive-interface‬، يحدث التوجيه على الواجهات بمجرد تمكين تصفية المسار، ولكن المعلومات المعلن عنها أو التي تمت معالجتها محدودة.

بالنسبة إلى EIGRP وRIP، يحد استخدام أمر distribute-list مع الكلمة الأساسية out المعلومات التي يتم الإعلان عنها، بينما يحد استخدام الكلمة الأساسية in التحديثات التي تتم معالجتها. يتوفر أمر distribute-list لـ OSPF، ولكنه لا يمنع الموجّه من نشر المسارات التي تمت تصفيتها. وبدلاً من ذلك، يمكن استخدام أمر ‪area filter-list‬.

يقوم مثال EIGRP هذا بتصفية الإعلانات الصادرة باستخدام أمر distribute-list وقائمة البادئات:

ip prefix-list <list-name>

تصريح من الفئة "seq 10" <prefix>

موجه eigrp <as-number>

افتراضي الواجهة الخاملة

لا توجد واجهة سلبية <interface>

بادئة <list-name> خارج <interface>

يقوم مثال EIGRP هذا بتصفية التحديثات الواردة باستخدام قائمة البادئات:

تصريح <prefix> ip prefix-list <list-name> seq 10 <prefix>

موجه eigrp <as-number>

افتراضي الواجهة الخاملة

لا توجد واجهة سلبية <interface>

بادئة distribute-list <list-name> في <interface>

راجع تصفية مسار EIGRP للحصول على مزيد من المعلومات حول كيفية التحكم في إعلان تحديثات التوجيه ومعالجتها.

يستخدم مثال OSPF هذا قائمة البادئات بأمر ‪area filter-list‬ المحدد من OSPF:

تصريح <prefix> ip prefix-list <list-name> seq 10 <prefix>

موجه OSPF <process-id>

بادئة <list-filter-list <area-id> في <list-name>

استهلاك مورد عملية التوجيه

يتم تخزين بادئات بروتوكول التوجيه بواسطة موجّه في الذاكرة، ويزداد استهلاك الموارد مع البادئات الإضافية التي يجب أن يستوعبها الموجّه. لمنع استهلاك الموارد، من المهم تكوين بروتوكول التوجيه لتحديد استهلاك الموراد. وذلك ممكن باستخدام OSPF في حال استخدام ميزة "حماية الحمل الزائد لقاعدة بيانات حالة الارتباط".

يوضح هذا المثال تكوين ميزة "حماية الحمل الزائد لقاعدة بيانات حالة ارتباط OSPF":

موجه OSPF <process-id> max-lsa <maximum-number>

راجع تحديد عدد إعلانات حالة الارتباط المنشأة ذاتيًا لعملية OSPF للحصول على مزيد من المعلومات حول "حماية الحمل الزائد لقاعدة بيانات حالة ارتباط OSPF".

بروتوكولات تكرار النقلة الأولى الآمنة

توفر بروتوكولات تكرار الخطوة الأولى (FHRPs) مرونة وتكرار للأجهزة التي تعمل كعبّارات افتراضية. هذا الموقف وهذه البروتوكولات شائعة في البيئات التي يوفر فيها زوج من أجهزة الطبقة الثالثة وظيفة العبّارة الافتراضية لمقطع الشبكة أو مجموعة من شبكات VLAN التي تحتوي على خوادم أو محطات عمل.

بروتوكول موازنة حمل العبّارة (GLBP)، وبروتوكول موجّه الاستعداد السريع (HSRP)، وبروتوكول تكرار الموجّه الظاهري (VRRP) هي بروتوكولات تكرار الخطوة الأولى (FHRP). وبشكل افتراضي، تتصل هذه البروتوكولات بالاتصالات غير المصدّق عليها. ويمكن أن يتيح هذا النوع من الاتصال للمهاجم التظاهر بأنه جهاز يعمل ببروتوكول FHRP لأخذ دور العبّارة الافتراضية على الشبكة. سيتيح هذا الاستيلاء للمهاجم تنفيذ هجوم الدخيل واعتراض جميع حركة مرور المستخدم التي تخرج الشبكة.

لمنع هذا النوع من الهجوم، تتضمن جميع بروتوكولات تكرار الخطوة الأولى (FHRP) التي يدعمها برنامج Cisco IOS XE قدرة المصادقة باستخدام سلاسل النص أو MD5. ونظرًا لأن التهديد الذي تشكله بروتوكولات تكرار الخطوة الأولى (FHRPs) غير المصدّق عليها، يُوصى بأن تستخدم مثيلات هذه البروتوكولات مصادقة MD5. يوضح مثال التكوين هذا استخدام مصادقة GLBP وHSRP و‪VRRP MD5‬:

الواجهة FastEthernet 1

الوصف *** مصادقة GLBP ***

مصادقة MD5 الأساسية-string <glbp-secret>

glbp 1 ip 10.1.1.1

الواجهة FastEthernet 2

الوصف *** مصادقة HSRP ***

وضع الاستعداد 1 للمصادقة MD5 key-string <hsrp-secret>

وضع الاستعداد 1 ip 10.2.2.1 

الواجهة FastEthernet 3

الوصف *** مصادقة VRRP ***

مصادقة MD5 الأساسية-string <vrrp 1 <vrrp-secret>

VRRP 1 ip 10.3.3.1 

مستوى البيانات

وعلى الرغم من أن مستوى البيانات مسؤول عن نقل البيانات من المصدر إلى الوجهة، داخل سياق الأمان، فإن مستوى البيانات هو الأقل أهمية من المستويات الثلاثة. ولهذا السبب من المهم حماية مستويات الإدارة والتحكم في التفضيلات على مستوى البيانات عند تأمين جهاز شبكة.

ومع ذلك، في مستوى البيانات نفسه، يوجد العديد من الميزات وخيارات التكوين التي يمكنها المساعدة في تأمين حركة المرور. وتقوم هذه الأقسام بتفصيل هذه الميزات والخيارات التي يمكنك من خلالها تأمين الشبكة بسهولة أكبر.

تقوية مستوى البيانات العامة

تتدفق الغالبية العظمى لحركة مرور مستوى البيانات عبر الشبكة كما هو محدد بواسطة تكوين توجيه الشبكة. ومع ذلك، توجد وظيفة شبكة IP لتغيير مسار الحِزم عبر الشبكة. تشكل الميزات مثل خيارات IP، تحديدًا خيار توجيه المصدر، اختبار أمان في شبكات اليوم.

ويكون استخدام قوائم التحكم في الوصول إلى النقل ذا صلة أيضًا بزيادة مستوى البيانات.

راجع قسم حركة مرور النقل مع قوائم التحكم في الوصول إلى النقل في هذا المستند للحصول على مزيد من المعلومات.

الإسقاط الانتقائي لخيارات IP

هناك نوعان من المخاوف الأمنية التي تقدمها خيارات IP. يجب تحويل حركة المرور التي تحتوي على خيارات IP بواسطة أجهزة Cisco IOS XE، والتي يمكن أن تؤدي إلى حمل مرتفع لوحدة المعالجة المركزية. كما تتضمن خيارات IP وظيفة تغيير المسار الذي تسلكه حركة المرور عبر الشبكة، مما قد يسمح بتخريب عناصر التحكم في الأمان.

ونظرًا لهذه المخاوف، تمت إضافة أمر التكوين العام ‪ip options {drop‬ | ignore} إلى برنامج Cisco IOS XE الإصدار 16.6.4 والإصدارات الأحدث. في النموذج الأول من هذا الأمر، ip options drop، يتم إسقاط جميع حزم IP التي تحتوي على خيارات IP والتي يتم استقبالها بواسطة جهاز Cisco IOS XE. ويؤدي ذلك إلى منع حمل وحدة المعالجة المركزية المرتفع والتخريب المحتمل لعناصر التحكم الأمنية التي يمكن لبروتوكولات IP تمكينها.

ويكون النموذج الثاني من هذا الأمر، ip options ignore، جهاز Cisco IOS XE لتجاهل خيارات IP الموجودة في الحزم المستلمة. بينما يؤدي ذلك إلى تخفيف التهديدات المتعلقة بخيارات IP الخاصة بالجهاز المحلي، من الممكن أن تتأثر أجهزة تدفق البيانات من الخادم بوجود خيارات IP. ولهذا السبب يُوصى بشدة بنموذج drop لهذا الأمر. وهذا موضح في مثال التكوين:

إسقاط خيارات IP 

وبمجرد تمكين الإسقاط الانتقائي لخيارات IP، يمكن استخدام أمر EXEC ‫‪show ip traffic‬ لتحديد عدد الحِزم التي يتم إسقاطها بسبب وجود خيارات IP. هذه المعلومات موجودة في عداد الإسقاط الإجباري.

راجع الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول للحصول على مزيد من المعلومات حول هذه الميزة.

تعطيل توجيه مصدر IP

يستغل توجيه مصدر IP خيارات تسجيل المسار ومسار المصدر غير المُحكم في نفس الوقت أو مسار المصدر المقيد مع خيار تسجيل المسار لتمكين مصدر مخطط بيانات IP لتحديد مسار الشبكة الذي تسلكه الحزمة. يمكن استخدام هذه الوظيفة لمحاولات توجيه حركة المرور حول عناصر التحكم في الأمان في الشبكة.

إذا لم يتم تعطيل خيارات IP بالكامل بواسطة ميزة الإسقاط الانتقائي لخيارات IP، فمن المهم تعطيل توجيه مصدر IP. يتم تعطيل توجيه مصدر IP، والذي يتم تمكينه بشكل افتراضي في جميع إصدارات برنامج Cisco IOS XE، عبر أمر التكوين العام no ip source-route.

يوضح مثال التكوين هذا استخدام هذا الأمر:

لا يوجد ip source-route

تعطيل عمليات إعادة توجيه ICMP

يتم استخدام عمليات إعادة توجيه ICMP لإعلام جهاز الشبكة بمسار أفضل لوجهة IP. بشكل افتراضي، يرسل برنامج Cisco IOS XE إعادة توجيه إذا كان يستلم حزمة يجب توجيهها من خلال الواجهة التي تم استقبالها.

وفي بعض الحالات، قد يكون من الممكن أن يتسبب المهاجم في أن يرسل جهاز Cisco IOS XE العديد من رسائل إعادة توجيه ICMP، والتي ينتج عنها حمل مرتفع لوحدة المعالجة المركزية. ولهذا السبب، يُوصى بتعطيل عمليات إعادة توجيه ICMP للنقل. يتم تعطيل عمليات إعادة توجيه ICMP باستخدام أمر تكوين الواجهة ‪no ip redirects‬، كما هو موضح في مثال التكوين:

الواجهة FastEthernet 0

لا توجد عمليات إعادة توجيه IP

تعطيل عمليات بث IP الموجهة أو الحد منها

تتيح عمليات بث IP الموجهة إمكانية إرسال حزمة بث IP إلى شبكة IP فرعية بعيدة. وبمجرد وصولها إلى الشبكة البعيدة، يُرسل جهاز IP لإعادة التوجيه الحزمة كبث من الطبقة 2 إلى جميع المحطات الموجودة على الشبكة الفرعية. وقد تتم الاستفادة من وظيفة البث الموجه هذه كمساعدة للتضخيم والانعكاس في العديد من الهجمات التي تتضمن هجوم smurf.

وتحتوي الإصدارات الحالية من برنامج Cisco IOS XE على هذه الوظيفة معطلة بشكل افتراضي، ومع ذلك، يمكن تمكينها عبر أمر تكوين الواجهة ip directed-broadcast. وتحتوي إصدارات برنامج Cisco IOS XE التي تسبق الإصدار 12.0 على هذه الوظيفة الممكنة بشكل افتراضي.

إذا كانت الشبكة تتطلب وظيفة بث موجه تماما، يمكن التحكم في إستخدامها. ويمكن استخدام قائمة التحكم في الوصول كخيار لأمر ‪ip directed-broadcast‬. يحدد مثال التكوين هذا عمليات البث الموجهة إلى حِزم UDP هذه التي تنشأ في شبكة موثوق بها، ‪192.168.1.0/24‬:

السماح ل acess-list 100 udp 192.168.1.0.0.0.255 أي

الواجهة FastEthernet 0

ip directed-broadcast 100

تصفية حركة مرور بيانات العبور باستخدام قوائم التحكم في الوصول (ACLs) إلى العبور

من الممكن التحكم في حركة المرور التي تنقل الشبكة باستخدام قوائم التحكم في الوصول إلى النقل (tACLs). وهذا على عكس قوائم التحكم في الوصول للبنية الأساسية التي تسعى لتصفية حركة المرور الموجهة إلى الشبكة نفسها. والتصفية المُقدمة من قوائم التحكم في الوصول إلى النقل (tACLs) مفيدة عندما يُراد تصفية حركة المرور إلى مجموعة معينة من الأجهزة أو حركة المرور التي تنقل الشبكة.

يتم إجراء هذا النوع من التصفية بشكل تقليدي بواسطة جدران الحماية. ومع ذلك، هناك أمثلة حيث يمكن أن يكون من المفيد إجراء هذه التصفية على جهاز Cisco IOS XE في الشبكة، على سبيل المثال، حيث يجب إجراء التصفية ولكن لا يوجد جدار حماية.

قوائم التحكم في الوصول إلى النقل هي أيضًا مكان مناسب لتنفيذ أوجه الحماية الثابتة من الانتحال.

راجع قسم أوجه الحماية من الانتحال في هذا المستند للحصول على مزيد من المعلومات.

راجع قوائم التحكم في الوصول إلى النقل: التصفية في Edge للحصول على مزيد من المعلومات حول قوائم التحكم في الوصول إلى النقل (tACLs).

تصفية حزم ICMP

تم تصميم بروتوكول رسائل التحكم في الإنترنت (ICMP) كبروتوكول تحكم لـ IP. على هذا النحو، يمكن أن يكون للرسائل التي تنقلها تشعبات بعيدة المدى على بروتوكولات TCP و IP بشكل عام. يتم إستخدام ICMP بواسطة أدوات أستكشاف أخطاء الشبكة وإصلاحها الأمر ping و traceroute، بالإضافة إلى اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار، ومع ذلك، نادرا ما يكون اتصال ICMP الخارجي ضروريا للتشغيل السليم للشبكة.

يوفر برنامج Cisco IOS XE الوظائف اللازمة لتصفية رسائل ICMP على وجه التحديد حسب الاسم أو النوع والرمز. يتيح مثال قائمة التحكم في الوصول هذا لـ ICMP من الشبكات الموثوق بها أثناء حظر جميع حِزم ICMP من مصادر أخرى:

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

— السماح بحزم ICMP من الشبكات الموثوق بها فقط

السماح بمضيف ICMP <الشبكات الموثوق بها> أي

— رفض جميع حركة مرور IP الأخرى إلى أي جهاز شبكة

رفض أي ICMP

تصفية أجزاء IP

وكما هو موضح مسبقًا في قسم حد الوصول إلى الشبكة باستخدام قوائم التحكم في الوصول للبنية الأساسية في هذا المستند، يمكن أن تطرح تصفية حِزم IP التي تمت تجزئتها تحديًا في أجهزة الأمان.

نظرًا للطبيعة غير السهلة للتعامل مع الأجزاء، غالبًا ما يتم السماح بأجزاء IP بشكل غير مقصود بواسطة قوائم التحكم في الوصول. غالبًا ما يتم استخدام التجزئة أيضًا في محاولات التهرب من الكشف بواسطة أنظمة كشف التسلل. ولهذه الأسباب، غالبا ما يتم إستخدام أجزاء IP في الهجمات، ويمكن تصفيتها بشكل صريح في الجزء العلوي من أي قوائم التحكم في الوصول إلى النقل مكونة.

تتضمن قائمة التحكم في الوصول (ACL) التصفية الشاملة لأجزاء IP. يجب استخدام الوظيفة الموضحة في هذا المثال بالاقتران مع وظيفة الأمثلة السابقة.

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

— رفض أجزاء IP التي تستخدم وحدات ACE الخاصة بالبروتوكول للمساعدة في

— تصنيف حركة مرور الهجمات

رفض TCP أي أجزاء

رفض أي أجزاء UDP

رفض ICMP أي أجزاء

رفض ip أي أجزاء

ارجع إلى معالجة قائمة الوصول للأجزاء للحصول على مزيد من المعلومات حول معالجة قائمة التحكم في الوصول لحزم IP المجزأة.

دعم قائمة التحكم في الوصول (ACL) لتصفية خيارات IP

في الإصدار 16.6.4 من البرنامج Cisco IOS XE والإصدارات الأحدث، يدعم برنامج Cisco IOS XE إستخدام قوائم التحكم في الوصول إلى تصفية حزم IP استنادا إلى خيارات IP المضمنة في الحزمة. يمكن أن يشير وجود خيارات IP داخل الحزمة إلى محاولة تخريب عناصر التحكم في الأمان في الشبكة أو تغيير خصائص عبور الحزمة بطريقة خلاف ذلك. ولهذه الأسباب يمكن تصفية الحزم المزودة بخيارات IP عند حافة الشبكة.

يجب استخدام هذا المثال مع المحتوى من الأمثلة السابقة لتضمين التصفية الكاملة لحِزم IP التي تحتوي على خيارات IP:

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

— رفض حزم IP التي تحتوي على خيارات IP

رفض ip أي خيار أي خيارات

عمليات الحماية من انتحال الهوية

تستخدم العديد من الهجمات انتحال عنوان IP للمصدر ليكون فعالاً أو لإخفاء المصدر الحقيقي للهجوم ويعيق traceback الدقيق. يوفر برنامج Cisco IOS XE واقي مصدر IP (IPSG) وإعادة توجيه المسار العكسي (RPF) للبث الأحادي لمنع الهجمات التي تعتمد على انتحال عنوان IP للمصدر. وبالإضافة إلى ذلك، غالبًا ما يتم نشر قوائم التحكم في الوصول والتوجيه الفارغ كوسائل يدوية لمنع الانتحال.

يعمل واقي مصدر IP على تقليل الانتحال للشبكات تحت التحكم الإداري المباشر عن طريق تنفيذ منفذ المحول وعنوان MAC والتحقق من عنوان المصدر. توفر إعادة توجيه المسار العكسي (RPF) للبث الأحادي التحقق من شبكة المصدر ويمكنها تقليل الهجمات المنتحلة من الشبكات التي لا تكون تحت التحكم الإداري المباشر. يمكن استخدام أمان المنفذ للتحقق من صحة عناوين MAC في طبقة الوصول. يحد الفحص الديناميكي لبروتوكول تحليل العنوان (ARP) ‫(DAI)‬ من موجهات الهجمات التي تستخدم تسميم ARP على المقاطع المحلية.

إعادة توجيه المسار العكسي (RPF) للبث الأحادي

تمكن إعادة توجيه المسار العكسي (RPF) للبث الأحادي الجهاز من التحقق من إمكانية الوصول إلى عنوان المصدر للحزمة المُعاد توجيهها عبر الواجهة التي تلقت الحزمة. يجب ألا تعتمد على إعادة توجيه المسار العكسي (RPF) للبث الأحادي كحماية وحيدة من الانتحال. يمكن للحزم المنتحلة الدخول في الشبكة من خلال واجهة إعادة توجيه المسار العكسي (RPF) للبث الأحادي في حال وجود مسار إرجاع مناسب إلى عنوان IP للمصدر. تعتمد إعادة توجيه المسار العكسي (RPF) للبث الأحادي عليك لتمكين إعادة توجيه ‪Cisco Express‬ على كل جهاز وتكوينه على أساس كل واجهة.

يمكن تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي في أحد الوضعين: غير مُحكم أو مقيد. في الحالات التي يكون فيها التوجيه غير المتماثل، يُفضل الوضع غير المحكم لأن الوضع المقيد معروف بإسقاط الحِزم في هذه المواقف. أثناء تكوين أمر تكوين واجهة ‪ip verify‬، تكوّن الكلمة الأساسية any الوضع غير المحكم بينما تكوّن الكلمة الأساسية rx الوضع المقيد.

يوضح هذا المثال تكوين هذه الميزة:

ip cef

الواجهة <interface>

ip verify unicast source reachable-via <mode>

راجع فهم إعادة توجيه المسار العكسي للبث الأحادي للحصول على مزيد من المعلومات حول تكوين إعادة توجيه المسار العكسي (RPF) للبث الأحادي واستخدامها.

واقي مصدر بروتوكول الإنترنت

يعد واقي مصدر بروتوكول الإنترنت وسيلة فعالة لمنع الانتحال الذي يمكن استخدامه إذا قمت بالتحكم في واجهات الطبقة 2. يستخدم واقي مصدر بروتوكول الإنترنت معلومات من التطفل على بروتوكول DHCP لتكوين قائمة التحكم في الوصول إلى المنفذ (PACL) بشكل ديناميكي على واجهة الطبقة 2، مع رفض أي حركة مرور من عناوين IP غير المقترنة بجدول ربط مصدر IP.

يمكن تطبيق واقي مصدر بروتوكول الإنترنت على واجهات الطبقة 2 التي تنتمي إلى شبكات VLAN التي تم تمكين التطفل على بروتوكول DHCP عليها. تمكن هذه الأوامر التطفل على بروتوكول DHCP:

ip dhcp snooping

ip dhcp snooping vlan <vlan-range>

يمكن تمكين أمان المنفذ باستخدام أمر تكوين واجهة ‪ip verify source port security‬. يتطلب هذا أمر التكوين العام ip dhcp snooping information option؛ وبالإضافة إلى ذلك، يجب أن يدعم خادم DHCP خيار DHCP ‫82‬.

راجع واقي مصدر بروتوكول الإنترنت للحصول على مزيد من المعلومات حول هذه الميزة.

أمان المنفذ

يُستخدم أمان المنفذ للحد من انتحال عنوان MAC في واجهة الوصول. يمكن أن يستخدم أمان المنفذ عناوين MAC (لاصق) التي تم التعرف عليها ديناميكيًا لتسهيل التكوين الأولي. وبمجرد تحديد أمان المنفذ لانتهاك MAC، يمكن أن يستخدم أحد أوضاع الانتهاك الأربعة. وتحمي هذه الأوضاع شبكة VLAN، وتقيدها، وتوقف تشغيلها. في الحالات التي يوفر فيها المنفذ الوصول إلى محطة عمل واحدة فقط باستخدام البروتوكولات القياسية، قد يكون الحد الأقصى لعدد إحداها كافيًا. لا تعمل البروتوكولات التي تستغل عناوين MAC الظاهرية مثل HSRP عند تعيين الحد الأقصى للعدد على واحد.

قارن <interface> switchport

الوصول إلى وضع Switchport

switchport-security

switchport-security mac-address لاصق

switchport-security الحد الأقصى <number>

switchport-security انتهاك <violation-mode>

راجع تكوين أمان المنفذ للحصول على مزيد من المعلومات حول تكوين أمان المنفذ.

قوائم التحكم في الوصول (ACLs) المضادة لانتحال الهوية

يمكن أن توفر قوائم التحكم في الوصول المكوّنة يدويًا حماية ثابتة من الانتحال ضد الهجمات التي تستخدم مساحة عناوين معروفة غير مستخدمة وغير موثوقة. وبشكل عام، يتم تطبيق قوائم التحكم في الوصول المضادة للانتحال هذه لدخول حركة المرور في حدود الشبكة كأحد مكونات قوائم التحكم في الوصول الأكبر. تتطلب قوائم التحكم في الوصول المضادة للانتحال مراقبة منتظمة لأنه يمكن أن تتغير بشكل متكرر. يمكن تقليل الانتحال في حركة المرور التي تنشأ من الشبكة المحلية إذا قمت بتطبيق قوائم التحكم في الوصول الصادرة التي تحد من حركة المرور إلى العناوين المحلية الصالحة.

يوضح هذا المثال كيف يمكن استخدام قوائم التحكم في الوصول للحد من انتحال عناوين IP. يتم تطبيق قائمة التحكم في الوصول هذه بالداخل على الواجهة المطلوبة. لا تعد وحدات ACE التي تشكل قائمة التحكم في الوصول هذه شاملة. إذا قمت بتكوين هذه الأنواع من قوائم التحكم في الوصول، فابحث عن مرجع حديث يكون حاسمًا.

ACL-Anti-spoof-IN الموسع لقائمة الوصول إلى IP

رفض ip 10.0.0.0.0.255.255.255 أي

رفض IP 192.168.0.0.0.255.255 أي

الواجهة <interface>

ACL-Anti-spoof-in لمجموعة وصول IP في

ارجع إلى تكوين قوائم التحكم في الوصول إلى IPv4 للحصول على مزيد من المعلومات حول كيفية تكوين قوائم التحكم في الوصول.

الحد من تأثير وحدة المعالجة المركزية (CPU) لحركة مرور مستوى البيانات

والغرض الأساسي من الموجهات والمحولات هو إعادة توجيه الحِزم والإطارات من خلال الجهاز الموجود في الوجهة النهائية. ويمكن أن تؤثر هذه الحِزم، والتي تقوم بنقل الأجهزة المنشورة عبر الشبكة، إلى عمليات وحدة المعالجة المركزية الخاصة بالجهاز. يمكن تأمين مستوى البيانات الذي يتكون من حركة مرور تنقل جهاز الشبكة لضمان تشغيل مستويات الإدارة والتحكم. إذا كان من الممكن أن تتسبب حركة مرور النقل في أن يعالج الجهاز حركة مرور المحول، يمكن أن يتأثر مستوى التحكم في الجهاز مما يمكن أن يؤدي إلى الاحتمالات التشغيلية.

الميزات وأنواع حركة مرور البيانات التي تؤثر على وحدة المعالجة المركزية (CPU)

وعلى الرغم من أن هذه القائمة شاملة، فهي تتضمن أنواع حركة مرور مستوى البيانات الذي يتطلب معالجة وحدة المعالجة المركزية الخاصة ويتم تحويلها للعملية بواسطة وحدة المعالجة المركزية (CPU):

1. تسجيل قائمة التحكم في الوصول - تتكون حركة مرور تسجيل قائمة التحكم في الوصول من أي حِزم يتم إنشاؤها بسبب مطابقة (السماح أو الرفض) ACE حيث يتم استخدام الكلمة الأساسية log.
2. إعادة توجيه المسار العكسي (RPF) للبث الأحادي - يمكن أن ينتج عن Unicast RPF، المستخدم بالارتباط مع قائمة التحكم في الوصول، تحويل العمليات لبعض الحزم.
3. خيارات IP - يجب أن تتم معالجة أي حِزم IP بخيارات مُضمنة بواسطة وحدة المعالجة المركزية.
4. التجزئة - يجب تمرير أي حزمة IP تتطلب التجزئة إلى وحدة المعالجة المركزية لمعالجتها.
5. انتهاء صلاحية فترة البقاء (TTL) - تتطلب الحِزم التي تحتوي على قيمة TTL أقل من أو تساوي واحد الرسائل (نوع ICMP 11، الرمز 0) التي تتجاوز وقت بروتوكول رسالة التحكم في الإنترنت التي سيتم إرسالها، مما ينتج عنه معالجة وحدة المعالجة المركزية.
6. ICMP الذي يتعذّر الوصول إليه - تتم معالجة الحِزم التي ينتج عنها رسائل ICMP الذي يتعذّر الوصول إليه بسبب التوجيه، أو MTU، أو التصفية بواسطة وحدة المعالجة المركزية.
7. حركة المرور التي تتطلب طلب ARP - الوجهات التي من أجلها يكون إدخال ARP غير الموجود مطلوبًا وتتم المعالجة بواسطة وحدة المعالجة المركزية.
8. حركة مرور غير خاصة بـ IP - تتم معالجة جميع حركات المرور غير الخاصة بـ IP بواسطة وحدة المعالجة المركزية.
   
   راجع قسم زيادة مستوى البيانات العامة في هذا المستند للحصول على مزيد من المعلومات حول زيادة مستوى البيانات.

التصفية على قيمة TTL

يمكنك إستخدام دعم قائمة التحكم في الوصول للتصفية في ميزة قيمة TTL، المقدمة في برنامج Cisco IOS XE الإصدار 16.6.4، في قائمة وصول IP الموسعة لتصفية الحزم بناء على قيمة TTL. ويمكن استخدام هذه الميزة لحماية الجهاز الذي يستقبل حركة مرور النقل حيث تكون قيمة TTL صفر أو واحد. كما يمكن إستخدام حزم التصفية التي تستند إلى قيم TTL لضمان أن قيمة TTL ليست أقل من قطر الشبكة، وبالتالي فإنها تحمي مستوى التحكم بأجهزة البنية الأساسية لتدفق البيانات من الخادم من هجمات انتهاء صلاحية TTL.

يقوم مثال قائمة التحكم في الوصول هذا بإنشاء سياسة تعمل على تصفية حِزم IP حيث تكون قيمة TTL أقل من 6.

— إنشاء سياسة قائمة التحكم في الوصول (ACL) التي تعمل على تصفية حزم IP بقيمة TTL.

— أقل من 6 

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

رفض ip أي TTL lt 6

السماح ip any

— تطبيق قائمة الوصول على الواجهة في إتجاه المدخل.

واجهة GigabitEthernet 0/0

إدخال ACL-العبور ل IP access-group

ارجع إلى تخفيف وتعريف هجوم انتهاء صلاحية TTL للحصول على مزيد من المعلومات حول تصفية الحِزم استنادًا إلى قيمة TTL.

راجع دعم قائمة التحكم في الوصول للتصفية على قيمة TTL للحصول على مزيد من المعلومات حول هذه الميزة.

التصفية على وجود خيارات IP

في برنامج Cisco IOS XE الإصدار 16.6.4 والإصدارات الأحدث، يمكنك إستخدام دعم قائمة التحكم في الوصول لميزة خيارات IP للتصفية في قائمة وصول IP المسماة والموسعة لتصفية حزم IP باستخدام خيارات IP الموجودة. كما يمكن إستخدام حزم IP للتصفية التي تستند إلى وجود خيارات IP لمنع مستوى التحكم لأجهزة البنية الأساسية من الاضطرار إلى معالجة هذه الحزم في مستوى وحدة المعالجة المركزية.

كما يمكن ملاحظة أنه لا يمكن أن يعمل RSVP، وهندسة حركة مرور تحويل التسمية متعدد البروتوكولات، و IGMP الإصدار 2 و 3، والبروتوكولات الأخرى التي تستخدم حزم خيارات IP، بشكل صحيح إذا تم إسقاط الحزم الخاصة بهذه البروتوكولات. إذا كانت هذه البروتوكولات قيد الاستخدام في الشبكة، يمكن إستخدام دعم قائمة التحكم في الوصول لتصفية خيارات IP؛ ومع ذلك، يمكن أن تسقط ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول حركة المرور هذه ولا يمكن لهذه البروتوكولات العمل بشكل صحيح. إذا لم توجد بروتوكولات قيد الاستخدام تتطلب خيارات IP، فإن ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول هي الطريقة المُفضلة لإسقاط هذه الحِزم.

يقوم مثال قائمة التحكم بالوصول هذا بإنشاء سياسة تقوم بتصفية حِزم IP التي تحتوي على أي من خيارات IP:

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

رفض ip أي خيار أي خيارات

السماح ip any

واجهة GigabitEthernet 0/0

إدخال ACL-العبور ل IP access-group

يوضح هذا المثال لقائمة التحكم في الوصول سياسة تقوم بتصفية حِزم IP بخمسة خيارات محددة من خيارات IP. يتم رفض الحِزم التي تحتوي على هذه الخيارات:

1. 0 نهاية قائمة الخيارات (eool)
2. 7 تسجيل المسار (record-route)
3. 68 الطابع الزمني (timestamp)
4. 131 - مسار المصدر غير المحكم (lsr)
5. 137 - مسار المصدر المقيد (ssr)
   
   

الوصول إلى قائمة الوصول الموسعة ACL-Transport-In ل IP

رفض ip أي خيار eool

رفض ip أي خيار record-route

رفض ip أي طابع زمني للخيار

رفض ip أي خيار lsr

رفض ip أي خيار ssr

السماح ip any

واجهة GigabitEthernet 0/0

إدخال ACL-العبور ل IP access-group

راجع قسم زيادة مستوى البيانات العامة في هذا المستند للحصول على مزيد من المعلومات حول ميزة الإسقاط الانتقائي لخيارات IP لقائمة التحكم في الوصول.

هناك ميزة أخرى في برنامج Cisco IOS XE يمكن إستخدامها لتصفية الحزم باستخدام خيارات IP هي CoPP. في برنامج Cisco IOS XE الإصدار 16.6.4 والإصدارات الأحدث، تسمح ميزة CoPP للمسؤول بتصفية تدفق حركة المرور الخاصة بحزم مستوى التحكم. يمكن للجهاز الذي يدعم دعم CoPP وقائمة التحكم في الوصول لتصفية خيارات IP، المقدمة في إصدار برنامج Cisco IOS XE الإصدار 16.6.4، إستخدام سياسة قائمة الوصول لتصفية الحزم التي تحتوي على خيارات IP.

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود أي من خيارات IP:

ip access-list extended ACL-IP-options-any

السماح للip بأي خيار أي خيارات

فئة خيارات ACL-IP لخريطة الفئة

مطابقة اسم مجموعة الوصول ACL-IP-Options-Any

سياسة CoPP - خريطة السياسة

ACL-IP-options-class

شرطة 80000 مطابقة للبث تفوق الإسقاط

مستوى التحكم

سياسة إدخال CoPP الخاصة بسياسة سياسة سياسة سياسة الإدخال إلى سياسة الخدمة !

تقوم سياسة CoPP هذه بإسقاط حِزم النقل التي يتم استقبالها بواسطة جهاز عند وجود خيارات IP هذه:

1. 0 نهاية قائمة الخيارات (eool)
2. 7 تسجيل المسار (record-route)
3. 68 الطابع الزمني (timestamp)
4. 131 مسار المصدر غير المحكم (lsr)
5. 137 - مسار المصدر المقيد (ssr)
   
   

خيارات قائمة التحكم في الوصول الموسعة ACL-IP ل IP-list

السماح للip بأي خيار eool

أي خيار لسجل المسار المسموح به للip

السماح ل IP بأي طابع زمني للخيار

السماح ل ip بأي خيار lsr

السماح للip بأي خيار ssr

فئة خيارات ACL-IP لخريطة الفئة

خيارات ACL-IP لاسم مجموعة الوصول المطابقة

سياسة CoPP - خريطة السياسة

ACL-IP-options-class

شرطة 80000 مطابقة للبث تفوق الإسقاط

مستوى التحكم

CoPP-Policy لإدخال سياسة الخدمة

في سياسات CoPP السابقة، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحزم بالإجراء المسموح به هذه الحزم التي يتم التخلص منها من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

راجع نشر تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول ميزة CoPP.

حماية مستوى التحكم

في برنامج Cisco IOS XE الإصدار 16.6.4 والإصدارات الأحدث، يمكن إستخدام حماية مستوى التحكم (CPPr) لتقييد أو تنظيم حركة مرور مستوى التحكم بواسطة وحدة المعالجة المركزية لجهاز Cisco IOS XE. وعلى الرغم من التشابه مع CoPP، فإن تتميز حماية مستوى التحكم بالقدرة على تقييد حركة المرور التي تستخدم عدة مستويات أكثر دقة من CoPP أو تنظيمها. تعمل حماية مستوى التحكم على تقسيم مستوى التحكم في التجميع إلى ثلاث فئات منفصلة لمستوى التحكم المعروفة باسم الواجهات الفرعية: توجد الواجهات الفرعية للمضيف والنقل واستثناء إعادة التوجيه السريع من Cisco ‫(CEF).

تسقط سياسة حماية مستوى التحكم هذه الحِزم العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL أقل من 6 والحزم العابرة وغير العابرة المستلمة بواسطة جهاز حيث تكون قيمة TTL صفر أو واحد. كما تقوم سياسة حماية مستوى التحكم بإسقاط الحِزم بخيارات IP المحددة التي يتم استقبالها بواسطة الجهاز.

ip access-list extended ACL-IP-TTL-0/1

السماح ب أي TTL eq 0 1

قائمة التحكم في الوصول (ACL) إلى IP-TTL-0/1-Class-Map

مطابقة اسم مجموعة الوصول ACL-IP-TTL-0/1

ip access-list extended ACL-IP-TTL-LOW

السماح ب أي TTL LT 6

قائمة التحكم في الوصول (ACL)-IP-TTL-Low-Class لخريطة الفئة

مطابقة اسم مجموعة الوصول ACL-IP-TTL-LOW

خيارات قائمة التحكم في الوصول الموسعة ACL-IP ل IP-list

السماح للip بأي خيار eool

أي خيار لسجل المسار المسموح به للip

السماح ل IP بأي طابع زمني للخيار

السماح ل ip بأي خيار lsr

السماح للip بأي خيار ssr

فئة خيارات ACL-IP لخريطة الفئة

خيارات ACL-IP لاسم مجموعة الوصول المطابقة

policy-map cpr-cef-exception-policy

ACL-IP-TTL-0/1-class

الشرطة 80000 انقطاعا

ACL-IP-options-class

الشرطة 8000 إسقاط الإجراءات

policy-map cpr-transport-policy

الفئة ACL-IP-TTL-Low-Class

الشرطة 8000 إسقاط الإجراءات

عبور مستوى التحكم

CPPr-transport-policy لإدخال سياسة الخدمة

في سياسة حماية مستوى التحكم السابقة، ينتج عن إدخالات قائمة التحكم في الوصول التي تطابق الحِزم بالإجراء المسموح به هذه الحِزم التي يتم التخلص منها من خلال وظيفة إسقاط خريطة السياسة، بينما لا تتأثر الحِزم التي تطابق إجراء الرفض (غير معروض) بوظيفة إسقاط خريطة السياسة.

ارجع إلى تنظيم مستوى التحكم للحصول على مزيد من المعلومات حول ميزة حماية مستوى التحكم (CPPr).

تحديد حركة المرور وTraceback

وفي بعض الأحيان، تحتاج إلى التعرف بسرعة على حركة مرور الشبكة و traceback، وخاصة أثناء إستجابة الحدث أو أداء الشبكة الضعيف. قوائم التحكم في الوصول للتصنيف و NetFlow هما الطريقتان الأساسيتان للقيام بذلك باستخدام برنامج Cisco IOS XE. يمكن أن يوفر NetFlow إمكانية رؤية لجميع حركات المرور على الشبكة. وبالإضافة إلى ذلك، يمكن تنفيذ NetFlow باستخدام أدوات التجميع التي يمكنها توفير التحليل التلقائي وبتوجيه طويلة المدى. قوائم التحكم في الوصول للتصنيف هي مكوّن في قوائم التحكم في الوصول وتتطلب تخطيطًا مسبقًا لتحديد حركة مرور معينة والتدخل اليدوي أثناء التحليل. وتوفر هذه الأقسام نظرة عامة مختصرة على كل ميزة.

Netflow

يحدد NetFlow نشاط الشبكة المرتبط بالأمان ومجهول الهوية عن طريق تعقب تدفقات الشبكة. يمكن عرض بيانات NetFlow وتحليلها عبر واجهة سطر الأوامر، أو يمكن تصدير البيانات إلى مجمّع NetFlow تجاري أو مجاني للتجميع والتحليل. ويمكن أن توفر أدوات تجميع NetFlow، من خلال التوجيه طويلة المدى، سلوك الشبكة وتحليل الاستخدام. يعمل NetFlow عن طريق إجراء تحليل على سمات معينة داخل حِزم IP وإنشاء التدفقات. الإصدار 5 هو الإصدار الأكثر استخدامًا من NetFlow، ومع ذلك، الإصدار 9 هو الأكثر شمولية. يمكن إنشاء تدفقات NetFlow باستخدام بيانات حركة المرور النموذجية في بيئات كبيرة الحجم.

إعادة التوجيه السريع (CEF)، أو إعادة التوجيه السريع الموزّعة، ضرورية لتمكين NetFlow. يمكن تكوين NetFlow على الموجهات والمحولات.

يوضح هذا المثال تكوين هذه الميزة الأساسي. في الإصدارات السابقة من برنامج Cisco IOS XE، يكون الأمر لتمكين NetFlow على الواجهة هو ip route-cache flow بدلا من ip flow {ingress | egress}.

ip flow-export غاية <ip-address> <udp-port>

ip flow-export version <version>

الواجهة <interface>

ip flow <ingess|egress>

هذا مثال على إخراج NetFlow من واجهة سطر الأوامر. يمكن أن تساعد سمة SrcIf في traceback.

توزيع حجم حزمة IP لتدفق ذاكرة التخزين المؤقت ل Router#show ip (إجمالي الحزم 26662860):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480

.741.047.006.005.005.002.008.000.003.000.001.000.000

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000.000.001.007.039.000.000.000.000.000.000

ذاكرة التخزين المؤقت لتحويل تدفق IP، 4456704 بايت

55 نشط، 65481 غير نشط، 1014683 مضاف

41000680 إستطلاعات رأي هزيلة و 0 حالات فشل سبكة التدفق

مهلة التدفقات النشطة في دقيقتين

مهلة التدفقات غير النشطة في 60 ثانية

ذاكرة التخزين المؤقت لتدفق IP الفرعي، 336520 بايت

110 نشط، 16274 غير نشط، 2029366 مضاف، 1014683 مضاف إلى التدفق

عدم إستجابة ٪0، عدم فرض أية قيود على عدد 1 جزء، إضافة إلى 15 جزء تمت إضافة آخر عملية مسح للإحصائيات على الإطلاق

إجمالي البروتوكول يعمل على تدفق الحزم بالبايت للحزم النشطة (الثانية) في وضع الخمول (الثانية)

— التدفقات /sec /flow /pkt /sec /flow /flow

TCP-Telnet 11512 0.0 15 42 0.2 33.8 44.8

TCP-FTP 5606 0.0 3 45 0.0 59.5 47.1

TCP-FTPD 1075 0.0 13 52 0.0 1.2 61.1

TCP-WWW 77155 0.0 11 530 1.0 13.9 31.5

TCP-SMTP 8913 0.0 2 43 0.0 74.2 44.4

TCP-X 351 0.0 2 40 0.0.0 60.8

TCP-BGP 114 0.0 1 40 0.0.0 62.4

TCP-NNTP 120 0.0 1 42 0.0 0.7 61.4

بروتوكول TCP-Other 556070 0.6 8 318 6.0 8.2 38.3

UDP-DNS 130909 0.1 2 55 0.3 24.0 53.1

UDP-NTP 116213 0.1 1 75 0.1 5.0 58.6

UDP-TFTP 169 0.0 3 51 0.0 15.3 64.2

UDP-Frag 1 0.0 1405 0.0.0 86.8

UDP-Other 86247 0.1 226 29 24.0 31.4 54.3

ICMP 19989 0.0 37 33 0.9 26.0 53.9

IP-other 193 0.0 1 22 0.0 3.0 78.2

المجموع: 1014637 1-2 26 99 32-8 13-8 43-9

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP dstP PKTS

Gi0/1 192.168.128.21 محلي 192.168.128.20 11 CB2B 07AF 3

Gi0/1 192.168.150.60 Gi0/0 10.89.17.146 06 0016 101F 55

Gi0/0 10.89.17.146 Gi0/1 192.168.150.606 101F 0016 9

Gi0/1 192.168.150.60 محلي 192.168.206.20 01 0000 0303 11

Gi0/0 10.89.17.146 Gi0/1 192.168.150.60 06 07F1 0016 1

ارجع إلى NetFlow المرن للحصول على مزيد من المعلومات حول إمكانيات NetFlow.

قوائم التحكم في الوصول (ACLs) إلى التصنيف

توفر قوائم التحكم في الوصول إلى التصنيفات إمكانية رؤية لحركة المرور التي تجتاز الواجهة. لا تغير قوائم التحكم في الوصول إلى التصنيفات سياسة الأمان للشبكة ويتم إنشاؤها عادةً لتصنيف البروتوكولات الفردية أو عناوين المصدر أو الوجهات. وعلى سبيل المثال، ACE الذي يسمح بفصل حركة المرور في بروتوكولات أو منافذ معينة. ويمكن أن يساعد هذا التصنيف متعدد المستويات بشكل أكبر لحركة المرور في وحدات ACE المحددة في توفير فهم لحركة مرور الشبكة نظرًا لأن كل فئة من فئات حركه المرور تحتوي على عداد الدخول الخاص بها. كما يمكن أن يفصل المسؤول الرفض الضمني في نهاية قائمة التحكم في الوصول إلى وحدات ACE متعددة المستويات للمساعدة في تحديد أنواع حركة المرور المرفوضة.

يمكن أن يقوم المسؤول بتسريع إستجابة الحدث باستخدام قوائم التحكم في الوصول إلى التصنيفات باستخدام أوامر EXEC show access-list وclear ip access-list counters.

يوضح هذا المثال تكوين قائمة التحكم في الوصول إلى التصنيفات لتحديد حركة مرور SMB قبل الرفض الافتراضي:

ACL-SMB-تصنيف موسع لقائمة الوصول إلى ip-list

ملاحظة المحتويات الموجودة لقائمة التحكم في الوصول (ACL)

تصنيف الملاحظات لحركة مرور TCP الخاصة ب SMB

رفض بروتوكول TCP أي بروتوكول EQ 139

رفض TCP أي EQ 445

رفض ip any

لتحديد حركة المرور التي تستخدم قائمة التحكم في الوصول إلى التصنيفات، أستخدم اسم قائمة التحكم في الوصول (ACL) show access-list

أمر EXEC. يمكن مسح عدادات قائمة التحكم في الوصول باستخدام أمر EXEC clear ip access-list counters aclname.

الموجه#show access-list acl-smb-يصنف قائمة الوصول إلى IP الموسعة ACL-SMB-CLASSIFIED

10 رفض بروتوكول TCP لأي بروتوكول EQ 139 (10 تطابقات)

20 رفض بروتوكول TCP أي بروتوكول EQ 445 (9 تطابقات)

30 رفض ip any (184 نتيجة مطابقة)

راجع فهم تسجيل قائمة التحكم في الوصول للحصول على مزيد من المعلومات حول كيفية تمكين إمكانيات التسجيل داخل قوائم التحكم في الوصول.

التحكم في الوصول باستخدام قوائم التحكم في الوصول للمنفذ (PACLs)

يمكن تطبيق قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) فقط على الاتجاه الوارد فقط على الواجهات المادية للطبقة 2 من المحول. وكما هو الحال مع خرائط VLAN، توفر قوائم التحكم في الوصول الخاصة بالمنفذ (PACL) التحكم في الوصول على حركة المرور غير الموجهة أو حركة مرور الطبقة 2. تكون الصياغة لإنشاء قوائم التحكم في الوصول الخاصة بالمنفذ (PACL)، مما يعطي الأولوية على خرائط VLAN وقوائم التحكم في الوصول للموجّه، هي نفسها لقوائم التحكم في الوصول للموجّه. إذا تم تطبيق قائمة التحكم في الوصول على واجهة الطبقة 2، حينئذٍ تتم الإشارة إليها باسم قائمة التحكم في الوصول الخاصة بالمنفذ (PACL).

يتضمن التكوين إنشاء قائمة التحكم بالوصول الخاصة ببروتوكول IPv4 أو IPv6 أو MAC وتطبيقها على واجهة الطبقة 2.

يستخدم هذا المثال قائمة الوصول المسماة والموسّعة لتوضيح تكوين هذه الميزة:

يسمح ip access-list extended <acl-name> <protocol> <source-address> <source-port> <destination-address> <destination-port> !

قارن <type> <slot/port> switchport mode access switchport access vlan <vlan_number> ip access-group <acl-name> في !

راجع قسم قائمة التحكم في الوصول الخاصة بالمنفذ من تكوين أمان الشبكة باستخدام قوائم التحكم في الوصول الخاصة بالمنفذ للحصول على مزيد من المعلومات حول تكوين خرائط قوائم التحكم في الوصول الخاصة بالمنفذ (PACL).

شبكات VLAN المعزولة

يمنع تكوين شبكة VLAN الثانوية كشبكة VLAN معزولة بشكل كامل الاتصال بين الأجهزة في شبكة VLAN الثانوية. يمكن أن تكون هناك شبكة VLAN معزولة واحدة فقط لكل شبكة VLAN أساسية، ويمكن للمنافذ المختلطة فقط الاتصال بالمنافذ في شبكة VLAN المعزولة. يمكن استخدام شبكات VLAN المعزولة على الشبكات غير الموثوقة مثل الشبكات التي تدعم الضيوف.

يقوم مثال التكوين هذا بتكوين شبكة VLAN 11 كشبكة VLAN معزولة وربطها بشبكة VLAN الأساسية، VLAN 20. كما يقوم هذا المثال بتكوين الواجهة FastEthernet 1/1 كمنفذ معزول في شبكة VLAN 11:

vlan 11 private-vlan يعزل

vlan 20 private-vlan أساسي خاص-vlan اقتران 11

قارن FastEthernet 1/1 وصف *** ميناء في يعزل VLAN *** switchport mode private-vlan مضيف switchport private-vlan host-association 20 11

شبكات VLAN المجتمعية

تسمح شبكة VLAN الثانوية التي تم تكوينها كشبكة VLAN مجتمعية بالاتصال بين أعضاء شبكة VLAN وكذلك المنافذ المختلطة في شبكة VLAN الأساسية. ومع ذلك، لا يمكن إجراء أي اتصال بين أي من شبكتي VLAN المجتمعيتين أو من شبكة VLAN المجتمعية إلى شبكة VLAN المعزولة. يجب استخدام شبكات VLAN المجتمعية لتجميع الخوادم التي تحتاج إلى الاتصال ببعضها البعض، ولكن في حال كان الاتصال بجميع الأجهزة الأخرى في شبكة VLAN غير مطلوب. وهذا السيناريو شائع في شبكة يمكن الوصول إليها بشكل عام أو في أي مكان توفر فيه الخوادم محتوى إلى عملاء غير موثوق بهم.

يقوم هذا المثال بتكوين شبكة VLAN مجتمعية واحدة ويقوم بتكوين منفذ المحول ‪FastEthernet 1/2‬ كعضو في شبكة VLAN هذه. شبكة VLAN المجتمعية، شبكة VLAN 12، هي شبكة VLAN الثانوية لشبكة VLAN 20 الأساسية.

شبكة VLAN 12 مجتمع الشبكات المحلية الخاصة

vlan 20 private-vlan أساسي خاص-vlan اقتران 12

قارن FastEthernet 1/2 وصف *** ميناء في مجتمع VLAN ** switchport mode private-vlan مضيف switchport private-vlan host-association 20 12

القرار

يمنحك هذا المستند نظرة عامة واسعة على الطرق التي يمكن إستخدامها لتأمين جهاز نظام Cisco IOS XE. إذا قمت بتأمين الأجهزة، فإنها تزيد من الأمان الكلي للشبكات التي تُديرها. في هذه النظرة العامة، تتم مناقشة حماية مستويات الإدارة والتحكم والبيانات، ويتم توفير توصيات للتكوين. وحيثما كان ذلك مناسبًا، يتم توفير تفاصيل كافية لتكوين كل ميزة مقترنة. ومع ذلك، في جميع الحالات، يتم توفير المراجع الشاملة لتزويدك بالمعلومات اللازمة للحصول على مزيد من التقييم.

الإقرارات

تمت كتابة بعض أوصاف الميزات في هذا المستند بواسطة فرق تطوير المعلومات من Cisco.

الملحق: قائمة التحقق من تقوية جهاز Cisco IOS XE

قائمة التحقق هذه هي مجموعة من كل خطوات التعزيز الواردة في هذا الدليل.

يمكن للمسؤولين إستخدامها كتذكير لكل ميزات التعزيز المستخدمة والتي يتم اعتبارها لجهاز Cisco IOS XE، حتى في حالة عدم تنفيذ ميزة لأنه لم يتم تطبيقها. يُنصح المسؤولون بتقييم كل خيار لمخاطره المحتملة قبل تنفيذ الخيار.

مستوى الإدارة

1. كلمات المرور
   تمكين تجزئة MD5 (خيار سري) للتمكين وكلمات مرور المستخدمينتكوين تأمين إعادة محاولة كلمة المرور تعطيل إسترداد كلمة المرور (إعتبار المخاطر)
2. تعطيل الخدمات غير المُستخدمة
3. تكوين رسائل تنشيط TCP لجلسات الإدارة
4. تعيين إعلامات حد وحدة المعالجة المركزية والذاكرة
5. التكوين
   إعلامات حد وحدة المعالجة المركزية والذاكرة الاحتياطية للوصول إلى وحدة التحكم اكتشاف تجاوز سعة التخزين المؤقت اكتشاف التعطل المحسن
6. استخدام قائمة التحكم في الوصول إلى البنية الأساسية لتقييد الوصول إلى الإدارة
7. التصفية (اعتبار ال\مخاطر)
   حزم ICMP أجزاء IP خيارات IP قيمة TTL في الحزم
8. حماية مستوى التحكم
   تكوين حدود قوائم الانتظار لتصفية المنافذ تكوين حدود قوائم الانتظار
9. الوصول إلى الإدارة
   إستخدام حماية مستوى الإدارة لتقييد واجهات الإدارة تعيين مهلة EXEC إستخدام بروتوكول النقل المشفر (مثل SSH) ل CLI AccessControl Transport لخطوط vty و tty (خيار فئة الوصول)التحذير من إستخدام الشعارات
10. AAA
    إستخدام المصادقة والتفويض والمحاسبة (AAA) للمصادقة والنقذإستخدام المصادقة والتفويض والمحاسبة (TACACS+) لتفويض الأوامر إستخدام المصادقة والتفويض والمحاسبة (AAA) للمحاسبةإستخدام خوادم AAA المكررة
11. SNMP
    تكوين مجتمعات SNMPv2 وتطبيق قوائم التحكم في الوصول تكوين SNMPv3
12. التسجيل
    تكوين مستويات التسجيل المركزية ل loggingSet لجميع المكونات ذات الصلة Set logging sourceinterfaceConfigure timestamp granarity للتسجيل
13. إدارة التكوين
    استبدل واستعادةإعلامات تغيير التكوين الحصري AccessSoftware الخاص بمرونة التكوين.

مستوى التحكم

1. تعطيل (اعتبار المخاطر)
   عمليات إعادة توجيه ICMP ICMP unreachablesProxy ARP
2. تكوين مصادقة NTP إذا تم إستخدام NTP
3. تكوين تنظيم/حماية مستوى التحكم (تصفية المنافذ، حدود قوائم الانتظار)
4. تأمين بروتوكولات التوجيه
   BGP (TTL، MD5، الحد الأقصى للبادئات، قوائم البادئات، قوائم التحكم في الوصول إلى مسار النظام)IGP (MD5، الواجهة السلبية، تصفية المسار، إستهلاك الموارد)
5. تكوين أدوات تحديد معدل الأجهزة
6. بروتوكولات تكرار الخطوة الأولى الآمنة (GLBP، ‫HSRP،‬ VRRP)

مستوى البيانات

1. تكوين الإسقاط الانتقائي لخيارات IP
2. تعطيل (اعتبار المخاطر)
   عمليات إعادة توجيه IP لمصدر IP الموجهة
3. الحد من عمليات بث IP الموجّهة
4. تكوين قوائم التحكم في الوصول إلى النقل (اعتبار المخاطر)
   تصفية ICMPFilter IP PartsFilter IP Options تصفية قيم TTL
5. تكوين أوجه الحماية المطلوبة من الانتحال
   ACLsIP مصدر الواقي Dynamic ARP Inspection Unicast RPFPort أمان
6. حماية مستوى التحكم (‪control-plane cef-exception‬)
7. تكوين قوائم التحكم في الوصول إلى التصنيفات وNetFlow لتعريف حركة المرور
8. تكوين قوائم التحكم في الوصول الخاصة بالتحكم في الوصول المطلوب (خرائط VLAN، شبكات VLAN الخاصة، MAC)
9. تكوين شبكات VLAN الخاصة