پیاده سازی استاندارد های امنیتی در مسیریاب - بخش سوم

- دسترسی ها:

Cisco IOS دارای 16 سطح دسترسی، از صفر تا 15 می باشد. به صورت پیش فرض IOS دارای دو سطح دسترسی می باشد. این دو شامل محیط User EXEc كه در سطح دسترسی 1 و Enable كه به محیط priviledeged EXEc معروف است و در سطح دسترسی 15 می باشد، تقیسم می شوند. هر یك از دستوراتIOS در یكی از سطوح 1 یا 15 قرار دارند. اگر از دستور aaa new-model استفاده شود میتوان از امكان AAA به صورت Local یا Remote استفاده كرد. به صورت پیش فرض در سطح دسترسی اول دستورات خاص و محدودی قابل اجرا هستند، مثال زیر چگونگی اضافه كردن دستورات مورد نیاز را به محیط EXEXc نشان میدهد:



دستور آخر برای انتقال مجدد Show ip به سطح 1 لازم است. اغلب نیاز به تعریف بیش از دو سطج دسترسی به دستورات مسیریاب می باشد. این كار توسط تخصیص رمز عبور به سطوح میانی(بعنوان مثال سطح 5 یا 10) و سپس مشخص كردن دستوراتی كه در هر لایه قابل اجرا می باشند، پیاده سازی می شود.

مواردی كه در تعریف این سطوح می بایست رعایت شوند:

- از دستور Username برای تعریف كاربر در لایه بالاتر از سطح اول استفاده نشود برای این كار از دستور Enable Secret استفاده كنید تا بتوانید سطح مورد نظر را تعیین كنید.

- از تعریف سطوح دسترسی زیاد خودداری كنید. ممكن است باعث ایجاد حفره های امنیتی ناخواسته در سیستم شود.

- در مورد تخصیص دستوراتی كه برای تنظیم مسیریاب استفاده می شوند، به لایه های دیگر، نهایت دقت را انجام دهید زیرا با اینكار كاربری كه دسترسی به یك دستور را داشته باشد می تواند تغییراتی را روی تنظیمات اصلی مسیریاب ایجاد كند.

كلمه های عبور:

دو روش برای استفاده از كلمه های عبور در IOS وجود دارد. استفاده از مدل 7 كه از پروتكل های رمزنگاری Cisco استفاده می كند و از امنیت كمتری برخوردار می باشد، روش دوم استفاده از مدل 5 می باشد كه به صورت MD5 بوده و دارای امنیت بالاتری است. پیشنهاد Cisco استفاده از مدل 5 بجای مدل 7 می باشد.

برا ی محافظت از محیط Priviedeg EXEc از دستور enable password استفاده نكنید و به جای آن دستور enable secret را وارد كنید:



نام های كاربری :

ابتدا باید اشخاصی كه مجوز دسترسی به مسیریاب را دارند، دارای نام و رمز عبوری مخصوص خود باشند. علاوه بر این برای مشخص شدن اینكه چه كسی تغییر در مسیریاب ایجاد می كند و این تغییرات با نام شخص، ثبت شوند باید از Log های مسیریاب استفاده گردد. نام كاربری را بدون رمز عبور ایجاد نكنید و در صورتی كه به نام كاربری، نیاز نیست این كاربر را حذف نمایید. شكل زیر چگونگی ایجاد و حذف كاربر را نشان می دهد:



تعداد كاربرانی را كه به محیط Configuration دسترسی دارند را محدود كنید.

- دسترسی راه دور:

- دسترسی از راه دور غیرفعال می باشد و مدیر شبكه باید از طریق كنسول مسیریاب را مدیریت كند.

- دسترسی از راه دور- از شبكه داخلی و توسط AAA : كه در این حالت مدیر شبكه میتواند تنها از شبكه داخلی و مطابق با كنترل های AAA با مسیریاب ارتباط داشته باشد.

- دسترسی راه دور- از شبكه داخلی بدون استفاده از AAA : در این روش مدیر شبكه میتواند تنها از شبكه داخلی به مسیریاب متصل شود.

- دسترسی راه دور- از خارج شبكه توسط AAA: در این ارتباط مدیر شبكه از هر دو ناحیه داخلی و خارجی و توسط AAA به مسیریاب متصل شود.

- دسترسی به مسیریاب از خارج شبكه: مدیر شبكه میتواند از هر دو ناحیه به مسیریاب متصل شود.

یكی از موارد مهمی كه در ارتباطات راه دور اهمیت بالای دارد امنیت اطلاعات بین فرستنده و گیرنده می باشد. بدین ترتیب كه اگر رمزنگاری مناسب روی این ارتباطات انجام نگرفته باشد، براحتی می توان با ابزارهای شنود، نام كاربر و رمز عبور را پیدا كرد.

امنیت ارتباطات راه دور توسط پروتكل های امنیتی مانند SSH یا IPSEC قابل افزایش می باشد.