عشرة خطوات لتأمين وحماية راوترات سيسكو

الخطوة اﻷولي: نظام التشغيل (IOS) الموجود على راوترات شركة سيسكو مثله مثل أى نظام تشغيل أخر من الممكن أن تظهر به بعض المشاكل الأمنية أو ثغرات ولذلك يفضل أن نقوم بالترقية إلى أحدث إصدار مستقر وذلك لتفادي حدوث أى مشاكل من الممكن أن نواجها مستقبلاً ولكن علينا أن ﻻ ننسي أن نظام IOS نوعاً ما قديم ﻷن عمره تجاوز أكثر من ربع قرن وعلى الرغم من وجود إصدارات حديثة منه إلا أن البنية الأساسية للنظام تؤكد أن اﻷعتماد عليه بشكل كامل شيء غير صحيح وهذا ما أدركته الشركة وقامت بعد ذلك عده أنظمه تعالج فيه العيوب والمشاكل التى كانت تواجهها مثل IOS XE و NX-OS و IOS XR والتي سنتحدث عنه ﻻحقاً في موضوع أخر مخصص لهم, ولمن يريد معرفة معلومات أكثر عن كيفية عمل ترقية للراوترات فيمكنه الدخول على الرابط التالي من الموقع الرسمي للشركة ويمكنكم الدخول على الرابط التالي لمعرفة طريقة تحديد أخر نظام تشغيل قد اصدرته الشركة للعتاد الموجود لديك؟

الخطوة الثانية: سنتحدث اﻵن عن بعض اﻷعدادات التى المبدئية التى نقوم بتفعليها عندما نقوم بوضع اﻷعدادات اﻷساسية وستكون كالتالي :-

وضع أعدادات لتأمين منفذ الكونسول

Cisco's

line con 0
exec-timeout 5 0
login

وضع أعدادات لغلق منفذ الـ Auxiliary

Cisco's

line aux 0
no exec
exec-timeout 0 10
transport input none

وضع أعدادات لتأمين الـ VTY

Cisco's

line vty 0 4
exec-timeout 5 0
login
transport input telnet ssh

(إذا كنا نريد استخدام SHH للدخول على الراوتر عن بعد فيفضل عدم كتابة هذا اﻷمر)

الخطوة الثالثة: ذكرنا في تدوينة سابقة عن القاعدة الذهبية لعمل كلمة مرور قوية وهى أن نقوم بعمل كلمات مرور مكونة من رموز وعشرة أرقام مع حروف أبجدية غير مكررة وذلك لنصعب اﻷمور على المخترقين في حال ﻻ قدر الله لو حدث أى خرق أمني واﻵن سننتقل إلى كتابة بعض اﻷوامر التى ﻷبد من أن نفعلها لتشفير كلمات المرور على الراوتر وستكون كالتالي :-

Cisco's

service password-encryption

enable secret 0 PASSWORD089

Console line
line con 0
password PASSWORD089

Auxiliary Line
line aux 0
password PASSWORD089

الخطوة الرابعة: إنشاء مفتاح تشفير RSA وذلك لضمان إدخال اﻷوامر بطريقة مشفرة وذلك عند استخدامك لـ SSH (ملاحظة: هناك بعض الراوترات التى ﻻ تدعم عملية التشفير وستعلم ذلك أما عن طريق الدخول على الموقع الرسمي للشركة أو عند تطبيقك للأوامر الموضحة في السطور التالية) ولتفعيل الخدمة سنقوم بكتابة اﻷوامر الثالية :-

Cisco's

hostname R1
ip domain-name Networkset.net
crypto key generate rsa

الخطوة الخامسة: المعروف لدي الجميع أن راوترات شركة سيسكو تأتي وبها العديد من الخدمات المفعلة بشكل إفتراضي والتى من الممكن أن يستغلها الهاكرز لجمع معلومات عن الشبكة وأبرز مثال على ذلك أداة Yersinia التى تستخدم للحصول على معلومات بروتوكول CDP عن طريق اﻹنترنت ولذلك يفضل أن نقوم بغلق الخدمات الغير ضرورية لتفادي حدوث أي مشاكل أمنية وفي نفس الوقت تخفيف الحمل عن الراوتر واﻵن سأقوم بذكر بعد اﻷوامر التى نستطيع من خلالها إغلاق بعض الخدمات التى من الممكن أن ﻻ نكون بحاجة إلى تفعيلها مثل :-

Cisco's

no ip identd
no ip source-route
no cdp run
no service config
no ip gratuitous-arps
ip options drop
no ip bootp server
no service finger
no service tcp-small-servers
no service udp-small-servers
no service dhcp
no ip http server
no ip http secure-server
no snmp-server
ntp disable

هناك بعض اﻷوامر التى ﻷبد أن تنفذ على منافذذ الراوتر إن لم تكن في حاجة إليها

Cisco's

no ip directed-broadcast
no ip unreachables
no ip redirects
no ip mask-reply
no ip proxy-arp

الخطوة السادسة: سنقوم بتفعيل بعض الخدمات التى ﻻ تكون مفعلة بشكل إفتراضي ولكنها مفيدة وستكون اﻷوامر كالتالي :-

سنقوم بتفعيل خدمة TCP-keepalives لمراقبة الترافيك الذي يمر عبر الراوتر في اﻷتجاهين

Cisco's

service tcp-keepalives-in
service tcp-keepalives-out

وسنستخدم خدمة timestamps وذلك لنقوم بتسجيل كافة التحركات التى تحدث في الراوتر, يذكر ان هذا الخدمة أصبحت متاحة منذ اﻷصدار رقم 11.3

Cisco's

service timestamps debug datetime msec show-timezone localtime
service timestamps log datetime msec show-timezone localtime

الخطوة السابعة: للتأكد من أن كل شيء يعمل على ما يرام علينا أن نراقب السجلات المخزنة على الراوتر والتى ﻻ تكون مفعلة بشكل إفتراضي ولفعل ذلك علينا كتابة اﻷوامر التالية :-

Cisco's

logging enable
logging buffered 16000
logging console critical
logging trap informational

الخطوة الثامنة: تفعيل خدمة الـ AAA على الراوتر حتى وأن كانت الخدمة مفعلة على الخوادم ولتفعيلهم يمكنك كتاية اﻷوامر التالية :-

Cisco's

aaa new-model
aaa authentication login default local
aaa authorization commands 15 default local

الخطوة التاسعة: استخدام Access Control List للتحكم في حركة الترافيك وإسقاط كل التحركات المخالفة والمزيفة وذلك غير أن مثل هذه القواعد للتعامل مع هجمات الحرمان من الخدمة (DoS) ولكن علينا أن أن نتعامل مع هذه القواعد بالحكمة ﻷنها تؤثر بشكل كبير على معالج الراوتر.

الخطوة العاشرة: هناك بعض اﻹجراءات اﻹضافية التى علينا أن نتخذها وستكون ما يلي :-
* إسقاط عناوين Bogon هى عبارة عن عناوين IP وهمية موجودة على شبكة اﻹنترنت ولكنها لم تصدر من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) والتى ﻻ يجب عليها أن تظهر على اﻹنترنت ومن المعتاد أن يقوم مزودي خدمة اﻹنترنت والمؤسسات الكبيرة بعمل تصفية لمثل هذه العناوين بأستخدام قوائم الـ ACL على الراوترات أو عن طريق الـ BGP blackholing أو ممكن استخدام Null Routing وكل هذه الخيارات تستخدم لهدف واحد وهو حتى ﻻ تصل مثل هذه العناوين إلى العملاء أو الموظفين والغرض من هذا تجنب التهديدات التى من الممكن أن تأتي من خلالها.
* إسقاط IPv4 & IPv6 Martians هى عبارة عن عناوين صادرة من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) ومع ذلك فلا يجب أن تظهر على اﻹنترنت وأن ظهرت فهذا يعني أنها أما قادمة من راوتر عليها Misconfiguration أو أنها محاولة هجوم من نوعاً ما سواء كانت تصيد أو غير ذلك.
* تطبيق Verify unicast reverse-path في الشبكات الصغيرة والمتوسطة.

ملحوظة : يفضل متابعة المقالات والتدوينات التى تتحدث عن الثغرات التى تم إكتشافها في راوترات سيسكو سواء الموجودة على الموقع الرسمي للشركة أو المنشورة على مواقع أخري ولذلك لإيجاد حل مناسب وسريع لسد مثل هذه الثغرات حتى لا يحدث أى خرق أمني للشبكة المسئول عنها!

 

وأخيراً سنذكر بعض البرامج واﻷدوات التى من الممكن أن تساعد على تأمين الراوتر وهما برنامج Router Administration Tool وبرنامج Cisco AutoSecure وبرنامج Border Router Security Tool