الخطوة اﻷولي: نظام التشغيل (IOS) الموجود على راوترات شركة سيسكو مثله مثل أى نظام تشغيل أخر من الممكن أن تظهر به بعض المشاكل الأمنية أو ثغرات ولذلك يفضل أن نقوم بالترقية إلى أحدث إصدار مستقر وذلك لتفادي حدوث أى مشاكل من الممكن أن نواجها مستقبلاً ولكن علينا أن ﻻ ننسي أن نظام IOS نوعاً ما قديم ﻷن عمره تجاوز أكثر من ربع قرن وعلى الرغم من وجود إصدارات حديثة منه إلا أن البنية الأساسية للنظام تؤكد أن اﻷعتماد عليه بشكل كامل شيء غير صحيح وهذا ما أدركته الشركة وقامت بعد ذلك عده أنظمه تعالج فيه العيوب والمشاكل التى كانت تواجهها مثل IOS XE و NX-OS و IOS XR والتي سنتحدث عنه ﻻحقاً في موضوع أخر مخصص لهم, ولمن يريد معرفة معلومات أكثر عن كيفية عمل ترقية للراوترات فيمكنه الدخول على الرابط التالي من الموقع الرسمي للشركة ويمكنكم الدخول على الرابط التالي لمعرفة طريقة تحديد أخر نظام تشغيل قد اصدرته الشركة للعتاد الموجود لديك؟
الخطوة الثانية: سنتحدث اﻵن عن بعض اﻷعدادات التى المبدئية التى نقوم بتفعليها عندما نقوم بوضع اﻷعدادات اﻷساسية وستكون كالتالي :-
وضع أعدادات لتأمين منفذ الكونسول
وضع أعدادات لغلق منفذ الـ Auxiliary
وضع أعدادات لتأمين الـ VTY
(إذا كنا نريد استخدام SHH للدخول على الراوتر عن بعد فيفضل عدم كتابة هذا اﻷمر)
الخطوة الثالثة: ذكرنا في تدوينة سابقة عن القاعدة الذهبية لعمل كلمة مرور قوية وهى أن نقوم بعمل كلمات مرور مكونة من رموز وعشرة أرقام مع حروف أبجدية غير مكررة وذلك لنصعب اﻷمور على المخترقين في حال ﻻ قدر الله لو حدث أى خرق أمني واﻵن سننتقل إلى كتابة بعض اﻷوامر التى ﻷبد من أن نفعلها لتشفير كلمات المرور على الراوتر وستكون كالتالي :-
الخطوة الرابعة: إنشاء مفتاح تشفير RSA وذلك لضمان إدخال اﻷوامر بطريقة مشفرة وذلك عند استخدامك لـ SSH (ملاحظة: هناك بعض الراوترات التى ﻻ تدعم عملية التشفير وستعلم ذلك أما عن طريق الدخول على الموقع الرسمي للشركة أو عند تطبيقك للأوامر الموضحة في السطور التالية) ولتفعيل الخدمة سنقوم بكتابة اﻷوامر الثالية :-
بعد ذلك سنختار نوع مفتاح التشفير ويفضل أن يكون 1024 أو 2048 وذلك ﻷن طول المفتاح يتناسب طردياً مع قوته!الخطوة الخامسة: المعروف لدي الجميع أن راوترات شركة سيسكو تأتي وبها العديد من الخدمات المفعلة بشكل إفتراضي والتى من الممكن أن يستغلها الهاكرز لجمع معلومات عن الشبكة وأبرز مثال على ذلك أداة Yersinia التى تستخدم للحصول على معلومات بروتوكول CDP عن طريق اﻹنترنت ولذلك يفضل أن نقوم بغلق الخدمات الغير ضرورية لتفادي حدوث أي مشاكل أمنية وفي نفس الوقت تخفيف الحمل عن الراوتر واﻵن سأقوم بذكر بعد اﻷوامر التى نستطيع من خلالها إغلاق بعض الخدمات التى من الممكن أن ﻻ نكون بحاجة إلى تفعيلها مثل :-
هناك بعض اﻷوامر التى ﻷبد أن تنفذ على منافذذ الراوتر إن لم تكن في حاجة إليها
الخطوة السادسة: سنقوم بتفعيل بعض الخدمات التى ﻻ تكون مفعلة بشكل إفتراضي ولكنها مفيدة وستكون اﻷوامر كالتالي :-
سنقوم بتفعيل خدمة TCP-keepalives لمراقبة الترافيك الذي يمر عبر الراوتر في اﻷتجاهين
وسنستخدم خدمة timestamps وذلك لنقوم بتسجيل كافة التحركات التى تحدث في الراوتر, يذكر ان هذا الخدمة أصبحت متاحة منذ اﻷصدار رقم 11.3
الخطوة السابعة: للتأكد من أن كل شيء يعمل على ما يرام علينا أن نراقب السجلات المخزنة على الراوتر والتى ﻻ تكون مفعلة بشكل إفتراضي ولفعل ذلك علينا كتابة اﻷوامر التالية :-
الخطوة الثامنة: تفعيل خدمة الـ AAA على الراوتر حتى وأن كانت الخدمة مفعلة على الخوادم ولتفعيلهم يمكنك كتاية اﻷوامر التالية :-
الخطوة التاسعة: استخدام Access Control List للتحكم في حركة الترافيك وإسقاط كل التحركات المخالفة والمزيفة وذلك غير أن مثل هذه القواعد للتعامل مع هجمات الحرمان من الخدمة (DoS) ولكن علينا أن أن نتعامل مع هذه القواعد بالحكمة ﻷنها تؤثر بشكل كبير على معالج الراوتر.
الخطوة العاشرة: هناك بعض اﻹجراءات اﻹضافية التى علينا أن نتخذها وستكون ما يلي :-
* إسقاط عناوين Bogon هى عبارة عن عناوين IP وهمية موجودة على شبكة اﻹنترنت ولكنها لم تصدر من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) والتى ﻻ يجب عليها أن تظهر على اﻹنترنت ومن المعتاد أن يقوم مزودي خدمة اﻹنترنت والمؤسسات الكبيرة بعمل تصفية لمثل هذه العناوين بأستخدام قوائم الـ ACL على الراوترات أو عن طريق الـ BGP blackholing أو ممكن استخدام Null Routing وكل هذه الخيارات تستخدم لهدف واحد وهو حتى ﻻ تصل مثل هذه العناوين إلى العملاء أو الموظفين والغرض من هذا تجنب التهديدات التى من الممكن أن تأتي من خلالها.
* إسقاط IPv4 & IPv6 Martians هى عبارة عن عناوين صادرة من قبل هيئة اﻹنترنت لتعيين اﻷرقام (IANA) ومع ذلك فلا يجب أن تظهر على اﻹنترنت وأن ظهرت فهذا يعني أنها أما قادمة من راوتر عليها Misconfiguration أو أنها محاولة هجوم من نوعاً ما سواء كانت تصيد أو غير ذلك.
* تطبيق Verify unicast reverse-path في الشبكات الصغيرة والمتوسطة.
ملحوظة : يفضل متابعة المقالات والتدوينات التى تتحدث عن الثغرات التى تم إكتشافها في راوترات سيسكو سواء الموجودة على الموقع الرسمي للشركة أو المنشورة على مواقع أخري ولذلك لإيجاد حل مناسب وسريع لسد مثل هذه الثغرات حتى لا يحدث أى خرق أمني للشبكة المسئول عنها!
وأخيراً سنذكر بعض البرامج واﻷدوات التى من الممكن أن تساعد على تأمين الراوتر وهما برنامج Router Administration Tool وبرنامج Cisco AutoSecure وبرنامج Border Router Security Tool