طراحی و پیاده سازی امنیت بحث بسیار گسترده و مهمی است در این مقاله به بررسی ده دستوری که به بالا بردن امنیت تجهیزات سیسکو کمک می کند می پردازیم. این نکته را فراموش نکنید این دستورات درعین سادگی، بسیار مهم بوده و عدم رعایت این موارد ممکن است باعث صدمات بسیار جدی به شبکه شما شود.
۱- تعیین طول پسورد
با استفاده از دستور زیر شما می توانید طول کلمات عبور ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید بیش از 8 کارکتر جهت بالا بردن امنیت تجهیزات خود را در نظر بگیرید.
(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords
طول کلمات عبور را می توان از صفر تا 16 کاراکتر تعیین نمود.
۲- استفاده از دستور Enable Secret
همانطور که اطلاع دارید یکی از پرکاربرد ترین دستوراتی که در پیکربندی تجهیزات سیسکو استفاده می شود دستور enable password است اما به دلیل مشکل امنیتی و عدم کدگذاری کلمات عبور توصیه می شود همواره از دستور Enable Secret استفاده کنید.
*Router (config) #enable secret charbidar
۳- قراردادن کلمات عبور در دسترسی به تجهیزات
همانطور که می دانید جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل VTY , Console , aux … وجود دارد و در همین خصوص برای بالا بردن امنیت تجهیزات سیسکو می بایست کلمات عبور مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد غیر مجاز به تجهیزات جلوگیری کنیم.
۴- فعال سازی سرویس کدگذاری کلمات عبور
با استفاده از سرویس password encryption به صورت خودکار تمام کلمات عبور مشخص شده کد گذاری می شوند.
Router (config) #service password-encryption
۵- غیرفعال کردن Password Recovery
همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های فیزیکی ناامن هستند، می تواند بسیار خطرناک باشد زیرا فرد نفوذگر به راحتی می تواند با استفاده از این قابلیت به تجهیزات مورد نظر دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.
Router (config) # no Service Password Recovery
۶- محدودیت در تعداد دفعات وارد کردن کلمات عبور
یکی از روشهای نفوذ استفاده از حملات Cracking است که در این روش نفوذگر به صورت مکرر از یک فایل دیکشنری جهت ورود کلمات عبور استفاده می کنند، از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم لذا از دستور زیر استفاده می کنیم.
Router (config) # security authentication failure rate 3
با توجه به دستور بالا اگر 3 مرتبه کلمه عبور اشتباه وارد شود 15 ثانیه وقفه در دادن کلمات عبور ایجاد می شود.
۷- محدودیت زمان کار نکردن کاربر با تجهیزات
Router (config) #line console 0 (VTY or Aux)
Router (config-line) #exec-timeout 4 (Min) 20 (Sec)
با توجه به دستور بالا در صورتی که کاربر 4 دقیقه 20 ثانیه کاری انجام ندهد ارتباط قطع شده و باید مجددا متصل شود.
۸- محدودیت تعداد دفعات ورود اشتباه در یک بازده زمانی خاص
در کد زیر اگر کاربری در 8 ثانیه 5 بار اشتباه پسورد را وارد کند به مدت 30 ثانیه بلاک می شود.
Router (config) #login block-for 30 attempts 5 within 8
۹- مخفی کردن فایل Boot
جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot را با استفاده از دستور زیر می توانید مخفی کنید.
Router(config)#secure boot-image
۱۰- ایجاد پشتیبان مخفی از کانفیگ تجهیزات
Router(config)#secure boot-config
