نمایش نتایج: از شماره 1 تا 4 , از مجموع 4

موضوع: هفته ۲۰ - Security

  1. #1
    Member Shafagh آواتار ها
    تاریخ عضویت
    May 2010
    نوشته ها
    566
    Thanked: 5028

    هفته ۲۰ - Security

    گزارش بقیه تمرین ها در این قسمت قرار میگیرد. (حداقل 10 خط مد نظر است.)
    برای پرسش یا رفع اشکال از موضوع بعدی استفاده کنید.


    فراموش نشود که هدف انجام تمرین است نه نوشتن گزارش. تمرین ها را انجام دهید و در صورت بروز مشکل سوال بپرسید!

    How to make the world a better place: Education

  2. The Following 4 Users Say Thank You to Shafagh For This Useful Post:


  3. #2
    Senior Member saeedbabaei24 آواتار ها
    تاریخ عضویت
    Dec 2011
    نوشته ها
    134
    Thanked: 276
    اگر در اثر Violation پورت Shutdown شد، یا باید آن را Shut و no shut کنیم و یا با استفاده از دستور
    errdisable recovery cause psecure-violation
    آن را از حالت error-disabled خارج کنیم. برای تعین interval:
    errdisable recovery interval interval

    برای پاک کردن همه MAC آدرس هایی که به صورت Dynamic یاد گرفته شدند:

    R(config)#clear port-security dynamic

    اگر sticky کافنیگ شده باشد، MAC آدرس مربوط به voice VLAN جزء آدرس های sticky قرار نمیگیرد.

    Portsecurity از SPAN و اینترفیس port-channel پشتیبانی نمیکند.

    اگر پورت ترانک باشد، میتوانیم port-security را به ازای هر VLAN ی کانفیگ کنیم.

    switchport port-security maximum N vlan VLAN

    میتوان رنجی از VLAN ها را در این دستور با – مشخص کرد. و از (,) برای جدا کردن رنج های مختلف.

    دو نوع Aging type داریم:

    Router(config-if)# switchport port-security aging type absolute | inactivity

    اگر Absolute کانفیگ شده باشد، همه MAC آدرس ها را که یاد گرفته است بعد از گذشت Aging time پاک میکند. اگر inactivity تنظیم شده باشد آن MAC آدرس هایی را پاک میکند که غیر فعال بودند. (Aging-time بررحسب دقیقه است)

    دستورات Show :

    Router# show port-security

    Router# show port-security interface fastethernet x/y

    Router# show port-security address



    برای فعال سازی DHCP snooping ابتدا باید دستور

    Switch(config)# ip dhcp snooping

    را به صورت سراسری وارد کنیم.

    با دستور ip dhcp snooping valn vlan-ID مشخص میکنیم که روی کدام VLAN ها اثر کند.

    به صورت پیشفرض همه پورت ها در حالت غیر قابل اعتماد قرار میگیرند واگر بسته هایی از سمت DHCP server وارد سوئیچ شوند، پورت به حالت Errdisable میرود. برای قابل اعتماد کردن پورت ها:

    Switch(config-if)#ip shcp snooping trust

    برای تایین نرخ ارسال درخواست برای پورت های غیر قابل اعتماد:

    Switch(config-if)#ip dhcp snooping limit rate rate

    Switch#show ip dhcp snooping binding


    برای استفاده از ip source guard ابتدا باید DHCP snooping فعال شده باشد. چون از data base آن استفاده میکند.

    برای فعال کردن ip source guard :

    Switch(config-if)#ip verify source port-security

    اگر port-security را آخر دستور اضافه کنیم، آدرس های MAC هم مورد برسی قرار میگیرند.

    برای فعال کردن DAI ابتدا باید DHCP snooping فعال شده باشد، چون از database آن استفاده خواهد کرد.

    Switch(config)#ip arp inspection vlan vlan

    پورت های متصل به سوئیچ های دیگر را باید قابل اعتماد کنیم، چرا که بسته های عبوری از آنها قبلاَ بازرسی سده اند:

    Switch(config-if)# ip arp inspection trust

  4. The Following 5 Users Say Thank You to saeedbabaei24 For This Useful Post:


  5. #3
    Moderator farhadnia آواتار ها
    تاریخ عضویت
    Jul 2010
    محل سکونت
    خرم آباد
    نوشته ها
    1,550
    Thanked: 4429
    جهت محدود سازی دسترسی به Terminal در IOS می توان از فرمان access-class در زیر مجموعه فرامین تنظیمات line - استفاده کرد ، روش استفاده از این فرمان بدین صورت است که ابتدا یک ACL برای مشخص کردن ماشین و یا subnet ای که مایل هستیم بتواند به روتر یا سویچ دسترسی داشته باشد با action permit تعریف می کنیم و بعد در مقابل دستور access-class شماره ACL مورد نظر خود را وارد می کنیم. می توان با گزینه های in و out جهت محدودیت ترافیک را نیز مشخص نمود.

    با فرمان login local می توان روتر یا سویچ را مقید کرد تا برای اهراز هویت کابران جهت دسترسی به ترمینال روتر از دیتابیس محلی کاربران استفاده نماید. توجه شود که قبل از استفاده از این دستور حتما نیاز است که یک نام کاربری و پسورد با فرمان username در مود global config تعریف نماییم.

    می توان با استفاده از دستور privilage level در زیر مجموعه فرامین تنظیمات Line برای کاربرانی که از طریق line به سیستم متصل می شوند سطح دسترسی مشخصی تعیین نماییم.

    برای محدود کردن تعداد دفعاتی که یک کاربر می تواند سعی کند تا به سیستم وارد شود ، از دستور login block-for استفاده می شود. برای مثال قصد داریم تا در صورتی که یک کاربر 3 بار نام کاربری و پسورد خود را جهت متصل شدن به روتر اشتباه زد به مدت 60 ثانیه بلاک شود:

    Login black-for 60 attampts 3 within 45
    عبارت within در دستور فوق مشخص کننده زمانی است که کاربر صرف وارد کردن نام کاربری و کلمه عبور اشتباه کرده است. در مثال فوق در صورتی که کاربر سه بار نام کاربری خود را در مدت 45 ثانیه اشتباه وارد کند سیستم ان کاربر را به مدت 60 ثانیه بلاک می کند.
    در صورتی که مایل باشیم تمامی login های موفق و یا ناموفق را در سیستم log کنیم می توانیم از فرامین login on-success log و login on-failure log استفاده کنیم ، در مقابل این فرامین می توان با دستور every تعداد دفعات ناموفق یا موفق Login را مشخص کنیم.

    برای تعریف rule ها در IOS از فرمان view استفاده کرد قبل از استفاده از فرمان parser view View-Name باید فرمان aaa new-model زده شود و همچین در مود privilage با استفاده از دستور enable view این قابلیت را فعال کرده باشیم.

    با استفاده از فرمان ip source-track می توان آدرس های IP ای که به یک آدرس خاص پکت ارسال می کنند را شناسایی کرد. این فرمان در مواردی که احساس می کنید مورد حمله DDOS قرار گرفته اید ، برای جمع آوری ادرس های منبع حملات بسیار مناسب است. می توان با اضافه کردن دستور ip source-track syslog-interval بازه زمانی نمونه برداری را مشخص کرد.

    می توان با استفاده از دستور no ip unreachables ترتیبی داد تا پیام the destination address unreachable برای فرستنده ارسال نشود. همچنین در مود global configuration می توان با دستور ip icmp rate-limit unreachable مقدار تعداد پاسخ های را در واحد میلی ثانیه مشخص کرد.

    خاصیتی به نام Control Plane Protection در نسخه 12.3T به IOS اضافه شده است که جهت جلوگیری از مصرف بیش از حد منابع پردازشی روتر نظیر CPU و RAM می توان از آن استفاده کرد. در زیر مجموعه فرمان Control-plane با استفاده از فرمان service-policy می توان فیلتر هایی جهت ورود و خروج ترافیک به control-plane روتر اعمال کرد.

    مثال: در این مثال مایل هستیم تنها به 1000 پکت در ثانیه مربوط به ترافیک پروتکل IP اجازه ورود به Control-Plane را بدهیم:

    ip access-list extended IP-ONLY
    permit IP any any

    class-map My-Class
    match access-group name IP-ONLY

    policy-map My-Policy
    class My-Class
    police rate 1000 pps burst 10 packets

    control-plane
    service-policy input My-Policy
    با استفاده از فرمان ip option drop می توان بسته های IP که فیلد اختیاری option در آنها Set شده است را از روتر حذف کرد ، این نوع از بسته ها به صورت Process-Switching پردازش می شوند و سربار زیادی بر روی روتر قرار می دهند. در صورتی که مایل هستید از مبدا خاصی این نوع بسته ها را بپذیرید می توانید از ACL ها جهت انتخاب ترافیک استفاده کنید برای مثال: access-list 100 permit ip 1.2.3.0 0.0.0.255 any option YOUR-OPTION-NAME

  6. The Following 4 Users Say Thank You to farhadnia For This Useful Post:


  7. #4
    Member Shafagh آواتار ها
    تاریخ عضویت
    May 2010
    نوشته ها
    566
    Thanked: 5028
    خوب:
    yf - saeedbabaei24

    بد:
    am , vs, sa , yn
    sima
    mm, alimor
    Sepide

    احتمالا این هفته اخراج میشوند:
    am , vs
    sima
    Sepide

    How to make the world a better place: Education

  8. The Following 3 Users Say Thank You to Shafagh For This Useful Post:


موضوعات مشابه

  1. هفته ١۹ - Security
    توسط Shafagh در انجمن CCIE Room
    پاسخ ها: 4
    آخرين نوشته: 02-17-2013, 09:06 PM
  2. Os های security
    توسط Komeil در انجمن Security و امنیت شبکه به پارسی
    پاسخ ها: 3
    آخرين نوشته: 04-11-2011, 03:52 AM

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •