مدونة NetworkSet

auto-secure ميزة من سيسكو تضعك مع محترفي الأمن والحماية

قد يتطلب منك حماية روتر على الشبكة بشكل جيد القيام بتنفيذ أكثر من أمر وهذا يشمل تفعيل وتعطيل بعض الخدمات الموجودة على الروتر من أجل رفع مستوى الأمن على الروتر وطبعا هذا يتطلب خبرة جيدة مع نظام التشغيل وأوامره, لذا قامت سيسكو بأضافة ميزة لهذا الأمر ويتم تفعيلها من خلال أمر يقوم بتنفيذ كل خيارات الأمن المتاحة على أجهزتها وهو الأمر Auto secure

فمنذ الأصدار 12.3 تم أضافة ميزة لأجهزة سيسكو تسمح لرفع مستوى الأمن والحماية على أجهزتها وبسرعة كبيرة جدا ومن خلال أمر واحد تقوم بكتابته في الـ Privileged-Mode وهو مدعوم في الأجهزة التالية800, 1700, 2600, 3600, 3700, 7200, 7500  ومن ناحية آخرى أتاحت سيسكو هذا الأمر من أجل الأشخاص المبتدئين في مجال سيسكو ولاتوجد لديهم خبرة في التعامل مع أجهزتها ومع نظام التشغيل IOS الخاص بها وذلك من خلال عمل Dialog بسيط يسألك فيه بعض الأسئلة أي أن الأمر شبيه بالـ initial configuration dialog الذي نراه عند تشغيلنا للروتر أول مرة لكن هنا الأسئلة سوف تكون متعلقة بالأمن والحماية فقط لذا لنشاهد بعض الأمثلة الواقعية وقبل أن أبدا لنكتب الأمر ونضع بعدها إشارة أستفهام لكي نرى ماهي أمكانيات هذا الأمر وماهي الـ Plan المتاحة :

Cisco's IOS
Router#auto secure ?
forwarding     Secure Forwarding Plane
full           Interactive full session of AutoSecure
login          AutoSecure Login
management     Secure Management Plane
no-interact    Non-interactive session of AutoSecure
ntp            AutoSecure NTP
ssh            AutoSecure SSH
tcp-intercept  AutoSecure TCP Intercept
<cr>

وكما يتضح لكم هناك ثمانية Plans  ولكل Plan هناك شرح بسيط عنها يحدد نوعية الأسئلة التى سوف يتم سؤالك عنها ولو لم تختار أي واحد منها وقمت بكتابة الأمر فقط فسوف يتم تفعيل خيار الـ Full كخيار Default للـ AutoSecure لنأخذ هذا المثال البسيط وهو خاص بي الـ Login ولنشاهد الأسئلة المطروحة

 

Cisco's IOS

Router>en
Router#auto secure login
— AutoSecure Configuration —
*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter ‘?’ for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: no
Enable secret is either not configured or
is the same as enable password
Enter the new enable secret******:
Confirm the enable secret******* :
Enter the new enable password*******
Confirm the enable password*******:
Configuration of local user database
Enter the username: networkset
Enter the password******:
Confirm the password******:
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 200
Maximum Login failures with the device: 3
Maximum time period for crossing the failed login attempts: 180
This is the configuration generated:
enable secret 5 $1$37A/$ZLdo5QLE9AengS.vNmKUI1
enable password 7 094E4F1D140419425B5C5C
username ayman password 7 070D2058430817
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
login block-for 200 attempts 3 within 180
!
end
Apply this configuration to running-config
? [yes]: yes
Applying the config generated to running-config

Router#

 

كما تشاهدون معي أن السؤال الأول كان حول معرفة هل هذا الروتر متصل مع الأنترنت أم لا وقد أجابت بلا ولو أجبت بنعم كان طلب مني تحديد أي المنافذ متصل مع الأنترنت وبعدها تم سؤالي حول كلمات السر واسم المستخدم الخاص فيني وعدد مرات التى سوف أسمح فيها بتسجيل خاطئ لكلمة السر والفترة الزمنية التى سوف أسمح فيها بكتابة كلمة السر مرة رابعة والخ….. وطبعا آخر سؤال سوف يكون حول أضافة هذه الأوامر وتطبيقها على الروتر

وطبعا نفس الشيء لو تم أختيار خطة آخرى فلو مثلا أخترنا خيار الـ Full فسوف تكون الأسئلة مختلفة بعض الشيء ومن بينها وضع الـ Banner واسم المستخدم وكلمة السر وأسم الدومين والخ……

كلمة لآخيرة هناك أمر مشابه لهذا الأمر لكن مع الـVoice وهو خاص بي الـ QoS وللأستزادة أكثر حول هذا الأمر وعن طبيعة الخدمات التى سوف يتم تعطيلها أو تفعيلها أطلع على الرابط التالي من موقع سيسكو اتمنى أن تكون هذه التدوينة قد اعجبتكم ونالت رضاكم ولاتنسونا من دعواتكم وكل عام وانتم بخير.

Exit mobile version