دانلود تحقیق و مقاله رایگان با عنوان تحقیق درباره تواناساختن تایید اعتبار دیوار آتش pix در Cisco
سیستم امنیتی Pix میتواند همچنین دسترسی پیدا کند به پایه صفحات وب که ابزار آن پیکربندی شده و این فرمانها نیاز دارند بر روی pix دنبال کنند موارد زیر را:
آیپی آدرس [netmash]http
رمز عبور passwd
بعد شما قادر خواهید بود از رابط pin در cisco برای جستجو استفاده کنید. برای بیان واضح یک میزبان با آیپی آدرس کاربردها میتوانند از مسیریاب وب برای صفحات معینی استفاده کنند و به پایانه زمان HTML که توسط رابط سازماندهی شده استفاده کنند.
بی نقصی
بینقصی در زیرساخت شبکه نیاز دارد به تصویر نرمافزار که اجرا شود بر روی رمز عبور قانونی و پیکربندی کردن طبق قوانین طبقهنبدی شده انجام گیرد. شما میتوانید مطمئن شوید از اجازه برای متصلشدن به شبکه و وارد کردن اطلاعات و دادههایی که میخواهید بیتقصی بزرگ شامل اشتباهات و نقصهایی در سراسر شبکه میشود.
تایید اعتبار
وقتی دانلود میکنید تصویری را بر روی شبکه ساختار ابتدایی دستگاه شما ممکن است بخواهید اطمینان پیدا کنید از تصویر و اینکه آن تصویر در هنگام انتقال تغییری برای آن ایجاد شده است یا نه
تمام گونههای نرمافزار متصل به cisco و تمام گونههای پایههای اطلاعاتی ciscoios ثانویه و دربردارنده (5) 10.2 بوسیله تصویر MD5 محافظت میشند. MD5 در RFC1321 تعریف میشود، پیمایش تصاویر و ساختن یک چیز متفاوت روش ریاضی MD5 به شما مکانیسم یک برنامه بررسی صحت داده میدهد که آن را محاسبه میکند و امکان عملی برای آفرینش یک فایل با فایل مخصوص وجود ندارد (در این مورد قلم تصویری)
MD5 به کاربرهای ceo اجازه فرماه میدهد که هیچ بیتی در تصویر، در طول انتقال فایل نیست. بررسی مدت کارکرد فلاپی MDF اطمینان تصویر بینقص محموله پایه دیسکت را میدهد.
گروه بخاری ایمن و بیخطر
در فقضای متحد شبکهها، وجود بیشتر درخواستها به طور زیادشونده بی نقصی در سطح گروه کاری فراهم میکند. بررسی گزینه کاتالیزور 5000 در مک آدرس امنیتی این ویژگی را تصویب میکند. گزینه ترافیک ورودی اینترنت یا درگاه اینترنت سریع وقتی مک آدرس از یک ایستگاه کوشش دسترسی به درگاه مختلف پیکربندی میشود مک آدرس وقتی در یک درگاه بسته کوچک دریافت میکند ابتدا ماژدلهای منابع آدرسی را با هم مقایسه میکند.
اتصال به کامپیوتر از اتصالهای کوتاه برای زمان خروجی
بر روی دستگاههای cisco فرمان باید برخلاف حملههای tcpsyn باشد.
جداکردن آی پی tcp (دسترسی به لیست شماره)
تماشاکردن روش جداکردن آکپا tcp
فرمان نگهداری بخش ها با توجه به اطلاعات زیر
چه تعداد جلسه نیاز دارد و چه زمانی
چه تعداد جلسه کامل وجود دارد
چه زمانی در انتها برای درک مطالب لازم است.
برای سیستم امنیتی pIx شمامی توانید فرمانهای زیر را دنبال کنید که محدود است به یک سری شماره تا به اتصال نهایی و اتصال ارتباط بر سیم
در این خطا طولانیترین شماره از ارتباط و اتصال TCP اجازه میدهد و برای این کار رجوع کنید به فصل 9: دسترسی به امنیت اینترنتی برای درک کامل این موضوع بررسی
بررسی موقعیت سیستم
تابع بررسی موقعیت سیستم باید دارای اطمینان باشد از زیرساخت شبکه که به صورت توسعه یافته پیکربندی شده است.
این تابع همچنین میتواند به صورت فعال در شبکه وجود داشته و تأمل قابلیتهای در انتخاب واردشدن و دخول کاربرها باشد.
بررسی صحیح کارکردن پیکربندی
ایجاد معماری شبکه جاری
مشخص کردن خدمات میزبانها
اجرا سناریو what-if برای حل مشکلات سیستم کدگذاری
اجرا سناریو ساده حمله و پیداکردن آسیبپذیری
بستههایی برای رابط ورودی. (برای بحث جزئیات لیست دسترسی IOS رجوع کنید به فصل 9) دسترسی به امنیت . اینترنتی این فقل ورود برای دسترسی به لیست بایستی فعال شود.
لیست دسترسی اجازه 100 آی پی در میزبان 171.69.233.3 برای قفل ورودی.
خروجی از این فرمان شبیه این است.
یکپارچهسازی حملهها
معینکردن اینکه پایه حمله ها به کدام قطعه است. تا اینکه دستگاه برای وارد کردن بستههای کوچک اطمینان داشته باشد منظور این که آن بسته بایستی قانونی باشد. و قطعه ای که دارای بسته است قبل از بازگردانده شدن برای چندین بار چک شود. تا کارایی سیستم محدود نشود. در ضمن بایستی ویژگی هر دستگاه مدنظر باشد.
حمله Tsp SYN
شناختن اینکه، آن تقریبا برای متوقف کردن یک حمله سیلآسای Tsp SYN غیرممکن است، مهم است. آنچه که میتواند انجام شود.
حمله Tsp SYN
ساختن نزدیک شدن و یا توقف یک Tsp SYN مهم است.
یک سیستم امنیتی عمل میکند وقتی اتصال پیدا میکند به TCP و این سیستم امنیتی چک میکند.
شما باید به دقت تغییر دهید پارامترهای تایمر TCP برای رسیدن به یک قانون حداقل کوتاه
متجاوز بودن از زمان خروج 230
برقراری ارتباط با سیستم و شناسایی و تایید اعتبار پیشفرض
مزیت و امتیاز سطح 15
روشنکردن پرونده شاخص و تعریف کنسول اطلاعات تسطیح شده
خدمات زمان سهمگذاری و ثبت وقایع تاریخ زمان محلی و نشان دادن منطقه زمانی
راجع به واقعه نگاری
واقعه نگاری 144,254.5.5
واقعه نگاری کنسول اطلاعات
پیکربندی گزینه
کلید و گزینه نام میزبان
تعریف ارتباط دور و قانون تایید اعتبار با استفاده از TAcacs+
معین کردن شناسایی برقراری ارتباط TAcacs فعال
معین کردن شناسایی فعال TAcacs فعال
معین کردن TAcacs + سرور و رمزدار کردن کلید
معین کردن TAcacs و کلید خاص
معین کردن TAcacs سرور 144,254.5.5
معین کردن پرونده شاخص واقعه نگاری سرور و قادر کردن
سیستم به واقعه نگاری پیام ها
به جلسه ورود جاری
معین کردن واقعه نگاری سرور 144,254.5.5
معین کردن واقعه نگاری سرور فعال
معین کردن واقعه نگاری جلسه فعال
پیکربندی تصویر سیستم امنیتی
تعیین کردن رمز عبور فعال و ارتباط از دور رمز عبور
فعال کردن رمز عبور Bjeuckspwgec 94ss متن رمز
قبول شدن nu3DFZzs7jF1jYc5 متن رمز
معین کردن TAcacs + سرور و رمزدار کردن کلید
TAcacs سرور میزبان 144,254.5.9 کلید
نبود سرور SNMP در محل
نبود سرور SNMP بر ای اتصال
اجازه به میزبانها برای ارتباط دور در تصویر
فقط ارتباط 144.254.7.10255.255.255.255/9
تعریف پرونده شاخص پیام ها برای تسطیع شدن و ثبت وقایع میزبان
پرونده شاخص خروجی 23/4
پرونده شاخص میزبان 144.254.5.5
خلاصه و مختصر
در این فصل توضیح و شرح داده می شود که شما چطور باید رسیدگی کنید به زیرساخت شبکه بندیتان. این مهم است که کنترل کنید دسترسی همه دستگاههایتان به هر دو صورت فیزیکی ومنطقی تا میطمئن شوید از این که می توانید پنهان کنید شبکه را بوسیله دستگاه های پیکربند. مفهوم اصلی و ویژگیهای مخصوص در دستگاههای سیسکو نمایش داده میشوند در ترکیب عناصر اضافی از یک معماری امنیتی که شامل داده های آسیب ندیده قابلیت اعتماد م.جودیت و نظارت میباشد. شما باید استفاده کنید از همه آن مفاهیم با هم تا بدست آورید بیشترین تاثیر کنترل امنیتی را برای زیر ساخت شبکه یتان.
یک چنین که فقط دستگاههای بروی این شبکه دارند دسترسی SNMP
دسترسی لیست دارای cp2 با اجازه 144.254.9.00.0.0.255
پیکربندی TACACS + سرور و کلید رمز
سرور tacacs میزبان 144.254.5.9
سرور tacacs کلید [thisisakeg]
دسترسی SNMP فقط خواندی است و میتوان فقط بوسیله دستگاهها به آن دسترسی پیدا کرد.
پیوند و همراهی با دسترسی لیست 6
سرور SNMP انجمن عمومی Ro6
قانون و کنسول فیزیکی دسترسی دستیافتنی اعضای برای ورود
اختصاص دادن پسورد محلی جلسه زمان های بعد از خروج
دو دقیقه و 30 ثانیه از زمان آزاد گذاشتن
خط معرفی کننده کنسول صفر
ایجاد زمان خروج 230
ورود تدیید اعتبار اعضا
نه ورود فوری و نه اجازه دسترسی در میان درگاه کمکی
خط aux (بصورت ارتباطی سریال)
بدون مسئول اجرایی
نقل و انتقال دادن ورودی
دسترسی از راه دور نیاز به تایید اعتبار پیشفرض TACACS
تایید اعتبار موفقی فرمانها و پیوند با داشتن امتیاز
سطح 15 قابل دسترسی هست جلسه زمانی خروج بعد از 2 دقیقه
و 30ثانیه از فعال بود
خط 04 cety
اجازهی aaa فرمانها 1tacacs + none
حسابداری موقتی سوابق برای فرستادن هر زمان موجود
اطلاعات جدید برای گزارش
حسابداری برای همه جلسههای ترمینال مسئول اجرایی
حسابداری aaa برای امروزی کردن اطلاعات جدید
حسابداری aaa مسئول اجرایی شروع و توقف tacacs +
تایید اعتبار پایگاه داده محلی
نام کاربر و پسورد اعضا 7082c495coo1200IEo/oFo2
رابط اینترنت 0/0
استفاده از مسیریاب به نمایندگی ARP (تعیین کردن در RFC 1022) به کمک میزبانها
نبود دانش برای تعیین کردن مسیریابی در MAC آدرس از میزبان ها به یکدیگر
شبکه ها یا زیرمجموعهها این ویژگی می تواند باعث یک امنیت پتانسیلی شود.
متوقف و غیرفعال کردن
نبود ip نماینده arp (آژانس مقالههای پیشرفته تحقیقاتی اربانت)
برای جلوگیری از غیرفعال کردن ارسال از منتشر کردن مستقیم
تکذیب غیرضروری در حملههایی به سرویس خدمات
نبود ip برای انتشار مستقیم
غیرفعال کردن قرارداد کشف cis co
توان فراهم کردن گواهی پردازش داده برای اطلاعات حساس مثل پیکربندی
و طرح کردن مسیریابی به پتانسیل مهاجم
نبود گواهی پردازش دادهی فعال
پایانه نمایش و درگاه تلنت دسترسی بعد از خروج زمان 1 دقیقه و 30 ثانیه باعث عدم فعالیت میشود.
خط کنسول صفر
مسئول اجرائی زمان خروجی 130
خط vty04
مسئول اجرائی زمان خروجی 130
گزینه و کلیدهای cisco
شما میتوانید دسترسی پیدا کنید به گزینه فرمان خط رابط (CLI) از یک پایانه ترمینال بسته به درگاه EIA/TIA-232 یا از میان یک جلسه تلنت در CLI پذیرفتن و اجازهدادن سرعت علامت در ثانیه مقطوع و ثابت شده جلسههای تلنت بهطور خودکار بعد از قطع اتصال بیاستفاده باقی می ماند برای ملین کردن دوره زمانی استفاده کاربر.
دستگاه شناسایی و تایید اعتبار قادر است فرمان های استفاده شده را تخصیص بدهد به هر TACACS و سروری که مورد استفاده قرار میگردد. یا کلمه عبور محلی تایید اعتبار معین می کند که یک کاربر چه نوع اجازه دسترسی دارد.
مجموعه تایید اعتبار فعال }محلی tacacs/} }غیرفعال/فعال{ مجموعه تایید اعتبار برای برقراری ارتباط زمان مورد استفاده برای تخصیص دادن هر TACACS + تایید اعتبار یا کلید عبور محلی تایید اعتبار برای دسترسی تلنت
مجموعه تایید اعتبار برای برقراری ارتباط }غیرفعال/فعال{}محلی {tacaes/
کلیدها و گزینههای Cisco همچنین یک محدودیت تایید اعتبار برای قابلیت و توانایی اجازه به لیست فرمانها دارند.
وقتی این ویژگی هست فعال، دسترسی تلنت و SNmp خدماتشان مورد تایید است فقط برای آیپی آدرسها از میزبانهایی که پیکربندی شدهاند بر روی لیست اجازه ورود
آن آپی که در لیس اجازه هست در سطح اول از امنیت برای تلنت و پروتکلهای SNMP
همه انتقالها و ارسال در کنترل پروتکل و قوانین اینترنت (TCP/IP) خدماتی را در ادامه میدهد برای کار بر روی هر یک میزبانها وقتی شما لیست اجازه IP را فعال میکنید.
تلنت خارج از محدوده، در فایل جزیی قوانین انتقال (TFIP) هستند و برای IPهای دیگر خدمات دیگر که از لیس اجازه تأثیرنگرفتهآند باقی میماند SNMP از IP آدرسهای که اجازه ندارند پاسخ نیز دریافت نمیکنند. و این به زمانی برای خروج نیاز دارد.
اخطار برای دسترسی بدون تایید و تلاش برای به تله انداختن SNMP و گزینههای ثبت وقایع.
قبل از فعالشدن ویژگی اجازه IP مطمئن شوید که پیکربندی کردید IP آدرس را در لیست اجازه و بهطور مخصوص وقتی در یک پیکربندی SNMP هستید. خرابی که نتایج مثل قطع ارتباط را برای سیستم پیکربندی شده به همراه دارد. من توصیه میکنم شما غیرفعال کنید ویژگی اجازه را قبل از روشنکردن اجازه IP یا آدرس میزبان داخل شوید.
144.254.5.00.0.0.255 اجازه ip
144.254.7.10 اجازه ip
144.254.7.20 اجازه ip
تصویر دیوار آتش CISCO
این تصویر دیوار آتش CLI میتواند دسترسی پیداکند با استفاده از رابط کنسول یا تلنت و در پیرو فرمانهای فعال تایید اعتبار مورد استفاده قرای میگیرند. مثل TACACS یا RADIVS
Tacacs+radivs کنسول ]تلنت/هر[ تایید اعتبار aaa
وقتی استفاده میشود گزینه کنسول، این فرمان قادر میسازد خدمات تایید اعتبار برای دسترسی دیوار آتش PIX و کنسول تلنت را و یا کنسول اتصال بر روی واحد دیوار آتش PIX.
اگر استفاده میشود با هر کلید کلمه، دسترسی به کنسول و قانون سریال یا تلنت که کنسول Pix باید مورد تایید سرور تایید اعتبار قرار گیرد.
استفاده از هر کلید لغتی در تلنت فقط بر روی دسترسی تلنت کنسول دیوار آتش نیاز دارد به این که سرور تایید اعتبار مورد تایید قرار گیرد.
دسترسی تلنت در کنسول دیوار آتش pix هست موجود فقط در داخل رابطی که در شکل 2-8 نشان داده شده.
دسترسی تلنت نیاز دارد به استفاده از فرمان تلنت
تلنت محلی –ipشبکه[
فرمان تلنت اجازه میدهد که شما تصمیم بگیرید که چطور میتوانید دسترسی پیدا کنید به دیوار آتش pix با تلنت.
در بالا 16 میزبان یا شبکه برای دسترسی به کنسول دیوار آتش pix با تلنت اجازه میدهند درست کردن کلمه عبور برای دسترسی تلنت در کنسول شما باید پیکربندی کنید فرمان رمز عبور را:
]کد دارند[ کلید عبور کلید عبور
این رمز عبور Cisco پیشفرض است. فرمان رمز عبورست میشود با یک رمز عبور برای تلنت و دادن دیوار آتش pix و دسترسی به مدیریت دیوار آتش کنسول. یک رمز عبور خالی می تواند استفاده برای تغییر در یک رشته رمزدار شده – هر استفاده از یک فرمان نشان میدهد یا مینویسد متن رمزدار شده را.
بعد از رمزهای عبور رمزدار شده آنها نمیتوانند تغییر بدهد که شامل این مثال است.
رمز عبور مخصوص برای pix نشان دادن رمز عبور
رمزدار شده JMOr Nbno5 14fadBh رمز عبور
حالت انتظار ]شماره-گروه[ آپی]آپی آدرس ثانویه[
یک شماره از گروه دارای این ویژگی می تواند پیکربندی شود تحت تایید مسیریاب شرکت محلی در HSRP.
در اینجا یک مثال از
مسیریاب (پیکربندی) # inteo
مسیریاب (پیکربندی) حال انتظار
تایید اعتبار رشته
آی پی فعال و قوانین حالت انتظار برای آیپی
مک آدرس مخصوص مجازی – مک آدرس برای مسیریاب مجازی
سناریو رسیدگی نشان داده شده در شکل 7-8
سطح اولیه
تایمرهای داغ حالت انتظار تایمرها
بخش اولیه بخشها در محیط رابط
استفاده از حالت انتظار رابط سوخته شده درآدرس
شکل 7-8 نشان میدهد
پیکربندی از یک مسیریاب اولیه در زیر:
نام میزبان اولیه
رابط اترنت 1
آیپی آدرس 144.254.1.1255.255.0
نبود آیپی برای ارسال پیام به مقصد از مسیر دیگر
حالت انتظار برای سیگنال طبق اهمیت و ضرورت
مسیریابی صافیها و فیلترها
بهطور پیشفرض همه قوانین مسیریابی دینامیک بایستی با توجه به اطلاعات مسیریابی صورت گیرد
در زمانهایی برای شما ناممکن است که دستگاهها یا از شبکه شما به راحتی فرابگیرند شبکه شما را از قانون مسیریاب . اگر این مورد هست شما باید جلوگیری کنید.
برای جلوگیری از مسیریابی امروزی و به روز رسانی شده در میان رابط مسیریاب مخصوص استفاده میکنیم از فرمانهای زیر با این نوع و مد پیکربندی
رابط گذشته
برای جلوگیری از مسیریابها از یادگیری یک و یا بیشتر مسیریابها شما میتوانید از به روزرسانی مسیریاب جلوگیری کنید.
شما ممکن است بخواهید جلوگیری کنید از مسیریاب مخصوصی که در لیست به روز رسانی شدهةا آورده این هست همچنین ممکن منابع از صافی گذشته و یک سری اطلاعات مسیریابی شده را به ما بدهد شما ممکن است انجام دهید این مسیریابی را از منابع مختلف زیرا بعضی از قطعها در مسیریابی اطلاعات ممکن است خراب شود. برای مسیریابهای isco یک مدیر که بررسی کند فاصلهها و منابع اطلاعاتی را بررسی کند لازم است.
مسیریاب eigrp109
شبکه 144.254.0.0
فاصله 255
فاصله 144.254.5.00.0.255100
مسیریاب rip
شبکه 144.254.0.0
رابط گذشته FE 1/0
رابط لیست 11 خروجی
فاصله 255
دسترسی لیست 11، اجازه 0.0.0.0
در این پیکربندی رابط گذشته فرمانی نیاز ندارد برای اینکه رابط شبکه LAN قرار گیرد. زیرا IGRP نیاز به همسایه دارد قبل از اینکه به صورت به روزرسانی شده فرستاده شود.
مسریاب eigrp109
شکبه 144.254.0.0
نام میزبان ساختمان 2
کلید بدست آوردن B/dg1
کلید 1
کلید رشته، کلید رمزدار
پذیرفتن زمان زندگی 08:30:00 June 6 1998
فرستادن زمان زندگی 08:30.0.0 June 6 1998
رابط FE1
آی پی آدرس 144.254.4.3255.255.255.0
آی پی تایید عبور مد eigrp109 md5
آی پی تایید عبور مد eigrp 109 برای ساختمان 2
مسیریاب eigrp 109
شبکه 144.254.0.0
یادداشت. نکته: مسیریاب ساعتها باید با قوانین زمانی شبکه (NIP) اگر مسیر تایید رمز عبور برای کار مناسب باشد.
مسیرتایید اعتبار اطمینان میدهد به مسیریابی امروزی شد که از منبع داده اطلاعات دارد. استفاده از یک یک راهی برای داشتن یک تابع است و اطمینان از تایید اعتبار یک جفت از تماسهای امروزی شده در مسیریابی.
همه مسیریابها باید پیکربندی شدند با یک کلید مخصوص و در یک الگوریتم رمزدار شده قرار بگیرند. در الکوریتمهای منطقی استفاده میشود از SHA-1, MD5 و EDEA.. مسیریابهای cisco از MD5 استفاده میکنند. آیپی مسیریابی قوانین دارد برای ذخیره تایید اعتباراتی که شامل موارد زیر میشود.
قوانین اطلاعات مسیریابی با ورژن 2 (RIPV2)
رمز راه درگاه قوانین (BGP)
مسیر کوتاه بازکردن (ospf)
قوانین
برای قوانین مسیریابی آیپی در مسیریابهای cisco پشتیبانی نمی کند از MD5، RIPV1
نام میزبان ساختمان 6
کلید بدست آوردن Bldg2
کلید 1
کلید رمزدار کردن رشته
پذیرفتن زمان 08:30:00 June 6 1998
فرستادن زمان 08:30:00 June 6 1998
رابط FE1
آیپی آدرس
آیپی تایید اعتبار مد eigrp 109 md5
آیپی تایید اعتبار eigrp 109 ساختمان 1
شما میتوانید استفاده کنید از سه روش مختلف برای تایید اعتبار HTTP
مسیریاب پیکربندی میشود توسط آیپی تایید اعتبار HTTP
استفاده فعال و کلیدهای رمز فعال
استفاده محلی، نام کاربرد محلی، کلیدهای رمز فعال
استفاده tacAcs + کاربر
اجازه کاربرها برای دسترسی به سرور HTTP، شما باید فعال کنید رابط جستجوی وب cisco را با دنبال کردن این فرمانها
آیپی سرور HTTP
بعد شما باید فعال کنید رابط جستجوگر Cisco را تا کاربرها بتوانند استفاده کنند از دسترسی به صفحات وب با مسیریاب و فرمانهای نرم افزار cisco اجازه میدهد فقط کاربرهای سطح اولیه وارد شوند و فرمان ها برای سطحهای دیگر باید تعریف شوند مخصوص نیاز یک مسیریاب به صفحات وب برای سطح اولیه بهطور پیش فرض مرحله 15 است.
تایید اعتبار در کنسول سریال ایجاد میشود با ایجاد موقعیتی که قفل نداشته باشد، و اگر تایید اعتبار سرور به جواب نیاز نداشته باشد باید دسترسی پیدا کنیم به کنسول تلاش برای تشخیص خطا
اگر کنسول برقراری ارتباط را نیاز داشت برای زمانهای تایید اعتبار شما میتوانید رمز عبور دیوار آتش PIX را فعال کنید
امنیت SNMP
در قوانین مدیریت شبکه ساده (SNMP) اغلب از موارد استاتیکی استفاده میشود تا دستگاههایی که دارای ساختار شبکه مانیتور از راه دور هستند نیز از این امنیت استفاده کنند.
چون قوانین ساده است بنابراین امنیت در نسخه اصلی آن ساخته شده در نسخه SNMP1 رشتههایی را تحتعنوان متن پاک میفرستند.
ارتباط رشتهها بسیار آسان است برای مدیریت کردن
SNMPV2 مقداری آدرس شناخته شدة امنیتی بیشتری دارد نسبت به SNMPV1
حالت انتظار آیپی 144.254.1.3
پیکربندی به حالت انتظار یک مسیریاب در حالات زیر است.
نام میزبان در حال انتظار
رابط اترنت 1
آپی آدرس 144.254.1.2255.,255.255.0
نبود آپی
حالتن انتظار اولیه 101
حالت انتظار آپی 144.254.1.3
گزینه های Cisco
گزینههای معمولی برای اتصال نشان داده شده در شکل 8-8
در شبکههای ساده دو سطح بالاتر از رئیس میتواند فرورفته داخل یک لایه مفرد ستون دار مجاز بین بیشترین حد و کمترین حد
شکل 8-8 نشان میدهد معماری شبکه بعد از مجموعه مقادیر در داخل یک توپولوژی و معمای حلقوی آزاد
درخت قفل دارد و جلوگیری میکند از اتصال به حلقهها.
هر گزینة دسترسی و گزینة توصیف در شکل یک دارد.
فاصله زمانی بین دو رویداد در قوانین درخت
فاصله زمانی بین دو رویداد در قوانین درخت (STP) یک قانون مدیریتی است که فراهم میآورد افزایش مسیر را در حالی که از افزایش نامطلوب حلقههای شبکه جلوگیری میکند.
برای یک اترنت شبکه تابع مناسب فقط یک مسیر فعال است که بین دو مکان و موقعیت به وجود آمده است.
در STP یک الگوریتم محاسبه و ماشین حساب بهترین راه برای شمارش حلقههای خالی و آزاد در میان گزینههای شبکه میباشد گزینهها و کلیدها می فرستند و دریافت میکنند. فاصله بین دو رویداد را در بستهها از این کلیدها و گزینهها بازگرداندنی نمیکنند بستهها را اما استفاده میکنند از بستههای شناخته شدة یک حلقه آزاد مسیر فراهماوردن تامین قطعات اضافی در سیستم در صورت بروز خرابی گزینههایی که باعث گسترش شبکه است را بایستی برای STP تعریف کرد. در غیر این صورت قطعات اضافی مجبور میشوند باقی بماند در حالت انتظار برای مدت طولانی و این در بخش از شبکه که دارای STP است باعث تغییراتی میشود. پس بایستی الگوریتم پیکربندی را به گونهای تنظیم کرد پس برای معماری شبکه اتصال آن بایستی حالت انتظار را نیز فعال کرد.
عمل STP برای تمام موانع ناپیداست: آنچه کشف نمیکند که آنها به یک LAN ابتدایی از نوع قطعات چندگانه متصل هستند.
تمام گزینهها در یک مبادله شرکت کننده در LAN در STP اطلاعات را در دیگر گزینههای شبکه بعنوان یک تغییر از نوع پیغام دادهای که واحدهای بل پروتکل داده (BPDUS) نامیده میشود جمعآوری میکند . نتیجه این تغییر پامها در کارهای زیر است.
انتخاب گزینه ریشه واحد برای بدون تغییر بودن معماری شبکه
انتخاب از یک طراحی گزینه برای هر کلید در بخش های LAN
انتقال از حلقه ها در گزینه شبکه بوسیله میدان تکراری درگاهها را در یک وضعیت پشتیبان برمیگزیند
گزینه ریشه STP مرکز منطقی معماری فرمان spanning-tree در یک شبکه برگزیده میباشد.
تمام مسیرهایی که برای رسیدن به گزینه ریشه از هر کجا در شبکه برگزیده لازم نیستند در متد STP جای گرفتهاند.
مسیر بدست آوردن واحدهای داده
BPDVS شامل اطلاعات در مورد انتقال دادن گزینهها و درگاههای آن دربرگرفتن گزینهها و درگاه رسانه کنترل دسترسی گزینه اولویت و درگاه ارزش می شود. STP این اطلاعات را برای انتخاب کردن آدرس گزینه ریشه و درگاه ریشهی شبکهن برگزیده 1 بکار می برد: بخوبی درگاه 1 پایه و درگاه طراحی شده برای هر بخش برگزیده.
معماری فعال یک شبکه برگزیده با گزینههای زیر تعیین میشود.
گزینه منحصر به فرد شناسایی (آدرس MAC) با هر گزینهای می پیوندد
مسیر ارزشی بست پایه با هر گزینه درگاهی می پیوندد
درگاه شناسایی (آدرس MAC) با هر گزینه درگاهی می پیوندد
هر پیکربندی BPDU شامل اطلاعات جزئی زیر می شود
شناسایی منحصر به فرد گزینهای S گزینه فرستند اعتقاد به گزینه پایه بودن دارد
ارزش مسیر بدست پایه از درگاه فرستنده
معرفس درگاه فرستنده
گزینه پیکربندی BPDU ها را بسوی برقراری ارتباط و حساب کردن معماری sponning-thee می فرستد
یک بدنه MAC یک BPDU را انتقال می دهد و گزینههای گروهی آدرس ها را به مقصد فیلد آدرس می فرستد تمام گزینه ها به LAN بروی هر بندة دریافت فرستندة BPDU متصلند. BPDU ها بوسیله گزینه مستقیماً فرستاده نمی شوند. اما گزینه دریافت اطلاعات را در بدنه برای حساب کردن یک BPDU بکار می برد و اگر معماری بست شروع کردن یک BPDU فرستنده تغییر کند.
نتیجه تغییر یک BPDU در موارد زیر است
یک گزینه بعنوان گزینه پایه انتخاب میشود.
کوتاهترین فاصله تا گزینه پایه برای هر گزینه حساب میشود
انتخاب گزینه طراحی شده این گزینه بسته میشود در میان گزینه های که به ریشه بازگردانده می شود.
برای هر گزینه یک درگاه انتخاب می شود این درگاه مشروط بهترین مسیر از گزینه بست گزینه پایه است.
درگاههای دربرگیرنده در STP انتخاب شده اند
آفرینش یک معماری استوار STP
اگر تمام گزینه ها در تنظیمات پیش فرض قادر شده باشند گزینهای با پایین ترین آدرس MAC در شبکه گزینه پایه میشود در بعضی موارد بخاطر ترافیک تعداد فرستادن درگاهها یا انواع خط.
ویژگی کاهش زمان نیاز دارد به فاصله زمانی بین دو رویداد در درخت بعد از آزمایش قوانین تغییر که متصل شدن عوامل ناقص را به یکدیگر به دنبال دارد
یادداشت : برای ستون اصلی کار ر شبکه باید تمام گزینهها فعال باشند
پیکربندی ستون اصولی ویژگی بایستی وارد کند یک سری فرمانها را و آیپی پیشفرض در ویژگی راه درگاه اجازه می دهد که پیکربندی شود تمام درگاههای آیپی پیش فرض
دیوار آتش P12 در CISCO
در دیوار آتش Pix معمولاً یک دستگاه که قسمت های مختلف آن با هم یکی شدهاند هر عنصری که در این دستگاه به طور مفرد جلوگیری می کند از نصب دیوار آتش Pix و Pix را جستجو می کند.
آیپی آدرس ناقص باید توسط کارت رابط بر روی آن پیکربندی شود و برای واحد فعال سیستم از مک آدرس مربوط به واحد اولیه استفاده می کنند
هر واحد در یک جفت از ارتباطات ناقص و خراب شده به خاطر کابل خراب شده میباشد. دو واحد می فرستند بسته های سالم خراب شده را بر همه رابط های شبکه و در عرض 15 ثانیه همه کابل ها خراب میشوند این ویژگی در نمایش گرهای دیوار آتش Pix و ارتباطات ناقص وجود دارد. شروع به تست رابط ها و معین کردن که کدام واحد ناقص است بایستی در انتقال دهنده فعال واحد حالت انتظار جستجو و کنترل کرد
حمله معمولی و عمومی
یکی از انواع حمله ها است که می تواند شبکه را به زانو درآورد. می توان از این حمله ها جلوگیری کرد با توسعه قراردادن مانع البته با شناخته بهتر حمله ها.
خط CONO
کلمه عبور 7047E0200335C465817
خط auxo
برقراری ارتباط محلی
رابط ورودی برای بسته ها (برای یک بحث جزبندی شده بر روی cisco در لیستهای دسترسی Ios رجوع کنید به فصل 9 امنیت دسترسی به اینترنت)
این هست فعال برای اضافه کردن ورودی در یک لیست دسترسی
دسترسی لیست 100 اجازه آیپی میزبان 171.69.233.3 برقراری ارتباط ورودی
این خروجی از این فرمان جستجو می کند نتیجه این
udpJ 71.69.2.132(53) اجازه 100 لیست : %SEC-6-[PACCESSLOGP
بسته .171.69.233.3(577),1(٪ اترنت)
1Cmp171.69.2.75 اجازه 100 لیست %SEC-6IPACCESSLOGDP
بسته -.171.69.233.3(%),1 (٪ اترنت)
یکپارچه سازی حملهها
بازداشتن از هر حمله ای بر روی هر قطعه در آن دستگاه باید داشته باشد یک گزینه برای دوباره بستن و دوباره جمعکردن در بسته اصلی داشته باشد
بایستی از قانونی بودن بسته اطمینان داشته باشی و این بسته برمیگردد قبل از اینکه برای فردی دیگری فرستاده شود این چک کردن می تواند چندین محدودیت برای کارائی سیستم به وجود آورد
سیستم پیامها به وسیله دستگاههای مختلف به وسیله قفل محلی فایل ها را مدیریت می کند. یک قفل سیستمی در مدیریت سرور می تواند استفاده کند از مجموعه اطلاعات شبکه که با یک هدف یکی شده اند
کشف تعدی و تجاوز
کشف تعدی و تجاوز به شبکه را بایستی تجزیه کرد تا برای مقابله با حمله ها برنامه ریز می شود. اینکه این حمله داخلی است یا خارجی
در فصل هفتم که شامل دستورالعمل های خوبی است که در زیر بیان شده
باید اجرا شود بدون مدیریت انسانی و این سیستم باید به اندازه کافی اجازه دهد برای اجرای تمام تغییرات در سیستم
باید تلورانس منظره نیاز نداشته به دوباره بالا آمدن سیستم
سیستم اگر به کندی کار کند در این صورت به آسانی نمی توان از آن استفاده کرد
بایدتغییر بدهیم رفتار سیستم را با برنامه های کاربردی
این منطقه و محدوده کاری پایستی دارای مدیریت شبکه باشد تا شما بتوانید صفحه نمایش مفید و خالی از ترافیک را با فاصله و رفتار نرمال داشته باشید
هر برقراری ارتباطی خیلی مهم است برای اینکه نسخه ای از اطلاعات سیستم را در بخشی از خود نگهداری می کند
حادثه قفل اتوماتیک به صورت خروج از سیستم و دادن پیام خطا می باشد. پس بایستی شما پیکربندی کنید قفل خروجی سیستم را مدیریت قفل سیستم
پیامهای قفل شده پایة قوانین دادههای کاربر هستند. (UDP) و دریافت می شوند بر روی پورت UDP 514 پیام متن نگهداری می شود.
در زیر 512 بایت و بستههای UDP کوچکتر در 576 بایت نگهداری می شوند.
دستورالعملهای پیگیری شبکه زیرساخت
بررسی موقعیت محصول تولید شده
شمارهای از این محصولی که موجود می باشد می تواند برای مدل و شبیهسازی زیرساختهای شبکه و برای تهیه کردن قابلیت کنترل و کشف و تجاوز و تعدیبه شبکه استفاده شود. محصول موجود در شرکت cisco sgstems شامل موارد زیر میباشد.
NETRanger, aisco Erderprise Accounting for Net Flow, eisco Resoaree Manager, Netsonar, Netsgs
ارائه مثال
این بخش پیکربندی برای دیوار آتش، مسیریابها، و گزینههایی را که شکل 1-8 نمایش میدهد نشان میدهد
این پیکربندی فرانهایی را باید برای بیشتر پایههای زیرساخت cisco برای امنیت کامل در دستگاهها و شبکه زیرساخت باشد نشان می دهد
بعضی ویژگی ها نشان می دهند که در جزئیان این عمل مطرح نبودهاند و اگر آنها مورد استفاده قرار نگیرند ناتوانی آنها به خاطر ایسنت که آنها می توانند باعث بعضی ریسکهای امنیتی شوند.
روش استفاده از کدهای خاص برای دسترسی به فضایی در حافظه TACACS+
تمام فرمانهای موجود در فایل های پیکربندی با یک علامت ! میآید
مسیریاب پیکربندی
مسیریاب نام میزبان
آنچه در مرزگذاری MD5 بکار می رود
خدمات رمز عبور – رمزگذاری
رمز عبور فعال 7047Eo50200335C46581
فعالیت سری 5$1$olloD$ QR. Onu68q3226pZM.Zexj1
برنامه نرم افزاری معمولاً برای گرفتن اطلاعات کاربر بکار می رود. این باید ناتوان باشد.
بدون سرویس برنامه نرم افزاری
بدون سرویس خدمات اتصال
غیرفعال کردن دسترسی به سرویس های TCP کوچکتر مانند فرمان echo
دستگاه شارژ ردکردن و قدرت روز
بدون سرویس tcp-small-servers
غیرفعال کردن دسترسی به سرویس های UDP کوچکتر مانند فرمان echo
بدون سرویس udp-small-servers
!
بدون راهاندازی سرور ip
جلوگیری کردن از استفاده مشتری از بکاربردن منابع نامنظم
بدون استاندارد ip
پیکربندی TACACS+ تایید اعتبار بعنوان پیش فرض – برای واقعه نگاری کاربرها بعنوان اعضا
یک تایید اعتبار پایگاه داده محلی در رویدادهای وجود دارد که TACACS+Server غیردسترس می باشد.
مدل جدید aaa
ورود taeacs پیش فرض +
ورود اعضا tacaes+ محلی
تایید اعتبار
اجازه کارکرد مسئول اجرایی برنامه خروج موقت زمانی که اعتبار تایید شود اگر TACACS+ سرور قابل استفاده سودمند نیستند، فرمان های مربوط به ساختن ما امتیاز برتری سطوح 0 و 1 به فرمانهای تایید اعتبار متحد نیاز دارد.
خط uty04
برقراری ارتباط با سیستم محلی
شما می توانید محدود کنید دسترسی واردشدن و خارج شدن از ارتباط تلنت را بروی پرتهای uty بوسیله قرارگرفتن در لیست دسترسی (آن فیلترها هست) فقط اجازه یا معین کردن دسترسی برای شبکهها یا میزبانهای مشخص شده
بطور کامل توضیح از لیستهای دسترسی eisco در فصل نهم معین شده است و امنیت دسترسی به اینترنت در پیرو این مسئله به طور مثال اجازههایی که فقط برای وارد شدن به دسترسی تلنت از میزبانها بر روی شبکه است عبارتست از 144.254.5.0
دسترسی لیست 3 با اجازه 144.2545.00.0.0.255
خط uty04
دسترسی در کلاس 3
دسترسی محاورهای یا فعل و انفعالی می تواند کاملاً مانع شود بوسیله بکاربستن پیکربندی دستوراتی که اجرایی نیستند در هر خط بطور غیرهمزمان این فرمان اجازة فقط یک ارتباط خارجی برای یک خط را می دهد.
وقتی که کاربر سعی می کند در یک خط به تلنت وارد شود که در آن پیکربندی فرمان ها اجرایی نیست آن کاربر پاسخی بدست نمیآورد و وقتی او کلید اینتر را فشار می دهد به صفحه لوگینگ وارد می شود.
پروتکل ها و قوانینی که ثابت هستند برای استفاده در وصل شدن به یک خط ویژه در مسیریاب استفاده می شود برای انتقال فرمان های پیکربندی شده خط ورودی
خط ورودی {au/lat/,p[/msdo/mpmr/[sf/b;phom/yr;mry/u120}
نکته: هیچ گزینه ای در asco Jos ویرایش 11.10 باعث پیشفرض شدن تنظیمات نمی شود قبل از ویرایش 11010 همه چیز پیش فرض است.
چندمثال یک پیکربندی در خط های uty را نشان می دهد. و سیگنال هایی که این خط می فرستد فقط به ارتباط تلنت مربوط می شود درگاه ارتباطی ارتباط ورودی را نمی پذیرد و ارتباط سریع و فوری را نمی دهد.
خط uty 04
انتقال تلنت ورودی
خط aaxo
نبود مسئول اجرایی
انتقال ندادن ورودی
فرمان مفید دیگر: استفاده از جلسة زمان های خروجی از پایانه فرمان های خودکار یا پرتهای uty
بطور پیشفرض زمان خروجی 15 دقیقه است و می توان فرمان های زمان های خروجی اجرایی را اصلاح کرد
در اینجا یک مثال هست که…
تعیین کردن کلمه رمز دار نشده برای دنبال کردن آنچه می خواهیم
7 تعیین کردن کلمه مخفی
خط رمز نشده (متن پاک) خط کلمه عبور
برای کنترل و نظارت اضافی خط دسترسی قادر است دسترسی کنترل شده را بوجود بیاورد. بوسیله تایید اعتبار با یک نام کاربر و یک کلمه عبور مشابه
نام کاربر می تواند ای یک پایگاه داده برای یک دستگاه IOS محلی معین شود. و یا استفاده از TACACS نتایج مفید دارد. و قابلیت بیشتر و پایگاه داده آسانتر در مدیریت و بازبینی و کنترل طرزکار و مکانسیم
مسیریاب # ایجاد پیکربندی ترمینال یا پایانه
مسیریاب (پیکربندی # خط کنسول 0)
مسیریاب (پیکربندی خط) # برقراری ارتباط با سیستم
بررسی کلمه عبور محلی
استفاده از tacacs برای بررسی کلمه عبور
تخصیص دادن کلمه کلیدی محلی برای استفاده از پایگاه داده محلی برای تایید اعتبار . بنابراین یک پایگاه داده محلی باید پیکربندی شود بر روی مسیریاب. این انجام شده در فرمان هایی که به شرح زیر است.
مسیریاب # پیکربندی پایانه
مسیریاب (پیکربندی) # کلمه عبور اعضا استفاده کننده
0 معین کردن از یک کلمه عبور رمزدار نشده برای پیروی کردن از آنچه می خواهیم
7 معین کردم کلمه عبور مخفی برای دنبال کردن آنچه می خواهیم
خط متن رمز دار شده (متن پاک) خط کلمه عبور
یک پیکربندی ساده در کنسول و قانون دسترسی با استفاده از یک کلمه عبور ساده اما در دسترسی vty و aux پورت ها استفاده می شوند به وسیله پایگاه داده محلی که نشان داده در اینجا
نام کاربر و پسورد اعضا: 7082c495c0012001E010F02
نام کاربر و پسورد کلمه عبور: 705748 37212001E010F0296
در حال حاضر، PIC تنها به کلمات عبور از پیش فرض شده اجازه اختصاص یافتن محلی با این فرمان را می دهد. کلمه عبور در فایل شناسائی کننده که از MDS استفاده می کند مورد استفاده قرار می گیرد. اگر شما از کلمه ثبت شده در طول زمان شناسائی استفاده نمائید. در حال تخصیص این موضوع هستید که کلمه عبور وارد کرده شما قبلا ثبت شده است. کلمه ثبت شده را هم باید حداقل با 16 حرف ثبت کرد.
در زیر مثالی آمده که وارد کردن فرمان کلمه عبور خرفمان شده را نمایش می دهد:
فعال سازی کلمه عبور this is a secret
نمایش کلمه فعال شده
فعال سازی رمز عبور ثبت شده است.
در زیر هم روش وارد شدن کلمه عبور ثبت را با یک مثال بیان کرده ایم.
فعال سازی کلمه عبوری this is gilersh ثبت شده
نمایش کلمه فعال شده
کنترل های اجرای خطی
این کنترل یک رابطه خطی ترمینالی است. اکثر ابزارها دارای ربطهای مخصوصی هستند که به فرامین فیزیکی اجازه ارائه شدن به دستگاه را می دهند. فیش رابط نیز در مواردیکه شبکه در دسترس نباشند، کاربرد فراوانی پیدا می کند. اغلب روش تنظیم کردن روابط با ابزار را انجام می دهد. رابط های vty اغلب برای فرامین کنترلی – اجرایی بکار می روند. برنامه ریزان می توانند با کنترل از راه دور برنامه telnet تلفن – شبکه ای را برای اجرا به حرکت در آورده و تمامی فرمانهای آنرا اجرا کنند اگر به دستگاه متصل شده باشند. رابطهای اضافه نیز می توان برای پشتیبانی مدرن تر از دستگاه با یک رابط فیزیکی دیگر متصل نمود.
ظرفیتهای نظارتی و اجرائی برای هماهنگ شدن telnet یا خطوط اضافی برای هر محصولی فرق می کنند. در حداقل میزان مفروض شده، کاربران باید به هر برنامه اجرائی قبل از دست یابی به دستگاه توجه کرده و آنرا کنترل نمایند. مکانیسم های دقیق نظارتی هم باید بکار گرفته شوند اگر برای نگهداری آنها نیازی به تسهیل کلمه عبور نداشته باشند.
Cisco IOS
برای اجرای خطوط در ابزاهای cisco ios می توانید یک رمز عبوری ساده مشخص کرده در حالیکه هیچ اسمی کاربری را نباید وارد کنید. کلمات عبوری بهر حال بصورت بدون متن یا ثبت شده هستند که در فایل شناسائی قرار می گیرند.
شناسائی شناسائی از ترمینان، فلاپی یا حافظه
Debug فعال سازی شاخه فعالیتی ICMP در مورد debug کردن
عدم فعال سازی خروج از وضعیت شناسائی
فعال سازی فعال کردن و شناسائی کلمه عبور
Groom ثبت فلاشها برای نگارش مجدد آنها
http افزودن آدرسهای IP دولتی برای http و فعالیت به Pix
کشتن ترمینان یک مبحث telnet راندمان کردن
Password تعویض کردن Telnet و HTTP کلمه عبور اجرائی مشترک
Ping فعال سازی تست از روی روش تخصیص یافته ip
Quit توقف کردن
خدمات – پرتوی شناسائی یک خدمات کاربری پرتوی
بارگیری دوباره پاک کردن و بارگیری دوباره سیستم
مبحث اجرای فرامین داخلی
Syslog پیغام های log بد کاربران syslog
کاربرد tacacs شناسائی یک کاربر Tacacs
telnet افزودن آدرس tp دولتی برای اجرای تلفن شبکه PIX
شوق برنامه نمایش زمان باقیمانده سیستم
Who نمایش مباحث اجرائی فعال شده در PIX
نگارش شناسائی نگارشی تا زمان فالش، فلاپی یا ترمینان یا پاک کردن منوش
نکته مهم: در این زمان کلمات عبوری بروی سوئیچ از نوع ثبت شده نمی باشند. باید دقت لازم را انجام داد تا زمانیکه تغییر یا بررسی روشهای شناسائی برای اطمینان دادن اینکه هیچ مشخص غیر دولتی نمی تواند این کلمه عبوری را ببیند.
دیواره محافظی PIX از نوع cisco
روش محافظی دیواره مشخص اینترنت PIX شامل یکسری فرمان برای حفاظت است که از اصول برنامه ریزی تکنولوژیکی نوع cisco los بهره می گیرند. وضعیت از پیش تعیین شده دیگر نیز قابل دسترسی خواهد بود زمانیکه شما برا اولین بار اجرای دیواره محافظ PIX را بر عده می گیرید. فرمانهای اصلی به شما این امکان را می دهند تا تماس تنظیمات ثبت شده را مورد بررسی قرار دهید. وضعیت از پیش تعیین شده به نمایش علائم اقدام کرده و به شما امکان سنج تغییر دادن روشهای تنظیمی شده فعلی را می دهد. هر نوع فرمان از پیش ثبت شده دیگر نیز در وضعیت فوق قابل اجرا می باشند.
فرمان توضیح
دیواره محافظی pix
فعال سازی:وارد کردن وضعیت از پیش طرح شده یا تغییر وضعیت کلمه عبور ثبت شده
متوقف شدن متوقف شدن
زمان باق مانده نمایش زمان باقیمانده سیستم
Who نمایش روش های اجرائی ف
توقف خروج از نقاط ثبت شده
شناسائی مجدد شناسائی و تعریف درباره vmps
تنظیم دوباره تنظیم دوباره سیستم یا فرمانهای موجود
جلسات راههای منتهی به ATM یا روشهای ثبت شده
تنظیم تنظیم کردن، بکارگیری فرمان کمکی برای دست یابی به اطلاعات بیشتر
نمایش نمایش جریانات کمکی برای دست یابی به اطلاعات بیشتر
Slip اتصال/ جداسازی خط سریال
سوئیچ سوئیچ به وضعیت standby
telnet ارتباط تلفی شبکه ای با یک میزبان راه دور
Test آزمایش برای دست یابی به اطلاعات بیشتر
بارگیری دوباره وضعیت کدگذاری از یک ریز پردازنده
انتظار انتظار برای x ثانیه
Write نگارش سیستم های شناسایی کننده به ترمینال/شبکه
برای روشن سازی یک کاربرد درباره اجرای فرمانهای از پیش فرض شده در سوئیچ های cisco دو شکل از روشهای فوق امکان اجرائی شدن دارند.
– بکار بردن یک کاربر + TACACS
– بکار بردن کلمه عبور محلی تعریف شده
فرمان برای اجرای روشهای فوق را می توان بدین ترتیب اجرا کرد:
برقراری وضعیت هشداری فعال شده
کلمه عبور تعریف شده در محل کاربردی با استفاده از فرمانهای فعال سازی و تنظیم شده، قابل کاربردی خواهد بود.
فرمان سعی دارد تا شما را برای شناسائی کلمه عبوری قدیمی، فعال کند. اگر کلمه عبور وارده شما معتبر باشد شما برای وارد کردن کلمه عبور جدید اقدام کرده و باید کلمه عبوری جدیدی را تعریف کنید. کلمه عبور طول – صفر نیز اجازه پیدا می کند.
تاریخچه نمایش محتویات تاریخی برای فلیترهای گزینشی
Ping ارسال بسترهای راکوئی برای میزبانان
Quit خارج شدن از مباحث تحلیلی
جلسه اجرای راه تا ATM یا روشهای کانال
تنظیم تنظیم کردن بکار گیری آن برای کمک در جهت اطلاعات بیشتر
نمایش نمایش بکار گیری برای دریافت اطلاعات بیشتر
انتظار انتظار برای مدت x ثانیه
فعال سازی سوئیچ
وضوح واضح بودن کمکی برای اطلاعات بیشتر
شناسائی سیستم شناسائی از شبکه / ترمینال
فعال سازی وضعیت غیر فعال سازی
قطع ارتباط بحث عدم ارتباطی کاربران
ضبط اطلاعاتی کد download برای یک پردازنده
فعال سازی وضعیت فعال سازی از پیش تعیین شده
کمک نمایش دادن این پیغام
تاریخچه نمایش محتویات تاریخی فیلترهای گزینشی
Ping ارسال بسترهای راکوئی برای میزبانان
فرمان
Tacacs-sener=cmd
سوئیچ های cisco
برای سوئیچهای cisco جریان اصلی بوسیله < شناسایی شده و بعد از فعال شدن سیستم به راه می افتند، اجرای پیش فرض شده نیز توسط عبارت enable در سیستم فعال می شود جدوال 3 و 8 به نمایش اصول فرمانهای صادره می پردازند. جداول 4 و 8 نیز فرمانهای وضعیت پیش فرض شده را نشان می دهید.
فرمان توضیح
سوئیچ
فعال سازی فعال سازی وضعیت پیش فرض
کمک نمایش این پیغام
فرمان اجرائی از پیش فرض شده 9و سطح بارگیری مجدد:
بخش فعال سازی 95 را نیز فعال می کنید.
به کاربران شبکه ای ( اپراتورها) رموز ارائه شده، بنابر این آنها می توانند مناسب ترین فرمان را اجرا نمایند که از برنامه های ریز پیروی می کند:
توجه: فرمان شناسائی- اجرائی نمایش دهنده ترمینال، تمام فرمانهائیکه یک کاربر ارسال حاضر می تواند مورد استفاده قرار دهد را نمایش داده و از این فرمان، هیچ فرمان دیگری که مافوق دستورات ذکر شده باشند را نیز به اجرا در نمی آورند.
فرمان نمایش داده شده روشهای شناسائی نیز بدرستی روش شناسائی را نمایش نخواهد داد. بلکه بسادگی XVRAM را پرینت کرده و بیلان می دهند که فقط بعنوان شاخص شناسائی کننده روشهای تنظیمی بکار گرفته در حال حاضر را برای کاربرد و بصورت حافظه نوشتاری مشخص می نمایند.
برای فعال شدن یک برنامه مشخص کاربر باید روش شناسائی را به حافظه وارد کرده و باید روشهای از پیش فرض شده را نیز برای تمامی فرمانهای صادر شده مورد شناسائی قرار دهند. در عوض هم با روشهای متناوب ذیل به شما پیشنهاد می شوند:
نمایش کدگذاری کلمه عبور – کاربران
نمایش کدگذاری priv is فرمانهای خودکار نگارش شده
با این روش هر کسی که از کلمه عبوری foo آشنا باشد میتواند روشی شناسایی را نیز توسط اجرای ثبت بیشتر اطلاعات روی Vty یدک، به کار گیرد.
به کار بردن TACASC به همراه روشهای دولتی ارائه شده می تواند برای اجرای فرمانهای ویژه کاربرد مهمتری داشته باشد.
به جای استفاده از سطوح پیش فرض شده با فرمانهای مختلف، میتوانید نتایج مشابهی را با استفاده از روش ثبت شده دولتی + TACACS به دست آورید.
دو فرمان فوق شما دارید که :
گروه = شریک – شرکت
خدمات محدود = مجوز
این روش الگوریتمهای ایمنی بیشتری را برای مخفی نگه داشتن اطلاعات، فراهم مینماید. فرمان سازی مخفی نیز میتوان ایمنی بیشتری را برای فایلهای شناسائی شده شما فراهم نماید و به شکل راه دور نیز روی حافظه کاربران شما ثبت گردند. کلمات عبور را نیز هرگز نباید در یک متن مشاهده نمود زمانی که شما هر فایل دیگری را در حال مرور یا برسی هستید.
نرم افزار Ciscotos نیز دارای کاربران غیر همکار روز افزونی میباشد که از طریق روشی که میتواند سطوح مختلف و فرمانهای متنوع از پیش تعیین شده را محافظت کند، در اختیار کاربران قرار میگیرد. دفعات زیادی ممکن است قصد ثبت اعضا مخصوصی را از کارکنان داشته باشید که تنها بخش فرعی از فرمانهای فعال شده و از پیش فرضشده را تشکیل می دهند.
توجه: 5 فرمان با سطح 5 پیش فرض همراه شدهاند، عدم فعالسازی ، فعال سازی، خروج ، کمک و Logout اگر شما فرمان دولتی + TACACS را معرفی نمائید. برای سطح پیش فرض گستردهتر از 0 صفر، دیگر این 5 فرمان را شامل نخواهید شد.
هر دو رمز فعال سازی یا ظرفیت سازی میتواند برای فراهم ساختن سطوح از پیش فرض شده، مورد استفاده قرار بگیرد. مثال زیر این روش فعال سازی کلمه عبور یا رمز موجود برای دستیابی توسط کاربران را نمایش میدهد.
فرمان # فعال سازی سطح 10 کلمه عبور
صفر را نشان میدهد که کلمه عبور ثبت نشدهای به دنبال این فرمان خواهد آمد.
7 نشان میدهد که یک کلمه عبور مخفی شده در راه است.
LINE کلمه عبور غیر ثبت شده که فعال خواهد شد.
در این جا مثال ویژهای از فرمان پیش فرض سطح محدود نیاز در تقابل با رمز فعال شده برای ثبت فرمانهای مختلفی در جهت شناسایی سطوح مختلف پیش فرض شده ارائه شده است. در این مورد اپراتورهای شبکهای میتوانند وارد شده و رمز شناسایی شدهای را برای اجرای سطح 9 اجرا شی ارائه نمایند و یکبار که به دقت ثبت شوند، این اپراتورها مجوز ثبت و ضبط مجدد آن را خواهن داشت و از ارقام برای نمایش فرمان استفاده میکنند.
سفر مشخص میکند که کلمه عبور ثبت نشدهای در پی خواهد آمد.
7 مشخص میکند که کلمه عبوری مخفی شدهای در پی خواهد آمد.
LINE کلمه عبوری ثبت نشده که فعال میشود.
روشی # فعال سازی رمز
صفر نشان می دهد که یک کلمه عبور ثبت نشده در راه است.
5 نشان میدهد که یک کلمه عبور رمز ثبت نشدهای در راه باشد.
LINE هم رمز فعال سازی شده را نمایش میدهد.
تنظیم سطح exec کلمه عبور.
شما میتوانید کلمه عبوری فعال شدهای را ارائه نماید یا شکل رمزی ثبت نشدهای را مشخص کنید همان طور که در مثال ذکر شده است.
آیا چنین خواهند کرد اگر چه کلمه عبور یا رمز فعال شده در فایل شناسایی به عنوان روشهای ریز ثبت می شود:
شما میتوانید همچنین رمز را به شکل ثبت شدهای وارد کرده همان طوری که در مثال ذکر شده است. برای انی منظور هم اگر چه رمز ثبت شده باید از یک رمز ثبت شده قبلی کپیبرداری شود، که برای این منظور هم شخص کاربر باید عبارت thisisasecret را تایپ کرده تا به رمز مورد نظر دست پیدا کنید.
مثال زیر مراحل شناسایی فایل بعد ز این که هر دو عامل رمز و کلمه عبور مورد شناسایی واقع شدند، را بیان میکند.
فعال سازی رمز 5
نکته مهم: اگر شی هر دو وضعیت فوق را شناسایی کرده باشید، فرمان فعالسازی رمز میتواند مراحل دیگری را نیز ارائه کند.
این گونه درخواست شده که شما از رمز فعال شده به جای کلمه عبور فعال استفاده کند زیرا فرمان قبلی برای شما مشخص نشده است.
Undebug عملیات فوق را متوقف می سازد.
Verify مجموع آزمایش فایل فلش دار را تعویض میکند.
Where اتصالات فعالی را لیستبندی میکند ( فهرستبندی)
Write روش اجرائی حافظه شبه یا ترمینال را نگارش خواهد کرد.
روش تنظیم شده برای وضعیت فعال شده در ابزارالات Cisco IOS، یکی از سه شکل زیر را برای خود ترسیم کنند.
· یکی کلمه عبور
· یک رمز
· TACACS
هر دو فعال سازی کلمه عبوری یا رمز به شما امکان ایجاد کردن کلمه عبور ثبت شدهای را فراهم میسازد کاربران باید برای اجرای وضعیت از پیش فرض شده به کار میگیرند.
تفاوتهای میان کلمه عبور یا رمز فعال شده در الگوریتمهای فرض شده برای کاربران مشخص خواهند شد. فرمان فعال سازی کلمه عبور از یک الگوریتم قابل بازگشت پیروی میکند این الگوریتم قابل بازگشت نیز برای حمایت از پروتکلهای طرح شده عمومی کاملا ضروری و الزامی به نظر میرسند. در حالی که سیستم نیاز به اجرای فرمان متن طرح شده برای کلمه عبوری کاربران خواهد داشت. اگر چه رمزهای فعال شده با استفاده از الگوریتم mds به ثبت خواهند رسید. این الگوریتم قابل برگشت نبوده و از امنیتی بیشتری نیز برخوردار است. ثبات و دوام ثبت شده مورد کاربرد نیز تنها تفاوت فاحش میان دو فرمان فوق خواهد بود.
نکته مهم : اینگونه درخواست شده که شما از فرمان فعال شده پیوری نمائید زیرا دارای الگوریتم ثبت شدهای است که در قبال تمامی فرمانهای فعال سازی کلمه عبور قابل اجرا خواهد بود.
NO
عملکرد اجرائی debug را متوقف میسازد.
PAD
گشایش ارتباطی x.29 pad
PING
ارسال پیغامهای اکویی
PPP
شروع پروتکل نقطه به نقطه LETF
REIOAD
ثبت و اجرای شروع درباره دیگری
RESUM
ثبت مشخصات شبکه فعال
RLOGIN
گشایش فرمان دوباره RLOGIN
RSH
اجرای یک فرمان از راه دور
SEND
ارسال پیغام برای سایر خطوط TTY
SETUP
اجرای فرمان تسهیلاتی SET UP
SHOW
نمایش جریان اجرائی اطلاعات سیستمی
Slip
شروع خط سریالی Fp
Start – chat
شروع یک تقابل chat – Scriptخطی
Systat
نمایش اطلاعات درباره خطوط ترمینالی
telnet
گشایش ارتباط نوع تلفن- شبکهای
Terminal
تنظیم عوامل خطوط ترمینالی
Test
آزمایش سیستمای زیر مجموعهای – حافظهای و راههای داخلی
Tracerouto
برقراری راههای ارتباطی تا مقصد
tunnel
گشایش یک تونل ارتباطی
Clok
هدایت سیستم ساعت
Configuro
ورود وضعیت شناسایی
Conncct
گشایش ترمینال ارتباطی
Copy
کپی کردن شناسایی یا اطلاعات تصویری
DEBUG
شروع دوباره فعالیتها
Disable
خاموش کردن فرمانهای از پیش فرض شده
Disconnect
قطع ارتباط شبکه ای موجود
Enable
روشن ساختن نهایی پیش فرض شده
Erase
پاک کردن حافظه فلاش یا شناسایی کننده
exit
خروج از EXEC
Help
تشریح سیستمهای کمکی بین شبکهای
Lock
قفل کردن ترمینال
Logim
ورود به یک کاربر ویژه
Logout
خروج از EXEC
Mbranch
برقراری راههای چندگانه نسبت شاخههای تحتانی
Mrbranch
برقراری رابطه معکوس چندگانه نسبت شاخههای فوقانی
Mrinfo
تقاضای محلی و اطلاعات نسخهبندی از یک مسیر چند مرجعی
Mstat
نمایش ارقام بعد از راهکارهای چندگانه
Mtrace
برقراری راههای چندگانه معکوس از مقصد تا مبدا
ppp
شروع IETE پروتکل نقطه به نقطه
Resume
شرح بندی ارتباطات یک شبکه فعال
Riogin
گشایش یک الگوریتم ارتباطی
Slp
شروع خط سریالی IP
Systat
نمایش ارتباطات درباره خطوط ترمینالی
telnet
گشایش رابطه Telnet ( تلفن – شبکه)
Terminal
تنظیم عوامل خطوط ترمینالی
Tracoroute
برقراری مسیر تا مقصد
tunnel
گشایش یک تونل ارتباطی
Whero
فهرست کردن ارتباطات فعال شده
K3
تنظیم عوامل k3 روی PAD
فرمان تشریحات
<1-99>
تعداد برقراری تا ثبت مشخص
فعال سازی – اجرائی
ایجاد یک فرایند اجرایی هم زمان برای فهرست ورودی
Claar
عملیات تنظمیم دوباره
ِConnect
برقراری ترمینال ارتباطی
disable
خاموش کردن فرمانهای پیش فرض شده
Disconnect
قطع ارتباط میان شبکههای موجود
Enable
روشن ساختن فرمانهای پیش فرض شده
exit
خروج از شکل EXEL
Minfo
درخواست محلی از نسخههای اطلاعاتی برای روشهای اجرایی چندگانه
Mstat
نمایش ارقام بعد از اجرای روشهای چندگانه
Mtracc
برقراری مسیر چندگانه معکوس از مقصد تا مبدا
ارتباط اسمی
نامگذاری یک رابطه شبکه ای موجود
Pad
گشایش یک رابطه x.29 PAD
ping
ارسال پیغامهای اکویی
ایمن سازی ساختارهای میان شبکهای
این بخش به تشریح چگونگی ایمن سازی مقادیر میان ساختاری شبکههای اطلاعاتی همکار می پردازد.
نمونه میان ساختارهای شبکهای اصل نیز در تصویر 1-8 نمایش داده شده و اصل فرض شده بر روی تمامی مثالهای مطرح در این بخش می باشد.
این بخش به خصوصیات ویژهای که به وسیله سیستمهای Cisco ارائه شدهاند، خواهد پرداخت و با روش شناسایی ابزار آلات مورد نیاز شرکتهای همکار بر طبق روشهای ارائه شده در زیر نیز اشارهای خواهد کرد.
· شناسایی
· دقت و انتشار
· ایجاد اطمینان
· در دسترس بودن
· شنیداری
بسیاری از این وقایع میتوانند از طریق شاخصهای دیگری نیز به کار گرفته شوند اگر در آنها قابل دسترس باشند. مثالهای زیادی نیز با ذکر مراجع و فرمانهای مورد نظر برای انواع مختلف و متنوع ابزار آلات رایج به عنوان بخشی از ساختارهای درونی شبکههای همکار، ذکر شدهاند.
· راهکارها
· سوئیچ ها
· صرفات اجرایی شبکهای
· دیواره حفاظتی
مثالهای ذکر شده نوعی خط هدایتی هستند، در بسیاری از مثالها، شما دارای روش شناسایی هستید تا آنها را با محیط اطراف خود کاملا منطبق نمائید. در انتهای این فصل نیز مثالی از روش شناسایی برای ابزار آلات Cisco Ios ذکر شده است که سوئیچها و دیوارههای حفاظتی موجود برای اطمینان دادن و ایمن سازی ساختارهای میان شبکهای را نیز در بر میگیرند.
فهرست مطالب
تواناساختن تایید اعتبار
دیوار آتش pix در Cisco
بی نقصی
تایید اعتبار
گروه بخاری ایمن و بیخطر
اتصال به کامپیوتر از اتصالهای کوتاه برای زمان خروجی
بررسی موقعیت سیستم
بررسی صحیح کارکردن پیکربندی
یکپارچهسازی حملهها
حمله Tsp SYN
حمله Tsp SYN
خلاصه و مختصر
گزینه و کلیدهای cisco
تصویر دیوار آتش CISCO
مسیریابی صافیها و فیلترها
رابط گذشته
آیپی سرور HTTP
امنیت SNMP
مسیر بدست آوردن واحدهای داده
دیوار آتش P12 در CISCO
یکپارچه سازی حملهها
بررسی موقعیت محصول تولید شده
تایید اعتبار
کنترل های اجرای خطی
Cisco IOS
دیواره محافظی PIX از نوع cisco
فعال سازی سوئیچ
سوئیچ های cisco
نمایش کدگذاری کلمه عبور – کاربران
ایمن سازی ساختارهای میان شبکهای
مطالب مرتبط