تحقیق درباره تواناساختن تایید اعتبار دیوار آتش pix در Cisco

دانلود تحقیق و مقاله رایگان با عنوان تحقیق درباره تواناساختن تایید اعتبار دیوار آتش pix در Cisco

سیستم امنیتی Pix می‌تواند همچنین دسترسی پیدا کند به پایه صفحات وب که ابزار آن پیکربندی شده و این فرمان‌ها نیاز دارند بر روی pix دنبال کنند موارد زیر را:

آی‌پی آدرس [netmash]http

رمز عبور passwd

بعد شما قادر خواهید بود از رابط pin در cisco برای جستجو استفاده کنید. برای بیان واضح یک میزبان با آی‌پی آدرس کاربردها می‌توانند از مسیریاب وب برای صفحات معینی استفاده کنند و به پایانه زمان HTML که توسط رابط سازماندهی شده استفاده کنند.

بی نقصی

بی‌نقصی در زیرساخت شبکه نیاز دارد به تصویر نرم‌افزار که اجرا شود بر روی رمز عبور قانونی و پیکربندی کردن طبق قوانین طبقه‌نبدی شده انجام گیرد. شما می‌توانید مطمئن شوید از اجازه برای متصل‌شدن به شبکه و وارد کردن اطلاعات و داده‌هایی که می‌خواهید بی‌تقصی بزرگ شامل اشتباهات و نقص‌هایی در سراسر شبکه می‌شود.
تایید اعتبار

وقتی دانلود می‌کنید تصویری را بر روی شبکه ساختار ابتدایی دستگاه شما ممکن است بخواهید اطمینان پیدا کنید از تصویر و اینکه آن تصویر در هنگام انتقال تغییری برای آن ایجاد شده است یا نه

تمام گونه‌های نرم‌افزار متصل به cisco و تمام گونه‌های پایه‌های اطلاعاتی ciscoios ثانویه و دربردارنده (5) 10.2 بوسیله تصویر MD5 محافظت می‌شند. MD5 در RFC1321 تعریف می‌شود، پیمایش تصاویر و ساختن یک چیز متفاوت روش ریاضی MD5 به شما مکانیسم یک برنامه بررسی صحت داده می‌دهد که آن را محاسبه می‌کند و امکان عملی برای آفرینش یک فایل با فایل مخصوص وجود ندارد (در این مورد قلم تصویری)

MD5 به کاربرهای ceo اجازه فرماه می‌دهد که هیچ بیتی در تصویر، در طول انتقال فایل نیست. بررسی مدت کارکرد فلاپی MDF اطمینان تصویر بی‌نقص محموله پایه دیسکت را می‌دهد.

گروه بخاری ایمن و بی‌خطر

در فقضای متحد شبکه‌ها، وجود بیشتر درخواست‌ها به طور زیادشونده بی‌ نقصی در سطح گروه کاری فراهم می‌کند. بررسی گزینه کاتالیزور 5000 در مک آدرس امنیتی این ویژگی را تصویب می‌کند. گزینه ترافیک ورودی اینترنت یا درگاه اینترنت سریع وقتی مک آدرس از یک ایستگاه کوشش دسترسی به درگاه مختلف پیکربندی می‌شود مک آدرس وقتی در یک درگاه بسته کوچک دریافت می‌کند ابتدا ماژدل‌های منابع آدرسی را با هم مقایسه می‌کند.

اتصال به کامپیوتر از اتصال‌های کوتاه برای زمان خروجی

بر روی دستگاههای cisco فرمان باید برخلاف حمله‌های tcpsyn باشد.

جداکردن آی پی tcp (دسترسی به لیست شماره)

تماشاکردن روش جداکردن آکپا tcp

فرمان نگهداری بخش ها با توجه به اطلاعات زیر

چه تعداد جلسه نیاز دارد و چه زمانی

چه تعداد جلسه کامل وجود دارد

چه زمانی در انتها برای درک مطالب لازم است.

برای سیستم امنیتی pIx شمامی توانید فرمان‌های زیر را دنبال کنید که محدود است به یک سری شماره تا به اتصال نهایی و اتصال ارتباط بر سیم

در این خطا طولانی‌ترین شماره از ارتباط و اتصال TCP اجازه می‌دهد و برای این کار رجوع کنید به فصل 9: دسترسی به امنیت اینترنتی برای درک کامل این موضوع بررسی

بررسی موقعیت سیستم

تابع بررسی موقعیت سیستم باید دارای اطمینان باشد از زیرساخت شبکه که به صورت توسعه یافته پیکربندی شده است.

این تابع همچنین می‌تواند به صورت فعال در شبکه وجود داشته و تأمل قابلیت‌های در انتخاب واردشدن و دخول کاربرها باشد.

بررسی صحیح کارکردن پیکربندی

ایجاد معماری شبکه‌ جاری

مشخص کردن خدمات میزبان‌ها

اجرا سناریو what-if برای حل مشکلات سیستم کدگذاری

اجرا سناریو ساده حمله و پیداکردن آسیب‌پذیری

بسته‌هایی برای رابط ورودی. (برای بحث جزئیات لیست دسترسی IOS رجوع کنید به فصل 9) دسترسی به امنیت . اینترنتی این فقل ورود برای دسترسی به لیست بایستی فعال شود.

لیست دسترسی اجازه 100 آی پی در میزبان 171.69.233.3 برای قفل ورودی.

خروجی از این فرمان شبیه این است.

یکپارچه‌سازی حمله‌ها

معین‌کردن اینکه پایه حمله ها به کدام قطعه است. تا اینکه دستگاه برای وارد کردن بسته‌های کوچک اطمینان داشته باشد منظور این که آن بسته بایستی قانونی باشد. و قطعه ای که دارای بسته است قبل از بازگردانده شدن برای چندین بار چک شود. تا کارایی سیستم محدود نشود. در ضمن بایستی ویژگی هر دستگاه مدنظر باشد.
حمله Tsp SYN

شناختن اینکه، آن تقریبا برای متوقف کردن یک حمله سیل‌آسای Tsp SYN غیرممکن است، مهم است. آنچه که می‌تواند انجام شود.
حمله Tsp SYN

ساختن نزدیک شدن و یا توقف یک Tsp SYN مهم است.

یک سیستم امنیتی عمل می‌کند وقتی اتصال پیدا می‌کند به TCP و این سیستم امنیتی چک می‌کند.

شما باید به دقت تغییر دهید پارامترهای تایمر TCP برای رسیدن به یک قانون حداقل کوتاه

متجاوز بودن از زمان خروج 230

برقراری ارتباط با سیستم و شناسایی و تایید اعتبار پیش‌فرض

مزیت و امتیاز سطح 15

روشن‌کردن پرونده شاخص و تعریف کنسول اطلاعات تسطیح شده

خدمات زمان سهم‌گذاری و ثبت وقایع تاریخ زمان محلی و نشان دادن منطقه زمانی

راجع به واقعه نگاری

واقعه نگاری 144,254.5.5

واقعه نگاری کنسول اطلاعات

پیکربندی گزینه

کلید و گزینه نام میزبان

تعریف ارتباط دور و قانون تایید اعتبار با استفاده از TAcacs+

معین کردن شناسایی برقراری ارتباط TAcacs فعال

معین کردن شناسایی فعال TAcacs فعال

معین کردن TAcacs + سرور و رمزدار کردن کلید

معین کردن TAcacs و کلید خاص

معین کردن TAcacs سرور 144,254.5.5

معین کردن پرونده شاخص واقعه نگاری سرور و قادر کردن

سیستم به واقعه نگاری پیام ها

به جلسه ورود جاری

معین کردن واقعه نگاری سرور 144,254.5.5

معین کردن واقعه نگاری سرور فعال

معین کردن واقعه نگاری جلسه فعال

پیکربندی تصویر سیستم امنیتی

تعیین کردن رمز عبور فعال و ارتباط از دور رمز عبور

فعال کردن رمز عبور Bjeuckspwgec 94ss متن رمز

قبول شدن nu3DFZzs7jF1jYc5 متن رمز

معین کردن TAcacs + سرور و رمزدار کردن کلید

TAcacs سرور میزبان 144,254.5.9 کلید

نبود سرور SNMP در محل

نبود سرور SNMP بر ای اتصال

اجازه به میزبان‌ها برای ارتباط دور در تصویر

فقط ارتباط 144.254.7.10255.255.255.255/9

تعریف پرونده شاخص پیام ها برای تسطیع شدن و ثبت وقایع میزبان

پرونده شاخص خروجی 23/4

پرونده شاخص میزبان 144.254.5.5

خلاصه و مختصر

در این فصل توضیح و شرح داده می شود که شما چطور باید رسیدگی کنید به زیرساخت شبکه بندیتان. این مهم است که کنترل کنید دسترسی همه دستگاههایتان به هر دو صورت فیزیکی ومنطقی تا میطمئن شوید از این که می توانید پنهان کنید شبکه را بوسیله دستگاه های پیکربند. مفهوم اصلی و ویژگیهای مخصوص در دستگاههای سیسکو نمایش داده می‌شوند در ترکیب عناصر اضافی از یک معماری امنیتی که شامل داده های آسیب ندیده قابلیت اعتماد م.جودیت و نظارت می‌باشد. شما باید استفاده کنید از همه آن مفاهیم با هم تا بدست آورید بیشترین تاثیر کنترل امنیتی را برای زیر ساخت شبکه یتان.

یک چنین که فقط دستگاههای بروی این شبکه دارند دسترسی SNMP

دسترسی لیست دارای cp2 با اجازه 144.254.9.00.0.0.255

پیکربندی TACACS + سرور و کلید رمز

سرور tacacs میزبان 144.254.5.9

سرور tacacs کلید [thisisakeg]

دسترسی SNMP فقط خواندی است و می‌توان فقط بوسیله دستگاهها به آن دسترسی پیدا کرد.

پیوند و همراهی با دسترسی لیست 6

سرور SNMP انجمن عمومی Ro6

قانون و کنسول فیزیکی دسترسی دست‌یافتنی اعضای برای ورود

اختصاص دادن پسورد محلی جلسه زمان های بعد از خروج

دو دقیقه و 30 ثانیه از زمان آزاد گذاشتن

خط معرفی کننده کنسول صفر

ایجاد زمان خروج 230

ورود تدیید اعتبار اعضا

نه ورود فوری و نه اجازه دسترسی در میان درگاه کمکی

خط aux (بصورت ارتباطی سریال)

بدون مسئول اجرایی

نقل و انتقال دادن ورودی

دسترسی از راه دور نیاز به تایید اعتبار پیش‌فرض TACACS

تایید اعتبار موفقی فرمان‌ها و پیوند با داشتن امتیاز

سطح 15 قابل دسترسی هست جلسه زمانی خروج بعد از 2 دقیقه

و 30ثانیه از فعال بود

خط 04 cety

اجازه‌ی aaa فرمان‌ها 1tacacs + none

حسابداری موقتی سوابق برای فرستادن هر زمان موجود

اطلاعات جدید برای گزارش

حسابداری برای همه جلسه‌های ترمینال مسئول اجرایی

حسابداری aaa برای امروزی کردن اطلاعات جدید

حسابداری aaa مسئول اجرایی شروع و توقف tacacs +

تایید اعتبار پایگاه داده محلی

نام کاربر و پس‌ورد اعضا 7082c495coo1200IEo/oFo2

رابط اینترنت 0/0

استفاده از مسیریاب به نمایندگی ARP (تعیین کردن در RFC 1022) به کمک میزبان‌ها

نبود دانش برای تعیین کردن مسیریابی در MAC آدرس از میزبان ها به یکدیگر

شبکه ها یا زیرمجموعه‌ها این ویژگی می تواند باعث یک امنیت پتانسیلی شود.

متوقف و غیرفعال کردن

نبود ip نماینده arp (آژانس مقاله‌های پیشرفته تحقیقاتی اربانت)

برای جلوگیری از غیرفعال کردن ارسال از منتشر کردن مستقیم

تکذیب غیرضروری در حمله‌هایی به سرویس خدمات

نبود ip برای انتشار مستقیم

غیرفعال کردن قرارداد کشف cis co

توان فراهم کردن گواهی پردازش داده برای اطلاعات حساس مثل پیکربندی

و طرح کردن مسیریابی به پتانسیل مهاجم

نبود گواهی پردازش داده‌ی فعال

پایانه نمایش و درگاه تل‌نت دسترسی بعد از خروج زمان 1 دقیقه و 30 ثانیه باعث عدم فعالیت می‌شود.

خط کنسول صفر

مسئول اجرائی زمان خروجی 130

خط vty04

مسئول اجرائی زمان خروجی 130
گزینه و کلیدهای cisco

شما می‌توانید دسترسی پیدا کنید به گزینه فرمان خط رابط (CLI) از یک پایانه ترمینال بسته به درگاه EIA/TIA-232 یا از میان یک جلسه تل‌نت در CLI پذیرفتن و اجازه‌دادن سرعت علامت در ثانیه مقطوع و ثابت شده جلسه‌های تل‌نت به‌طور خودکار بعد از قطع اتصال بی‌استفاده باقی می ماند برای ملین کردن دوره زمانی استفاده کاربر.

دستگاه شناسایی و تایید اعتبار قادر است فرمان های استفاده شده را تخصیص بدهد به هر TACACS و سروری که مورد استفاده قرار می‌گردد. یا کلمه عبور محلی تایید اعتبار معین می کند که یک کاربر چه نوع اجازه دسترسی دارد.

مجموعه تایید اعتبار فعال }محلی tacacs/} }غیرفعال/فعال{ مجموعه تایید اعتبار برای برقراری ارتباط زمان مورد استفاده برای تخصیص دادن هر TACACS + تایید اعتبار یا کلید عبور محلی تایید اعتبار برای دسترسی تل‌نت

مجموعه تایید اعتبار برای برقراری ارتباط }غیرفعال/فعال{}محلی {tacaes/

کلیدها و گزینه‌های Cisco همچنین یک محدودیت‌ تایید اعتبار برای قابلیت و توانایی اجازه به لیست فرمان‌ها دارند.

وقتی این ویژگی هست فعال، دسترسی تل‌نت و SNmp خدماتشان مورد تایید است فقط برای آی‌پی آدرس‌ها از میزبان‌هایی که پیکربندی شده‌اند بر روی لیست اجازه ورود

آن آپی که در لیس اجازه هست در سطح اول از امنیت برای تل‌نت و پروتکل‌های SNMP

همه انتقال‌ها و ارسال در کنترل پروتکل و قوانین اینترنت (TCP/IP) خدماتی را در ادامه می‌دهد برای کار بر روی هر یک میزبان‌ها وقتی شما لیست اجازه IP را فعال می‌کنید.

تل‌نت خارج از محدوده، در فایل جزیی قوانین انتقال (TFIP) هستند و برای IPهای دیگر خدمات دیگر که از لیس اجازه تأثیرنگرفته‌آند باقی می‌ماند SNMP از IP آدرس‌های که اجازه ندارند پاسخ نیز دریافت نمی‌کنند. و این به زمانی برای خروج نیاز دارد.

اخطار برای دسترسی بدون تایید و تلاش برای به تله انداختن SNMP و گزینه‌های ثبت وقایع.

قبل از فعال‌شدن ویژگی اجازه IP مطمئن شوید که پیکربندی کردید IP آدرس را در لیست اجازه و به‌طور مخصوص وقتی در یک پیکربندی SNMP هستید. خرابی که نتایج مثل قطع ارتباط را برای سیستم پیکربندی شده به همراه دارد. من توصیه می‌کنم شما غیرفعال کنید ویژگی اجازه را قبل از روشن‌کردن اجازه IP یا آدرس میزبان داخل شوید.

144.254.5.00.0.0.255 اجازه ip

144.254.7.10 اجازه ip

144.254.7.20 اجازه ip
تصویر دیوار آتش CISCO

این تصویر دیوار آتش CLI می‌تواند دسترسی پیداکند با استفاده از رابط کنسول یا تل‌نت و در پیرو فرمان‌های فعال تایید اعتبار مورد استفاده قرای می‌گیرند. مثل TACACS یا RADIVS

Tacacs+radivs کنسول ]تل‌نت/هر[ تایید اعتبار aaa

وقتی استفاده می‌شود گزینه کنسول، این فرمان قادر می‌سازد خدمات تایید اعتبار برای دسترسی دیوار آتش PIX و کنسول تل‌نت را و یا کنسول اتصال بر روی واحد دیوار آتش PIX.

اگر استفاده می‌شود با هر کلید کلمه، دسترسی به کنسول و قانون سریال یا تل‌نت که کنسول Pix باید مورد تایید سرور تایید اعتبار قرار گیرد.

استفاده از هر کلید لغتی در تل‌نت فقط بر روی دسترسی تل‌نت کنسول دیوار آتش نیاز دارد به این که سرور تایید اعتبار مورد تایید قرار گیرد.

دسترسی تل‌نت در کنسول دیوار آتش pix هست موجود فقط در داخل رابطی که در شکل 2-8 نشان داده شده.

دسترسی تل‌نت نیاز دارد به استفاده از فرمان تل‌نت

تل‌نت محلی –ipشبکه[

فرمان تل‌نت اجازه می‌دهد که شما تصمیم بگیرید که چطور می‌توانید دسترسی پیدا کنید به دیوار آتش pix با تل‌نت.

در بالا 16 میزبان یا شبکه برای دسترسی به کنسول دیوار آتش pix با تل‌نت اجازه می‌دهند درست کردن کلمه عبور برای دسترسی تل‌نت در کنسول شما باید پیکربندی کنید فرمان رمز عبور را:

]کد دارند[ کلید عبور کلید عبور

این رمز عبور Cisco پیش‌فرض است. فرمان رمز عبورست می‌شود با یک رمز عبور برای تل‌نت و دادن دیوار آتش pix و دسترسی به مدیریت دیوار آتش کنسول. یک رمز عبور خالی می تواند استفاده برای تغییر در یک رشته رمزدار شده – هر استفاده از یک فرمان نشان می‌دهد یا می‌نویسد متن رمزدار شده را.

بعد از رمزهای عبور رمزدار شده آنها نمی‌توانند تغییر بدهد که شامل این مثال است.

رمز عبور مخصوص برای pix نشان دادن رمز عبور

رمزدار شده JMOr Nbno5 14fadBh رمز عبور

حالت انتظار ]شماره-گروه[ آپی]آپی آدرس ثانویه[

یک شماره از گروه دارای این ویژگی می تواند پیکربندی شود تحت تایید مسیریاب شرکت محلی در HSRP.

در اینجا یک مثال از

مسیریاب (پیکربندی) # inteo

مسیریاب (پیکربندی) حال انتظار

تایید اعتبار رشته

آی پی فعال و قوانین حالت انتظار برای آی‌پی

مک آدرس مخصوص مجازی – مک آدرس برای مسیریاب مجازی

سناریو رسیدگی نشان داده شده در شکل 7-8

سطح اولیه

تایمرهای داغ حالت انتظار تایمرها

بخش اولیه بخش‌ها در محیط رابط

استفاده از حالت انتظار رابط سوخته شده در‌آدرس

شکل 7-8 نشان می‌دهد

پیکربندی از یک مسیریاب اولیه در زیر:

نام میزبان اولیه

رابط اترنت 1

آی‌پی آدرس 144.254.1.1255.255.0

نبود آی‌پی برای ارسال پیام به مقصد از مسیر دیگر

حالت انتظار برای سیگنال طبق اهمیت و ضرورت

مسیریابی صافی‌ها و فیلترها

به‌طور پیش‌فرض همه قوانین مسیریابی دینامیک بایستی با توجه به اطلاعات مسیریابی صورت گیرد

در زمان‌هایی برای شما ناممکن است که دستگاهها یا از شبکه شما به راحتی فرابگیرند شبکه شما را از قانون مسیریاب . اگر این مورد هست شما باید جلوگیری کنید.

برای جلوگیری از مسیریابی امروزی و به روز رسانی شده در میان رابط مسیریاب مخصوص استفاده می‌کنیم از فرمان‌های زیر با این نوع و مد پیکربندی
رابط گذشته

برای جلوگیری از مسیریاب‌ها از یادگیری یک و یا بیشتر مسیریاب‌ها شما می‌توانید از به روزرسانی مسیریاب جلوگیری کنید.

شما ممکن است بخواهید جلوگیری کنید از مسیریاب مخصوصی که در لیست به روز رسانی شده‌ةا آورده این هست همچنین ممکن منابع از صافی گذشته و یک سری اطلاعات مسیریابی شده را به ما بدهد شما ممکن است انجام دهید این مسیریابی را از منابع مختلف زیرا بعضی از قطعها در مسیر‌یابی اطلاعات ممکن است خراب شود. برای مسیریاب‌های isco یک مدیر که بررسی کند فاصله‌ها و منابع اطلاعاتی را بررسی کند لازم است.

مسیریاب eigrp109

شبکه 144.254.0.0

فاصله 255

فاصله 144.254.5.00.0.255100

مسیریاب rip

شبکه 144.254.0.0

رابط گذشته FE 1/0

رابط لیست 11 خروجی

فاصله 255

دسترسی لیست 11، اجازه 0.0.0.0

در این پیکربندی رابط گذشته فرمانی نیاز ندارد برای اینکه رابط شبکه LAN قرار گیرد. زیرا IGRP نیاز به همسایه دارد قبل از اینکه به صورت به روزرسانی شده فرستاده شود.

مسریاب eigrp109

شکبه 144.254.0.0

نام میزبان ساختمان 2

کلید بدست آوردن B/dg1

کلید 1

کلید رشته، کلید رمزدار

پذیرفتن زمان زندگی 08:30:00 June 6 1998

فرستادن زمان زندگی 08:30.0.0 June 6 1998

رابط FE1

آی پی آدرس 144.254.4.3255.255.255.0

آی پی تایید عبور مد eigrp109 md5

آی پی تایید عبور مد eigrp 109 برای ساختمان 2

مسیریاب eigrp 109

شبکه 144.254.0.0

یادداشت. نکته: مسیریاب ساعت‌ها باید با قوانین زمانی شبکه (NIP) اگر مسیر تایید رمز عبور برای کار مناسب باشد.

مسیرتایید اعتبار اطمینان می‌دهد به مسیریابی امروزی شد که از منبع داده اطلاعات دارد. استفاده از یک یک راهی برای داشتن یک تابع است و اطمینان از تایید اعتبار یک جفت از تماس‌های امروزی شده در مسیریابی.

همه مسیریاب‌ها باید پیکربندی شدند با یک کلید مخصوص و در یک الگوریتم رمزدار شده قرار بگیرند. در الکوریتم‌های منطقی استفاده می‌شود از SHA-1, MD5 و EDEA.. مسیریاب‌های cisco از MD5 استفاده می‌کنند. آی‌پی مسیریابی قوانین دارد برای ذخیره تایید اعتباراتی که شامل موارد زیر می‌شود.

قوانین اطلاعات مسیریابی با ورژن 2 (RIPV2)

رمز راه درگاه قوانین (BGP)

مسیر کوتاه بازکردن (ospf)

قوانین

برای قوانین مسیریابی آی‌پی در مسیریاب‌های cisco پشتیبانی نمی کند از MD5، RIPV1

نام میزبان ساختمان 6

کلید بدست آوردن Bldg2

کلید 1

کلید رمزدار کردن رشته

پذیرفتن زمان 08:30:00 June 6 1998

فرستادن زمان 08:30:00 June 6 1998

رابط FE1

آی‌پی آدرس

آی‌پی تایید اعتبار مد eigrp 109 md5

آی‌پی تایید اعتبار eigrp 109 ساختمان 1

شما می‌توانید استفاده کنید از سه روش مختلف برای تایید اعتبار HTTP

مسیریاب پیکربندی می‌شود توسط آی‌پی تایید اعتبار HTTP

استفاده فعال و کلیدهای رمز فعال

استفاده محلی، نام کاربرد محلی، کلیدهای رمز فعال

استفاده tacAcs + کاربر

اجازه کاربرها برای دسترسی به سرور HTTP، شما باید فعال کنید رابط جستجوی وب cisco را با دنبال کردن این فرمان‌ها

آی‌پی سرور HTTP

بعد شما باید فعال کنید رابط جستجوگر Cisco را تا کاربرها بتوانند استفاده کنند از دسترسی به صفحات وب با مسیریاب و فرمان‌های نرم افزار cisco اجازه می‌دهد فقط کاربرهای سطح اولیه وارد شوند و فرمان ها برای سطح‌های دیگر باید تعریف شوند مخصوص نیاز یک مسیریاب به صفحات وب برای سطح اولیه به‌طور پیش فرض مرحله 15 است.

تایید اعتبار در کنسول سریال ایجاد می‌شود با ایجاد موقعیتی که قفل نداشته باشد، و اگر تایید اعتبار سرور به جواب نیاز نداشته باشد باید دسترسی پیدا کنیم به کنسول تلاش برای تشخیص خطا

اگر کنسول برقراری ارتباط را نیاز داشت برای زمان‌های تایید اعتبار شما می‌توانید رمز عبور دیوار آتش PIX را فعال کنید

امنیت SNMP

در قوانین مدیریت شبکه ساده (SNMP) اغلب از موارد استاتیکی استفاده می‌شود تا دستگاه‌هایی که دارای ساختار شبکه مانیتور از راه دور هستند نیز از این امنیت استفاده کنند.

چون قوانین ساده است بنابراین امنیت در نسخه اصلی آن ساخته شده در نسخه SNMP1 رشته‌هایی را تحت‌عنوان متن پاک می‌فرستند.

ارتباط رشته‌ها بسیار آسان است برای مدیریت کردن

SNMPV2 مقداری آدرس شناخته شدة امنیتی بیشتری دارد نسبت به SNMPV1

حالت انتظار آی‌پی 144.254.1.3

پیکربندی به حالت انتظار یک مسیریاب در حالات زیر است.

نام میزبان در حال انتظار

رابط اترنت 1

آپی آدرس 144.254.1.2255.,255.255.0

نبود آپی

حالتن انتظار اولیه 101

حالت انتظار آپی 144.254.1.3

گزینه های Cisco

گزینه‌های معمولی برای اتصال نشان داده شده در شکل 8-8

در شبکه‌های ساده دو سطح بالاتر از رئیس می‌تواند فرورفته داخل یک لایه مفرد ستون دار مجاز بین بیشترین حد و کمترین حد

شکل 8-8 نشان می‌دهد معماری شبکه بعد از مجموعه مقادیر در داخل یک توپولوژی و معمای حلقوی آزاد

درخت قفل دارد و جلوگیری می‌کند از اتصال به حلقه‌ها.

هر گزینة دسترسی و گزینة توصیف در شکل یک دارد.

فاصله زمانی بین دو رویداد در قوانین درخت

فاصله زمانی بین دو رویداد در قوانین درخت (STP) یک قانون مدیریتی است که فراهم می‌آورد افزایش مسیر را در حالی که از افزایش نامطلوب حلقه‌های شبکه جلوگیری می‌کند.

برای یک اترنت شبکه تابع مناسب فقط یک مسیر فعال است که بین دو مکان و موقعیت به وجود آمده است.

در STP یک الگوریتم محاسبه و ماشین حساب بهترین راه برای شمارش حلقه‌های خالی و آزاد در میان گزینه‌های شبکه می‌باشد گزینه‌ها و کلیدها می فرستند و دریافت می‌کنند. فاصله بین دو رویداد را در بسته‌ها از این کلیدها و گزینه‌ها بازگرداندنی نمی‌کنند بسته‌ها را اما استفاده می‌کنند از بسته‌های شناخته شدة یک حلقه آزاد مسیر فراهم‌اوردن تامین قطعات اضافی در سیستم در صورت بروز خرابی گزینه‌هایی که باعث گسترش شبکه است را بایستی برای STP تعریف کرد. در غیر این صورت قطعات اضافی مجبور می‌شوند باقی بماند در حالت انتظار برای مدت طولانی و این در بخش از شبکه که دارای STP است باعث تغییراتی می‌شود. پس بایستی الگوریتم پیکربندی را به گونه‌ای تنظیم کرد پس برای معماری شبکه اتصال آن بایستی حالت انتظار را نیز فعال کرد.

عمل STP برای تمام موانع ناپیداست: آنچه کشف نمی‌کند که آنها به یک LAN ابتدایی از نوع قطعات چندگانه متصل هستند.

تمام گزینه‌ها در یک مبادله شرکت کننده در LAN در STP اطلاعات را در دیگر گزینه‌های شبکه بعنوان یک تغییر از نوع پیغام داده‌ای که واحدهای بل پروتکل داده (BPDUS) نامیده می‌شود جمع‌آوری می‌کند . نتیجه این تغییر پامها در کارهای زیر است.

انتخاب گزینه ریشه واحد برای بدون تغییر بودن معماری شبکه

انتخاب از یک طراحی گزینه برای هر کلید در بخش های LAN

انتقال از حلقه ها در گزینه شبکه بوسیله میدان تکراری درگاهها را در یک وضعیت پشتیبان برمی‌گزیند

گزینه ریشه STP مرکز منطقی معماری فرمان spanning-tree در یک شبکه برگزیده می‌باشد.

تمام مسیرهایی که برای رسیدن به گزینه ریشه از هر کجا در شبکه برگزیده لازم نیستند در متد STP جای گرفته‌اند.

مسیر بدست آوردن واحدهای داده

BPDVS شامل اطلاعات در مورد انتقال دادن گزینه‌ها و درگاههای آن دربرگرفتن گزینه‌ها و درگاه رسانه کنترل دسترسی گزینه اولویت و درگاه ارزش می شود. STP این اطلاعات را برای انتخاب کردن آدرس گزینه ریشه و درگاه ریشه‌ی شبکهن برگزیده 1 بکار می برد: بخوبی درگاه 1 پایه و درگاه طراحی شده برای هر بخش برگزیده.

معماری فعال یک شبکه برگزیده با گزینه‌های زیر تعیین می‌شود.

گزینه منحصر به فرد شناسایی (آدرس MAC) با هر گزینه‌ای می پیوندد

مسیر ارزشی بست پایه با هر گزینه درگاهی می پیوندد

درگاه شناسایی (آدرس MAC) با هر گزینه درگاهی می پیوندد

هر پیکربندی BPDU شامل اطلاعات جزئی زیر می شود

شناسایی منحصر به فرد گزینه‌ای S گزینه فرستند اعتقاد به گزینه پایه بودن دارد

ارزش مسیر بدست پایه از درگاه فرستنده

معرفس درگاه فرستنده

گزینه پیکربندی BPDU ها را بسوی برقراری ارتباط و حساب کردن معماری sponning-thee می فرستد

یک بدنه MAC یک BPDU را انتقال می دهد و گزینه‌های گروهی آدرس ها را به مقصد فیلد آدرس می فرستد تمام گزینه ها به LAN بروی هر بندة دریافت فرستندة BPDU متصلند. BPDU ها بوسیله گزینه مستقیماً فرستاده نمی شوند. اما گزینه دریافت اطلاعات را در بدنه برای حساب کردن یک BPDU بکار می برد و اگر معماری بست شروع کردن یک BPDU فرستنده تغییر کند.

نتیجه تغییر یک BPDU در موارد زیر است

یک گزینه بعنوان گزینه پایه انتخاب می‌شود.

کوتاهترین فاصله تا گزینه پایه برای هر گزینه حساب می‌شود

انتخاب گزینه طراحی شده این گزینه بسته می‌شود در میان گزینه های که به ریشه بازگردانده می شود.

برای هر گزینه یک درگاه انتخاب می شود این درگاه مشروط بهترین مسیر از گزینه بست گزینه پایه است.

درگاههای دربرگیرنده در STP انتخاب شده اند

آفرینش یک معماری استوار STP

اگر تمام گزینه ها در تنظیمات پیش فرض قادر شده باشند گزینه‌ای با پایین ترین آدرس MAC در شبکه گزینه پایه می‌شود در بعضی موارد بخاطر ترافیک تعداد فرستادن درگاهها یا انواع خط.

ویژگی کاهش زمان نیاز دارد به فاصله زمانی بین دو رویداد در درخت بعد از آزمایش قوانین تغییر که متصل شدن عوامل ناقص را به یکدیگر به دنبال دارد

یادداشت : برای ستون اصلی کار ر شبکه باید تمام گزینه‌ها فعال باشند

پیکربندی ستون اصولی ویژگی بایستی وارد کند یک سری فرمانها را و آی‌پی پیش‌فرض در ویژگی راه درگاه اجازه می دهد که پیکربندی شود تمام درگاههای آی‌پی پیش فرض
دیوار آتش P12 در CISCO

در دیوار آتش Pix معمولاً یک دستگاه که قسمت های مختلف آن با هم یکی شده‌اند هر عنصری که در این دستگاه به طور مفرد جلوگیری می کند از نصب دیوار آتش Pix و Pix را جستجو می کند.

آی‌پی آدرس ناقص باید توسط کارت رابط بر روی آن پیکربندی شود و برای واحد فعال سیستم از مک آدرس مربوط به واحد اولیه استفاده می کنند

هر واحد در یک جفت از ارتباطات ناقص و خراب شده به خاطر کابل خراب شده می‌باشد. دو واحد می فرستند بسته های سالم خراب شده را بر همه رابط های شبکه و در عرض 15 ثانیه همه کابل ها خراب می‌شوند این ویژگی در نمایش گرهای دیوار آتش Pix و ارتباطات ناقص وجود دارد. شروع به تست رابط ها و معین کردن که کدام واحد ناقص است بایستی در انتقال دهنده فعال واحد حالت انتظار جستجو و کنترل کرد

حمله معمولی و عمومی

یکی از انواع حمله ها است که می تواند شبکه را به زانو درآورد. می توان از این حمله ها جلوگیری کرد با توسعه قراردادن مانع البته با شناخته بهتر حمله ها.

خط CONO

کلمه عبور 7047E0200335C465817

خط auxo

برقراری ارتباط محلی

رابط ورودی برای بسته ها (برای یک بحث جزبندی شده بر روی cisco در لیست‌های دسترسی Ios رجوع کنید به فصل 9 امنیت دسترسی به اینترنت)

این هست فعال برای اضافه کردن ورودی در یک لیست دسترسی

دسترسی لیست 100 اجازه آی‌پی میزبان 171.69.233.3 برقراری ارتباط ورودی

این خروجی از این فرمان جستجو می کند نتیجه این

udpJ 71.69.2.132(53) اجازه 100 لیست : %SEC-6-[PACCESSLOGP

بسته .171.69.233.3(577),1(٪ اترنت)

1Cmp171.69.2.75 اجازه 100 لیست %SEC-6IPACCESSLOGDP

بسته -.171.69.233.3(%),1 (٪ اترنت)

یکپارچه سازی حمله‌ها

بازداشتن از هر حمله ای بر روی هر قطعه در آن دستگاه باید داشته باشد یک گزینه برای دوباره بستن و دوباره جمع‌کردن در بسته اصلی داشته باشد

بایستی از قانونی بودن بسته اطمینان داشته باشی و این بسته برمی‌گردد قبل از اینکه برای فردی دیگری فرستاده شود این چک کردن می تواند چندین محدودیت برای کارائی سیستم به وجود آورد

سیستم پیام‌ها به وسیله دستگاه‌های مختلف به وسیله قفل محلی فایل ها را مدیریت می کند. یک قفل سیستمی در مدیریت سرور می تواند استفاده کند از مجموعه اطلاعات شبکه که با یک هدف یکی شده اند

کشف تعدی و تجاوز

کشف تعدی و تجاوز به شبکه را بایستی تجزیه کرد تا برای مقابله با حمله ها برنامه ریز می شود. اینکه این حمله داخلی است یا خارجی

در فصل هفتم که شامل دستورالعمل های خوبی است که در زیر بیان شده

باید اجرا شود بدون مدیریت انسانی و این سیستم باید به اندازه کافی اجازه دهد برای اجرای تمام تغییرات در سیستم

باید تلورانس منظره نیاز نداشته به دوباره بالا آمدن سیستم

سیستم اگر به کندی کار کند در این صورت به آسانی نمی توان از آن استفاده کرد

بایدتغییر بدهیم رفتار سیستم را با برنامه های کاربردی

این منطقه و محدوده کاری پایستی دارای مدیریت شبکه باشد تا شما بتوانید صفحه نمایش مفید و خالی از ترافیک را با فاصله و رفتار نرمال داشته باشید

هر برقراری ارتباطی خیلی مهم است برای اینکه نسخه ای از اطلاعات سیستم را در بخشی از خود نگهداری می کند

حادثه قفل اتوماتیک به صورت خروج از سیستم و دادن پیام خطا می باشد. پس بایستی شما پیکربندی کنید قفل خروجی سیستم را مدیریت قفل سیستم

پیام‌های قفل شده پایة قوانین داده‌های کاربر هستند. (UDP) و دریافت می شوند بر روی پورت UDP 514 پیام متن نگهداری می شود.

در زیر 512 بایت و بسته‌های UDP کوچکتر در 576 بایت نگهداری می شوند.

دستورالعمل‌های پیگیری شبکه زیرساخت

بررسی موقعیت محصول تولید شده

شماره‌ای از این محصولی که موجود می باشد می تواند برای مدل و شبیه‌سازی زیرساخت‌های شبکه و برای تهیه کردن قابلیت کنترل و کشف و تجاوز و تعدیبه شبکه استفاده شود. محصول موجود در شرکت cisco sgstems شامل موارد زیر می‌باشد.

NETRanger, aisco Erderprise Accounting for Net Flow, eisco Resoaree Manager, Netsonar, Netsgs

ارائه مثال

این بخش پیکربندی برای دیوار آتش، مسیریاب‌ها، و گزینه‌هایی را که شکل 1-8 نمایش می‌دهد نشان می‌دهد

این پیکربندی فران‌هایی را باید برای بیشتر پایه‌های زیرساخت cisco برای امنیت کامل در دستگاهها و شبکه زیرساخت باشد نشان می دهد

بعضی ویژگی ها نشان می دهند که در جزئیان این عمل مطرح نبوده‌اند و اگر آن‌ها مورد استفاده قرار نگیرند ناتوانی آنها به خاطر ایسنت که آنها می توانند باعث بعضی ریسک‌های امنیتی شوند.

روش استفاده از کدهای خاص برای دسترسی به فضایی در حافظه TACACS+

تمام فرمانهای موجود در فایل های پیکربندی با یک علامت ! می‌آید

مسیریاب پیکربندی

مسیریاب نام میزبان

آنچه در مرزگذاری MD5 بکار می رود

خدمات رمز عبور – رمزگذاری

رمز عبور فعال 7047Eo50200335C46581

فعالیت سری 5$1$olloD$ QR. Onu68q3226pZM.Zexj1

برنامه نرم افزاری معمولاً برای گرفتن اطلاعات کاربر بکار می رود. این باید ناتوان باشد.

بدون سرویس برنامه نرم افزاری

بدون سرویس خدمات اتصال

غیرفعال کردن دسترسی به سرویس های TCP کوچکتر مانند فرمان echo

دستگاه شارژ ردکردن و قدرت روز

بدون سرویس tcp-small-servers

غیرفعال کردن دسترسی به سرویس های UDP کوچکتر مانند فرمان echo

بدون سرویس udp-small-servers

بدون راه‌اندازی سرور ip

جلوگیری کردن از استفاده مشتری از بکاربردن منابع نامنظم

بدون استاندارد ip

پیکربندی TACACS+ تایید اعتبار بعنوان پیش فرض – برای واقعه نگاری کاربرها بعنوان اعضا

یک تایید اعتبار پایگاه داده محلی در رویدادهای وجود دارد که TACACS+Server غیردسترس می باشد.

مدل جدید aaa

ورود taeacs پیش فرض +

ورود اعضا tacaes+ محلی

تایید اعتبار

اجازه کارکرد مسئول اجرایی برنامه خروج موقت زمانی که اعتبار تایید شود اگر TACACS+ سرور قابل استفاده سودمند نیستند، فرمان های مربوط به ساختن ما امتیاز برتری سطوح 0 و 1 به فرمانهای تایید اعتبار متحد نیاز دارد.

خط uty04

برقراری ارتباط با سیستم محلی

شما می توانید محدود کنید دسترسی واردشدن و خارج شدن از ارتباط تل‌نت را بروی پرت‌های uty بوسیله قرارگرفتن در لیست دسترسی (آن فیلترها هست) فقط اجازه یا معین کردن دسترسی برای شبکه‌ها یا میزبان‌های مشخص شده

بطور کامل توضیح از لیستهای دسترسی eisco در فصل نهم معین شده است و امنیت دسترسی به اینترنت در پیرو این مسئله به طور مثال اجازه‌هایی که فقط برای وارد شدن به دسترسی تل‌نت از میزبان‌ها بر روی شبکه است عبارتست از 144.254.5.0

دسترسی لیست 3 با اجازه 144.2545.00.0.0.255

خط uty04

دسترسی در کلاس 3

دسترسی محاوره‌ای یا فعل و انفعالی می تواند کاملاً مانع شود بوسیله بکاربستن پیکربندی دستوراتی که اجرایی نیستند در هر خط بطور غیرهمزمان این فرمان اجازة فقط یک ارتباط خارجی برای یک خط را می دهد.

وقتی که کاربر سعی می کند در یک خط به تل‌نت وارد شود که در آن پیکربندی فرمان ها اجرایی نیست آن کاربر پاسخی بدست نمی‌آورد و وقتی او کلید اینتر را فشار می دهد به صفحه لوگینگ وارد می شود.

پروتکل ها و قوانینی که ثابت هستند برای استفاده در وصل شدن به یک خط ویژه در مسیریاب استفاده می شود برای انتقال فرمان های پیکربندی شده خط ورودی

خط ورودی {au/lat/,p[/msdo/mpmr/[sf/b;phom/yr;mry/u120}

نکته: هیچ گزینه ای در asco Jos ویرایش 11.10 باعث پیش‌فرض شدن تنظیمات نمی شود قبل از ویرایش 11010 همه چیز پیش فرض است.

چندمثال یک پیکربندی در خط های uty را نشان می دهد. و سیگنال هایی که این خط می فرستد فقط به ارتباط تل‌نت مربوط می شود درگاه ارتباطی ارتباط ورودی را نمی پذیرد و ارتباط سریع و فوری را نمی دهد.

خط uty 04

انتقال تل‌نت ورودی

خط aaxo

نبود مسئول اجرایی

انتقال ندادن ورودی

فرمان مفید دیگر: استفاده از جلسة زمان های خروجی از پایانه فرمان های خودکار یا پرتهای uty

بطور پیش‌فرض زمان خروجی 15 دقیقه است و می توان فرمان های زمان های خروجی اجرایی را اصلاح کرد

در اینجا یک مثال هست که…

تعیین کردن کلمه رمز دار نشده برای دنبال کردن آنچه می خواهیم

7 تعیین کردن کلمه مخفی

خط رمز نشده (متن پاک) خط کلمه عبور

برای کنترل و نظارت اضافی خط دسترسی قادر است دسترسی کنترل شده را بوجود بیاورد. بوسیله تایید اعتبار با یک نام کاربر و یک کلمه عبور مشابه

نام کاربر می تواند ای یک پایگاه داده برای یک دستگاه IOS محلی معین شود. و یا استفاده از TACACS نتایج مفید دارد. و قابلیت بیشتر و پایگاه داده آسان‌تر در مدیریت و بازبینی و کنترل طرزکار و مکانسیم

مسیریاب # ایجاد پیکربندی ترمینال یا پایانه

مسیریاب (پیکربندی # خط کنسول 0)

مسیریاب (پیکربندی خط) # برقراری ارتباط با سیستم

بررسی کلمه عبور محلی

استفاده از tacacs برای بررسی کلمه عبور

تخصیص دادن کلمه کلیدی محلی برای استفاده از پایگاه داده محلی برای تایید اعتبار . بنابراین یک پایگاه داده محلی باید پیکربندی شود بر روی مسیریاب. این انجام شده در فرمان هایی که به شرح زیر است.

مسیریاب # پیکربندی پایانه

مسیریاب (پیکربندی) # کلمه عبور اعضا استفاده کننده

0 معین کردن از یک کلمه عبور رمزدار نشده برای پیروی کردن از آنچه می خواهیم

7 معین کردم کلمه عبور مخفی برای دنبال کردن آنچه می خواهیم

خط متن رمز دار شده (متن پاک) خط کلمه عبور

یک پیکربندی ساده در کنسول و قانون دسترسی با استفاده از یک کلمه عبور ساده اما در دسترسی vty و aux پورت ها استفاده می شوند به وسیله پایگاه داده محلی که نشان داده در اینجا

نام کاربر و پسورد اعضا: 7082c495c0012001E010F02

نام کاربر و پسورد کلمه عبور: 705748 37212001E010F0296

در حال حاضر، PIC تنها به کلمات عبور از پیش فرض شده اجازه اختصاص یافتن محلی با این فرمان را می دهد. کلمه عبور در فایل شناسائی کننده که از MDS استفاده می کند مورد استفاده قرار می گیرد. اگر شما از کلمه ثبت شده در طول زمان شناسائی استفاده نمائید. در حال تخصیص این موضوع هستید که کلمه عبور وارد کرده شما قبلا ثبت شده است. کلمه ثبت شده را هم باید حداقل با 16 حرف ثبت کرد.

در زیر مثالی آمده که وارد کردن فرمان کلمه عبور خرفمان شده را نمایش می دهد:

فعال سازی کلمه عبور this is a secret

نمایش کلمه فعال شده

فعال سازی رمز عبور ثبت شده است.

در زیر هم روش وارد شدن کلمه عبور ثبت را با یک مثال بیان کرده ایم.

فعال سازی کلمه عبوری this is gilersh ثبت شده

نمایش کلمه فعال شده

کنترل های اجرای خطی

این کنترل یک رابطه خطی ترمینالی است. اکثر ابزارها دارای ربطهای مخصوصی هستند که به فرامین فیزیکی اجازه ارائه شدن به دستگاه را می دهند. فیش رابط نیز در مواردیکه شبکه در دسترس نباشند، کاربرد فراوانی پیدا می کند. اغلب روش تنظیم کردن روابط با ابزار را انجام می دهد. رابط های vty اغلب برای فرامین کنترلی – اجرایی بکار می روند. برنامه ریزان می توانند با کنترل از راه دور برنامه telnet تلفن – شبکه ای را برای اجرا به حرکت در آورده و تمامی فرمانهای آنرا اجرا کنند اگر به دستگاه متصل شده باشند. رابطهای اضافه نیز می توان برای پشتیبانی مدرن تر از دستگاه با یک رابط فیزیکی دیگر متصل نمود.

ظرفیتهای نظارتی و اجرائی برای هماهنگ شدن telnet یا خطوط اضافی برای هر محصولی فرق می کنند. در حداقل میزان مفروض شده، کاربران باید به هر برنامه اجرائی قبل از دست یابی به دستگاه توجه کرده و آنرا کنترل نمایند. مکانیسم های دقیق نظارتی هم باید بکار گرفته شوند اگر برای نگهداری آنها نیازی به تسهیل کلمه عبور نداشته باشند.

Cisco IOS

برای اجرای خطوط در ابزاهای cisco ios می توانید یک رمز عبوری ساده مشخص کرده در حالیکه هیچ اسمی کاربری را نباید وارد کنید. کلمات عبوری بهر حال بصورت بدون متن یا ثبت شده هستند که در فایل شناسائی قرار می گیرند.

شناسائی شناسائی از ترمینان، فلاپی یا حافظه

Debug فعال سازی شاخه فعالیتی ICMP در مورد debug کردن

عدم فعال سازی خروج از وضعیت شناسائی

فعال سازی فعال کردن و شناسائی کلمه عبور

Groom ثبت فلاشها برای نگارش مجدد آنها

http افزودن آدرسهای IP دولتی برای http و فعالیت به Pix

کشتن ترمینان یک مبحث telnet راندمان کردن

Password تعویض کردن Telnet و HTTP کلمه عبور اجرائی مشترک

Ping فعال سازی تست از روی روش تخصیص یافته ip

Quit توقف کردن

خدمات – پرتوی شناسائی یک خدمات کاربری پرتوی

بارگیری دوباره پاک کردن و بارگیری دوباره سیستم

مبحث اجرای فرامین داخلی

Syslog پیغام های log بد کاربران syslog

کاربرد tacacs شناسائی یک کاربر Tacacs

telnet افزودن آدرس tp دولتی برای اجرای تلفن شبکه PIX

شوق برنامه نمایش زمان باقیمانده سیستم

Who نمایش مباحث اجرائی فعال شده در PIX

نگارش شناسائی نگارشی تا زمان فالش، فلاپی یا ترمینان یا پاک کردن منوش

نکته مهم: در این زمان کلمات عبوری بروی سوئیچ از نوع ثبت شده نمی باشند. باید دقت لازم را انجام داد تا زمانیکه تغییر یا بررسی روشهای شناسائی برای اطمینان دادن اینکه هیچ مشخص غیر دولتی نمی تواند این کلمه عبوری را ببیند.

دیواره محافظی PIX از نوع cisco

روش محافظی دیواره مشخص اینترنت PIX شامل یکسری فرمان برای حفاظت است که از اصول برنامه ریزی تکنولوژیکی نوع cisco los بهره می گیرند. وضعیت از پیش تعیین شده دیگر نیز قابل دسترسی خواهد بود زمانیکه شما برا اولین بار اجرای دیواره محافظ PIX را بر عده می گیرید. فرمانهای اصلی به شما این امکان را می دهند تا تماس تنظیمات ثبت شده را مورد بررسی قرار دهید. وضعیت از پیش تعیین شده به نمایش علائم اقدام کرده و به شما امکان سنج تغییر دادن روشهای تنظیمی شده فعلی را می دهد. هر نوع فرمان از پیش ثبت شده دیگر نیز در وضعیت فوق قابل اجرا می باشند.

فرمان توضیح

دیواره محافظی pix

فعال سازی:وارد کردن وضعیت از پیش طرح شده یا تغییر وضعیت کلمه عبور ثبت شده

متوقف شدن متوقف شدن

زمان باق مانده نمایش زمان باقیمانده سیستم

Who نمایش روش های اجرائی ف

توقف خروج از نقاط ثبت شده

شناسائی مجدد شناسائی و تعریف درباره vmps

تنظیم دوباره تنظیم دوباره سیستم یا فرمانهای موجود

جلسات راههای منتهی به ATM یا روشهای ثبت شده

تنظیم تنظیم کردن، بکارگیری فرمان کمکی برای دست یابی به اطلاعات بیشتر

نمایش نمایش جریانات کمکی برای دست یابی به اطلاعات بیشتر

Slip اتصال/ جداسازی خط سریال

سوئیچ سوئیچ به وضعیت standby

telnet ارتباط تلفی شبکه ای با یک میزبان راه دور

Test آزمایش برای دست یابی به اطلاعات بیشتر

بارگیری دوباره وضعیت کدگذاری از یک ریز پردازنده

انتظار انتظار برای x ثانیه

Write نگارش سیستم های شناسایی کننده به ترمینال/شبکه

برای روشن سازی یک کاربرد درباره اجرای فرمانهای از پیش فرض شده در سوئیچ های cisco دو شکل از روشهای فوق امکان اجرائی شدن دارند.

– بکار بردن یک کاربر + TACACS

– بکار بردن کلمه عبور محلی تعریف شده

فرمان برای اجرای روشهای فوق را می توان بدین ترتیب اجرا کرد:

برقراری وضعیت هشداری فعال شده

کلمه عبور تعریف شده در محل کاربردی با استفاده از فرمانهای فعال سازی و تنظیم شده، قابل کاربردی خواهد بود.

فرمان سعی دارد تا شما را برای شناسائی کلمه عبوری قدیمی، فعال کند. اگر کلمه عبور وارده شما معتبر باشد شما برای وارد کردن کلمه عبور جدید اقدام کرده و باید کلمه عبوری جدیدی را تعریف کنید. کلمه عبور طول – صفر نیز اجازه پیدا می کند.

تاریخچه نمایش محتویات تاریخی برای فلیترهای گزینشی

Ping ارسال بسترهای راکوئی برای میزبانان

Quit خارج شدن از مباحث تحلیلی

جلسه اجرای راه تا ATM یا روشهای کانال

تنظیم تنظیم کردن بکار گیری آن برای کمک در جهت اطلاعات بیشتر

نمایش نمایش بکار گیری برای دریافت اطلاعات بیشتر

انتظار انتظار برای مدت x ثانیه

فعال سازی سوئیچ

وضوح واضح بودن کمکی برای اطلاعات بیشتر

شناسائی سیستم شناسائی از شبکه / ترمینال

فعال سازی وضعیت غیر فعال سازی

قطع ارتباط بحث عدم ارتباطی کاربران

ضبط اطلاعاتی کد download برای یک پردازنده

فعال سازی وضعیت فعال سازی از پیش تعیین شده

کمک نمایش دادن این پیغام

تاریخچه نمایش محتویات تاریخی فیلترهای گزینشی

Ping ارسال بسترهای راکوئی برای میزبانان

فرمان

Tacacs-sener=cmd

سوئیچ های cisco

برای سوئیچهای cisco جریان اصلی بوسیله < شناسایی شده و بعد از فعال شدن سیستم به راه می افتند، اجرای پیش فرض شده نیز توسط عبارت enable در سیستم فعال می شود جدوال 3 و 8 به نمایش اصول فرمانهای صادره می پردازند. جداول 4 و 8 نیز فرمانهای وضعیت پیش فرض شده را نشان می دهید.

فرمان توضیح

سوئیچ

فعال سازی فعال سازی وضعیت پیش فرض

کمک نمایش این پیغام

فرمان اجرائی از پیش فرض شده 9و سطح بارگیری مجدد:

بخش فعال سازی 95 را نیز فعال می کنید.

به کاربران شبکه ای ( اپراتورها) رموز ارائه شده، بنابر این آنها می توانند مناسب ترین فرمان را اجرا نمایند که از برنامه های ریز پیروی می کند:

توجه: فرمان شناسائی- اجرائی نمایش دهنده ترمینال، تمام فرمانهائیکه یک کاربر ارسال حاضر می تواند مورد استفاده قرار دهد را نمایش داده و از این فرمان، هیچ فرمان دیگری که مافوق دستورات ذکر شده باشند را نیز به اجرا در نمی آورند.

فرمان نمایش داده شده روشهای شناسائی نیز بدرستی روش شناسائی را نمایش نخواهد داد. بلکه بسادگی XVRAM را پرینت کرده و بیلان می دهند که فقط بعنوان شاخص شناسائی کننده روشهای تنظیمی بکار گرفته در حال حاضر را برای کاربرد و بصورت حافظه نوشتاری مشخص می نمایند.

برای فعال شدن یک برنامه مشخص کاربر باید روش شناسائی را به حافظه وارد کرده و باید روشهای از پیش فرض شده را نیز برای تمامی فرمانهای صادر شده مورد شناسائی قرار دهند. در عوض هم با روشهای متناوب ذیل به شما پیشنهاد می شوند:
نمایش کدگذاری کلمه عبور – کاربران

نمایش کدگذاری priv is فرمانهای خودکار نگارش شده

با این روش هر کسی که از کلمه عبوری foo آشنا باشد می‌تواند روشی شناسایی را نیز توسط اجرای ثبت بیشتر اطلاعات روی Vty یدک، به کار گیرد.

به کار بردن TACASC به همراه روش‌های دولتی ارائه شده می تواند برای اجرای فرمانهای ویژه کاربرد مهمتری داشته باشد.

به جای استفاده از سطوح پیش فرض شده با فرمانهای مختلف، می‌توانید نتایج مشابهی را با استفاده از روش ثبت شده دولتی + TACACS به دست آورید.

دو فرمان فوق شما دارید که :

گروه = شریک – شرکت

خدمات محدود = مجوز

این روش الگوریتمهای ایمنی بیشتری را برای مخفی نگه داشتن اطلاعات، فراهم می‌نماید. فرمان سازی مخفی نیز می‌توان ایمنی بیشتری را برای فایلهای شناسائی شده شما فراهم نماید و به شکل راه دور نیز روی حافظه کاربران شما ثبت گردند. کلمات عبور را نیز هرگز نباید در یک متن مشاهده نمود زمانی که شما هر فایل دیگری را در حال مرور یا برسی هستید.

نرم افزار Ciscotos نیز دارای کاربران غیر همکار روز افزونی می‌باشد که از طریق روشی که می‌تواند سطوح مختلف و فرمانهای متنوع از پیش تعیین شده را محافظت کند، در اختیار کاربران قرار می‌گیرد. دفعات زیادی ممکن است قصد ثبت اعضا مخصوصی را از کارکنان داشته باشید که تنها بخش فرعی از فرمانهای فعال شده و از پیش فرضشده را تشکیل می دهند.

توجه: 5 فرمان با سطح 5 پیش فرض همراه شده‌اند، عدم فعال‌سازی ، فعال سازی، خروج ، کمک و Logout اگر شما فرمان دولتی + TACACS را معرفی نمائید. برای سطح پیش فرض گسترده‌تر از 0 صفر، دیگر این 5 فرمان را شامل نخواهید شد.

هر دو رمز فعال سازی یا ظرفیت سازی می‌تواند برای فراهم ساختن سطوح از پیش فرض شده، مورد استفاده قرار بگیرد. مثال زیر این روش فعال سازی کلمه عبور یا رمز موجود برای دستیابی توسط کاربران را نمایش می‌دهد.

فرمان # فعال سازی سطح 10 کلمه عبور

صفر را نشان می‌دهد که کلمه عبور ثبت نشده‌ای به دنبال این فرمان خواهد آمد.

7 نشان می‌دهد که یک کلمه عبور مخفی شده در راه است.

LINE کلمه عبور غیر ثبت شده که فعال خواهد شد.

در این جا مثال ویژه‌ای از فرمان پیش فرض سطح محدود نیاز در تقابل با رمز فعال شده برای ثبت فرمانهای مختلفی در جهت شناسایی سطوح مختلف پیش فرض شده ارائه شده است. در این مورد اپراتورهای شبکه‌ای می‌توانند وارد شده و رمز شناسایی شده‌ای را برای اجرای سطح 9 اجرا شی ارائه نمایند و یکبار که به دقت ثبت شوند، این اپراتورها مجوز ثبت و ضبط مجدد آن را خواهن داشت و از ارقام برای نمایش فرمان استفاده می‌کنند.

سفر مشخص می‌کند که کلمه عبور ثبت نشده‌ای در پی خواهد آمد.

7 مشخص می‌کند که کلمه عبوری مخفی شده‌ای در پی خواهد آمد.

LINE کلمه عبوری ثبت نشده که فعال می‌شود.

روشی # فعال سازی رمز

صفر نشان می دهد که یک کلمه عبور ثبت نشده در راه است.

5 نشان می‌دهد که یک کلمه عبور رمز ثبت نشده‌ای در راه باشد.

LINE هم رمز فعال سازی شده را نمایش می‌دهد.

تنظیم سطح exec کلمه عبور.

شما می‌توانید کلمه عبوری فعال شده‌ای را ارائه نماید یا شکل رمزی ثبت نشده‌ای را مشخص کنید همان طور که در مثال ذکر شده است.

آیا چنین خواهند کرد اگر چه کلمه عبور یا رمز فعال شده در فایل شناسایی به عنوان روشهای ریز ثبت می شود:

شما می‌توانید همچنین رمز را به شکل ثبت شده‌ای وارد کرده همان طوری که در مثال ذکر شده است. برای انی منظور هم اگر چه رمز ثبت شده باید از یک رمز ثبت شده قبلی کپی‌برداری شود، که برای این منظور هم شخص کاربر باید عبارت thisisasecret را تایپ کرده تا به رمز مورد نظر دست پیدا کنید.

مثال زیر مراحل شناسایی فایل بعد ز این که هر دو عامل رمز و کلمه عبور مورد شناسایی واقع شدند، را بیان می‌کند.

فعال سازی رمز 5

نکته مهم: اگر شی هر دو وضعیت فوق را شناسایی کرده باشید، فرمان فعال‌سازی رمز می‌تواند مراحل دیگری را نیز ارائه کند.

این گونه درخواست شده که شما از رمز فعال شده به جای کلمه عبور فعال استفاده کند زیرا فرمان قبلی برای شما مشخص نشده است.

Undebug عملیات فوق را متوقف می سازد.

Verify مجموع آزمایش فایل فلش دار را تعویض می‌کند.

Where اتصالات فعالی را لیست‌بندی می‌کند ( فهرست‌بندی)

Write روش اجرائی حافظه شبه یا ترمینال را نگارش خواهد کرد.

روش تنظیم شده برای وضعیت فعال شده در ابزارالات Cisco IOS، یکی از سه شکل‌ زیر را برای خود ترسیم کنند.

· یکی کلمه عبور

· یک رمز

· TACACS

هر دو فعال سازی کلمه عبوری یا رمز به شما امکان ایجاد کردن کلمه عبور ثبت شده‌ای را فراهم می‌سازد کاربران باید برای اجرای وضعیت از پیش فرض شده به کار می‌گیرند.

تفاوتهای میان کلمه عبور یا رمز فعال شده در الگوریتم‌های فرض شده برای کاربران مشخص خواهند شد. فرمان فعال سازی کلمه عبور از یک الگوریتم قابل بازگشت پیروی می‌کند این الگوریتم قابل بازگشت نیز برای حمایت از پروتکل‌های طرح شده عمومی کاملا ضروری و الزامی به نظر می‌رسند. در حالی که سیستم نیاز به اجرای فرمان متن طرح شده برای کلمه عبوری کاربران خواهد داشت. اگر چه رمزهای فعال شده با استفاده از الگوریتم mds به ثبت خواهند رسید. این الگوریتم قابل برگشت نبوده و از امنیتی بیشتری نیز برخوردار است. ثبات و دوام ثبت شده مورد کاربرد نیز تنها تفاوت فاحش میان دو فرمان فوق خواهد بود.

نکته مهم : اینگونه درخواست شده که شما از فرمان فعال شده پیوری نمائید زیرا دارای الگوریتم ثبت شده‌ای است که در قبال تمامی فرمانهای فعال سازی کلمه عبور قابل اجرا خواهد بود.

عملکرد اجرائی debug را متوقف می‌سازد.

PAD

گشایش ارتباطی x.29 pad

PING

ارسال پیغامهای اکویی

PPP

شروع پروتکل نقطه به نقطه LETF

REIOAD

ثبت و اجرای شروع درباره دیگری

RESUM

ثبت مشخصات شبکه فعال

RLOGIN

گشایش فرمان دوباره RLOGIN

RSH

اجرای یک فرمان از راه دور

SEND

ارسال پیغام برای سایر خطوط TTY

SETUP

اجرای فرمان تسهیلاتی SET UP

SHOW

نمایش جریان اجرائی اطلاعات سیستمی

Slip

شروع خط سریالی Fp

Start – chat

شروع یک تقابل chat – Scriptخطی

Systat

نمایش اطلاعات درباره خطوط ترمینالی

telnet

گشایش ارتباط نوع تلفن- شبکه‌ای

Terminal

تنظیم عوامل خطوط ترمینالی

Test

آزمایش سیستم‌ای زیر مجموعه‌ای – حافظه‌ای و راه‌های داخلی

Tracerouto

برقراری راه‌های ارتباطی تا مقصد

tunnel

گشایش یک تونل ارتباطی

Clok

هدایت سیستم ساعت

Configuro

ورود وضعیت شناسایی

Conncct

گشایش ترمینال ارتباطی

Copy

کپی کردن شناسایی یا اطلاعات تصویری

DEBUG

شروع دوباره فعالیتها

Disable

خاموش کردن فرمانهای از پیش فرض شده

Disconnect

قطع ارتباط شبکه ای موجود

Enable

روشن ساختن نهایی پیش فرض شده

Erase

پاک کردن حافظه فلاش یا شناسایی کننده

exit

خروج از EXEC

Help

تشریح سیستم‌های کمکی بین شبکه‌ای

Lock

قفل کردن ترمینال

Logim

ورود به یک کاربر ویژه

Logout

خروج از EXEC

Mbranch

برقراری راههای چندگانه نسبت شاخه‌های تحتانی

Mrbranch

برقراری رابطه معکوس چندگانه نسبت شاخه‌های فوقانی

Mrinfo

تقاضای محلی و اطلاعات نسخه‌بندی از یک مسیر چند مرجعی

Mstat

نمایش ارقام بعد از راهکارهای چندگانه

Mtrace

برقراری راه‌های چندگانه معکوس از مقصد تا مبدا

ppp

شروع IETE پروتکل نقطه به نقطه

Resume

شرح بندی ارتباطات یک شبکه فعال

Riogin

گشایش یک الگوریتم ارتباطی

Slp

شروع خط سریالی IP

Systat

نمایش ارتباطات درباره خطوط ترمینالی

telnet

گشایش رابطه Telnet ( تلفن – شبکه)

Terminal

تنظیم عوامل خطوط ترمینالی

Tracoroute

برقراری مسیر تا مقصد

tunnel

گشایش یک تونل ارتباطی

Whero

فهرست کردن ارتباطات فعال شده

تنظیم عوامل k3 روی PAD

فرمان تشریحات

<1-99>

تعداد برقراری تا ثبت مشخص

فعال سازی – اجرائی

ایجاد یک فرایند اجرایی هم زمان برای فهرست ورودی

Claar

عملیات تنظمیم دوباره

ِConnect

برقراری ترمینال ارتباطی

disable

خاموش کردن فرمانهای پیش فرض شده

Disconnect

قطع ارتباط میان شبکه‌های موجود

Enable

روشن ساختن فرمانهای پیش فرض شده

exit

خروج از شکل EXEL

Minfo

درخواست محلی از نسخه‌های اطلاعاتی برای روشهای اجرایی چندگانه

Mstat

نمایش ارقام بعد از اجرای روشهای چندگانه

Mtracc

برقراری مسیر چندگانه معکوس از مقصد تا مبدا

ارتباط اسمی

نام‌گذاری یک رابطه شبکه ای موجود

Pad

گشایش یک رابطه x.29 PAD

ping

ارسال پیغامهای اکویی

ایمن سازی ساختارهای میان شبکه‌ای

این بخش به تشریح چگونگی ایمن سازی مقادیر میان ساختاری شبکه‌های اطلاعاتی همکار می پردازد.

نمونه میان ساختارهای شبکه‌ای اصل نیز در تصویر 1-8 نمایش داده شده و اصل فرض شده بر روی تمامی مثالهای مطرح در این بخش می باشد.

این بخش به خصوصیات ویژه‌ای که به وسیله سیستم‌های Cisco ارائه شده‌اند، خواهد پرداخت و با روش شناسایی ابزار آلات مورد نیاز شرکتهای همکار بر طبق روشهای ارائه شده در زیر نیز اشاره‌ای خواهد کرد.

· شناسایی

· دقت و انتشار

· ایجاد اطمینان

· در دسترس بودن

· شنیداری

بسیاری از این وقایع می‌توانند از طریق شاخصهای دیگری نیز به کار گرفته شوند اگر در آنها قابل دسترس باشند. مثالهای زیادی نیز با ذکر مراجع و فرمانهای مورد نظر برای انواع مختلف و متنوع ابزار آلات رایج به عنوان بخشی از ساختارهای درونی شبکه‌های همکار، ذکر شده‌اند.

· راهکارها

· سوئیچ ها

· صرفات اجرایی شبکه‌ای

· دیواره حفاظتی

مثالهای ذکر شده نوعی خط هدایتی هستند، در بسیاری از مثالها، شما دارای روش شناسایی هستید تا آنها را با محیط اطراف خود کاملا منطبق نمائید. در انتهای این فصل نیز مثالی از روش شناسایی برای ابزار آلات Cisco Ios ذکر شده است که سوئیچ‌ها و دیواره‌های حفاظتی موجود برای اطمینان دادن و ایمن سازی ساختارهای میان شبکه‌ای را نیز در بر می‌گیرند.

فهرست مطالب

تواناساختن تایید اعتبار

دیوار آتش pix در Cisco

بی نقصی

تایید اعتبار

گروه بخاری ایمن و بی‌خطر

اتصال به کامپیوتر از اتصال‌های کوتاه برای زمان خروجی

بررسی موقعیت سیستم

بررسی صحیح کارکردن پیکربندی

یکپارچه‌سازی حمله‌ها

حمله Tsp SYN

خلاصه و مختصر