8 خطوات لـ تأمين راوتر سيسكو فى شركتك

1- تأمين الوصول للراوتر من خلال ACL

access-list 110 deny tcp any host $yourRouterIP eq 7
access-list 110 deny tcp any host $yourRouterIP eq 9
access-list 110 deny tcp any host $yourRouterIP eq 13 access-list 110 deny tcp any host $yourRouterIP eq 19
access-list 110 deny tcp any host $yourRouterIP eq 23
access-list 110 deny tcp any host $yourRouterIP eq 79
int x0/0
access-group in 110

حيث $yourRouterIP هو عنوان الراوتر و X0/0 هو إسم الإنترفيس الخارجى الخاص بالراوتر

 

2- منع إستخدام التلنت telnet فى الإتصال بالراوتر

access-list 50 permit 192.168.1.10
access-list 50 deny any log
line vty 0 4
access-class 50 in
exec-timeout 5 0

حيث 192.168.1.10 هو الجهاز المسموح له فقط الإتصال بالراوتر عن طريق التلنت

ولكن فى كل الحالات لا يفضل إستخدام التلنت وإستبدالة بال SSH

لمشاهدة درس تفعيل الSSH إضغط هنا

 

3- منع ال loopback و ping

access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
int x0/0
access-group in 111

 

وهذا يعمل على منع ال ping من خارج الشبكة وأيضا منع الإتصال عن طريق ايبى خاص وأيضا منع المالتى كاست وال loopbackوأخيرا منع ال ping

كل هذا طبعا من خارج الشبكة

 4- منع SNMP

وهو بروتوكول يستخدم فى جمع معلومات عن الراوتر والشبكة ككل

access-list 112 deny udp any any eq snmp
access-list 112 permit ip any any
interface x0/0
access-group 112 in

 

5- تشفير كل الباسوردات عن طريق

R1(config)# service  password-encryption

 

6- منع كل الخدمات الغير مستخدمة

Disable Echo, Chargen and discard

no service tcp-small-servers
no service udp-small-servers

 

Disable finger
no service finger
Disable the httpd interface

no ip http server

 

Disable ntp (if you are not using it)
ntp disable

 

7- إضافة بعض الخصائص الأمنية

Disable source routing
no ip source-route

Disable Proxy Arp
no ip proxy-arp

Disable ICMP redirects
interface s0/0 (your external interface)
no ip redirects

Disable Multicast route Caching
interface x0/0 (your external interface)
no ip mroute-cache

Disable CDP
no cdp run

Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast

 

8-تسجيل كل شىء على سيرفر خارجى

logging trap debugging
logging 192.168.1.10

موضوعات متعلقة

• خلاص …انسى ipv4 ..ابدأ إستخدم IPv6 من انهارده..شوف الفيديو
• طريقة تفعيل SSH بديلا عن اتصال Telnet
• أشياء تعلمتها من العمل فى مجال الـ IT10
• هل تعرفون موقع freelancer.com? موقع انجاز الأعمال
• حركات ايبيهات..معرفة معلومات بمجرد النظر ..احمد نظمى
• معلومات تهم دارسين الـ IT سيسكو ومايكروسوفت.أحمد نظمى
• 10 مهارات يجب عليك إتقانها وإحترافها كـ إدارى شبكات خلال الخمس سنوات القادمة
• “إف 5 نتوركس” تطرح أسرع جدار ناري (فايروول) في العالم
• الحماية المجانية للشبكات
• النسخ الإحتياطى, إعدادات المصنع, كسر الباسوورد, تحديث الIOS لـ أجهزة سيسكو
• ما هو Etherchannel وفوائدة
• طرح فيديوهات CCNA 200-125 المنهج الجديد…أحمد نظمى
• الفرق بي كابل UTP straight and crossover وأى الأطراف تقوم بالإرسال والإستقبال..أحمد نظمى
• كيف تتحكم فى أجهزة الشبكة من خلال AAA وبروتوكول 802.1x..درس CCNP
• ما هو Storm Control ?