8 خطوات لـ تأمين راوتر سيسكو فى شركتك

1- تأمين الوصول للراوتر من خلال ACL

access-list 110 deny tcp any host $yourRouterIP eq 7
access-list 110 deny tcp any host $yourRouterIP eq 9
access-list 110 deny tcp any host $yourRouterIP eq 13 access-list 110 deny tcp any host $yourRouterIP eq 19
access-list 110 deny tcp any host $yourRouterIP eq 23
access-list 110 deny tcp any host $yourRouterIP eq 79
int x0/0
access-group in 110

حيث $yourRouterIP هو عنوان الراوتر و X0/0 هو إسم الإنترفيس الخارجى الخاص بالراوتر

 

2- منع إستخدام التلنت telnet فى الإتصال بالراوتر

access-list 50 permit 192.168.1.10
access-list 50 deny any log
line vty 0 4
access-class 50 in
exec-timeout 5 0

حيث 192.168.1.10 هو الجهاز المسموح له فقط الإتصال بالراوتر عن طريق التلنت

ولكن فى كل الحالات لا يفضل إستخدام التلنت وإستبدالة بال SSH

لمشاهدة درس تفعيل الSSH إضغط هنا

 

3- منع ال loopback و ping

access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
int x0/0
access-group in 111

 

وهذا يعمل على منع ال ping من خارج الشبكة وأيضا منع الإتصال عن طريق ايبى خاص وأيضا منع المالتى كاست وال loopbackوأخيرا منع ال ping

كل هذا طبعا من خارج الشبكة

 4- منع SNMP

وهو بروتوكول يستخدم فى جمع معلومات عن الراوتر والشبكة ككل

access-list 112 deny udp any any eq snmp
access-list 112 permit ip any any
interface x0/0
access-group 112 in

 

5- تشفير كل الباسوردات عن طريق

R1(config)# service  password-encryption

 

6- منع كل الخدمات الغير مستخدمة

Disable Echo, Chargen and discard

no service tcp-small-servers
no service udp-small-servers

 

Disable finger
no service finger
Disable the httpd interface

no ip http server

 

Disable ntp (if you are not using it)
ntp disable

 

7- إضافة بعض الخصائص الأمنية

Disable source routing
no ip source-route

Disable Proxy Arp
no ip proxy-arp

Disable ICMP redirects
interface s0/0 (your external interface)
no ip redirects

Disable Multicast route Caching
interface x0/0 (your external interface)
no ip mroute-cache

Disable CDP
no cdp run

Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast

 

8-تسجيل كل شىء على سيرفر خارجى

logging trap debugging
logging 192.168.1.10

شارك هذه المعلومات مع غيرك...Share on Facebook0Share on Google+0Tweet about this on TwitterShare on LinkedIn0
 

7 Comments

  1. م. أحمد المحترم

    كيف يمكنني منع عمل اي هب دخيل من التعرف على السويتش ..
    سوتش سيسكو

    للتوضيح امنع النقطه من التوزيع لأكثر من نقطه .
    وشكراً

     
  2. الرجاء تزودي برقم مبايلك للاتصال بحضرتك للأهمية بخصوص راوتر سيسكو سوهو 97 ورقم تلفوني 01069993232

     
  3. كل الشكر والاحترام والتقدير لحضرتك وأشكرك على علمك الذي لم تبخل به علينا
    وأود أن أسأل حضرتك هل قرص ccna موجود طباعة على ورق ولا بس فيديوهات
    ولو موجود على ورق نرجو وضعه بالموقع كي نستفيد ايضا .. وشكرا لك ونأسف للاطالة …

     

Leave a Reply

Your email address will not be published.


*



*