تأمين الوصول للراوتر من خلال ACL
ومنع إستخدام التلنت telnet فى الإتصال بالراوتر
ومنع ال loopback و ping
ومنع SNMP ....
1- تأمين الوصول للراوتر من خلال ACL
access-list 110 deny tcp any host $yourRouterIP eq 7
access-list 110 deny tcp any host $yourRouterIP eq 9
access-list 110 deny tcp any host $yourRouterIP eq 13
access-list 110 deny tcp any host $yourRouterIP eq 9
access-list 110 deny tcp any host $yourRouterIP eq 13
access-list 110 deny tcp any host $yourRouterIP eq 19
access-list 110 deny tcp any host $yourRouterIP eq 23
access-list 110 deny tcp any host $yourRouterIP eq 79
int x0/0
access-group in 110
access-list 110 deny tcp any host $yourRouterIP eq 79
int x0/0
access-group in 110
حيث $yourRouterIP هو عنوان الراوتر و X0/0 هو إسم الإنترفيس الخارجى الخاص بالراوتر
2- منع إستخدام التلنت telnet فى الإتصال بالراوتر
access-list 50 permit 192.168.1.10
access-list 50 deny any log
line vty 0 4
access-class 50 in
exec-timeout 5 0
access-list 50 deny any log
line vty 0 4
access-class 50 in
exec-timeout 5 0
حيث 192.168.1.10 هو الجهاز المسموح له فقط الإتصال بالراوتر عن طريق التلنت
ولكن فى كل الحالات لا يفضل إستخدام التلنت وإستبدالة بال SSH
3- منع ال loopback و ping
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
int x0/0
access-group in 111
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
int x0/0
access-group in 111
وهذا يعمل على منع ال ping من خارج الشبكة وأيضا منع الإتصال عن طريق ايبى خاص وأيضا منع المالتى كاست وال loopbackوأخيرا منع ال ping
كل هذا طبعا من خارج الشبكة
4- منع SNMP
وهو بروتوكول يستخدم فى جمع معلومات عن الراوتر والشبكة ككل
access-list 112 deny udp any any eq snmp
access-list 112 permit ip any any
interface x0/0
access-group 112 in
access-list 112 permit ip any any
interface x0/0
access-group 112 in
5- تشفير كل الباسوردات عن طريق
R1(config)# service password-encryption
6- منع كل الخدمات الغير مستخدمة
Disable Echo, Chargen and discard
no service tcp-small-servers
no service udp-small-servers
no service udp-small-servers
Disable finger
no service finger
Disable the httpd interface
no service finger
Disable the httpd interface
no ip http server
Disable ntp (if you are not using it)
ntp disable
ntp disable
7- إضافة بعض الخصائص الأمنية
Disable source routing
no ip source-route
no ip source-route
Disable Proxy Arp
no ip proxy-arp
no ip proxy-arp
Disable ICMP redirects
interface s0/0 (your external interface)
no ip redirects
interface s0/0 (your external interface)
no ip redirects
Disable Multicast route Caching
interface x0/0 (your external interface)
no ip mroute-cache
interface x0/0 (your external interface)
no ip mroute-cache
Disable CDP
no cdp run
no cdp run
Disable direct broadcast (protect against Smurf attacks)
no ip directed-broadcast
no ip directed-broadcast
8-تسجيل كل شىء على سيرفر خارجى
logging trap debugging
logging 192.168.1.10
logging 192.168.1.10
التعليقات : 0
إرسال تعليق
أخي الكريم، رجاء قبل وضع أي كود في تعليقك، حوله بهذه الأداة ثم ضع الكود المولد لتجنب اختفاء بعض الوسوم.
الروابط الدعائية ستحذف لكونها تشوش على المتتبعين و تضر بمصداقية التعليقات.