پیکربندی امنیتی روتر سیسکو؛ راهنمای عملی و مرحله به مرحله

پیکربندی صحیح روترهای سیسکو نه تنها عملکرد بهینه شبکه را تضمین می‌کند، بلکه اولین گام مهم در تأمین امنیت زیرساخت شبکه است. در این مقاله فالنیک، ابتدا نحوه پیکربندی پایه‌ روتر سیسکو را به صورت گام‌به‌گام بیان می‌کنیم و سپس وارد مباحث مربوط به پیکربندی امنیتی روتر سیسکو می‌شویم. این راهنما با مثال‌های عملی همراه است و می‌تواند برای داوطلبان آزمون CCNA بسیار مفید واقع شود؛ پس تا انتهای مطلب با ما همراه باشید.

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در ارائه تجهیزات و خدمات شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره رایگان

اهمیت امنیت در تجهیزات Cisco IOS

در نظرسنجی مؤسسه امنیتی CSI، بیش از 70 درصد از شرکت‌های حاضر در آن اعلام کرده‌اند که هریک به نوعی با یکی از نقض‌های امنیتی مواجه شده‌اند. این موضوع، اهمیت امنیت و کنترل دقیق سطح دسترسی به تجهیزات شبکه را بیشتر از قبل مشخص می‌کند. اما بسیاری از مدیران شبکه این نکته را فراموش می‌کنند که اولین خط دفاعی در ایمن‌سازی دستگاه‌های شبکه محافظت در برابر تهدیدات فیزیکی و محیطی‌ست. از مهم‌ترین این تهدیدات باید به موارد زیر اشاره کنیم:

• سخت‌افزار: محدود کردن دسترسی فیزیکی به روتر از طریق اقدامات فیزیکی، مانند درهای قفل شده، کارت‌های کلید، دوربین‌های ویدیویی و… انجام می‌شود.
• الکتریسیته: اطمینان حاصل کنید که با استفاده یو‌پی‌اس و ژنراتور، از تجهیزات در برابر نوسانات/ قطعی‌های ناگهانی محافظت کرده‌اید.
• دمای محیطی: درجه حرارت محیطی که تجهیزات در آن قرار ندارد نباید خیلی زیاد یا خیلی کم باشد و مهم‌تر آن‌که رطوبت محیطی نباید بیش از اندازه باشد.
• تعمیر و نگهداری: هنگام کار با قطعات الکترونیکی حساس، از روش‌های تخلیه الکترواستاتیک استفاده کنید، در محل سازمان، لوازم یدکی لازم را داشته باشید و تجهیزات و کابل‌ها را به درستی برچسب‌گذاری می‌کنید. این موارد اهمیت زیادی دارد.

پیش از این با روش های افزایش امنیت مودم یا روترهای بی‌سیم آشنا شده‌ایم؛ اما چگونه می‌توانیم از سایر تجهیزات شبکه خود و به‌خصوص روتر سیسکو در برابر تهدیدات محافظت کنیم؟ در ادامه با پاسخ این سؤال همراه شما هستیم.

مراحل ابتدایی پیکربندی امنیتی روتر سیسکو

برای شروع پیکربندی امنیتی روتر cisco به یک‌سری تجهیزات نیاز است. در ادامه این تجهیزات و مراحل انجام کار را گام به گام توضیح می‌دهیم:

تجهیزات مورد نیاز برای پیکربندی امنیتی روتر سیسکو

برای شروع به دو روتر سیسکو و دو سوئیچ سیسکو (یا یک شبیه‌ساز شبکه) نیاز دارید. شبیه‌ساز شبکه به شما اجازه می‌دهد یک نمودار با دو روتر و دو سوئیچ ایجاد کنید و درک بهتری از پیکربندی خود داشته باشید. شکل زیر شبکه‌ای را نشان می‌دهد که در این روش بر مبنای آن کار خواهیم کرد. این آموزش بر پیکربندی دو روتر متمرکز است.

• دو روتر سیسکو
• دو سوئیچ سیسکو یا شبیه‌ساز شبکه مانند (Cisco Packet Tracer)
• کابل کنسول و دسترسی به  PuTTY

مراحل پیکربندی اولیه روتر سیسکو

1. مطمئن شوید که تمام مولفه‌های فیزیکی مانند روترها و سوئیچ‌ها را مطابق شکل بالا به یکدیگر متصل کرده‌اید و تجهیزات روشن هستند.
2. کامپیوتر را از طریق کابل کنسول به روتر VAN-R1 متصل کنید.
3. نرم‌افزار PuTTY را باز کرده و اتصال سریال را با COM مناسب تنظیم و گزینه Open را انتخاب کنید.
4. کلید Enter را بزنید تا وارد محیط CLI شوید.
5. نام روتر سیسکو را با دستور زیر به VAN-R1 تنظیم کنید:

Router>enable
Router#config term
Router (config) #hostname VAN-R1

6. آدرس IP را در رابط Gigabit Ethernet 0/0 با دستورات زیر پیکربندی کنید:

VAN-R1 (config) #interface g0/0
VAN-R1 (config-if) #ip address 12.0.0.1 255.0.0.0
VAN-R1 (config-if) #no shutdown

توجه داشته باشید که رابط g0/0 به حالت up تغییر می‌کند (این رابط فعال نیست).

7. رابط سریال 0/3/0 را روی روتر با دستورات زیر پیکربندی کنید:

VAN-R1 (config-if) #interface s0/3/0
VAN-R1 (config-if) #ip address 13.0.0.1 255.0.0.0
VAN-R1 (config-if) #encapsulation hdlc
VAN-R1 (config-if) #clock rate 64000
VAN-R1 (config-if) #no shutdown

دقت کنید که پیام وضعیت رابط سریال نشان می‌دهد که هنوز خاموش است، حتی اگر به طور کامل پیکربندی شده باشد. این اتفاق به این دلیل است که انتهای دیگر لینک سریال (روتر LA-R1) باید قبل از بالا آمدن لینک پیکربندی شود.

8. تغییرات فوق را با وارد کردن دستورات زیر در NVRAM ذخیره کنید:

VAN-R1 (config-if) #exit
VAN-R1 (config) #exit
VAC-R1#copy running-config startup-config
Destination filname [startup-config]?
Building configuration...
  [OK]

9. به پورت کنسول روتر LA-R1 وصل شوید و سپس در صفحه PuTTY کلید اینتر را فشار دهید تا صفحه رفرش شود. اکنون باید به روتر دوم متصل شوید.

10. نام میزبان روی روتر دوم s را به LA-R1 تنظیم کنید.

11. آدرس IP را در رابط Gigabit Ethernet 0/0 روی 14.0.0.1 پیکربندی کنید و مطمئن شوید که رابط فعال است.

12. رابط سریال 0/3/0 را روی روتر برای آدرس IP 13.0.0.2 پیکربندی کنید و پروتکل کپسوله‌سازی را تنظیم کنید. توجه داشته باشید که اگر یک اتصال DTE است، نیازی به تنظیم نرخ ساعت ندارید.

13. تغییرات جدید را در NVRAM ذخیره کنید.

14. برای تأیید اینکه LA-R1 قادر به پینگ به آدرس IP VAN-R1 است، دستور زیر را تایپ کنید:

LA-R1#ping 13.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms

15. در LA-R1، از دستورات زیر برای بررسی پیکربندی خود استفاده کنید (کمی صبر کنید و اطلاعات نشان داده شده را به دقت نگاه کنید):

LA-R1#show interfaces
LA-R1#show interfaces g0/0
LA-R1#show ip interfaces brief

16. در VAN-R1، از دستورات زیر برای بررسی پیکربندی استفاده کنید (خروجی را به دقت نگاه کنید):

VAN-R1#show interfaces
VAN-R1#show interfaces g0/0
VAN-R1#show ip interface brief

17. مسیریاب‌ها را همچنان در وضعیت فعال نگاه دارید تا بتوانید تنظیمات پیکربندی موارد امنیتی روترها را نیز که در ادامه توضیح می‌دهیم، بررسی کنید.

پیکربندی رمزهای عبور در روتر سیسکو

رایج‌ترین راه برای محدود کردن دسترسی فیزیکی به دستگاه‌های IOS استفاده از نوعی احراز هویت کاربر است. برای مثال، می‌توانید رمزهای عبور را برای محدود کردن دسترسی به خطوط دستگاه‌های IOS (حالت EXEC کاربری) و همچنین دسترسی به حالت EXEC ممتاز پیکربندی کنید. پیکربندی رمزهای عبور در سوئیچ‌های Catalyst IOS، مانند 2950s و 2960s، مانند پیکربندی رمز عبور در روترهای IOS است.

حفاظت از رمز عبور EXEC کاربری

کنترل دسترسی به حالت EXEC کاربری در دستگاه IOS به صورت خط به خط انجام می‌شود: console، auxiliary، TTYs و VTYs. به یاد داشته باشید که همه دستگاه‌ها از پورت‌های auxiliary پشتیبانی نمی‌کنند، تنها روترها از TTY پشتیبانی می‌کنند و تعداد VTY‌هایی که یک دستگاه IOS پشتیبانی می‌کند به محصولی که از آن استفاده می‌کنید بستگی دارد: از پنج VTY (0-4) تا تقریباً هزار.

پیکربندی رمز عبور کنسول

برای ایمن کردن پورت کنسول، ابتدا باید با دستور line console 0 به حالت subconfiguration line کنسول بروید تا بتوانید رمز عبور خط را پیکربندی کنید:

IOS (config) # line console 0
IOS (config-line) # password console_password
IOS (config-line) # login

در دستور اول پورت کنسول را مشخص می‌کند، زیرا خطوط و رابط‌ها از 0 به بالا شماره‌گذاری می‌شوند. حتی اگر دستگاه‌های IOS تنها یک پورت کنسول داشته باشند، بازهم با مقدار 0 تعیین می‌شوند؛ این موضوع در مورد بیشتر محصولات سیسکو صادق است (اما نه همه محصولات سیسکو).

هنگامی که در حالت زیرپیکربندی خط قرار دارید، می‌توانید از دستور password برای اختصاص رمز عبور کنسول استفاده کنید. فرمان آخر login نشان می‌دهد در نظر دارید افراد برای اتصال به پورت کنسول 0، با استفاده از رمز عبوری که تعیین کرده‌اید احراز هویت شوند. رمزهای عبور در دستگاه‌های IOS به حروف بزرگ و کوچک حساس هستند. به یاد داشته باشید که دستور password، زمانی که در line console 0 اجرا می‌شود، رمز عبور EXEC کاربری را برای شخصی که سعی می‌کند از پورت کنسول به دستگاه IOS دسترسی داشته باشد، درخواست می‌کند.

پیکربندی رمز عبور در پورت کمکی  (Auxiliary)

پورت کمکی (auxiliary) اغلب به عنوان یک پورت دسترسی از راه دور با یک مودم متصل به آن استفاده می‌شود که به شما امکان می‌دهد در صورتی که مشکلی برای اتصال اینترنت اتفاق افتاده است و نمی‌توانید از طریق telnet یا SSH از راه دور وارد شوید، به روتر شماره‌گیری کنید. کد زیر ترکیب نحوی برای تنظیم مکانیزم احراز هویت رمز عبور در پورت کمکی را نشان می‌دهد:

Router (confog) # line aux 0
Router (config-line) # password aux_password
Router (config-line) # login

پیکربندی رمز عبور برای دسترسی  Telnet (VTY)

باز هم، دستور login موردنیاز است. اگر فراموش کنید که دستور فوق را فراخوانی کنید، یک رمز عبور روی پورت تنظیم کرده‌اید، اما هنگامی که فردی قصد اتصال به پورت فوق را دارد، دستگاه سیسکو هیچ سوالی نخواهد کرد. برای تنظیم رمز عبور telnet برای VTYهای خود، از پیکربندی زیر استفاده کنید:

IOS (config) # line vty 0 15
IOS (config-line) # password telnet_password
IOS (config-line) # login

پارامتر vty در این دستور به ترمینال مجازی و دسترسی به telnet یا SSH اشاره دارد. دستگاه‌های سیسکو می‌توانند از چندین جلسه VTY (تلنت) همزمان پشتیبانی کنند که در آن هر اتصال به صورت داخلی توسط یک عدد در بازه 0 تا 15 شناسایی می‌شود. بسته به مدل روتر و نسخه نرم‌افزار IOS، این عدد ممکن است از 5 (0-4) تا تقریباً 1000 متغیر باشد. شما می‌توانید رمز عبور متفاوتی را به هر VTY اختصاص دهید، اما باید به این نکته دقت کنید که از چه گذرواژه‌ای برای تل‌نت استفاده کرده‌اید. IOS اجازه می‌دهد چند پورت VTY را با دستور line پیکربندی کنید تا روند انجام کارها ساده‌تر شود، در این حالت باید ابتدا و انتهای VTY در یک خط (در مثال بالا line vty 0 15) را مشخص کنید.

هنگامی که در حالت زیرپیکربندی خط قرار گرفتید، از دستور password برای تنظیم رمز عبور استفاده کنید. همچنین، باید دستور ورود به سیستم را وارد کنید تا احراز هویت اجباری در آن پورت‌ها اعمال شود و اساساً به دستگاه بگویید اگر کسی سعی کرد از طریق telnet به آن متصل شود، رمز عبور را درخواست کند.

نکته امتحانی: برای آزمون CCNA به یاد داشته باشید که اگر به دستگاه سیسکو telnet کردید و پیام «رمز عبور لازم است، اما تنظیم نشده است» را می‌بینید، به این معنا است که رمزی را روی خط با دستور password پیکربندی نکرده‌اید و در نتیجه نمی‌توانید تا زمانی که یک مورد را پیکربندی کنید به آن وارد شوید. به یاد داشته باشید که باید VTYهای خود را با یک رمز عبور و فرآیند لاگین مطمئن ایمن کنید. یکی دیگر از قابلیت‌های امنیتی برای ایمن‌سازی پورت‌های VTY، به کارگیری فهرست‌های کنترل دسترسی (ACL) است. اگر هنگام پیکربندی VTYهای خود فقط یک عدد را مشخص کنید، مانند موارد زیر، در این صورت تنها آن VTY پیکربندی شده است:

IOS (config) # line vty 0 15
IOS (config-line) # password cisco123
IOS (config-line) # login

در این مثال، به خط VTY 0 یک رمز عبور اختصاص می‌دهیم تا هنگامی که فردی قصد لاگین به پورت ‌را دارد فرآیند احراز هویت اجرا شود. اگر تنها گزینه فوق را در ارتباط با VTYهای خود در یک دستگاه IOS پیکربندی کنید، در این حالت تنها یک نفر می‌تواند از راه دور با استفاده از telnet یا SSH و از طریق VTY 0 به دستگاه IOS دسترسی داشته باشد.

استفاده از پایگاه داده محلی کاربران

راه‌های دیگر اعتبارسنجی دسترسی، پایگاه داده نام کاربری محلی یا سرور احراز هویت خارجی هستند. پایگاه داده نام کاربری محلی روی روتر به شما امکان می‌دهد نام کاربری و رمز عبور را برای محدود کردن دسترسی به خطوط در دستگاه IOS تعیین کنید. در ارتباط با خطوط، استفاده از نام کاربری و رمز عبور بیش از استفاده از رمزهای عبور تنها توصیه می‌شود. مزیتی که روش فوق دارد این است که هر کاربر رمز عبور اختصاصی خود را به جای یک رمزعبور اشتراکی در اختیار خواهد داشت. دستورات زیر برای ساخت یک پایگاه داده نام کاربری محلی و استفاده از آن در VTYها استفاده می‌شود:

IOS (config) # username name {secret | password} password
IOS (config) # line vty 0 15
IOS (config-line) # login local

دستور username نام کاربری و رمز عبور را برای یک کاربر مشخص می‌کند. تفاوت اصلی بین پارامترهای مخفی و رمز عبور در مثال بالا این است که پارامتر مخفی به IOS می‌گوید که رمز عبور را با هش MD5 رمزگذاری کند، در حالی که پارامتر رمز عبور عادی این‌کار را نمی‌کند (رمز عبور به شکل متن واضح ذخیره می‌شود). این مسئله در مورد دستور password در حالت زیرپیکربندی خط نیز صادق است، به طوری که رمزعبور را به شکل متن واضح ذخیره‌سازی می‌کند.

نکته: فرمان login محلی را می‌توان در ارتباط با هر یک از خطوط دستگاه سیسکو استفاده کرد تا به دستگاه بگوید با استفاده از پایگاه داده نام کاربری و رمز عبور محلی احراز هویت را انجام دهد. می‌توانید از دستور فوق در ارتباط با پورت‌های کنسول، کمکی و VTY استفاده کنید تا دستگاه سیسکو را مقید کنید، هنگامی که شخصی قصد اتصال به دستگاه را دارد نام کاربری و رمز عبور خود را وارد کند.

پیکربندی رمز عبور برای حالت EXEC ممتاز (Privileged EXEC Password Protection)

علاوه بر محافظت از دسترسی به خطوط در یک دستگاه IOS، می‌توانید دسترسی به حالت ممتاز EXEC را با اختصاص یک رمز عبور به آن  کنترل کنید. برای انجام این‌کار دو گزینه زیر در اختیارتان قرار دارد:

Switch(config)# enable password Privilege_EXEC_password

یا

Switch(config)# enable secret Privilege_EXEC_password

در هر دو حالت، توانایی تعیین رمز عبور برای حالت ممتاز EXEC را دارید. تفاوت اصلی دو دستور فوق در این است که مانند مثال قبل، دستور اول اطلاعات مربوط به پارامتر مخفی رمز عبور ممتاز EXEC را رمزگذاری می‌کند و دیگری این‌کار را انجام می‌دهد. اگر به‌طور اتفاقی هر دو دستور را اجرا کنید، رمز عبور پیکربندی شده با دستور enable secret همیشه بر رمز عبور پیکربندی شده با دستور enable password اولویت دارد. لازم به توضیح است که تنها دلیل وجود فرمان enable password در تجهیزات سیسکو، حفظ سازگاری تجهیزات و فناوری‌های قدیمی و جدید با یکدیگر است، اما به تدریج این دستور از تجهیزات سیسکو حذف خواهد شد.

نکته امتحانی: برای آزمون، به خاطر داشته باشید در حالت پیش‌فرض بدون وجود مکانیزم احراز هویت (رمزعبور) برای هر دو حالت کاربری و ممتاز قادر به اتصال به دستگاه IOS از راه دور از طریق telnet یا SSH نیستید.

رمزنگاری پسورد (Password Encryption)

گذرواژه‌هایی را که رمزنگاری نشده‌اند، می‌توانید در حالت پیکربندی سراسری و با استفاده از service password-encryption رمزنگاری کنید. به عنوان یک قاعده کلی به این نکته دقت کنید که رمزنگاری دستور enable secret قوی‌تر از فرمان service password-encryption است.

نکته امتحانی: برای آزمون CCNA به خاطر داشته باشید که از فرمان enable password  یا enable secret  برای ایمن‌سازی دسترسی به حالت ممتاز EXEC استفاده کنید. در ارتباط به دسترسی VTY، باید رمز عبور را روی پورت‌های VTY پیکربندی کنید و باید دستور login به سیستم را مشخص کنید تا پیکربندی که انجام داده‌اید روی دستگاه به‌طور کامل اعمال شود. از دستور service password-encryption برای رمزگذاری همه رمزهای عبور متنی که با فرمان password برای VTYها و خطوط دیگر، دستور enable password و سایر دستوراتی که رمزهای عبور را به شیوه متن ساده ذخیره‌سازی می‌کنند، استفاده کنید.

تمرین عملی ایجاد رمز عبور در پیکربندی امنیتی روتر سیسکو

مثالی که در ادامه مشاهده می‌کنید، مثالی است که در بخش «مراحل ابتدایی پیکربندی امنیتی روتر سیسکو» در همین مقاله آن پرداختیم. اکنون قصد داریم رمز عبور را به دو روتر اضافه کنیم و این مورد را به‌صورت عملی تمرین کنیم. شما یک رمز عبور کنسول، یک رمز عبور کمکی (اگر پورت aux دارید) و رمز عبور پورت VTY را پیکربندی خواهید کرد. شکل زیر فرآیند انجام این‌کار را نشان می‌دهد.

پیکربندی رمزهای عبور برای روتر VAN-R1

1. ابتدا مطمئن شوید که به VAN-R1 دسترسی دارید.

2.  برای پیکربندی رمز عبور کنسول conpass در VAN-R1، دستورات زیر را وارد کنید:

VAN-R1>enable
VAN-R1#config term
VAN-R1 (config) #line con 0
VAN-R1 (config-line) #password conpass
VAN-R1 (config-line) #login

3.  برای پیکربندی رمز عبور auxpass در پورت aux در روتر VAN-R1، دستورات زیر را وارد کنید:

VAN-R1 (config-line) #line aux 0
VAN-R1 (config-line) #password auxpass
VAN-R1 (config-line) #login

4.  برای پیکربندی گذرواژه‌ telnetpass برای telnet  در ارتباط با پیکربندی پورت‌های VTY، دستورات زیر را وارد کنید:

VAN-R1 (config-line) #line vty 0 4
VAN-R1 (config-line) #password telnetpass
VAN-R1 (config-line) #login

5.  اکنون یک رمز عبور فعال به نام enablepass ایجاد می‌کنیم:

VAN-R1 (config-line) #exit
VAN-R1 (config-line) #enable password enablepass

6. یک رمزعبور پنهان به نام enablesecret ایجاد می‌کنیم:

VAN-R1 (config-line) #enable secret enablesecret
VAN-R1 (config-line) #exit
VAN-R1 (config-line)#

7.  با وارد کردن دستور زیر تغییرات پیکربندی را در NVRAM ذخیره کنید:

VAN-R1# copy running-config startup-config

البته می‌توانیم از فرمان write نیز استفاده کنیم که دیگر از ما نمی‌خواهد مکانی را که قرار است اطلاعات ذخیره شود، تایید کنیم.

8. اکنون از حالت پیکربندی خارج شوید و سپس به دستگاه وارد شوید تا مطمئن شوید گذرواژه‌ای که برای پورت کنسول تعیین کرده‌اید، بدون مشکل کار می‌کند. هنگامی که قصد ورود به حالت EXEC ممتاز را دارید، مشاهده می‌کنید که اولین رمزی که باید وارد کنید رمز کنسول و رمز دومی که نیاز است رمز عبور مخفی است، زیرا رمزعبور مخفی بر رمز عبور فعال ارجحیت دارد. رمز عبور فعال تنها در صورتی استفاده می‌شود که رمز عبور پنهان تنظیم نشده باشد.

تمرین: پیکربندی رمزهای عبور برای روتر LA-R1

1. اکنون گذرواژه‌ها را روی روتر LA-R1 پیکربندی کنید. اطمینان حاصل کنید که به LA-R1 متصل شده‌اید.

2. گذرواژه کنسول LAconpass را در LA-R1 پیکربندی کنید.

3. گذرواژه پورت کمکی aux LAauxpass را در LA-R1 پیکربندی کنید.

4. گذرواژه‌های VTY LAtelnetpass را در LA-R1 پیکربندی کنید.

5. یک رمز عبور فعال برای LAenablepass ایجاد کنید.

6. یک رمزعبور پنهان برای LAenablesecret ایجاد کنید.

7. با استفاده از دستور write، تغییرات پیکربندی را در NVRAM ذخیره کنید.

8. هنگام اتصال به پورت کنسول، از حالت‌های فعلی خارج شوید تا اطمینان حاصل کنید همه کارها به درستی انجام شده است. اکنون به حالت EXEC ممتاز بروید. دقت کنید اولین رمزی که وارد می‌کنید رمز کنسول خواهد بود و رمز دومی که وارد می‌کنید رمز عبور مخفی است، زیرا بر رمز عبور فعال اولویت دارد. رمز عبور فعال فقط در صورتی استفاده می‌شود که رمز پنهان تنظیم نشده باشد.

9. برای تمرین بعدی دستگاه‌ها را در وضعیت آماده نگه دارید.

پیکربندی بنرها (Banner Configuration) در روتر سیسکو

یکی دیگر از اقدامات مهم برای افزایش امنیت اولیه تجهیزات شبکه، پیکربندی بنرهای هشدار است. این بنرها هنگام اتصال به دستگاه، پیامی را به کاربر نمایش می‌دهند که می‌تواند شامل اطلاعات خوش‌آمدگویی، هشدارهای امنیتی یا اطلاع‌رسانی در مورد سیاست‌های سازمان باشد. بنرها نه تنها باعث افزایش آگاهی کاربران می‌شوند، بلکه از نظر قانونی نیز می‌توانند برای اعلام ممنوعیت دسترسی غیرمجاز به سیستم مورد استفاده قرار گیرند.

انواع بنر در Cisco IOS

بنرها (Banners) راهکاری در اختیارتان قرار می‌دهند تا پیام‌ها را هنگام اتصال به دستگاه سیسکو به مدیران نشان دهید. بنرها انواع مختلفی دارند، مانند بنرهای پیام روز (MOTD) و بنرهای ورود که از نظر زمان ظاهر شدن متفاوت از یکدیگر هستند. در زیر لیستی از انواع رایج بنرهای Cisco IOS را مشاهده می‌کنید:

• بنر MODT: بنرMODT مخففMessage of the day پیغامی است که با هر بار لاگین به سوئیچ یا روتر توسط هر یک از راه‌های ارتباطی telnet، کنسول یا SSH نمایش داده می‌شود و گاهی اوقات می‌تواند موارد امنیتی را گوشزد کند.
• بنر (Login): به شما اجازه می‌دهد که یک پیام را بعد از بنر MOTD به کاربران در زمان دسترسی از طریق اتصالات Console، Telnet، SSH  یا AUX به روتر نمایش دهید. بنر Login بیشتر جنبه آگاهی‌رسانی دارد. به عنوان مثال می‌خواهید به کاربران اطلاع دهید که افراد غیر مجاز قادر به دسترسی به روتر نیستند.
• بنر (Exec): پیغام فوق بعد از بنر لاگین نمایش داده می‌شود و فقط بعد از برقراری اتصال از طریق کنسول، تلنت، SSH یا AUX به روتر و وارد کردن رمز دسترسی، کاربر قادر به مشاهده آن خواهد بود. زمانی از این بنر استفاده می‌کنیم که بخواهیم پیام‌هایی نمایش دهیم که از دسترس کاربران غیر مجاز مخفی بمانند و فقط کاربرانی که دارای رمزعبور دسترسی به روتر هستند آن‌را مشاهده کنند.

برای مشاهده لیستی از بنرهای پشتیبانی شده در تجهیزات سیسکو از ویژگی کمک همراه با دستور بنر استفاده کنید:

Switch (config) #banner ?
LINE		c banner-text c, where 'c' is a delimiting character
exec		Set EXEC process creation banner
incoming	Set incoming terminal line banner
login		Set login banner
motd		Set Message of the Day banner
prompt-timeout  Set Message for login authentication timeout
slip-ppp	Set Message for SLIP/PPP

مراحل پیکربندی بنرها در روتر سیسکو

مراحل پیکربندی پیغام‌های بنر روی روتر سیسکو به شرح زیر است:

مرحله 1: اتصال به روتر

در این مرحله ابتدا توسط نرم‌افزار Putty به روتر متصل می‌شویم و وارد حالت User Mode می‌شویم. در صورتی که در خط فرمان عبارت Router> را مشاهده می‌کنید به معنای ورود به حالت کاربر (User Mode) است.

مرحله 2: پیکربندی MOTD روی روتر

برای پیکربندی MOTD و نمایش یک پیغام برای تمامی کاربرانی که قصد دسترسی به روتر از طریق کنسول، تلنت، SSH یا AUX را دارند، باید پیام را بعد از عبارت Banner motd داخل دو کاراکتر یکسان قرار داد که اغلب از کاراکترهی # یا $ استفاده می‌شود. ترکیب نحوی دستور فوق به شرح زیر است:

IOS (config) # banner motd delimiting_char your_banner end_with_delimiting_char
IOS (config) #

به طور مثال، برای تعیین یک پیغام از ترکیب نحوی زیر استفاده می‌کنیم:

Router1#config t
Router1(config)#banner motd #Router is now changing#

در مثال بالا ما عبارت Router is now changing برای نمایش به کاربرانی که قصد اتصال به روتر را دارند مشخص کردیم. همان‌گونه که اشاره کردیم، در اولین مرحله قبل از هر پیغام دیگری، پیغام فوق نشان داده می‌شود.

مرحله 3 : پیکربندی Banner Login روی روتر

برای پیکربندی Banner Login و انتخاب یک پیغام که بعد از پیام motd به کاربران نشان داده شود، همانند حالت قبل باید پیام را بعد از عبارت Banner Login داخل دو کاراکتر # قرار دهید. ترکیب نحوی دستور فوق به شرح زیر است:

IOS(config) #banner login $
This is a private system and only authorized individuals
	are allowed!
All others will be prosecuted to the fullest extent of the law!
$
IOS(config)#

اکنون از ترکیب نحوی زیر برای مشخص کردن پیغام بنر لاگین استفاده می‌کنیم.

Router1#config t
Router1(config)#banner Login# Unauthorized Access is Deny#

 در مثال بالا، عبارت Unauthorized Access is Deny را به عنوان پیغام انتخاب کردیم تا اگر فرآیند احراز هویت برای کاربری با شکست روبرو شد، پیغام فوق نشان داده شود.

در زمان ورود به حالت کاربری، تمامی کاربرانی که از طریق مکانیزم‌های ارتباطی Console،  Telnet، SSH و یا AUX قصد دسترسی به روتر را دارند، پیغامی که در بنر Banner Login تعیین کرده‌ایم را پس از بنر MOTD مشاهده می‌کنند. این عبارت می‌تواند شامل توصیه‌ها و پیام‌های هشدار برای کاربرانی باشد که قصد دسترسی به روتر را دارند.

مرحله 4: پیکربندی Banner exec روی روتر سیسکو

همان‌گونه که اشاره شد، از Banner exec برای نمایش پیام‌هایی که می‌خواهید از دسترس کاربران غیر مجاز مخفی بماند و تنها کاربران احراز هویت شده آن‌ها را مشاهده کنند، استفاده می‌کنیم. برای این منظور باید پیام خود را بعد از عبارت banner exec داخل کاراکترهای محصور مثل $ قرار دهید.

VAN-R1(config)# banner exec $
Remember to save your changes with the write command.
$
VAN-R1(config)#

تمرین عملی تنظیم بنرها در پیکربندی امنیتی روتر سیسکو

در ادامه تمرین عملی پیکربندی روترها، اکنون قصد داریم بنرهایی را به دو روتر خود اضافه کنیم. به‌طوری‌که یک بنر MOTD، یک بنر ورود و یک بنر اجرایی را روی شبکه زیر پیکربندی کنیم.

1.  مطمئن شوید که به VAN-R1 وارد شده‌اید.

2.  برای پیکربندی بنر MOTD در VAN-R1، دستورات زیر را وارد کنید:

VAN-R1>enable
VAN-R1#config term
VAN-R1 (config)# banner motd $
Long weekend upcoming. We Will be performing maintenance.
Back up all your configuration.
$
VAN-R1(config)#

3. برای پیکربندی یک بنر ورود به سیستم در VAN-R1، دستورات زیر را وارد کنید:

VAN-R1(config)# banner login $
This is a private system and only authorized individuals
	are allowed!
All others will be prosecuted to the fullest extent of the law!
$
VAN-R1(config)#

4.  برای پیکربندی بنر exec در VAN-R1، دستورات زیر را وارد کنید:

VAN-R1(config)# banner exec $
Remember to save your changes with the write command.
$
VAN-R1(config)#

5. تغییرات خود را با دستور write ذخیره کنید.

6. برای آزمایش بنرها، از روتر دستگاه خارج شده و ارتباط خود با دستگاه را قطع کنید. دوباره به روتر متصل شوید و نحوه نمایش بنرها را مشاهده کنید.

7. به LA-R1 متصل شوید و سه بنر را در LA-R1 پیکربندی کنید.

8. با استفاده از دستور write، تغییرات LA-R1 را در NVRAM ذخیره کنید.

9. از LA-R1 جدا شده و دوباره به آن وصل شوید تا بنرها را مشاهده کنید.

10. روترها را برای تمرین بعدی فعال نگه دارید.

آنچه در مورد پیکربندی امنیتی روتر سیسکو یاد گرفتیم

پیکربندی اصولی و ایمن روترهای سیسکو پایه‌ای‌ترین گام برای مدیریت حرفه‌ای شبکه است. در این مقاله، پیکربندی پایه و امنیتی دو روتر را به‌طور کامل و عملی بررسی کردیم. برای ارتقا دانش فنی خود و آمادگی برای آزمون CCNA، اجرای تمرینات این مقاله بسیار موثر خواهد بود. اگر علاقه‌مند به یادگیری بیشتر در این زمینه هستید یا قصد شرکت در دوره‌های آموزشی شبکه دارید، بلاگ فالنیک را دنبال کنید.

خرید روتر با بهترین قیمت و گارانتی معتبر در فالنیک

با خرید روتر از فالنیک ایران اچ پی علاوه بر قیمت مناسب، تضمین اصالت کالا و گارانتی معتبر، می‌توانید از مشاوره تخصصی رایگان با کارشناسان ما بهره‌مند شوید. همین حالا کلیک کنید.

خرید روترمشاوره تلفنی رایگان