دوره آموزشی CCNP Security | دوره آموزش CCNP رایگان

Q: دوره آموزشی CCNP Security چیست؟

دوره آموزشی CCNP Security یک دوره تخصصی برقراری امنیت و جلوگیری از هک و نفوذ در تجهیزات زیرساختی سیسکو است که بعد از دوره آموزشی CCNA Security یادگیری آن توصیه می شود

دوره آموزشی CCNP Security | آموزش CCNP Security | دوره SENSS | دوره آموزشی CCNP امنیت | همه اینها کلیدواژه های یادگیری این دوره آموزشی رایگان متنی CCNP Security است. هر چند که در این مقاله بصورت مفصل در خصوص دوره امنیت سیسکو صحبت خواهیم کرد ، اما اگر هدف شما یادگیری دوره آموزشی CCNP SP یا Service Provider است ، یا به دنبال یادگیری دوره آموزشی CCNP Enterprise هستید و یا در نهایت به دنبال یادگیری دوره آموزشی CCNP ENARSI هستید ، پیشنهاد می کنیم به لینک های زیر سری بزنید ::

دوره آموزش CCNP Security قسمت ۱: مقدمات دوره CCNP Security

امنیت یک موضوع بسیار گسترده می باشد و ما منبابه طراحی شبکه چه شبکه های بی سیم و چه شبکه های سیمی می بایست مباحث امنیتی در آنها را هم نیز رعایت کرده و پیش ببریم. از این رو امنیت شبکه مباحث مختلف، روش ها و زمینه‌های مختلفی نیز به همراه دارند.

این امر به ویژه برای افرادی که در زمینه امنیت شبکه می باشند بیشتر صدق می ‌کند در این دوره ما به بررسی مباحث جلوگیری از حملات درون شبکه های سیسکویی می پردازیم.با انواع حملات درون شبکه و جلوگیری از آنها در شبکه خود و نحوه Protected کردن شبکه خود اشنا می شویم و به صورت عملی پیش می‌بریم دوره CCNP Security SENSS جزوه دوره های سطح پیشرفته شرکت سیسکو به منظور EndPoint Security می‌باشد

پیشنیاز دوره آموزشی CCNP Security چیست؟

پیش نیاز این دوره گذراندن دوره CCNA Security و یا حداقلش CCNP & CCIE Security CORE یا همان SCOR می باشد می‌باشد

نکته:‌ بنده این دوره را طبق سرفصل های بین المللی خوده سیسکو در رابطه با CCNP Security SENSS پیش می برم و امیدوارم تا پایان دوره باهم همراه باشیم

دوره آموزشی CCNP Security قسمت 2 : آموزش Port Security

اولین مبحث از Theat Defence در CCNP SENSS مبحث و قابلیت Port Security در سیسکو می باشد

به زبان ساده به دفاع دربرابر حملات مختلف و Protected کردن محیط شبکه خود دربرابر تحدیدات و حملات احتمالی که ممکن است رخ دهد Theat Defence گفته میشود

قابلیت Port Security یکی از بهترین و بااهمیت ترین قابلیت های امنیتی Layer-2 در شبکه های سیسکو می باشد زیرا این قابلیت به متخصصین امنیت و مدیران شبکه این امکان را می دهد که به محدود سازی اتصال Mac Address بر روی یک پورت را تنظیم کنند تا که در هر پورت فقد یک Mac Address امکان استفاده داشته باشد درصورت تخلف و گذشتن از Maximum و یا نقض Policy که برایش تعیین شده باشد آن Port بسته شود.قابلیت Port Security به سه حالت پیکربندی می شود که عبارتند از:

Dynamic: در این حالت Mac Address های که از پورت هارا یادبگیرد بر روی آن Port اعمال می کند به این منظور که هر پورت فقد با Mac Address که از اول داشته امکان استفاده از پورت را دارد
Static: در این حالت ما به صورت دستی فرایند Port Security را پیاده سازی می کنیم که By-Default در این حالت هستیم
Sticky: در این حالت Mac Address های یادگرفته شده توسط سوییچ را بر روی آن پورت ها اعمال و آن پورت هارا فقد با آن Mac Address ها میشناسد با این تفاوت که محدودیت های دارد

CAM Table چیست؟

قايدتا با جدل CAM آشنایی دارید ولی نگاهی کلی بر روی آن میندازیم, همانطور که روترها اطلاعات مسیریابی لینک های خود در یک Routing Table قرار می دهند، سوییچ ها هم نیز جدوالی تحت عنوان CAM مخفف Content Addressable Memory دارند که اطلاعات Mac Address هر پورت را در آن ذخیره می کند و توانایی مسیریابی و ارسال و دریافت بسته هارا پیدا می کنند در گذشته‌ در تجهیزات قدیمی مانند Hub اگر یک کامپیوتر قرار باشد بسته ایی را به سمت یک کامپیوتر دیگر درون شبکه ارسال کند، آن بسته در کل شبکه Broadcast می‌شد و از این رو هرعکس میتوانست بسته های بین شمارا Sniff ویا شنود کند. در تکنولوژی های مدرن تر مانند سوییچ این جدول به منظور جلوگیری از Broadcast ایجاد شد

سوییچ وقتی روشن می شود جدول CAM آن خالی می باشد وقتی پیغامی به آن ارسال می شود ابتدا پیغام را برای همه لینک های خودش به صورت Broadcast ارسال می کند و درصورت کشف آن Mac Address آنرا در جدول CAM خودش قرار می دهد از این طریق Mac Address رابط های خود را یاد میگیرد

حمله CAM Table OverFlow چگونه انجام می شود؟

حمله ایی تحت عنوان CAM Table OverFlow با ارسال Mac address های جعلی به یک پورت سوییچ موجب پر شدن CAM table آن سوییچ می شود و سوییچ زمانی که CAM table آن پر شود رفتاری شبیه به Hub را به خود میگیرد و شروع به broadcast کردن Packet های دریافتی از پورت ها میشود و فرد مهاجم موفق به پیاده سازی حمله MITM و استراق سمع در شبکه میشود.

حمله MITM: مخفف Man In The Middle یا حمله مرد در میانه, به طور خلاصه این حمله به این صورت است که فرد مهاجم در وسط یک ارتباط قرار می گیرد و توانایی دریافت بسته های ردوبدل شده بین دو طرف را دارد.

نحوه پیاده سازی حمله CAM Table Overflow چگونه است؟

شما از طریق ابزار macof میوانید این حمله را پیاده سازی کنید نمونه حمله:

macof -i eth0 -n 5

در دسنور بالا با سوییچ -i رابط خود را وارد کردیم و با سوییچ -n مقدار زمان ارسال هر بسته

آموزش جلوگیری از حمله CAM Table OverFlow

نحوه جلوگیری از این حمله را به صورت یک سناریو خیلی خوب و قابل فهم پیش میبریم. به این صورت است ما قصد داریم روی پورت Ethernet 0/0 سوییچ خود که به کامپیوتر A وصل می باشد تعداد Mac Address های مجاز ارسال شده از سمت آنرا فقد روی 2 عدد قرار بدیم و بیشتر از این عدد Mac Address از سمت این پورت آمد این پورت به عنوان یک پورت غیرمجاز شناخته شود و واکنش مورد نظر یروی اون اعمال شود(برای مثال درحالت Drop All Packet قرار بگیرد یا Shutdown شود)

ما قصد داریم بر روی پورت Ethernet 0/1 سوییچ که به کامپیوتر Attacker و یا فرد مهاجم ما متصل می باشد یک Port Security مبنی بر محدودیت معرفی شدن فقد دو Mac Address از این پورت را قرار دهیم

Eth-SW#:configure terminal
Eth-SW(config):interface Ethernet 0/1
Eth-SW(config-if):switchport port-security maximum 2

در کانفینگ بالا در سوییچ خود به پورت Ethernet 0/1 رفتیم، با استفاده از Port Security تعداد Mac address های که مجاز به وارد شدن از این پورت به سوییچ هستند فقط دوتا قرار دادیم و بیشتر از این مقدار حق آمدن Mac Address از این پورت وجود ندارد

نکته: این تعداد از 1 تا 4097 قابل افزایش است

بررسی Port Security Violation در Port Security

از این قسمت شما توانایی تعیین واکنش سوییچ نسبت به رابط غیرمجاز خود را دارید. نحوه فعال سازی آن:

switchport port-security violation { protect | restrict | shutdown }

بررسی انواع واکنش های آن:

Protect: درصورت نقض قوانین و Policy ها بسته های که به سمتش می آید را Drop می کند ولی لاگ آن را ذخیره نمیکند
Restrict: درصورت نقض قوانین و Policy ها بسته های که به سمتش می آید را Drop می کند ولی ولی لاگ آن را ذخیره نمیکند
Shutdown: درصورت نقض قوانین و Policy ها پورت را Shutdown می کند

دستور Verification قابلیت Port-Security:

Eth-SW# show port-security address

دوره آموزش CCNP Security قسمت 3: آموزش Storm Control

در ادامه مباحث Theat Defence میرسیم به قابلیت Storm Control. در واقع Storm Control وظیفه جلوگیری از ارسال زیاد ترافیک های زیاد ( Storm Traffic ) که به طوفان ترافیک نیز معروف هستند را دارد در شبکه طوفان ترافیک یا ارسال ترافیک های جعلی ( Bogus Traffic ) موجب اختلالاتی در شبکه می شود و گاهی موجب Down شدن یک شبکه و به هم ریختن اتصالات شود. این ویژگی توانایی جلوگیری از Traffic Flooding به صورت Multicast و Unicast و Broadcast در پورت ها را دارد. دلایل بسیاری به منظور Storm Traffic و یا همان طوفان ترافیک در شبکه وجود دارد که عبارتند از:

DDOS/DOS Attack: حمله ایی به منظور ارسال Traffic Bogus به منظور ایجاد مزاحمت و آسیب زدن به سمت یک سرور/وب سرور/روتر/سوییچ و هر تجهیز و دیوایس دیگری که در خیلی مواقع موجب down شدن و انجام برخی حملات و کارای مختلف بر روی آن تجهیز میشود. گاهی این حمله زمانی توسط فرد مهاجم انجام می شود که فرایند نفوذ و هرکاری که مد نظر فرد مهاجم بوده انجام شده است و از این رو می خواهد ردپای خود را کم رنگ کند تا کشف ردپای آن بین ترافیک های زیاد و جعلی که ارسال کرده است گم شود. همچنین این حمله جزوه خطرناک ترین حملات در زمینه امنیت سایبری میباشد و خیلی از سازمان ها از این حمله به منظور حذف کردن رقبای خود نیز استفاده میکنند
Protocol Implementation: یاده سازی پروتکل های مختلفی که موجب آنها ترافیک های زیادی درون شبکه ایجاد شود که موجب از دست رفتن و یا Down شدن شبکه بشود
Network Configuration Mismatch: پیاده سازی های ناصحیح در شبکه که موجب ایجاد بسته های مختلف درون شبکه شود برای مثال غیرفعال کردن Spanning-Tree-Protocol و ایجاد Loop درون شبکه

مکانیزم Storm Control بسته به iOS شما می تواند به دو صورته زیر عمل کند

(Per Packet Second (PPS

(Bit Packet Second (BPS

درصورت وقوع طوفان ترافیک، Storm Control وظیفه های زیر را برعهده دارد:

ارسال لاگ به سمت syslog server و Drop کردن بسته ها( این مکانیزم By-Default می باشد )
ایجاد یک SNMP Trap
قرار دادن پورت در State و یا حالت err-disable

آموزش راه اندازی Storm Control

سناریو ما به شکل زیر می باشد. در این سناریو روتر ما 3 پورت دارد که 2تا از آنها به یک دو سرور و یکی از آنها به یک کلاینت خورده است که قرار است Storm Control بر روی Port ۲ که به کلاینت خورده است آن را فعال کنیم

به صورت پیش فرض Storm Control درحالت Disable قرار دارد همچنین این قابلیت بر روی پورت مد نظر اعمال می شود نحوه اصول دستوری آن به شکل زیر می باشد:

Router(config)# interface {{ type 1 slot/port } | { port-channel number }}
Router(config-if)# storm-control broadcast level level [. level ]

فعال کردن Traffic Storm بر روی Interface برای ترافیک های Multicast و تعیین Storm Level و اعمال آن

Router(config-if)# storm-control multicast level level [. level ]

Storm Control بر روی تمامی ترافیک ها اعمال می شود
استفاده ازویزگی storm-control برای ترافیک های Multicast فقد در پورت های Gigabit Ethernet و 10-Gigabit Ethernet قابل استفاده می باشد

فعال کردن Traffic Storm بر روی Interface برای ترافیک های unicast و تعیین Storm Level و اعمال آن

Router(config-if)# storm-control unicast level level [. level ]

استفاده از ویژگی storm-control برای ترافیک های unicast فقد در پورت های Gigabit Ethernet و 10-Gigabit Ethernet قابل استفاده می باشد

Router#enable
Router#configure terminal 
Router(config)#interface gigEthernet 0/0
Router(config-if)#storm-control broadcast level 50
Router(config-if)#storm-control broadcast level 60

دستور Verification ویژگی Storm Control

Router#show storm-control (Router#show storm-control ( broadcast/multicast/unicast )

دوره آموزش CCNP Security قسمت 4: آموزش راه اندازی DAI

ویژگی در شبکه های کامپیوتری تحت عنوان DAI مخفف Dynamic Arp Inspection وجود دارد که وظیفه بازرسی بسته ها و جلوگیری از حملات مختلف از جمله Arp Spoofing, Arp Cache Poisoning و CAM Table OverFlow که موجب پیاده سازی حملات Man in the middle در شبکه های Broadcast-Domain می شوند. این مکانیزم وظیفه بازرسی بسته های Arp را دارید و درصورت نامعتبر بودن یک بسته IP-To-Mac آن بسته دور ریخته می شود. همانطور که گفتیم DAI وظیفه محافظت و Protested سازی شبکه از حملات مختلف Man in the middle را از طریق جدولی که توسط DHCP Snooping ایجاد میشود را دارد همچنین ویژگی DAI اطمینان می دهد که فقد پیغام های معتبر Arp اجازه عبور در شبکه را داشته باشند.

DAI چیست و چه وظیفه ای دارد؟

رهگیری تمامی درخواست های غیرمعتبر از Port های غیرقابل اعتماد
تأیید می کند که هرکدام از این بسته های رهگیری شده دارای یک آدرس معتبر IP-To-MAC قبل از بروزرسانی Memory Arp Cache و یا قبل از ارسال بسته به مقصد مناسب هستند
دور ریختن تمامی بسته های که به عنوان نامعتبر شناخته می شوند
این ویژگی برپایه معتبر بودن IP-To-Mac می باشد.

آموزش راه اندازی DAI ( Dynamic ARP Inspection )

در هنگام پیاده سازی آن به دلیل استفاده از Database ویژگی DHCP Snooping می بایست قبل از فعال سازی DAI حتما DHCP Snooping فعال شود به دلیل فعال شدن DHCP Snooping بر روی Vlan ها برای فعال سازی DAI بر روی یک Vlan خاص از دستور زیر استفاده کنید

switch#enable
switch#configure terminal
switch(config)ip arp inspection vlan [vlan-range]

نکته: به منظور استفاده از DAI در محیط های که DHCP در آن وجود ندارد می بایست از مباحثی همچون Arp ACL استفاده کنید که در همین آموزش توضیح می‌دهیم

Arp Inspection Rate Limiting: سوییچ به منظور انجام فرایند Arp Inspection و بازرسی بسته های Arp برای هر Port که به صورت Untrusted و یا غیرقابل اعتماد هستند محدودیت ارسال بسته قرار می دهد که این محدودیت به صورت پیش فرض 15 بسته می باشد.‌ اینکار به منظور جلوگیری از حملات تکذیب سرویسو یا همان DoS( Denial Of Service) استفاده می شود این مقدار با دستور زیر در حالت Interface configuration قابل تقییر می باشد.

switch#enable
switch#configure terminal
switch(config-if):ip arp inspection limit

نکته: در Port های Trusted و یا قابل اعتماد دارای محدودیت ارسال بسته نیستند

زمانی که یک Port از حد Arp Rate Limiting تعیین شده فراتر برود، سوییچ آن Port را درحالت error-disabled قرار می دهد تا زمانی که شما از دستور زیر استفاده کنید

switch#enable
switch#configure terminal
switch(config)errdisable recovery cause arp-inspection

چند نکته در رابطه با ویژگی های موجود در Arp Inspection و وضعیت پیش فرض آن‌‌ها:

تمامی Interface به صورت پیش فرض Untrusted هستند
ویژگی DAI به صورت پیش فرض بر روی تمامی Vlan ها غیرفعال می باشد
مقدار Rate Limiting برای رابط های Untrusted مقدار 15 ثانیه و برای رابط های Trusted مقدار نامحدود و محدود در ارسال پشت سرهم بسته ها که این محدودیت یک ثانیه می باشد
در محیط های nom-DHCP به صورت پیش فرض هیچ Arp ACL برای DAI تعریف نشده است
ویژگی Validation check، هیچ Check کردنی را انجام نمی دهد
همچنین شما توانایی اعمال DAI بروی Port های مختلف با وضعیت های مختلف از جمله Access ,Trunk ,EtherChannel و Private Vlan

نکته: نمی توانید DAI بر روی RSPAN VLAN ها فعال کنید زیر به صورت پیش فرض DAI بر روی آن‌ها فعال می باشد

آموزش فعال سازی DAI در محیط های Non-DHCP

Switch(config)# arp access-list TangsiriNET
Switch(config-arp-acl)# permit ip host 192.168.10.1 mac host 0011.0011.0011
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter TangsiriNET vlan 10
Switch(config)# interface FastEthernet 0/0
Switch(config-if)# no ip arp inspection trust

آموزش فعال سازی DAI در محیط های دارای DHCP

Switch(config)# interface FastEthernet 0/0
Switch(config-if)# ip arp inspection trust
Switch(config)#ip arp inspection vlan 5-10

معرفی دستورات Verification

Switch#show ip arp inspection 
Switch#show ip arp inspection interfaces

دوره آموزش CCNP Security قسمت 5: آموزش راه اندازی MACSec

مکانیزمی تحح عنوان MACSec که توسط استاندارد IEEE 802.1AE به منظور تامین امنیت یک ارتباط Point-To-Point از طریق Ethernet را دارد. این مکانیزم را می توان کنار مکانیزم های دیگری همچون Internet Protocol Security(IPSec) و Secure Socket Layer(SSL) به منظور تعمین امنیت ارتباطات End-Yo-End قرار داد. این مکانیزم توانایی جلوگیری از حملات مختلف درون شبکه را دارد. برخی از این حملات که MACSec توانایی Prevention آنهارا دارد به شرح زیر هستند.

Denial Of Service (DOS)
Man in the middle (MITM)
PlayBack
Passive Wiretapping
Masquerading

مکانیزم MACSec توانایی Securing انواع پروتکل هارا دارد. از جمله این پروتکل ها:

Link Layer Discovery Protocol (LLDP)
Link Aggregation Control Protocol (LACP)
Dynamic Host Configuration Protocol (DHCP)
Address Resolution Protocol (ARP)

بررسی روش کار MACSec

این پروتکل وقتی در یک ارتباط Ethernet به صورت Point-To-Point فعال می شود یک Key بین هردو ردوبدل می شود که این Key بسته به حالت MACSec هم می توانید به صورت Static تعیین شود و یا حتی به صورت Dynamic ساخته شود.

توانایی های MACSec در یک ارتباط Ethernet به صورت Point-To-Point

Data Integrity: مکانیزم MACSec به منظور Data Entergy از روش ICV مخفف Integrity Check Value به این صورت است که بروی قاب Ethernet بسته ها دو Header جدید را وارد می کند یکی 8 Bit و دیگری 16 Bit تا درصورت رسیدن به مقصد این Header ها به منظور تایید کردن بسته ها Check شوند
Encryption: رمزگذاری تضمین می کند که داده های موجود در قاب اترنت توسط کسی که ترافیک موجود در پیوند را مشاهده می کند، قابل مشاهده نباشند، رمزگذاری MACsec اختیاری می باشد و توسط کاربر قابل تنظیم است.

نکته: درصورت فعال بودن MACSec بر روی یک رابط، مقدار Vlan Tag موجود در قاب توسط این مکانیزم Encrypted نمی شود و به صورت Clear Text ارسال می شود.

معرفی حالت های MACSec

به طور معمول MACSec به سه حالت قابل پیکربندی می باشد که به شرح زیر هستند

Static connectivity association key (CAK) mode: در این حالت دو Key در سمت دو طرف ساخته می شود و در بین یک دیگر به منظور کنترل ترافیک های Data Plane ردوبدل می شوند( توصیه می شود از این روش در بین ارتباطات Switch-To-Switch استفاده کنید )
Static secure association key (SAK) mode: برای امنیت لینک های Switch-To-Switch می توان از حالت امنیتی استاتیک SAK استفاده کرد. از این حالت فقط در صورتی استفاده کنید که دلیل قانع کننده ای برای استفاده از آن به جای حالت استاتیک CAK داشته باشید

این حالت توصیه شده برای پیوندهای Switch-To-Switch است.

Dynamic secure association key (SAK) mode: از این حالت زمانی استفاده می شود که ما می خواهیم یک ارتباط Switch-To-Host داشته باشیم. دستگاه Host باید از MACsec پشتیبانی کند و باید نرم افزاری را اجرا کند که به آن امکان می دهد یک اتصال امن MACsec را فعال کند.

پیاده سازی MACSec انواع مختلف و بسیار زیادی درحالت های مختلف و طراحی های مختلف دارد که ما نمیتونیم به همه آن ها بپردازیم و در دوره CCNP SENSS نیز MACSec تحت عنوان یک توضیح در رابطه آن وجود داشت

یکی از پیاده سازی های MACSec به صورت زیر برای شما قرار می دهیم

Switch(config)# mka policy mka_policy 
Switch(config-mka-policy)# key-server priority 200 
Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128 
Switch(config-mka-policy)# confidentiality-offset 30 
Switch(config-mka-policy)# end

دوره آموزش CCNP Security قسمت 6: آموزش راه اندازی uRPF

مخفف Unicast Reverse Path Forwarding, ویژگی Unicast Reverse Pward Forwarding ترافیک مخرب در یک شبکه را محدود می کند. این ویژگی دستگاه ها را قادر می سازد تا دسترسی به آدرس مبدأ را در بسته هایی که ارسال می شوند تأیید کنند و آدرس های ناسزا یا نادرست را در یک شبکه محدود کنند. اگر آدرس IP منبع معتبر نباشد، Unicast Reverse Path Forwarding (RPF) وظیفه دارد که بسته را Discard کند. به طور ساده تر: ویژگی به منظور جلوگیری از حملات از سمت بیرون و درون شبکه با فعال سازی این قابلیت روی تجهیز خود ( فایروال/روتر/سرور و... ) شما توانایی این را دارید که از حملات IP Spoofing در شبکه جلوگیری کنید.

حملات IP Spoofing چیست؟!

همانطور که هم از ترجمه‌ اسمش پیداست( جعل IP ) برای مثال یک فرد مهاجم قصد حملات مختلفی در سمت سازمان ما دارد ولی نمیخواد این حمله از سمت IP Address سیستم خودش باشد. پس به منظور این حمله IP Address خود را با یک سرور و یا یک IP دیگر عوض و با IP دیگری که متعلق به کس دیگری است این حمله را انجام میدهد در این حمله SRC-Address فرد مهاجم میشود IP قربانی دیگری. به طور مثال بخواهم براتون توضیح بدم دو وب سرور وجود دارد یکی IIS و یکی هم Nginx و یک فرد مهاجم, فرد مهاجم قصد ایجاد یک حمله DoS به وب سرور IIS دارد و میخواهد SRC-Address حمله اش IP وب سرور Nginx باشد با استفاده از این حمله اینکار را میتواند انجام دهد.

همانطور که گفتیم مکانیزمی تحت عنوان uRPF وجود دارد که این به منظور این مکانیزم همانطور که گفتم ما توانایی جلوگیری این حمله را درون شبکه خود داریم

این مکانیزم به چندین حالت مختلفتقسیم می شود که به شرح زیر می باشند:

Strict Mode
Loose Mode
Feasible Path
VRF Mode

نکته: این مکانیزم هم برای IPv4 هم IPv6 می باشد

بررسی پیشنیازهای راه اندازی uRPF

برای عملکرد بهتر آن در روتر های Cisco نیاز به فعال بودن Cisco Express Forwarding(CEF) دارد

پیکربندی ACL

برای عملکرد بهتر RPF از چند ACL برای اجازه به Traffic های از IP های معتبر درون شبکه استفاده کنید و به IP های دیگر ویا نامعتبر اجازه وارد شدن ندید

آدرس های غیرمعتبر درون یک شبکه:

آدرس های Broadcast
آدرس های Loopback
آدرس های Private
آدرس های Reserved

نکته: uRPF * از ACL پشتیبانی نمی کند
در اکثر ISP ها از uRPF به منظور جلوگیری از حملات Denial-Of-Service(DOS) به روش های مختلف از جمله Smurf و Tribal-Flood-Network(TFN) با آدرس های IP که جعلی (Spoofed) و یا کار های همچون دور زدن Filtering با استفاده از آدرس های IPV6 جعلی(Spoofed) استفاده می کنند
uRPF illustration
شکل زیر چگونگی همکاری Unicast RPF و CEF را برای تأیید صحیح بودن آدرس های IP نشان می دهد. در این مثال مشتری بسته ای با آدرس منبع 192.168.1.1 را از رابط FDDI 2/0/0 ارسال کرده است. Unicast RPF به سراغ FIB Table می رود و آن را بررسی می کند تا ببیند آیا آدرس 192.168.1.1 مسیر FDDI 2/0/0 را دارد یا خیر. اگر مسیر مطابقت وجود داشته باشد ، بسته ارسال می شود. اگر مسیری مطابق وجود نداشته باشد بسته حذف می شود.تصویر 1-1
تصویر 1-1
فعال سازی بروی IPv4 روتر Cisco
ابتدا وارد محیط Global-Config می شویم و CEF رو فعال می کنیم و وارد Interface مد نظرمان که قرار است uRPF بروی آن فعال شود می شویم(معمولا بروی Interface که به سمت OutSide شبکه ما است فعال می سازیم)
فعال سازی بروی IPv6 روتر Cisco
خب پس از وارد شدن به محیط Global-Config ابتدا CEF و IPv6 Unicast-Routing را فعال می سازیم و پس از وارد شدن به Interface مورد نظر uRPF را بر روی آن فعال می سازیم
فعال سازی uRPF در فایروال سخت افزاری ASA
دوره آموزش CCNP Security قسمت 7: BPDU Guard
در شبکه های Layer-2 پروتکلی به منظور Loop-Prevention وجود دارد تحت عنوان STP که قطعا اکثر شماها با آن اشنا هستید. ویژگی تحت عنوان BPDU-Guard وجود دارد که توانایی جلوگیری از حملات مختلف تحت BPDU را دارد. در یک شبکه که در آن STP فعال است اگر یک پیغام BPDU از یک سوییچ جدید دیگر وارد شبکه شود که حاوی Bridge-ID پایین تری می باشد و اولویت بیشتری نسبت به Root-Bridge فعلی درون STP دارد آن Switch به عنوان Root-Bridge انتخاب می شود
فرض کنید یک فرد مهاجم اینکار را انجام دهد و خود را جای Root-Bridge جا بزند؟!
اینجاس که قابلیت و مکانیزمی در STP تحت عنوان BPDU-Guard به وجود می آید که وظیفه جلوگیری از این نوع حملات را وارد
این مکانیزم بروی Port های یک Switch فعال می شود و درصورت فعال شدن بروی یک Port اگر از آن Port پیغام BPDU بیاید BPDU-Guard آن Port را درحالت err-disable قرار می دهد.
پیاده سازی BPDU-Guard
درواقع پیاده سازی آن به دو صورت می باشد که ما می توانیم از دستور آن در Global-Config استفاده کنیم که بر روی تمامی Port های یک Switch فعال می شود و یا خیر می توانیم به صورت Per-Interface تعریف کنیم و بروی روی یک Port خاص آن را فعال سازی کنیم.
فعال سازی بروی تمامی Port های یک Switch در حالت Global-Config
IOU2#enable
IOU2#configure terminal
IOU2(config)#spanning-tree portfast bpduguard default
غیر فعال سازی بروی تمامی Port های یک Switch در حالت Global-Config
IOU2#enable
IOU2#configure terminal
IOU2(config)#no spanning-tree portfast bpduguard default
فعال سازی بر روی یک Port در حالت Global-Config Interface
IOU2#enable
IOU2#configure terminal
IOU2(config)#interface ethernet 0/0
IOU2(config-if)#spanning-tree bpduguard enable
غیر فعال سازی بر روی یک Port در حالت Global-Config Interface
IOU2#enable
IOU2#configure terminal
IOU2(config)#interface ethernet 0/0
IOU2(config-if)#spanning-tree bpduguard disbale

دوره آموزش CCNP Security قسمت ۸: آموزش راه اندازی Root Guard

در پی آموزش دوره CCNP Security SENSS می‌رسیم به ببرسی Root-Guard ، مکانیزمی در STP تحت عنوان Root-Guard وجود دارد که وظیفه جلوگیری از تغییر Root-Bridge در شبکه را دارد. نحوه کار Root-Guard به این صورت میباشد که اگر از سمت یک Port پیغامی ارسال شود که قرار نیست به عنوان یک Root-Bridge انجام شود می بایست بر روی آن Root-Guard را فعال نمود. درصورت فعال سازی بروی Port مورد نظر اگر از آن Port پیغام های BPDU با Priority پایین ارسال شود آن Port درحالت Root-Inconsistent تازمانی که ارسال پیغام های BPDU با مقدار Priority پایین ادامه داشته باشد قرار می گیرد

نحوه فعال سازی آن به شکل زیر می باشد

نحوه فعال سازی آن بر روی یک Port خاص:

SW#configure terminal
SW(config)#interface Ethernet  0/0
SW(config-if)#spanning-tree guard root
SW(config-if)#exit
SW(config)#exit

نحوه غیرفعال سازی آن:

SW#configure terminal
SW(config)#interface Ethernet 0/0
SW(config-if)#no spanning-tree guard root
SW(config-if)#exit
SW(config)#exit

دوره آموزش CCNP Security قسمت 9: آموزش راه اندازی NAT

آدرس های IPv4 که یک مقدار عددی 32Bit هستند به دلیل مقدار بسیار کم آن معضلی به منظور کم بود IP در دنیای شبکه به‌بار آورد به همین دلیل مکانیزمی به وجود آمد تحت عنوان NAT مخفف Network Address Translationa که تاحدودی هم میزان امنیت یک شبکه را تعمین می سازد و هم در هدر رفتن آدرس های IP بسیار کارآمد می باشد.

در واقع شبکه ایی را متصل از 10کامپیوتر تصور کنید، منبابه دسترسی تمامی آنها به Internet می بایست تک تک یک Public IP داشته باشند که هم کار هزینه‌‌بری می باشد و هم اینکار درهدر رفتن آدرس های IP کمک بسیاری می کند که برای ما اصلا خوش آیند نیست, به این منظور ما از NAT استفاده خواهیم کرد تا آدرس های Private IP موجود در شبکه خودمان را به یک آدرس Public IP ترجمه کند و در هدر رفت هزینه و آدرس های IP جلوگیری بسیاری شود.

به طور خلاصه NAT وظیفه ترجمه Private IP به Public IP را دارد. مکانیزم NAT در افزایش امنیت شبکه ما نیز کمک به سزایی می کند زیرا اگر فرد مهاجم بخواهد به یکی از کلاینت های درون شبکه ما حمله ایی کند با مکانیزم NAT توانایی پیدا کردن آدرس IP آن را ندارد و NAT به شکلی عمل می کند که از داخل توانایی دیدن بیرون را داریم ولی از بیرون کسی توانایی دیدن داخل را ندارد

مزایای استفاده از NAT چیست؟

کاهش هزینه
کاهش استفاده در آدرس های IP و هدر رفت آن‌ها
افزایش میزان امنیت شبکه‌مان
پشتیبانی از VRF(Virtual Routing Forwarding)

معرفی انواع NAT

مکانیزم NAT بر روی روتر فعال می شود و قبل از ارسال یک بسته به یک شبکه دیگر در دنیای Internet ابتدا Private IP مارا به Public IP ترجمه می سازد از این سو با ترجمه کل Private IP های شبکه ما به یک Public IP امکان کشف کلاینت های درون شبکه ما با Public IP بسیار دشوار می شود و از این رو امنیت شبکه خود را نیز تعمین کرده اییم

انواع مختلف NAT وجود دارند که عبارتند از:

Static NAT
Dynamic NAT
PAT ( OverLoaded NAT )

بررسی انواع NAT Type

Static NAT: در Static NAT یک آدرس Private IP به یک آدرس Public IP ترجمه می شود و آدرس Private IP ما در دنیای Internet با آدرس Public IP اختصاص داده شده قابل مشاهده و یافتن می باشد

Dynamic NAT: در این روش برای تمامی Private IP های درون شبکه می بایست Public IP داشته باشیم ، در این روش Public IP های ما درون یک Pool قرار می گیرند و اگر کلاینت های ما 10 کامپیوتر باشند و Public IP موجود در Pool ما 5 عدد باشد به منظور دسترسی کامپیوتر های درون شبکه فقد می توانند 5 نفر از آن ها به Internet دسترسی داشته باشند و در صورت تمام شدن Pool کامپیوتر ششم می بایست صبرکن که یکی از کامپیوتر ها از Internet خارج شود تا یک Public IP آزاد شود و بتواند به شبکه Internet متصل شود. در این روش می بایست Public IP های درون Pool با تعداد کلاینت های که قرار است به Internet دسترسی داشته باشند یکسال باشد

PAT ( OverLoaded NAT ): در روش PAT مزیت های مختلفی وجود دارد و پیاده سازی آن نیز بسیار شبیه به Dynamic NAT می باشد با این تفاوت که به تعداد دستگاه هایی که می خواهند از اینترنت استفاده کنند نیاز به Public IP برای هرکدام نداریم و تعداد آن Public IP ها می تواند کمتر و یا حتی یک عدد باشد.

مفاهیم Inside و OutSide در NAT

Inside Local Address: به آدرس های غیرمعتبر درون شبکه که توسط Service Provider و یا NIC ارائه داده نشده اند به عبارتی این آدرس ها همان Private IP های ما هستند
Inside Global Address: به آدرس های معتبری که توسط Service Provider و یا NIC ارائه داده شده اند که توسط آن ها کاربران Public IP خود را درون شبکه Internet داشته باشند به عبارتی این آدرس ها همان Public IP های ما هستند
Outside Local Address: به آدرس های درون شبکه (Private IP) که ما با استفاده از شبکه های خارج از آن شبکه توانایی اتصال و برقراری ارتباط با آن هارا داریم گفته می شود
Outside Global Address: به آدرس های Public IP بیرون شبکه ما که توانایی دسترسی به آن هارا داریم گفته می شود به عنوان مثال آدرس وب سایت Tosinso

پیاده سازی Static NAT

فرض کنید قضد داریم یک کلاینت با آدرس Private IP برابر با 192.168.100.10 که قرار است به آدرس Public برابر با 50.50.50.1 ترجمه شود

Router#enable
Router#configure terminal 
Router(config)#ip nat inside source static 192.168.100.10 50.50.50.1

شبکه را به تقسیم بندی Outside و Inside بر روی Interface های داخلی و خارجی تقسیم بندی می کنیم

Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

سپس دستور زیر را به منظور Verification پیکربندی خود استفاده می کنیم

Router#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 50.50.50.1:0      192.168.100.10:0   50.50.50.1:0       50.50.50.1:0
icmp 50.50.50.1:0      192.168.100.10:0   192.168.100.10:0   192.168.100.10:0

پیاده سازی Dynamic NAT

سناریو ما شکل زیر می باشد:

برای پیاده سازی Dynamic NAT ابتدا به منظور تعیین Traffic های مجاز به منظور NAT از یک Standard ACL استفاده می کنیم

1Router(config)#access-list 10 permit 192.168.100.0 0.0.0.255

پس از آن یک Pool به شکل زیر تعریف می کنیم و Public IP های مد نظر خودمان را درونش قرار می دهیم

1Router(config)#ip nat pool virgool 50.50.50.1 50.50.50.2 prefix-length 24

پس از آن NAT را پیاده سازی می کنیم و ACL و Pool متعلق به Public IP هایمان را بهش معرفی می کنیم

1Router(config)#ip nat inside source list 10 pool tosinso

پس از آن هم شبکه را براساس Outside و Inside تقسیم بندی می کنیم

Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

پیاده سازی PAT

طبق عادت همیشگی خودم که در دوره های که تدریس می‌کنم از چند قسمت که میگذریم بررخی پیاده سازی هارا به عهده خوده دانشجو و خواننده می گذارم که به عنوان یک کار عملی اینکار را انجام دهند و با Research و تحقیق و پیاده سازی به تنهایی آشنا شود و عادت کند در این دوره پیااده سازی PAT را نیز برعهده شما عزیزان قرار می‌دهم

اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.

دوره آموزشی CCNP Security | دوره آموزش CCNP رایگان | گام به گام