القائمة الرئيسية

الصفحات

دورة CCNA 200-301 - الدرس الخامس عشر (تأمين وضع المستخدم ووضع الامتياز)

دورة CCNA 200-301 - الدرس الخامس عشر (تأمين وضع المستخدم ووضع الامتياز)

دورة CCNA 200-301 - الدرس الخامس عشر (تأمين وضع المستخدم ووضع الامتياز)
في هذا الدرس ، سنلقي نظرة على كيفية تأمين وضع المستخدم ووضع الامتياز (التمكين). افتراضيًا ، لا توجد هناك اي عملية مصادقة. فلو قمت بتوصيل كبل وحدة تحكم سيسكو بالسويش أو جهاز التوجيه الخاص بك ، فإليك ما سيحدث:

Switch con0 is now available

Press RETURN to get started.

Switch>
بمجرد الضغط على زر الإدخال ، ينتهي بنا الأمر في وضع المستخدم على الفور. لا توجد كلمة مرور أو أي شيء. ينطبق الشيء نفسه على وضع التمكين:

Switch>enable
Switch#
لدينا حق الوصول الكامل على الفور. هذا شيء قد ترغب في تغييره ، وهو ما سأشرحه في هذا الدرس.

أمان وضع المستخدم
لنبدأ بوضع المستخدم.

  • كلمة المرور

أبسط خيار لحماية وضع المستخدم هو إضافة كلمة مرور. إليك كيفية القيام بذلك:

Switch(config)#line console 0
أولاً ، نحتاج إلى الدخول إعدادات وحدة التحكم. هنا يتعين علينا إضافة أمرين:

Switch(config-line)#password cisco          
Switch(config-line)#login
نقوم بتكوين كلمة مرور (cisco) ونستخدم أمر login لإخبار الجهاز بالمطالبة بكلمة المرور عند فتح الجهاز.

Switch con0 is now available

Press RETURN to get started.

User Access Verification

Password: 
Switch>
سيسألك CLI عن كلمة المرور. على الأقل لدينا شكل من أشكال المصادقة ولكن يمكننا أن نفعل أكثر من ذلك ...

  • اسم المستخدم وكلمة السر

بدلاً من كلمة مرور فقط ، من الممكن أيضًا استخدام أسماء المستخدمين وكلمات المرور بدلاً من ذلك. يعد هذا خيارًا أفضل إذا كان لديك العديد من الأشخاص الذين يحتاجون إلى الوصول إلى جهاز التوجيه أو السويش. إليك كيفية القيام بذلك:

Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#exit

Switch(config)#username admin password cisco
تحت إعدادات وحدة التحكم console ، نستخدم أمر login local لإخبار السويش للإشارة إلى قاعدة بيانات محلية لأسماء المستخدمين وكلمات المرور لغرض المصادقة. في وضع التهيئة العام ، نقوم بإنشاء اسم مستخدم "admin" بكلمة مرور "cisco".

في المرة القادمة التي تفتح فيها وحدة التحكم ، إليك ما ستراه:

Switch con0 is now available

Press RETURN to get started.

User Access Verification

Username: admin
Password: 
Switch>
يطالب السويش باسم المستخدم وكلمة المرور.

أمان وضع الامتياز
ماذا عن وضع التمكين / الوضع المميز؟ يمكننا أيضًا إضافة كلمة مرور هناك. تحتاج إلى القيام بذلك من داخل وضع التهيئة:

Switch#configure terminal 
الآن يمكننا تعيين كلمة مرور لوضع التمكين:

Switch(config)#enable password cisco
دعنا نرى ما إذا كانت كلمة المرور "سيسكو" تعمل أم لا. هيا نخرج من وضع التمكين:

Switch#disable
ونرجع مرة اخرى:

Switch>enable
Password:
يسألك السويش الآن عن كلمة المرور.

  • تشفير كلمات المرور

في الأمثلة أعلاه ، استخدمنا كلمات المرور ولكن هناك مشكلة واحدة ... تظهر جميع كلمات المرور في نص واضح في ملف التهيئة. دعنا نلقي نظرة أدناه:

Switch#show running-config | include password
no service password-encryption
enable password cisco
username admin password 0 cisco

نلاحظ أن النص غير مشفر. إذا قام شخص ما بسرقة أحد السويشات الخاصة بك ، فسيحصل على كلمات المرور. أو انك قمت بعمل نسخة احتياطية من التهيئة الخاص بك ونسيت إزالة كلمات المرور.

يحتوي IOS على أمر يتيح لك تشفير جميع كلمات المرور النصية الواضحة في ملف التهيئة الخاص بك. إليك الطريقة:

Switch(config)#service password-encryption
سوف يقوم الأمر بتشفير كل كلمة مرور غير مشفرة. هنا يمكنك رؤية النتيجة:

Switch#show running-config | include password
service password-encryption
enable password 7 13061E010803
username admin password 7 110A1016141D
الآن قد تحصل على شعور غامض دافئ بأن كل شيء مشفر ولكن في الواقع ، هذه خوارزمية تشفير ضعيفة جدًا. هناك مواقع إلكترونية تتيح لك فك تشفير هذه السلاسل المشفرة بسرعة. إذا كنت ترغب في تجربة ذلك ، فإليك أحد تلك المواقع.

نحن بحاجة إلى شيء أقوى ...

السر Secret
يدعم IOS  شيئًا يسمى السر كبديل لكلمة المرور. دعنا نجرب هذا لوضع التمكين:

Switch(config)#enable secret ?
  0      Specifies an UNENCRYPTED password will follow
  5      Specifies a MD5 HASHED secret will follow
  8      Specifies a PBKDF2 HASHED secret will follow
  9      Specifies a SCRYPT HASHED secret will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password
أعلاه يمكنك رؤية أن هذا السويش يدعم هاشات MD5 و PBKDF2 و SCRYPT. تدعم أجهزة IOS القديمة فقط مصادقة MD5.

دعنا نجرب ذلك:

Switch(config)#enable secret cisco
سيكون سرنا هو كلمة "cisco". دعنا نرى ما نجده في ملف التهيئة:

Switch#show running-config | include secret
enable secret 5 $1$CANW$U9Y8O6KeFhrFR4l1Qo07h/
تجد الآن هاش MD5 في ملف التهيئة.  رقم "5" التي تراها هي الخوارزمية التي نستخدمها ، 5 تعني MD5.

لا يعتبر MD5 آمنًا في الوقت الحاضر. من السهل جدًا كسر كلمات مرور السهلة. على سبيل المثال ، جرب هذا الموقع لكسر هاشات الـ MD5 الخاصة بسيسكو.

لنجرب إحدى الخوارزميات الأخرى التي تعتبر آمنة في الوقت الحاضر. إليك كيفية تحديد الخوارزمية لوضع التمكين:


Switch(config)#enable algorithm-type ?
  md5     Encode the password using the MD5 algorithm
  scrypt  Encode the password using the SCRYPT hashing algorithm
  sha256  Encode the password using the PBKDF2 hashing algorithm
لنجرب خوارزميات الهاش PBKDF2 أو مايسمى SHA256:


Switch(config)#enable algorithm-type sha256 secret cisco
عندما ننظر إلى ملف التهيئة ، سنرى الهاش الجديد:


Switch#show running-config | include secret
enable secret 8 $8$dvX/fx/FJ0Snk2$HhqrOUaEtBgk4zJvG2IQuAJNUicZmmELelC/L6.Fcl2
يشير "8" إلى خوارزمية الهاش SHA256 التي استخدمناها.

في المثال أعلاه ، قمت بتغيير خوارزمية الهاش لوضع التمكين ولكن يمكننا أيضًا القيام بذلك لأسماء المستخدمين. إليك مثال:


Switch(config)#username rene algorithm-type sha256 secret cisco

يستخدم اسم المستخدم الخاص بي الآن خوارزمية SHA256 وكذلك كلمة مرور "cisco". إليك ما يبدو عليه:


Switch#show running-config | include rene    
username rene secret 8 $8$dyzsAmZjA3w.aY$YBZn8LBI6CK04ij5ZmqQ/88OrFdc3jzGb6v7SSQI0cw
تأكد من استخدام كلمات مرور قوية. بغض النظر عن خوارزمية الهاش التي تستخدمها ، يتم استرداد كلمات المرور الضعيفة مثل "cisco" بسهولة.
.


  • خوادم المصادقة الخارجية

يعد تكوين أسماء المستخدمين والأسرار على أجهزة Cisco IOS ممارسة جيدة ، ولكن هناك مشكلة واحدة تتمثل في قابلية التوسع. إذا كانت لديك شبكة تحتوي على أجهزة متعددة ، فيتعين عليك تكوين أسماء المستخدمين الخاصة بك على جميع الأجهزة. إذا قمت بتغيير كلمة المرور الخاصة بك ، يجب عليك القيام بذلك على جميع الأجهزة.

في الشبكات الأكبر ، نستخدم عادةً خوادم المصادقة التي تسمى خوادم RADIUS أو TACACS +. على هذه الخوادم ، نقوم بتكوين أسماء المستخدمين لدينا. عندما يحاول شخص ما الوصول إلى وحدة التحكم أو وضع التمكين في أحد السويشات أو أجهزة التوجيه الخاصة بك ، فإنه يتحقق من بيانات الاعتماد على خادم المصادقة.

هذا يسمح لك بالحفاظ على مركزية المصادقة الخاصة بك. هذا شيء سنتناوله في دروس أخرى.

الاستنتاج

لقد تعلمت الآن كيفية حماية المستخدم وتمكين وضع أجهزة Cisco IOS الخاصة بك. تأكد من استخدام "سر" بدلاً من كلمات مرور بالنص العادي وإذا أمكن ، استخدم خوارزمية هاش أقوى من MD5 الافتراضي.
reaction:

تعليقات