چک لیست Hardening تجهیزات و شبکه های سیسکو و شبکه های کامپیوتری

  1. تغییر رمز عبور پیش‌فرض تمامی حساب‌ها
  2. غیرفعال کردن سرویس‌های غیرضروری (Telnet, HTTP, etc)
  3. فعال‌سازی SSH نسخه 2
  4. استفاده از AAA با سرور RADIUS یا TACACS+
  5. فعال‌سازی logging و ارسال به سرور Syslog
  6. تنظیم banner امنیتی برای دسترسی‌های غیرمجاز
  7. استفاده از Access-class برای محدود کردن دسترسی‌های VTY
  8. غیرفعال‌سازی CDP در رابط‌های خارجی
  9. استفاده از SNMPv3 به جای SNMPv2/v1
  10. تغییر community string پیش‌فرض SNMP
  11. تنظیم زمان (NTP) با احراز هویت
  12. استفاده از Role-Based CLI (RBAC)
  13. غیرفعال‌سازی HTTP و HTTPS در صورت عدم نیاز
  14. استفاده از Secure Copy (SCP) به جای TFTP/FTP
  15. محدود کردن دسترسی مدیریتی فقط به آدرس‌های IP مشخص
  16. استفاده از دستور service password-encryption
  17. استفاده از secret به جای password در line و enable
  18. پیکربندی login block-for و login delay
  19. استفاده از دستور exec-timeout برای خروج خودکار
  20. نصب و استفاده از IOS جدید و مطمئن
  21. بررسی صحت hash فایل‌های IOS
  22. غیرفعال کردن unused ports
  23. استفاده از port security در سوئیچ‌ها
  24. استفاده از DHCP snooping
  25. فعال‌سازی Dynamic ARP Inspection
  26. فعال‌سازی IP Source Guard
  27. استفاده از storm control در پورت‌های access
  28. فعال‌سازی BPDU Guard
  29. فعال‌سازی Root Guard
  30. فعال‌سازی Loop Guard
  31. محدود کردن VLANs مجاز روی trunk ها
  32. استفاده از Native VLAN امن
  33. غیرفعال کردن auto trunking (DTP)
  34. استفاده از VLAN جداگانه برای مدیریت
  35. محدود کردن دسترسی به VLAN مدیریت از طریق ACL
  36. پیکربندی ACL برای ترافیک مدیریتی
  37. استفاده از IPv6 RA Guard
  38. استفاده از IPv6 ND Inspection
  39. بررسی منظم تنظیمات پشتیبان (Backup Config)
  40. پیکربندی archiving و versioning برای پیکربندی
  41. پیکربندی کنترل Session Timeout برای کاربران
  42. ثبت لاگ فعالیت‌های مدیریتی (Command Logging)
  43. استفاده از NetFlow برای تحلیل ترافیک
  44. نظارت بر تغییرات فایل startup-config
  45. پیکربندی Secure Boot
  46. استفاده از TrustSec برای ایزوله کردن ترافیک
  47. استفاده از MACsec برای رمزنگاری در لایه ۲
  48. ایمن‌سازی پروتکل‌های روتینگ (OSPF, EIGRP, BGP)
  49. استفاده از authentication در پروتکل‌های روتینگ
  50. پیکربندی static route برای مدیریت ترافیک حساس
  51. تنظیم دقیق SNMP views برای محدودسازی دسترسی
  52. استفاده از Control Plane Policing (CoPP)
  53. پیکربندی uRPF برای جلوگیری از spoofing
  54. استفاده از ACL در سطح ورودی و خروجی
  55. غیرفعال کردن Proxy ARP
  56. محدود کردن سرویس های Multicast
  57. نصب گواهینامه SSL برای دسترسی HTTPS
  58. تنظیم DHCP relay فقط برای سرورهای مجاز
  59. بررسی و مستندسازی دقیق تمامی تنظیمات
  60. اجرای دوره‌ای تست آسیب‌پذیری
  61. تنظیم درست privilege levels
  62. غیرفعال‌سازی تنظیمات قدیمی VTP
  63. استفاده از VTP Version 3 و domain password
  64. پیکربندی VLAN pruning به‌صورت دستی
  65. غیرفعال کردن توابع لایه دوم غیرضروری (UDLD)
  66. تنظیم Hostname معنادار برای شناسایی آسان
  67. تنظیم contact و location در SNMP
  68. استفاده از نگهداری log در حافظه خارجی
  69. استفاده از port descriptions برای مستندسازی
  70. پیکربندی امنیت لایه Transport در IPv6
  71. استفاده از IP SLA برای مانیتورینگ پیشرفته
  72. استفاده از EEM برای پاسخ خودکار به رویدادها
  73. اجرای اسکریپت‌های مانیتورینگ امنیتی سفارشی
  74. بررسی حساب‌های غیر فعال و حذف آن‌ها
  75. محدودسازی دسترسی SNMP به رابط‌های داخلی
  76. ایزوله کردن شبکه مهم در VRF جداگانه
  77. محدود کردن مقدار TTL برای جلوگیری از traceroute
  78. نصب فایل IOS از منابع معتبر
  79. پیکربندی secure boot-image و secure boot-config
  80. محدودسازی rate برای ICMP traffic
  81. اجرای ابزارهای تشخیص حملات brute force
  82. استفاده از ابزارهای third-party برای نظارت
  83. استفاده از VPN برای دسترسی ریموت
  84. رمزگذاری backup configurationها
  85. بررسی دوره‌ای لاگ‌ها برای رفتار غیرعادی
  86. تست بازیابی پیکربندی از backup
  87. مستندسازی کامل تنظیمات امنیتی
  88. بررسی و بروز رسانی policyهای امنیتی شبکه
  89. استفاده از سیستم مدیریت پچ و به‌روزرسانی
  90. اجرای penetration test داخلی برای تست Hardening
  91. اجرای کنترل‌های امنیت فیزیکی
  92. نظارت بر تنظیمات امنیتی با ابزارهای SIEM
  93. تنظیم حداقل سطح دسترسی برای کاربران
  94. پیاده‌سازی سیاست‌های قفل‌سازی پورت بعد از چند تلاش ورود ناموفق
  95. تنظیم هش قوی برای رمزهای عبور
  96. پیاده‌سازی syslog با timestamps دقیق
  97. استفاده از Cisco ISE برای کنترل دسترسی
  98. پیاده‌سازی شبکه‌های segment شده با فایروال داخلی
  99. پیکربندی ZBF (Zone-Based Firewall) در روترها
  100. بررسی پورت‌های باز در تجهیزات با ابزار Nmap
  101. آموزش تیم عملیات شبکه درباره سیاست‌های hardening
  102. استفاده از NetConf/YANG فقط در صورت نیاز و با احراز هویت
  103. استفاده از Secure Boot برای محافظت از بوت‌لودر
  104. پیکربندی سیستم هش SHA-256 برای رمزهای عبور
  105. غیرفعال کردن تنظیمات خودکار IPv6 SLAAC در صورت عدم نیاز
  106. جلوگیری از ارسال Packetهای تبلیغاتی بدون احراز هویت در OSPFv3
  107. استفاده از Explicit Null Label در MPLS برای جلوگیری از حمله label spoofing
  108. اعمال محدودیت sessionهای همزمان برای کاربران
  109. ایزوله‌سازی مدیریت و دیتا با استفاده از VRF
  110. پیکربندی logging buffered برای ثبت محلی رویدادها
  111. محدود کردن حجم لاگ‌ها با استفاده از log rotate
  112. بررسی CRC error ها جهت شناسایی حملات فیزیکی
  113. استفاده از DNSSEC در صورت استفاده از DNS محلی
  114. حذف و غیرفعال‌سازی ماژول‌های IOS غیرضروری
  115. تنظیم watchdog timer برای شناسایی hung state
  116. فعال‌سازی IP Event Dampening برای کاهش false alarm
  117. پیکربندی EIGRP authentication با استفاده از HMAC-SHA
  118. تنظیم session-limit در پورت‌های حساس
  119. مانیتورینگ real-time با ابزار SPAN/RSPAN
  120. ایمن‌سازی ارتباطات با سرورهای مدیریتی با IPsec Tunnel
  121. استفاده از ابزار Embedded Packet Capture برای بررسی ترافیک مشکوک
  122. استفاده از DHCP Option Filtering برای کنترل کلاینت‌ها
  123. تنظیم Logging Discriminator برای فیلتر کردن لاگ‌ها
  124. استفاده از secure routing protocols مثل IS-IS با authentication
  125. بررسی کارایی سیستم با ابزار CPU/Memory Monitor
  126. استفاده از RFC1918 IP برای شبکه‌های داخلی
  127. بستن پورت‌های TCP/UDP غیرضروری با ACL
  128. جلوگیری از MAC address flooding با port security
  129. پیکربندی SNMP Traps فقط برای رویدادهای حیاتی
  130. بررسی و حذف تنظیمات پیش‌فرض غیرضروری IOS
  131. فعال‌سازی DHCP rate-limit در اینترفیس‌ها
  132. استفاده از دستور `no service pad` برای حذف سرویس قدیمی X.29
  133. استفاده از دستور `no ip finger` برای غیرفعال کردن finger
  134. غیرفعال‌سازی small TCP servers (echo, chargen, discard)
  135. جلوگیری از حملات IP spoofing با دستورات antispoofing
  136. استفاده از زمان‌بندی تغییر رمزها در سیستم AAA
  137. پیکربندی event-history commands برای auditing دقیق
  138. استفاده از log keyword در ACL برای نظارت بیشتر
  139. اجرای syslog over TLS برای رمزنگاری لاگ‌ها
  140. تنظیم syslog facility برای جداسازی دسته‌بندی لاگ‌ها
  141. محدودسازی دستورات CLI در سطح privilege پایین‌تر
  142. پیکربندی Audit Trail برای رهگیری تغییرات پیکربندی
  143. تنظیم SNMP logging فقط برای interface status
  144. استفاده از مجوزهای سفارشی در TACACS+ برای دستورات خاص
  145. پیکربندی فیلتر خاص برای OSPF type 5 LSA
  146. استفاده از EIGRP stub در لبه شبکه
  147. محدود کردن root bridge به سوئیچ مشخص
  148. جلوگیری از STP manipulation با استفاده از BPDU Filtering
  149. بررسی اینکه سوئیچ در وضعیت transparent در VTP باشد
  150. استفاده از MST برای تقسیم بار و کنترل بهتر STP
  151. پیکربندی static MAC binding در پورت‌های حساس
  152. استفاده از storm control برای Multicast/Broadcast/Unicast
  153. تنظیم rate-limit برای پورت‌های uplink
  154. پیکربندی queueing برای جلوگیری از DoS بر مدیریت
  155. تنظیم threshold های هشدار دما و مصرف CPU
  156. پیکربندی تله‌های SNMP برای power supply failure
  157. تنظیم security level های متفاوت برای zoneهای مختلف
  158. تنظیم دقیق packet inspection در zone firewall
  159. فعال‌سازی TCP intercept برای جلوگیری از SYN Flood
  160. فعال‌سازی IP NAT logging برای بررسی ارتباطات
  161. استفاده از Access Control Context در IOS XE
  162. پیکربندی Security Advisory Notification از Cisco
  163. بررسی لاگ‌ها برای brute-force login attempts
  164. تنظیم domain lookup فقط برای DNS مشخص‌شده
  165. غیرفعال‌سازی IP unreachables برای کاهش اطلاعات خروجی
  166. استفاده از Flexible NetFlow برای دید بهتر ترافیکی
  167. تنظیم time zone صحیح برای تطابق لاگ‌ها
  168. بررسی و تنظیم پورت‌های AUX و Console با رمز قوی
  169. پیکربندی زمان‌بندی تغییر گواهینامه SSL
  170. استفاده از Policy Map برای اعمال محدودیت ترافیک
  171. پیکربندی Dynamic VLAN assignment با RADIUS
  172. استفاده از NAC برای شناسایی کلاینت‌ها قبل از اتصال
  173. تنظیم ACL برای کنترل route redistribution
  174. تنظیم Trust Boundary در سوئیچ‌های لایه دسترسی
  175. استفاده از QoS برای محافظت از ترافیک کنترلی
  176. تنظیم دقیق priority queue برای ترافیک مدیریتی
  177. پیکربندی FQDN ACL به جای آدرس IP متغیر
  178. استفاده از inspection برای FTP و سایر پروتکل‌های ناامن
  179. تنظیم watchdog threshold در پورت‌های حیاتی
  180. پیکربندی security audit logs روی حافظه خارجی
  181. استفاده از Boot Integrity Protection (BIP) در سخت‌افزارهای جدید
  182. تنظیم دقیق DHCP lease برای جلوگیری از exhaustion
  183. بررسی دوره‌ای فضای ذخیره‌سازی و پاک‌سازی لاگ‌های قدیمی
  184. تنظیم AAA fail-safe access برای مواقعی که سرور AAA در دسترس نیست
  185. فعال‌سازی DHCP Option 82 برای کنترل درخواست‌ها
  186. پیکربندی fail2ban معادل با EEM برای بلاک IP‌های مخرب
  187. استفاده از محدودسازی session در Web UI سیسکو
  188. پیکربندی IPv6 Access List برای تمام رابط‌ها
  189. پیکربندی دکمه‌ سخت‌افزاری برای reset factory در وضعیت غیرفعال
  190. استفاده از IPv6 Prefix List برای کنترل روت‌ها
  191. استفاده از route-map برای فیلتر مسیرهای ورودی
  192. بررسی رمزنگاری فایل‌های config ذخیره‌شده در حافظه داخلی
  193. اعمال سیاست‌های سفت‌وسخت در مورد backupها (رمزگذاری + نگهداری محدود)
  194. مستندسازی کامل ACLهای استفاده‌شده در تمامی لایه‌ها
  195. آزمایش دقیق failover در HA/HSRP/VRRP
  196. استفاده از سرویس CLI Analyzer برای کشف باگ‌ها
  197. پیکربندی نرخ مجاز ارسال ARP برای جلوگیری از حملات ARP Flooding
  198. استفاده از IP Device Tracking برای ردیابی دستگاه‌های متصل
  199. استفاده از TrustSec برای تفکیک امنیتی در سطح پورت
  200. غیرفعال‌سازی CDP بر روی پورت‌هایی که به تجهیزات سیسکو متصل نیستند
  201. فعال‌سازی IP Source Guard برای جلوگیری از spoofing
  202. پیکربندی Secure Shell version 2 برای ارتباط ایمن CLI
  203. تنظیم پارامترهای زمان‌بندی SNMP polling برای کاهش بار
  204. تنظیم Context-Based Access Control (CBAC) در روترها
  205. غیرفعال‌سازی auto-negotiation در پورت‌هایی که به دستگاه‌های ثابت متصل هستند
  206. پیکربندی AAA local fallback برای شرایط قطع ارتباط با سرور RADIUS
  207. تنظیم پالیسی‌های سرکوب broadcast با storm-control
  208. استفاده از NetFlow برای مانیتورینگ جریان‌های شبکه
  209. تنظیم الگوی قوی برای نام کاربری جهت جلوگیری از حدس زدن
  210. تنظیم لیست سفید آدرس‌های IP برای دسترسی به SSH
  211. بررسی و حذف سیستم‌عامل‌های قدیمی IOS از حافظه فلش
  212. استفاده از Dynamic ARP Inspection در VLAN های حساس
  213. پیکربندی VACL (VLAN Access Control List) برای کنترل ترافیک داخلی VLAN
  214. ایمن‌سازی پروتکل HSRP با استفاده از authentication
  215. استفاده از DHCP snooping برای جلوگیری از سرورهای DHCP مخرب
  216. بررسی وضعیت پورت‌ها با استفاده از دستور show interface status
  217. تنظیم SNMPv3 با authentication و encryption
  218. ایجاد zone-based firewall در روترهای لبه
  219. پیکربندی نرخ دریافت ICMP با استفاده از CoPP
  220. استفاده از Private VLAN برای جداسازی منطقی سیستم‌ها
  221. تنظیم سیاست‌های دسترسی بر اساس زمان (Time-Based ACL)
  222. فعال‌سازی NetFlow نسخه 9 برای تجزیه‌وتحلیل امنیتی پیشرفته
  223. استفاده از Prefix Guard برای جلوگیری از مسیرهای جعلی
  224. پیکربندی Logging Synchronous برای بررسی بهتر رویدادها در CLI
  225. غیرفعال‌سازی سرویس‌های وب مدیریتی بدون SSL
  226. پیکربندی خط‌مشی‌های دسترسی بر اساس مکان (Location-based policies)
  227. تنظیم syslog server در شبکه داخلی با سطح امنیتی بالا
  228. جلوگیری از عبور ترافیک مدیریت از شبکه‌های اشتراکی
  229. پیکربندی DHCP Option 61 برای احراز هویت کلاینت
  230. محدود کردن ترافیک غیرضروری به پورت‌های trunk
  231. فعال‌سازی EEM برای انجام اقدامات امنیتی خودکار
  232. پیکربندی استانداردهای زمان‌بندی رمزها (مثلاً هر 90 روز)
  233. بررسی لاگ‌های امنیتی برای تشخیص رفتار غیرعادی کاربران
  234. استفاده از IPsec site-to-site VPN برای ترافیک بین دفاتر
  235. تنظیم NAT کنترل‌شده برای جلوگیری از آدرس‌های جعلی داخلی
  236. تنظیم Idle Timeout در دسترسی‌های مدیریتی
  237. استفاده از Logging rate-limit برای جلوگیری از log flooding
  238. فعال‌سازی اعلانات ورود و خروج کاربران (login/logout alert)
  239. محدود کردن دسترسی Telnet و توصیه به عدم استفاده از آن
  240. تنظیم آدرس MAC مجاز در پورت‌های حساس
  241. پیکربندی سیاست‌های طبقه‌بندی ترافیک با Class Map
  242. استفاده از دستگاه‌های چندلایه (L3 Switch) با قابلیت ACL داخلی
  243. تنظیم threshold حافظه برای هشدار قبل از بروز مشکل
  244. ایجاد مستندات برای همه تنظیمات امنیتی پیاده‌سازی شده
  245. پیکربندی Routing Loop Protection در پروتکل‌های مسیریابی
  246. تنظیم QoS برای جلوگیری از اشباع لینک‌های حیاتی
  247. محدودسازی HTTP redirects در تجهیزات مدیریتی
  248. پیکربندی SNMP Trap برای اطلاع‌رسانی رویدادهای حیاتی
  249. بررسی دوره‌ای فایل‌های startup-config برای تغییرات مشکوک
  250. استفاده از الگوریتم‌های رمزنگاری قوی در ارتباطات SSL
  251. بررسی پورت‌های باز با استفاده از ابزارهای خارجی مانند Nmap
  252. پیکربندی AAA accounting برای مانیتور کامل فعالیت کاربران
  253. پیکربندی دستور banner login برای هشدار قانونی
  254. بررسی وضعیت سلامت ماژول‌های سخت‌افزاری با دستور show environment
  255. فعال‌سازی Input Rate Limit برای محافظت در برابر DDoS
  256. ایجاد Alarm برای دمای بیش از حد تجهیزات
  257. غیرفعال‌سازی پاسخ به ICMP unreachable در رابط‌های خارجی
  258. تنظیم Load Interval مناسب برای بررسی دقیق‌تر ترافیک
  259. استفاده از Authentication proxy برای کنترل کاربران غیرمجاز
  260. پیکربندی IP ACL بر اساس Fully Qualified Domain Name (FQDN)
  261. پیکربندی منظم Backup خودکار configها روی سرور امن
  262. ایجاد جدول مشخص برای سیاست‌های hardening
  263. اعمال محدودیت در دستورات EXEC برای کاربران غیر privileged
  264. استفاده از Dual Authentication (مثلاً RADIUS + Local)
  265. پیکربندی کنترل دسترسی برای NTP Server
  266. پیکربندی log severity مناسب برای کاهش لاگ‌های غیرضروری
  267. بررسی زمان پاسخ‌گویی به SNMP و کاهش بازه‌های زمانی
  268. فعال‌سازی UplinkFast در STP برای پورت‌های بالادست
  269. تنظیم Alert زمانی که interface به وضعیت err-disabled می‌رود
  270. غیرفعال‌سازی گزینه Auto MDIX در پورت‌های ثابت
  271. فعال‌سازی Root Guard در سوئیچ‌های توزیعی
  272. پیکربندی محدودیت در تعداد MAC آدرس‌های یادگرفته شده
  273. استفاده از CLI parser view برای تعیین سطح دسترسی جزئی
  274. تنظیم پشتیبان گیری config از طریق ابزار TFTP امن داخلی
  275. پیکربندی سیستم هشدار تغییر IP در سوئیچ مدیریتی
  276. فعال‌سازی Port ACL برای پورت‌های edge
  277. استفاده از MACSec برای رمزنگاری در سطح لایه ۲
  278. پیکربندی سیستم هشدار لینک failure برای پورت‌های حیاتی
  279. پیکربندی پورت‌های unused در VLAN جداگانه و در حالت shut
  280. پیکربندی دستور `service password-encryption` برای رمزنگاری ابتدایی رمزها
  281. استفاده از الگوریتم‌های رمزنگاری AES در VPN
  282. پیکربندی Failover stateful inspection در فایروال‌ها
  283. تنظیم تعیین مکان فیزیکی دقیق هر سوئیچ در مستندات
  284. استفاده از شبکه مجزا برای ابزارهای monitoring
  285. پیکربندی دسترسی فیزیکی محدود برای پورت‌های مدیریتی
  286. استفاده از سیستم هشدار صوتی برای شرایط بحرانی سخت‌افزاری
  287. پیکربندی مدت زمان معتبر بودن کلیدهای رمزنگاری
  288. بررسی لاگ‌های دیباگ بعد از بروزرسانی سیستم‌عامل