پروتکل ICMP (Internet Control Message Protocol) یکی از پروتکلهای مهم لایه سوم مدل OSI است که برای ارسال پیامهای کنترلی و خطا در شبکهها استفاده میشود. با این حال، این پروتکل دارای نقاط ضعف امنیتی است که میتواند توسط مهاجمان سوءاستفاده شود.
حملات رایج مبتنی بر ICMP شامل مواردی مانند Ping of Death، Smurf Attack و ICMP Redirect Attack هستند. برای مقابله با این حملات، دستگاههای سیسکو ابزارها و تنظیمات مختلفی ارائه میدهند که از جمله آنها میتوان به فیلترینگ ICMP، استفاده از Access Control Lists (ACLs) و تنظیمات محدودسازی نرخ ترافیک (Rate Limiting) اشاره کرد.
از طریق دستورات سیسکو میتوان ACLهایی برای محدود کردن یا کنترل ترافیک ICMP تعریف کرد و از محدودسازی نرخ درخواستهای ICMP بهره برد تا امنیت شبکه در برابر حملات افزایش یابد.
علاوه بر این، تکنیکهای پیشرفتهتری مانند فعالسازی ICMP Inspection در فایروالهای سیسکو (مانند Cisco ASA) وجود دارد که به تشخیص و جلوگیری از حملات مرتبط با ICMP کمک میکند.
بهروزرسانی منظم نرمافزارهای سیستمعامل سیسکو (IOS و غیره) نیز اهمیت زیادی دارد تا از آخرین قابلیتهای امنیتی بهرهمند شوید.
همچنین، استفاده از سیستمهای تشخیص و جلوگیری از نفوذ (IDS/IPS) راهکار مؤثری برای شناسایی و جلوگیری از حملات شبکه است.
توجه داشته باشید که امنیت شبکه نیازمند رویکرد چند لایه است و ترکیب سیاستها و تکنولوژیهای مختلف، بهترین محافظت را فراهم میکند.
نمونه تنظیمات و دستورات سیسکو برای افزایش امنیت ICMP
تعریف ACL برای مجاز کردن ترافیک ICMP:
access-list 100 permit icmp any anyمحدودسازی نرخ ترافیک ICMP (Rate Limiting):
access-list 101 permit icmp any any
class-map icmp-class
match access-group 101
policy-map icmp-policy
class icmp-class
police 1000000 8000 exceed-action drop
interface GigabitEthernet0/0
service-policy input icmp-policy
فعالسازی ICMP Inspection در فایروال سیسکو:
policy-map global_policy
class inspection_default
inspect icmp
تنظیمات سیستم پیشگیری از نفوذ (IPS):
ips signature-definition
signature 1000001 0
subsig 0
event-action produce-verbose-alert
event-action produce-alert
risk-rating 90
interface GigabitEthernet0/0
ips inline signature 1000001 0
تنظیمات سیستم تشخیص نفوذ (IDS):
idsm-4 signature-definition
signature 2000002
subsig 0
event-action produce-verbose-alert
interface GigabitEthernet0/0
ips inline enable
حملات رایج و راهکارهای مقابله
حمله ARP Spoofing (تقلب در جدول ARP):
arp access-list 1 deny host <spoofed_IP>فعالسازی ARP Snooping برای جلوگیری از ARP Spoofing:
ip arp inspection vlan 1-10ارسال درخواست Ping به آدرس Broadcast (Ping Broadcast):
ping 255.255.255.255ارسال سریع درخواستهای Ping برای ایجاد اشباع (Ping Storm):
ping <target_IP> -t -l 65500ارسال تعداد زیاد درخواست ARP برای ایجاد Flooding:
mac-address-table notification mac-moveغیرفعال کردن ارسال Redirectهای ICMP برای جلوگیری از ICMP Redirect Attack:
interface GigabitEthernet0/0
no ip redirects
محدودسازی نرخ درخواستهای ICMP (تکرار برای یادآوری):
access-list 101 permit icmp any any
class-map icmp-class
match access-group 101
policy-map icmp-policy
class icmp-class
police 1000000 8000 exceed-action drop
interface GigabitEthernet0/0
service-policy input icmp-policy
مسدود کردن بستههای ICMP بزرگ و مخرب (جلوگیری از Ping of Death):
access-list 102 deny icmp any any fragmentsجلوگیری از ارسال درخواستهای Broadcast برای کاهش Smurf Attack:
interface GigabitEthernet0/0
no ip directed-broadcast
فعالسازی Inspection برای محافظت بیشتر در برابر حملات ICMP:
policy-map global_policy
class inspection_default
inspect icmp
این نمونهها پایهایترین تنظیمات و دستوراتی هستند که در محیطهای شبکه سیسکو برای افزایش امنیت پروتکل ICMP به کار گرفته میشوند. بر اساس نیازهای خاص شبکه و سیاستهای امنیتی، ممکن است لازم باشد این تنظیمات را دقیقتر و تخصصیتر پیادهسازی کنید.
Access Control Lists (ACLs):
ایجاد لیست کنترل دسترسی برای محدود کردن ترافیک مربوط به ICMP.
access-list 103 deny icmp any host <target_IP>
مهم است این تنظیمات را با دقت و با توجه به نیازهای خاص شبکه اجرا کرده و بهروزرسانیهای امنیتی سیستمعامل و تجهیزات شبکه را بهصورت منظم انجام دهید.
DHCP Spoofing:
جلوگیری از حملات جعل DHCP با فعالسازی DHCP Snooping.
ip dhcp snooping
DHCP Starvation:
محدود کردن تعداد درخواستهای DHCP از یک رابط با استفاده از دستور rate-limit.
interface GigabitEthernet0/0
rate-limit input dhcp 1000 2000 4000 conform-action transmit exceed-action drop
DHCP Dynamic ARP Inspection:
نظارت دقیق بر پروتکل ARP بر اساس اطلاعات دریافتی از سرور DHCP.
ip arp inspection vlan 1-10
Broadcast Storm:
مدیریت حجم ترافیک شبکه با فعالسازی قابلیت کنترل پخش Broadcast.
interface range GigabitEthernet0/1 - 48
storm-control broadcast level 5.00
MAC Flooding:
مقابله با حملات پر کردن جدول آدرس MAC با استفاده از دستورات Port Security.
interface GigabitEthernet0/0
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security violation restrict
VLAN Hopping:
جلوگیری از انتقال غیرمجاز بستهها بین VLANها با استفاده از مکانیزم Private VLANs.
vlan 10
private-vlan primary
Port Security:
تعیین تعداد مجاز دستگاهها به یک پورت و محدود کردن آدرس MACهای مجاز.
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
این دستورات نمونههایی از تنظیمات امنیتی سیسکو برای مقابله با حملات مختلف از جمله حملات مرتبط با ICMP هستند. برای پیادهسازی بهینه، باید با توجه به نیازهای شبکه و شرایط محیطی، تنظیمات را سفارشیسازی کنید.
STP (Spanning Tree Protocol) Protection:
جلوگیری از حملات مرتبط با STP با فعالسازی BPDU Guard و Root Guard.
spanning-tree portfast default
spanning-tree bpduguard enable
spanning-tree guard root
Port Security Violation Modes:
تنظیم حالتهای مختلف واکنش به وقوع تخلف در Port Security.
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation protect
Control Plane Policing:
محدود کردن ترافیک به سمت کنترلپلین با استفاده از تنظیمات CoPP.
control-plane
service-policy input copp-policy
Dynamic ARP Inspection (DAI):
اجرای نظارت دقیق بر ARP برای جلوگیری از جعل ARP.
ip arp inspection vlan 1-10
VACL (VLAN Access Control List):
اجازه یا ممنوعکردن ترافیک بر اساس VLAN با استفاده از دستورات VACL.
vlan access-map vacl1 10
action drop
match ip address vacl1-acl
vlan filter vacl1 vlan-list 10
Cisco IOS Role-Based CLI Access:
تنظیم دسترسی CLI بر اساس نقشهای مختلف کاربران.
privilege exec level 15 show running-config
username admin privilege 15 secret <password>
IPv6 RA Guard:
محدود کردن ترافیک Router Advertisement در شبکه IPv6.
interface GigabitEthernet0/0
ipv6 traffic-filter ra-filter in
IP Source Guard:
اجرای IP Source Guard برای جلوگیری از حملات جعل آدرس IP.
interface GigabitEthernet0/0
ip verify source
ip verify source port-security
MACsec (Media Access Control Security):
اجرای امنیت لایه 2 با استفاده از MACsec.
interface GigabitEthernet0/0
mka policy
pre-shared-key ascii <key>
mka pre-shared-key ascii <key>
mka macsec cipher-suite gcm-aes-256
توجه داشته باشید که تمامی تنظیمات امنیتی باید با دقت و با توجه به نیازهای خاص شبکه اجرا شوند. همچنین، بهروزرسانیهای امنیتی سیستمعامل و تجهیزات شبکه نیز از اهمیت بالایی برخوردارند.
DNS Security (DNS Spoofing Protection):
محافظت از امنیت DNS با استفاده از DNS Security Extensions (DNSSEC).
ip dns server
crypto key generate rsa general-keys label dnssec-key
dnssec-key dnssec-key
ttl 60
cryptographic-algorithm rsa-sha256
flags ksk
IPv6 ACLs:
ایجاد لیست کنترل دسترسی برای مدیریت ترافیک IPv6.
ipv6 access-list acl-ipv6
deny ipv6 any any
interface GigabitEthernet0/0
ipv6 traffic-filter acl-ipv6 in
802.1X Port-Based Authentication:
اجرای احراز هویت بر اساس پورت (Port-Based Authentication) با استفاده از 802.1X.
interface GigabitEthernet0/0
dot1x port-control auto
Wireless Security (WPA2/WPA3):
اجرای استانداردهای امنیتی برای شبکههای بیسیم مانند WPA2 یا WPA3.
interface wlan0
encryption mode ciphers aes-ccm
wpa-psk ascii <password>
Routing Protocol Authentication:
احراز هویت در پروتکلهای مسیریابی با استفاده از رمزنگاری (مثلاً OSPF با MD5).
router ospf 1
area 0 authentication message-digest
ip ospf message-digest-key 1 md5 <key>
HTTPS Configuration:
تنظیمات امنیتی برای وبسرورها با استفاده از HTTPS.
ip http server
ip http secure-server
VRF (Virtual Routing and Forwarding) Security:
اجرای امنیت در محیطهای VRF با تنظیمات مختلف.
ip vrf vrf-name
rd 100:1
route-target export 100:1
route-target import 100:1
Multicast Security:
مدیریت امنیت ترافیک چندگانه با استفاده از تنظیمات IGMP.
interface GigabitEthernet0/0
ip igmp version 3
ip igmp access-group 1
این تنظیمات نمونههایی از راهکارهای سیسکو برای افزایش امنیت در بخشهای مختلف شبکه هستند. همچنین، ممکن است نیازهای شبکه شما به تنظیمات خاصتر نیاز داشته باشد.
L2TP over IPsec (Layer 2 Tunneling Protocol over IPsec):
پیادهسازی اتصالهای امن لایه ۲ با استفاده از L2TP over IPsec.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Virtual-Template1
ppp encrypt mppe auto
ppp tunnel encrypt mppe auto
peer default ip address pool mypool
Secure Boot and Trust Anchor:
فعالسازی Secure Boot بر روی دستگاههای سیسکو با استفاده از Trust Anchor.
secure boot-image
Device Hardening:
تنظیمات افزایش امنیت دستگاههای سیسکو با استفاده از دستورات تقویت امنیتی.
banner login ^C Unauthorized access prohibited. ^C
no service pad
service password-encryption
no ip source-route
Role-Based Access Control (RBAC):
اجرای کنترل دسترسی بر اساس نقشها برای کاربران.
username admin privilege 15 secret <password>
privilege exec level 5 show running-config
Dynamic PAT (Port Address Translation):
پیادهسازی ترجمه آدرس پورت داینامیک برای افزایش امنیت.
ip nat inside source list 1 interface GigabitEthernet0/0 overload
access-list 1 permit 192.168.1.0 0.0.0.255
802.1AE (MACsec):
فعالسازی امنیت لایه ۲ با استفاده از 802.1AE (MACsec).
interface GigabitEthernet0/0
mka pre-shared-key ascii <key>
mka macsec cipher-suite gcm-aes-256
SPAN (Switched Port Analyzer) Security:
مدیریت امنیت ترافیک نظارت با استفاده از SPAN.
monitor session 1 source interface GigabitEthernet0/1
monitor session 1 destination interface GigabitEthernet0/2
RADIUS Authentication:
اجرای احراز هویت با استفاده از پروتکل RADIUS.
aaa new-model
radius-server host <server_IP> auth-port 1812 acct-port 1813 key <shared_secret>
TACACS+ Authorization:
تنظیم تأیید اعتبار و دسترسی با استفاده از پروتکل TACACS+.
aaa new-model
tacacs-server host <server_IP> key <shared_secret>
IPv6 First Hop Security:
پیادهسازی امنیت در لایه اول IPv6 با استفاده از IPv6 First Hop Security.
interface GigabitEthernet0/0
ipv6 nd raguard
IPv6 RA Guard:
محدود کردن ترافیک Router Advertisement در شبکه IPv6.
interface GigabitEthernet0/0
ipv6 traffic-filter ra-filter in
Network Address Translation (NAT) Reflection:
پیادهسازی NAT Reflection برای مدیریت ترافیک داخلی.
ip nat inside source static tcp 192.168.1.2 80 interface GigabitEthernet0/0 80
Web Application Firewall (WAF):
استفاده از WAF برای جلوگیری از حملات مربوط به برنامههای وب.
ip http secure-server
ip http access-class <acl_number> in
Dynamic VLAN Assignment:
تخصیص دینامیک VLAN بر اساس مشخصات کاربر.
interface GigabitEthernet0/0
switchport access vlan dynamic <vlan_pool>
IPsec VPN Configuration:
پیکربندی اتصال VPN امن با استفاده از IPsec.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Tunnel0
tunnel protection ipsec profile myprofile
این دستورات نمونههایی از تنظیمات امنیتی سیسکو هستند که میتوانید در شبکههای خود اعمال کنید. همواره به نیازهای خاص شبکه خود توجه کرده و تنظیمات را بهروز نگه دارید.
Cisco ASA Firewall Configuration:
تنظیمات فایروال سختافزاری ASA برای افزایش امنیت.
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address <public_IP> <subnet_mask>
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address <private_IP> <subnet_mask>
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
Cisco TrustSec (Security Group Tagging):
پیادهسازی Cisco TrustSec برای افزایش امنیت شبکه.
interface GigabitEthernet0/0
cts manual
cts role-based enforcement
Cisco Umbrella Integration:
ادغام Cisco Umbrella برای محافظت در برابر تهدیدات اینترنتی.
ip name-server 208.67.222.222
ip domain-lookup
ip domain-name example.com
Remote Access VPN (AnyConnect):
پیکربندی اتصال VPN امن برای دسترسی از راه دور با AnyConnect.
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-<version>-webdeploy-k9.pkg
anyconnect enable
tunnel-group-list enable
Cisco Identity Services Engine (ISE) Integration:
ادغام Cisco ISE برای مدیریت هویت و دسترسی.
aaa new-model
aaa authentication dot1x default group ise
aaa authorization network default group ise
Botnet Traffic Filter:
فعالسازی فیلتر ترافیک باتنت بر روی دستگاههای سیسکو.
ip inspect name myfw cuseeme
IPv6 Access Control List (ACL):
ایجاد ACL برای محدود کردن ترافیک IPv6.
ipv6 access-list myacl
permit tcp any host <server_IP> eq 80
Cisco Cloud Security (Umbrella):
اتصال به Cisco Umbrella برای محافظت از ترافیک اینترنتی.
ip name-server 208.67.222.222
ip domain-lookup
ip domain-name example.com
MAC Address Verification:
تأیید هویت بر اساس آدرس MAC برای محافظت از لایه 2.
interface GigabitEthernet0/0
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
Cisco Stealthwatch Integration:
ادغام Cisco Stealthwatch برای مانیتورینگ ترافیک شبکه.
flow record myrecord
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
flow exporter myexporter
destination <Stealthwatch_collector_IP>
flow monitor mymonitor
record myrecord
exporter myexporter
cache timeout active 60
این دستورات نمونههایی از تنظیمات امنیتی سیسکو هستند که میتوانید در شبکههای خود اعمال کنید. همچنین، باید همیشه توجه به نیازهای خاص شبکه داشته باشید و تنظیمات را بهروز نگه دارید.
FlexVPN Configuration:
پیکربندی FlexVPN برای راهاندازی اتصالهای VPN امن.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Tunnel0
tunnel protection ipsec profile myprofile
SSL VPN Configuration (Clientless):
پیکربندی SSL VPN برای دسترسی به سیستمها بدون نصب نرمافزار اضافی.
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-<version>-webdeploy-k9.pkg
anyconnect enable
tunnel-group-list enable
IPv6 RA Guard:
فعالسازی IPv6 RA Guard برای جلوگیری از تغییرات غیرمجاز در RA.
interface GigabitEthernet0/0
ipv6 traffic-filter ra-guard-filter in
IPv6 DHCPv6 Guard:
اجرای DHCPv6 Guard برای جلوگیری از حملات مرتبط با DHCPv6.
interface GigabitEthernet0/0
ipv6 dhcp guard attach-policy mypolicy
FlexConnect (Local Authentication):
پیکربندی احراز هویت محلی برای دستگاههای FlexConnect در شبکه بیسیم.
wlan flexconnect local-auth enable
Wireless Intrusion Prevention System (WIPS):
استفاده از سیستم پیشگیری از نفوذ بیسیم برای شناسایی و جلوگیری از تهدیدات.
intrusion-detection
rogue-ap-protection enable
Cisco AnyConnect Posture Assessment:
اجرای ارزیابی Posture برای اطمینان از تطابق دستگاهها با استانداردهای امنیتی.
crypto ikev2 authorization policy mypolicy
route set interface
Cisco Stealthwatch Flow Sensor:
پیکربندی سنسور جریان برای مانیتورینگ دقیق ترافیک شبکه.
flow record myrecord
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
flow exporter myexporter
destination <Stealthwatch_collector_IP>
flow monitor mymonitor
record myrecord
exporter myexporter
cache timeout active 60
Cisco ASA Botnet Traffic Filter:
فعالسازی فیلتر ترافیک باتنت بر روی دستگاه سختافزاری ASA.
threat-detection scanning-threat shun duration 3600
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
QoS for Voice and Video Traffic:
اعمال سیاستهای کیفیت خدمات (QoS) برای ترافیک صوتی و تصویری.
class-map voice
match dscp ef
policy-map qos-policy
class voice
priority percent 30
IPv6 VPN Configuration (6PE):
پیکربندی تونل VPN IPv6 برای اتصال دو شبکه با استفاده از 6PE.
interface Tunnel0
ipv6 address 2001:DB8::1/64
tunnel source GigabitEthernet0/0
tunnel destination <remote_router_IP>
Cisco Cloud Email Security Integration:
ادغام Cisco Cloud Email Security برای فیلترینگ ایمیلهای ورودی و خروجی.
ip name-server 208.67.222.222
ip domain-lookup
ip domain-name example.com
EIGRP Authentication:
پیکربندی احراز هویت در پ روتکل EIGRP برای جلوگیری از حملات مرتبط با مسیریابی.
router eigrp 1
eigrp router-id <router_ID>
authentication mode md5
authentication key-chain mykeychain
BGP Route Authentication (Prefix List):
استفاده از لیست پیشوند برای احراز هویت مسیرهای BGP.
ip prefix-list myprefixlist seq 5 permit 192.168.0.0/16
router bgp 65001
neighbor <neighbor_IP> prefix-list myprefixlist in
Cisco Cyber Threat Defense (CTD):
استفاده از سیستم دفاع در برابر تهدیدهای سایبری برای تشخیص و پاسخ به تهدیدات.
ctd enable
MACsec Key Agreement Protocol (MKA):
پیادهسازی MACsec بر اساس پروتکل Key Agreement برای امنیت لایه 2.
interface GigabitEthernet0/0
mka policy
pre-shared-key ascii <key>
mka pre-shared-key ascii <key>
mka macsec cipher-suite gcm-aes-256
Cisco TrustSec (SXP - Security Group Tag Exchange Protocol):
پیادهسازی SXP برای تبادل تگهای گروه امنیتی.
cts sxp enable
cts sxp connection peer <peer_IP> source <local_IP>
QoS Marking for VoIP Traffic:
نشانگذاری QoS برای ترافیک VoIP با استفاده از DSCP.
class-map voice
match ip dscp ef
policy-map qos-policy
class voice
set dscp ef
Multicast Source Discovery Protocol (MSDP):
پیکربندی MSDP برای اتصال مسیریابهای PIM-SM در یک دامنه مسیریابی.
router msdp
peer <peer_IP> connect-source Loopback0
peer <peer_IP> remote-as 65001
Cisco Next-Generation Firewall (NGFW) Integration:
ادغام فایروال نسل بعدی سیسکو (NGFW) برای حفاظت از دستگاهها و شبکه.
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect icmp
این تنظیمات نمونههایی از راهکارهای امنیتی سیسکو هستند که میتوانید در شبکههای خود اجرا کنید. همواره به نیازهای خاص شبکه خود توجه کنید و تنظیمات را بهروز نگه دارید.
Cisco Threat Grid Integration:
ادغام Cisco Threat Grid برای تحلیل و تشخیص تهدیدات.
threat-detection scanning-threat shun duration 3600
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
Zone-Based Firewall:
پیادهسازی فایروال مبتنی بر منطقه برای محافظت در لایه 3.
zone security inside
zone security outside
interface GigabitEthernet0/0
zone-member security inside
interface GigabitEthernet0/1
zone-member security outside
VRF-Aware Firewall:
اجرای فایروال مخصوص VRF برای جلوگیری از تداخل در شبکههای چند VRF.
vrf definition myvrf
address-family ipv4
exit-address-family
!
interface GigabitEthernet0/0
vrf forwarding myvrf
ip address 192.168.1.1 255.255.255.0
FlexLink (FlexVPN Dynamic Multipoint VPN):
پیادهسازی FlexLink برای اتصالهای VPN دینامیک چند نقطه.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Tunnel0
tunnel protection ipsec profile myprofile
Cisco Web Security Appliance (WSA) Integration:
ادغام Cisco WSA برای فیلترینگ ترافیک وب.
ip access-list extended web-traffic
permit tcp any any eq 80
permit tcp any any eq 443
class-map type inspect match-all web-traffic
match access-group name web-traffic
policy-map type inspect mypolicy
class type inspect web-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Dynamic Multipoint VPN (DMVPN):
پیکربندی DMVPN برای اتصالهای VPN دینامیک چند نقطه.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Tunnel0
tunnel protection ipsec profile myprofile
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
Cisco Firepower Threat Defense (FTD) Configuration:
تنظیمات Cisco FTD برای تشخیص و پاسخ به تهدیدات.
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
VLAN Hopping Protection:
محافظت در برابر حملات VLAN Hopping با استفاده از تنظیمات Switchport.
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
switchport nonegotiate
Cisco Defense Orchestrator (CDO) Integration:
ادغام Cisco CDO برای مدیریت متمرکز تنظیمات امنیتی.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
Endpoint Security (Cisco AMP for Endpoints):
ادغام Cisco AMP برای حفاظت از دستگاهها در سطح پایانه.
threat-detection basic-threat
threat-detection scanning-threat shun duration 3600
Cisco Security Group Access (SGA):
پیادهسازی SGA برای کنترل دسترسی بر اساس گروههای امنیتی.
cts manual
cts role-based enforcement
Cisco DNA Center Integration:
ادغام Cisco DNA Center برای اتوماسیون تنظیمات امنیتی.
interface GigabitEthernet0/0
ip trust unicast source reachable-via any
Cisco Encrypted Traffic Analytics (ETA):
استفاده از Cisco ETA برای تحلیل ترافیک رمزنگاری شده.
monitor session 1 source interface GigabitEthernet0/1
monitor session 1 destination interface GigabitEthernet0/2
Cisco Cyber Vision Integration:
ادغام Cisco Cyber Vision برای مدیریت امنیت در شبکههای صنعتی.
interface GigabitEthernet0/0
no ip unreachables
Cisco Cloudlock Integration:
ادغام Cisco Cloudlock برای امنیت اطلاعات در ابر.
interface GigabitEthernet0/0
ip inspect myfw out
802.1X MAC Authentication Bypass (MAB):
پیکربندی MAB برای احراز هویت بر اساس آدرس MAC.
interface GigabitEthernet0/0
authentication order mab
authentication priority mab
NAT64 Configuration:
تنظیمات NAT64 برای ارتباط بین شبکههای IPv4 و IPv6.
interface GigabitEthernet0/0
nat64 enable
Secure Unified Communications:
اجرای امنیت در ارتباطات یکپارچه با استفاده از دستورات مخصوص VoIP.
voice service voip
allow-connections h323 to h323
allow-connections h323 to sip
TrustSec SXP (Security Group Tag Exchange Protocol):
پیادهسازی SXP برای تبادل تگهای گروه امنیتی.
cts sxp enable
cts sxp connection peer <peer_IP> source <local_IP>
Cisco SD-WAN Security Configuration:
پیکربندی امنیت در شبکه واید آریا با استفاده از Cisco SD-WAN.
interface GigabitEthernet0/0
sdwan
این تنظیمات نمونههایی از راهکارهای امنیتی سیسکو هستند که میتوانید در شبکههای خود اجرا کنید. همواره به نیازهای خاص شبکه خود توجه کنید و تنظیمات را بهروز نگه دارید.
Cisco Umbrella Investigate Integration:
ادغام Cisco Umbrella Investigate برای تحلیل تهدیدات و امنیت DNS.
ip domain-lookup source-interface GigabitEthernet0/0
ip name-server 208.67.222.222
SSL Decryption (Cisco Firepower):
پیکربندی Cisco Firepower برای رمزگشایی SSL به منظور تحلیل ترافیک رمزنگاری شده.
ssl decrypt map mymap
key <SSL_key>
ssl decrypt map mymap
cert <SSL_certificate>
Cisco Security Manager (CSM) Integration:
ادغام Cisco Security Manager برای مدیریت متمرکز تنظیمات امنیتی.
interface GigabitEthernet0/0
ip verify source
Firepower Threat Defense (FTD) High Availability:
پیادهسازی توانایی بالاترین دسترسی برای Cisco FTD برای افزایش قابلیت اطمینان.
interface GigabitEthernet0/0
standby <group_number> ip <virtual_IP>
Encrypted GRE Tunnel (Cisco IOS Router):
ایجاد تونل GRE رمزنگاری شده بر روی روتر سیسکو.
interface Tunnel0
tunnel protection ipsec profile myprofile
802.1X Guest VLAN:
پیادهسازی 802.1X برای مهمانان با اختصاص VLAN خاص به آنها.
interface GigabitEthernet0/0
switchport mode access
switchport access vlan <guest_VLAN>
authentication order dot1x mab
authentication priority dot1x mab
EAP-TLS Authentication for Wireless:
استفاده از احراز هویت EAP-TLS برای دسترسی به شبکه بیسیم.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
Cisco Secure Email Gateway (CSEG) Integration:
ادغام Cisco Secure Email Gateway برای محافظت در برابر تهدیدات ایمیل.
ip access-list extended email-traffic
permit tcp any host <mail_server_IP> eq 25
class-map type inspect match-any email-traffic
match access-group name email-traffic
policy-map type inspect mypolicy
class type inspect email-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Threat Response (CTR) Integration:
ادغام Cisco Threat Response برای امنیت تهدیدهای مرتبط با امنیت.
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
SSL VPN Configuration (Client Certificate):
پیکربندی SSL VPN بر اساس احراز هویت با گواهینامه کاربر.
crypto isakmp identity dn
crypto isakmp client configuration group mygroup
key <pre-shared-key>
pool mypool
acl 101
Dynamic ARP Inspection (DAI):
اجرای DAI برای جلوگیری از حملات ARP Spoofing.
ip arp inspection vlan <VLAN_number> log-buffer entries 512
Cisco Defense Orchestrator (CDO) Integration:
ادغام Cisco Defense Orchestrator برای مدیریت متمرکز تنظیمات امنیتی.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
Private VLANs (PVLANs):
پیکربندی VLANهای خصوصی برای جلوگیری از ارتباط مستقیم بین دستگاهها.
vlan 100
private-vlan primary
vlan 101
private-vlan isolated
Cisco Next-Generation Intrusion Prevention System (NGIPS) Integration:
ادغام Cisco NGIPS برای تشخیص و پیشگیری از تهدیدات.
class-map ips-class
match access-list 101
policy-map ips-policy
class ips-class
ips
ISE Profiling for Network Access Control:
استفاده از Cisco ISE برای احراز هویت و کنترل دسترسی.
aaa new-model
aaa authentication dot1x default group ise
aaa authorization network default group ise
VRF-Lite (Routing Between VRFs):
ایجاد ارتباط بین VRFها با استفاده از VRF-Lite.
ip vrf myvrf
rd 65000:1
route-target export 65000:1
route-target import 65000:1
Cisco Stealthwatch Flow Collector Configuration:
پیکربندی جمعآوری جریان برای مانیتورینگ ترافیک.
flow record myrecord
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
flow exporter myexporter
destination <Stealthwatch_collector_IP>
flow monitor mymonitor
record myrecord
exporter myexporter
cache timeout active 60
Cisco SecureX Integration:
ادغام Cisco SecureX برای تجمیع و تحلیل اطلاعات امنیتی.
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
Cisco Threat Grid Integration:
ادغام Cisco Threat Grid برای تحلیل تهدیدات و امنیت DNS.
ip domain-lookup source-interface GigabitEthernet0/0
ip name-server 208.67.222.222
Cisco Umbrella Roaming Client Configuration:
پیکربندی مشترک امنیتی Cisco Umbrella بر روی دستگاههای داخلی.
ip dhcp pool mypool
option 208 ascii <Umbrella_key>
IOS Zone-Based Policy Firewall:
پیکربندی فایروال بر مبنای مناطق بر روی روترهای سیسکو.
zone security inside
zone security outside
interface GigabitEthernet0/0
zone-member security inside
interface GigabitEthernet0/1
zone-member security outside
Identity-Based Networking Services (IBNS):
پیکربندی IBNS برای کنترل دسترسی بر اساس هویت.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
Cisco Secure Access by Meraki (SAM) Integration:
ادغام Cisco SAM برای احراز هویت و کنترل دسترسی.
dot1x system-auth-control
Cisco TrustSec (SGACL):
پیادهسازی SGACL برای کنترل دسترسی بر اساس گروههای امنیتی.
cts role-based enforcement
Cisco Firepower Device Manager (FDM) Configuration:
پیکربندی Cisco FDM برای مدیریت دستگاه Firepower.
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
این دستورات نمونههایی از تنظیمات امنیتی سیسکو هستند که میتوانید در شبکههای خود اجرا کنید. همواره به نیازهای خاص شبکه خود توجه کنید و تنظیمات را بهروز نگه دارید.
Cisco Firepower Threat Defense (FTD) Access Control Policy:
پیکربندی سیاست کنترل دسترسی بر روی Cisco FTD برای جلوگیری از تهدیدها.
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
Cisco Stealthwatch Cloud Integration:
ادغام Cisco Stealthwatch Cloud برای مانیتورینگ ترافیک و شناسایی تهدیدات.
monitor session 1 source interface GigabitEthernet0/1
monitor session 1 destination interface GigabitEthernet0/2
Cisco Email Security Appliance (ESA) Configuration:
پیکربندی Cisco ESA برای محافظت در برابر تهدیدات ایمیل.
interface GigabitEthernet0/0
ip verify source
FlexVPN (IKEv2 and IPsec) Configuration:
پیکربندی FlexVPN برای ایجاد اتصال امن با استفاده از IKEv2 و IPsec.
crypto isakmp policy 10
encryption aes
hash sha
group 5
lifetime 28800
crypto isakmp key <pre-shared-key> address <peer_IP>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec profile myprofile
set transform-set myset
interface Tunnel0
tunnel protection ipsec profile myprofile
TrustSec SXP (Security Group Exchange Protocol) Configuration:
پیکربندی SXP برای تبادل تگهای گروه امنیتی.
cts sxp enable
cts sxp connection peer <peer_IP> source <local_IP>
Cisco NGFW (Next-Generation Firewall) Intrusion Prevention System (IPS) Configuration:
تنظیمات Cisco NGFW IPS برای تشخیص و جلوگیری از تهدیدات.
class-map ips-class
match access-list 101
policy-map ips-policy
class ips-class
ips
IPv6 First-Hop Security (RA Guard, DHCPv6 Guard, and Binding Table):
پیادهسازی امنیت IPv6 بر روی گره اولیه با RA Guard، DHCPv6 Guard، و جدول بایندینگ.
interface GigabitEthernet0/0
ipv6 traffic-filter ra-guard-filter in
interface GigabitEthernet0/0
ipv6 dhcp guard attach-policy mypolicy
ipv6 nd inspection
Cisco Umbrella (DNS-layer Security) Configuration:
پیکربندی امنیت سطح DNS با استفاده از سرویس Cisco Umbrella.
ip dhcp pool mypool
option 208 ascii <Umbrella_key>
Cisco DNA Center (Software-Defined Access) Integration:
ادغام Cisco DNA Center برای تنظیمات امنیتی در محیط Software-Defined Access.
interface GigabitEthernet0/0
ip trust unicast source reachable-via any
Cisco Identity Services Engine (ISE) Policy Configuration:
پیکربندی سیاستهای Cisco ISE برای احراز هویت و کنترل دسترسی.
aaa new-model
aaa authentication dot1x default group ise
aaa authorization network default group ise
Cisco Stealthwatch Flow Sensor Configuration:
پیکربندی سنسور جریان Cisco Stealthwatch برای مانیتورینگ ترافیک.
flow record myrecord
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
flow exporter myexporter
destination <Stealthwatch_collector_IP>
flow monitor mymonitor
record myrecord
exporter myexporter
cache timeout active 60
Cisco Email Security Appliance (ESA) Outbound Mail Policies:
تنظیم سیاستهای ایمیل خروجی بر روی Cisco ESA.
access-list 101 permit tcp any host <mail_server_IP> eq 25
class-map type inspect match-any email-traffic
match access-group 101
policy-map type inspect mypolicy
class type inspect email-traffic
inspect
Cisco AMP for Endpoints (Advanced Malware Protection) Configuration:
پیکربندی Cisco AMP برای حفاظت از دستگاهها در سطح پایانه.
threat-detection basic-threat
threat-detection scanning-threat shun duration 3600
QoS for VoIP Traffic:
پیکربندی کیفیت خدمات برای ترافیک VoIP با استفاده از DSCP.
class-map voice
match ip dscp ef
policy-map qos-policy
class voice
set dscp ef
Cisco Wireless LAN Controller (WLC) Security Configuration:
تنظیمات امنیتی بر روی Cisco WLC برای حفاظت از شبکه بیسیم.
config ap mode local
config ap cfprofile name <profile_name>
Cisco Catalyst Switch Port Security:
اجرای امنیت در کلیدهای Catalyst با استفاده از Port Security.
interface GigabitEthernet0/1
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
Cisco Firepower Device Manager (FDM) Threat Defense Configuration:
تنظیمات Cisco FDM برای مدیریت دستگاه Firepower در حوزه تهدیدها.
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
Cisco IOS Router IPv6 ACL Configuration:
پیکربندی لیست کنترل دسترسی IPv6 بر روی روتر سیسکو.
ipv6 access-list myacl
permit tcp any host <server_IP> eq 80
deny ipv6 any any
Cisco SD-WAN (Viptela) Security Policies:
تنظیم سیاستهای امنیتی بر روی Cisco SD-WAN (Viptela).
security-policy
default-action permit
rule 10
match source-datacenter <source_DC>
match destination-datacenter <dest_DC>
action deny
Cisco Threat Grid API Integration:
ادغام API Cisco Threat Grid برای تحلیل تهدیدات و امنیت DNS.
ip domain-lookup source-interface GigabitEthernet0/0
ip name-server 208.67.222.222
Cisco Web Security Appliance (WSA) HTTPS Inspection:
پیکربندی Cisco WSA برای بازبینی ترافیک HTTPS.
ip access-list extended ssl-traffic
permit tcp any any eq 443
class-map type inspect match-any ssl-traffic
match access-group name ssl-traffic
policy-map type inspect mypolicy
class type inspect ssl-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Cloudlock (CASB) Integration:
ادغام Cisco Cloudlock برای امنیت اطلاعات در ابر.
interface GigabitEthernet0/0
ip inspect myfw out
Cisco Advanced Malware Protection (AMP) for Networks Configuration:
تنظیم Cisco AMP برای حفاظت از شبکه از تهدیدات پیشرفته.
class-map type inspect match-any amp-traffic
match access-group name amp-traffic
policy-map type inspect mypolicy
class type inspect amp-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Cloud Email Security (CES) Integration:
ادغام Cisco CES برای محافظت در برابر تهدیدات ایمیل.
access-list 101 permit tcp any host <mail_server_IP> eq 25
class-map type inspect match-any email-traffic
match access-group 101
policy-map type inspect mypolicy
class type inspect email-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Meraki MX Security Appliance Configuration:
تنظیمات دستگاه امنیتی Cisco Meraki MX برای حفاظت از شبکه.
access-list 101 permit tcp any host <web_server_IP> eq 80
class-map type inspect match-any web-traffic
match access-group 101
policy-map type inspect mypolicy
class type inspect web-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Threat Intelligence Feeds (Talos):
ادغام تغذیههای اطلاعات تهدید (Talos) برای بهروزرسانی مداوم تهدیدات.
threat-detection scanning-threat shun duration 3600
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
Cisco Umbrella DNSSEC Configuration:
پیکربندی DNSSEC برای ایجاد امنیت در دامنههای DNS.
ip domain lookup source-interface GigabitEthernet0/0
ip domain name example.com
crypto key generate rsa general-keys modulus 2048
Cisco Web Security Appliance (WSA) Explicit Proxy:
پیکربندی پروکسی صریح WSA برای کنترل دسترسی به اینترنت.
ip access-list extended web-traffic
permit tcp any any eq 80
permit tcp any any eq 443
class-map type inspect match-all web-traffic
match access-group name web-traffic
policy-map type inspect mypolicy
class type inspect web-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Firepower User Agent Integration:
ادغام Cisco FMC User Agent برای شناسایی و کنترل دسترسی کاربران.
object network mynetwork
subnet 192.168.1.0 255.255.255.0
object-group network mynetwork-group
network-object object mynetwork
Cisco Email Security (CES) Integration:
ادغام Cisco Email Security برای محافظت در برابر تهدیدات ایمیل.
ip access-list extended email-traffic
permit tcp any host <mail_server_IP> eq 25
class-map type inspect match-any email-traffic
match access-group name email-traffic
policy-map type inspect mypolicy
class type inspect email-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Firepower Threat Defense (FTD) Intrusion Policy:
تنظیم سیاست حفاظت در FTD برای تشخیص و پیشگیری از حملات.
access-list outside_access_in extended permit tcp any host <public_IP> eq 80
access-group outside_access_in in interface outside
Cisco Umbrella Cloud Delivered Firewall:
پیکربندی فایروال ارائه شده از طریق ابر Cisco Umbrella.
access-list 101 permit tcp any host <public_IP> eq 80
access-list 101 permit tcp any host <public_IP> eq 443
class-map type inspect match-any web-traffic
match access-group 101
policy-map type inspect mypolicy
class type inspect web-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Cloud Access Security Broker (CASB) Integration:
ادغام Cisco CASB برای محافظت از اطلاعات در ابر.
access-list 101 permit tcp any host <cloud_server_IP> eq 443
class-map type inspect match-any cloud-traffic
match access-group 101
policy-map type inspect mypolicy
class type inspect cloud-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Cisco Firepower NGIPS Inline Set-Up:
پیکربندی Cisco Firepower NGIPS به صورت مستقیم در مسیر ترافیک.
class-map ips-class
match access-list 101
policy-map ips-policy
class ips-class
ips inline fail-open
Cisco Identity Services Engine (ISE) PxGrid Integration:
ادغام Cisco ISE PxGrid برای بهروزرسانی اطلاعات هویتی.
aaa new-model
aaa authentication dot1x default group ise
aaa authorization network default group ise
Cisco Secure Endpoint (AMP for Endpoints) Connector:
نصب و پیکربندی اتصال Cisco AMP for Endpoints بر روی دستگاهها.
threat-detection basic-threat
threat-detection scanning-threat shun duration 3600
Cisco Email Security Outbreak Filters:
پیکربندی فیلترهای Cisco Email Security برای تشخیص و جلوگیری از تهدیدات.
ip access-list extended outbreak-traffic
permit tcp any any eq 25
class-map type inspect match-any outbreak-traffic
match access-group name outbreak-traffic
policy-map type inspect mypolicy
class type inspect outbreak-traffic
inspect
zone-pair security myzonepair source inside destination outside
service-policy type inspect mypolicy
Firepower Threat Defense (FTD) Device Registration:
ثبت دستگاه در Cisco FTD برای بهروزرسانی سیاستهای امنیتی.
interface GigabitEthernet0/0
device-register capability
Cisco SD-WAN Cloud OnRamp Configuration:
پیکربندی Cisco SD-WAN برای بهینهسازی ترافیک به سمت ابر.
interface Tunnel0
mtu 1500
ip address 10.0.0.1 255.255.255.0
Cisco Threat Response (CTR) Playbooks:
پیکربندی گیمپلی CTR برای اتخاذ اقدامات خودکار در پاسخ به تهدیدات.
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
Cisco Umbrella Roaming Security Module:
نصب و پیکربندی ماژول امنیتی پرسهای Cisco Umbrella روی دستگاهها.
ip dhcp pool mypool
option 208 ascii <Umbrella_key>
Cisco Secure Group Tag (SGT) Exchange:
تبادل تگ گروه امنیتی بین دستگاههای مختلف با استفاده از Cisco TrustSec.
cts manual
cts role-based enforcement
Firepower Threat Defense (FTD) Malware Protection:
پیکربندی محافظت از آنتیویروس در Cisco FTD.
object network mynetwork
subnet 192.168.1.0 255.255.255.0
object-group network mynetwork-group
network-object object mynetwork
Cisco Stealthwatch Endpoint Configuration:
نصب و پیکربندی Cisco Stealthwatch Endpoint بر روی دستگاهها.
interface GigabitEthernet0/0
flow monitor mymonitor
ip flow monitor mymonitor input
Cisco DNA Center Assurance Integration:
ادغام Cisco DNA Center برای مانیتورینگ و ارائه گزارشهای تجزیه و تحلیل.
ip sla 1
icmp-echo <target_IP>
frequency 60
Cisco Email Security DKIM Configuration:
پیکربندی امضای DKIM در Cisco Email Security برای تأیید اعتبار ایمیلها.
keychain mykeychain
key 1
key-string <DKIM_key>
Cisco Threat Grid Threat Intelligence Feeds:
بهروزرسانی اطلاعات تهدیدات از Cisco Threat Grid.
threat-detection scanning-threat shun duration 3600
threat-detection statistics host number-of-rate 5
threat-detection statistics port number-of-rate 5
Cisco Encrypted Traffic Analytics (ETA) on Catalyst Switch:
پیکربندی تحلیل ترافیک رمزنگاری شده بر روی سوئیچ Catalyst.
monitor session 1 source interface GigabitEthernet0/1
monitor session 1 destination interface GigabitEthernet0/2
Cisco Catalyst Switch AAA Configuration:
پیکربندی احراز هویت و دسترسی بر اساس هویت بر روی سوئیچ Catalyst.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
Cisco TrustSec (SXP) for Scalable Security Policies:
پیکربندی SXP برای تبادل تگهای گروه امنیتی به صورت مقیاسی.
cts sxp enable
cts sxp connection peer <peer_IP> source <local_IP>
این تنظیمات نمونههایی از راهکارهای امنیتی سیسکو هستند.