نمایش نتایج: از شماره 1 تا 11 از مجموع 11
سپاس ها 6سپاس
  • 1 توسط EVERAL
  • 1 توسط EVERAL
  • 1 توسط EVERAL
  • 1 توسط EVERAL
  • 1 توسط EVERAL
  • 1 توسط EVERAL

موضوع: آموزش CCNA Security به زبان پارسی

  
  1. #1
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    آموزش CCNA Security به زبان پارسی

    دوستان گرامی؛
    این بخش نو ترجمه کتاب CCNA Security است؛ در انتها در قالب PDF تدوین و در اختیار اعضای محترم فروم قرار داده خواهد شد. جهت پیوستگی مطالب لطفاً سوالات خود را در تاپیک جدید اعلام فرمایید.




    موضوعات مشابه:
    ویرایش توسط EVERAL : 2018-09-08 در ساعت 06:54 PM
    Hakimi سپاسگزاری کرده است.
    !It's possible to change your life at any time

  2. #2
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4
    Chapter 1 Networking Security Concets

    هدف از امنیت شبکه شامل موارد زیر می‌باشد:

    • Confidentiality

    به معنی محرمانگی Data است طوری که دیتا توسط افراد غیرمجاز قابل دسترسی نباشد که برای این منظور از الگورتیم های Encryption استفاده می‌شود.
    • Integrity

    به معنی صحت دیتا می باشد طوری که دیتا در مسیر شبکه توسط افراد غیرمجاز تغییر نکند که برای این منظور بایستی از الگوریتم های Integrity استفاده شود.
    • Availability

    به معنی در دسترس بودن اطلاعات و سرویس های تحت شبکه می باشد یکی از حملاتی که معمولاً Availability دیتا و سرویس های شبکه را تحت تاثیر قرار می دهد حمله Denial Of Service یا DOS است.
    در امینت شبکه این 3 هدف به مثلت CIA معروف هستند.
    اصطلاحات امنیتی یا Secutiry Terms:
    • Asset

    کلیه دارایی های است که ما قرار است آنها را Protect کنیم مانند یک فایل یا دستگاه.
    • Vulnerability

    نقاط ضعفی است که در Asset ها وجود دارد که از طریق آن نقاط ضعف می شود به آن Asset در یک سازمان Attack کرد.
    • Threads

    هر چیزی که بتواند از نقاط ضعف یک Asset استفاده کند تا باعث یک دسترسی غیر مجاز به یک Asset را باعث شود؛ برای این منظور از ابزارهای Exploit استفاده می کنند.
    • Risk

    احتمال اینکه یک تهدید یا Threads منجر به دسترسی غیر مجاز شود را Risk می گویند.

    • Countermeasure

    روش های مقابله با تهدید و Exploit می باشد که به آن Mitigation نیز گفته می شود.
    Classifying Assets یا دسته بندی Asset ها:
    ما بر اساس دسته بندی Asset ها می توانیم Policy های متفاوتی را نیز پیاده سازی کنیم برای نمونه؛ فرض کنید شما یک VPN را پیاده سازی کرده اید که ترافیک میان دو نقطه را امن کند آن دیتایی که در VPN قرار دارد بسته به اینکه در چه Asset قرار دارد ممکن است با توجه به اهمیتش از پروتکل رمزگذاری که در VPN استفاده می شود متقاوت باشد.
    معیارهایی که برای دسته بندی Asset ها وجود دارد شامل موارد زیر می باشد:

    • Value

    ارزش Asset می‌باشد.

    • Age

    عمر Asset می‌باشد.

    • Replacement Cost

    در صورتی که Asset از بین برود هزینه جابه جایی آن Asset چقدر می باشد.
    Classification Roles را می توان به 3 دسته زیر تقسیم کرد:

    • Onwer

    مالک آن Asset می‌باشد.

    • Custodian

    مسئول آن Asset می‌باشد.

    • User

    کاربر آن Asset می‌باشد.
    که با توجه به Role که برای یک Asset در نظر گرفته می شود Policy مربوط به آن نیز متفاوت خواهد بود. تقسیم بندی دیگری که برای Asset ها انجام می شود شامل موارد ذیل می باشد:

    • RED

    این دسته از Asset ها به هیچ عنوان نبایستی در شبکه Share شوند به عبارت دیگر Share شدن این اطلاعات تهدیدات مربوط به آن Asset را بالا می‌برد.

    • AMBER

    این دسته از Asset ها می توانند میان Member های همان سازمان Share شوند.

    • White

    این دسته از Asset ها عمومی هستند و می توانند در هر جایی Share شوند.
    Classification Vulnerability

    • نقض در Policy
    • ایراد در طراحی
    • ضعف در پروتکل
    • پیکربندی اشتباه
    • نقاط ضعف در نرم افزار
    • دانش انسانی
    • نرم افزارهای مخرب
    • نقاط ضعف در سخت افزار
    • دسترسی فیزیکی به منابع شبکه

    اکثر شرکت های سازنده تجهیزات شبکه مانند سیسکو تمامی Vulnerability های خود را در Public DataBase ها با عنوان Common Vulnerability and Exposure یا CVE بروزرسانی یا Update می کنند.
    یک دیتابیسی با عنوان National Vulnerability Database وجود دارد که Standard Vulnerability ها را نگهداری و بروز می کند.
    Countermeasure Classification:
    برای مقابله با Vulnerability ها می توان از دسته بندی زیر استفاده کرد:

    • Administration

    در این دسته بندی با استفاده از Policy ها و Procedure ها و Guideline ها و Standard ها می توان با یک تهدید مقابله کرد.

    • Physical

    در این دسته بندی با استفاده از کنترل امنیت فیزیکی می توان با یک تهدید مقابله کرد.

    • Logical

    در این دسته بندی با استفاده از راه حل های Logical مانند استفاده از Firewall و VPN و IPS می توان با یک تهدید مقابله کرد.
    Risk Management:
    مدیریت Risk به معنی حذف Risk و یا کاهش Risk می باشد که معمولا احتمال اینکه شما بتوانید Risk را حذف کنید کم می باشد ولی می توانید آن را کاهش دهید.
    کاهش Risk را می توان از طریق انتقال Risk به شخص متخصص دیگری انجام داد و یا با استفاده از روش های مقابله با آن مانند فایروال ها نسبت به کاهش آن اقدام نمود و یا گاهی ممکن است یک Risk را بپذیریم.
    انواع هکرها را می توان به صورت زیر دسته بندی کرد:

    • تروریستی
    • مجرم
    • دولتی
    • کارمندان ناراضی
    • رقبا
    • و هر کسی که بتواند به Asset ما به صورت غیرمجاز دسترسی داشته باشد.

    روش های هک را می توان به صورت زیر دسته بندی کرد:

    • Scanning: یا شناسایی که مقدمه برای هر حمله می باشد و برای شناسایی آدرس ها و سرویس های تحت شبکه و ساختار شبکه مقصد می باشد.
    • Social Engineering: روش های مهندسی اجتماعی است که هم می تواند از طریق متدهای صحبت کردن اتفاق بیفتد و هم می تواند با استفاده از ابزار آن را پیاده کرد مانند Phishing و یا Email Sppfing.
    • Privilege Escalation: در این روش هکر می تواند سطح دسترسی خود را برروی سیستم قربانی بالا ببرد.
    • Backdoor: اجرای یک Code برروی سیستم قربانی است که به هکر این امکان را می دهد تا در هر زمانی بتواند به سیستم قربانی دسترسی داشته باشد.

    Attack Vector:
    یک حمله یا Attack همیشه از بیرون یک سازمان انجام نمی شود و ممکن است حمله از داخل یک سازمان انجام شود. امروزه بحثی که در اکثر سازمان ها و شرکت ها وجود دارد این است که کارمندان بتوانند از تجهیزات شخصی خود که در منزل استفاده می کنند بتوانند در محیط کار نیز استفاده کنند؛ به عبارت دیگر یک کارمند بتواند از موبایل و یک Notebook خود در محیط کار خود هم استفاده کند که به آن Bring Your own Device
    یا BYOD گفته میشود که دیگر در این روش یک سازمان برای تجهیزات مورد استفاده برای یک کارمند هزینه نمی کند و برای یک سازمان نیز مقرون به صرفه خواهد بود در این حالت نیز کارمندان با این روش راحتر می باشند که به اطلاعات خود از طریق یک Device دسترسی داشته باشند اما این روش چالش های بسیار جدی را در یک سازمان ایجاد می کند که برای این منظور شرکت Cisco راه حلی را با عنوان Network Admission Control یا NAC و ( Identity Service Engine(ISE را معرفی کرده است که برای کنترل دسترسی افراد به منابع شبکه می باشد.

    - - - ادامه - -

    Man-in-the-Middle Attack:
    حمله ای می باشد که خرابکار میان ارتباط دو نفر قرار می گیرد و ترافیک را شنود می کند که در لایه 2 با استفاده از حمله ARP Poisoning به راحتی انجام میشود که با استفاده از Dynamic Arp Inspection می توان جلوی این حمله را گرفت یا امکان اینکه کامپیوتر شما به صورت Root Bridge در شبکه Switching قرار گرفته شود تا تراقیک یک سازمان از کامپیوتر شما عبور کند تا امکان شنود اطلاعات میسر گردد؛ با استفاده از Root Guard در STP می توان جلوی این حمله را گرفت و یا در لایه 3 خرابکار می تواند از یک Ruge Router استفاده کند و مسیرها را تغییر دهد که با استفاده از Routing Authentication می توان جلوی این حمله را گرفت با استفاده از Encryption که برروی پروتکل های SSH و یا HTTPS انجام می شود می توان جلوی حملات Man-in-the-Middle Attack را گرفت.
    Other Attack Method:
    • Covert Channel : به حملاتی گفته می شود که از طریق Tunneling انجام می شود و با استفاده از آنها می توان Firewall ها و سنسورهای امنیتی را By Pass کرد.
    • Trust Exploitation: به حملاتی گفته می شود که یک هکر با نفوذ به نقاط Trust شبکه مانند وب سرورها و یا DMZ به نقاط دیگر شبکه دسترسی پیدا می کند.
    • Brute Force Attack: در این حمله یک هکر با استفاده از تست پسوردهای مختلف سعی می کند به یک سیستم دسترسی پیدا کند.
    • Botnet: به حملاتی گفته می شود که در آن هکر می تواند از طریق کامپیوترهایی که قبلا آلوده شده اند و تحت کنترل یک هکر هستند یک حمله مانند DDOS انجام شود.
    • DOS and DDOS: به هر حمله ای که باعث شود تا یک سرویس از کار بیفتد( DOS(Denial of Service گفته می شود و زمانی که این حمله از چندین نقطه انجام شود به آن Distributed DOS گفته می شود.

    اصول های امنیتی که بایستی در طراحی شبکه اعمال شود شامل موارد زیر می باشد:
    • Rule of Least Privilege: شما باید حداقل دسترسی ها را به افراد اختصاص دهید.
    • Defense In Depth: شما بایستی در چندین لایه امنیت را پیاده سازی کنید برای نمونه از Firewall هم در Edge و هم در داخل شبکه استفاده کنید.
    • Separation of Duties: شما بایستی وظایف هر شخص را مشخص کنید و سعی کنید به صورت گردشی و در زمان های مختلف این وظایف را بین افراد عوض کنید.
    • Auditing: شما بایستی تمامی دسترسی ها به شبکه را Log و Record کنید تا دسترسی های غیرمجاز شناسایی شود که این کار بایستی توسط AAA انجام شود.



    m2000 سپاسگزاری کرده است.
    !It's possible to change your life at any time

  3. #3
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    Network Topologies

    CAN) Campus Area Network):
    به مجموعه تجهیزاتی گفته می شود که در یک نقطه جغرافیایی قرار گرفته اند و می تواند شامل LAN، DC و یا Internet Edge باشد.



    WAN) Campus Area Network):
    به ارتباط میان چندین LAN در نقاط مختلف گفته می شود که معمولاً با استفاده از VPN می توان آنها را امن کرد.


    Data Center :
    به مکانی گفته می شود که معمولاً سرورهای ما قرار می گیرند.


    Network Security for a Virtualization Environment
    از آنجایی که امروزه برروی سرورهای فیزیکی از مقوله مجازی استفاده می شود امنیت مربوط به این محیط ها به عنوان یکی از چالشی ترین موارد امنیتی به حساب می آید که برای این منظور شرکت سیسکو یکسری راه حل مانند VASA و یا Nexus 1000v را در محیط های مجازی معرفی می کند.





    m2000 سپاسگزاری کرده است.
    !It's possible to change your life at any time

  4. #4
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    Chapter 2 Common Security Threats

    اهدافی که معمولاً یک هکر به دنبال آن می باشد شامل موارد زیر است:
    - Financial یا مالی:
    هدف هکر نفوذ بهبه سیستم مالی یک شرکت و یا فروش اطلاعات مربوط به آن سازمان می باشد.
    - Disruption یا خرابکارانه:
    هدف هکر از کار انداختن سرویس های یک شرکت می باشد.
    - Geopolitical یا سیاسی:
    هدف هکر مقابله با سیاست های یک کشور می باشد.

    Distributed Denial Of Service Attack:
    به حملاتی گفته می شود که برای از کار انداختن سرویس های یک سازمان استفاده می شود. در این حملات معمولاً هکر از یکسری Zombie استفاده می کند Zombie ها در واقع کامپیوترهای تحت کنترل هکر می باشند که یک هکر توسط آنها می تواند به یک مقصد خاص حمله کند و سرویسی را از کار بندازد.
    حملات DDOS به سه دسته زیر تقسیم می شوند:
    - Direct:
    حملات DDOS است که مستقیماً توسط هکر و یا Zombie ها به سمت مقصد یا قربانی انجام می شود.
    Reflected: در این حمله Attacker از Source Address مربوط به Victim استفاده می کند و ترافیک سنگینی را با Source Address قربانی به سمت Zombie ها ارسال می کند و Zombie ها پاسخ به این ترافیک را به Victim ارسای یا Reflect می کنند به عبارت دیگر در این حمله Zombie ها نقش Reflector را دارند. یکی از معروفترین این حملات Ping به سمت Broadcast می باشد که در صورتی که Source Address مربوط به ping را آدرس مربوط به قربانی قرار دهید تمامی Replay ها از شبکه به سمت قربانی خواهد بود.
    - Amplification:
    به حملاتی گفته می شود که Request آنها کوچک ولی Replay آنها بزرگ می باشد برای مثال DNS Query یک Request کوچک می باشد در حالی که Replay آن شامل اطلاعات بیشتری است.
    در شکل زیر می توانید نحوه اجرای این نوع حملات را مشاهده کنید.

    Social Engineering Methods:
    به حملاتی گفته می شود که از طریق روش های مهندسی اجتماعی انجام می شود این حملات از طریق متدهای صحبت کردن و هم از طریق ابزار قابل پیاده سازی می باشد.
    روش های معمول Social Engineering را می توان به صورت زیر دسته بندی کرد:
    - Phishing:
    این حمله معمولاً از طریق یک Email و یک منبع قانونی و معتبر مانند یک بانک و یا شرکت برای تغییر حساب کاربری و یا اطلاعات استفاده می شود که در درون این ایمیل معمولا یک هکر از آدرس یک وب سایت و یا فایل استفاده می کند در این حمله در صورتی که شما وب سایت مورد نظر را باز کنید و اطلاعات خود را وارد کنید هکر به تمامی اطلاعات شما دسترسی خواهد داشت.
    - Malvertising:
    Malicious Advertising برروی Trusted Website ها می باشد به عبارت دیگر شما می توانید تبلیغات خود را در سایت های معروف تبلیغاتی قرار دهید و در صورتی که قربانی برروی تبلیغات شما کلیک کند قربانی را به وب سایت دیگری منتقل می کند که برای دزدیدن اطلاعات قربانی می باشد.
    Phone Scams:
    در این حمله هکر با تماس با یکی از کارمندان یک شرکت او را متقاعد می کند که یکسری از اطلاعات را به او بدهد.
    روش های جلوگیری در برابر حملات Social Engineering:
    - Training
    آموزش پرسنل و افراد بهترین راه جلوگیری از این نوع حملات می باشد.
    - Password Management
    استفاده از پسوردهای پیچیده و Complex
    -Two-Factor Authentication
    استفاده از دو روش برای Authentication
    -  Antivirus/Antiphishing
    استفاده از نرم افزارهای Antivirus و Antiphishing
    -  Information Classification
    برای از بین بردن اطلاعات بایستی مطئن شوید که اطلاعات قابل بازیابی نباشند.
    - Physical Security
    بررسی Background Check افراد قبل از استخدام

    Malware Identification Tools:
    به هر نوع نرم افزار مخربی Malware می گویند شناسایی این نرم افزارها مشکل می باشد بدلیل اینکه معمولا این نرم افزارها درون نرم افزارهای معمولی و کاربردی قرار می گیرند و چون معمولاً این نرم افزارها Encrypte می شوند به راحتی قابل شناسایی نمی باشند.
    برای شناسایی Malware ها می توانید از ابزارهای زیر استفاده کنید:
    - Packet Capture
    با استفاده از SPAN و RSPAN و Wireshark شما می توانید ترافیک شبکه را Capture و مانیتور کنید.
    -SNORT
    یکی از قدیمی ترین سیستم Open Source در زمینه IPS و IDS می باشد که در حال حاضر تحت عنوان Source Fire تحت مالیکت شرکت سیسکو می باشد و فایروال های شرکت سیسکو تحت عنوان FirePower با امکان Source Fire قابل ارائه می باشند که برای شناسایی Malware استفاده می شوند.
    - Netflow
    استفاده از پروتکل های مانیتورینگ Netflow که امکان شناسایی و آنالیز ترافیک شبکه را به شما می دهند.
    - IPS Events
    با استفاده از Alarm ها و Event ها یی که توسط سیستم های IPS تولید می شوند.

    Advanced Malware Protection:
    یکی از ابزارهای تخصصی برای شناسایی این Malware ها استفاده از Cisco Advance Malware Protection یا AMP می باشد که جزئی از Cisco Fire Power است.
    NGIPS:
    با استفاده از Cisco FirePOWER Next Generation IPS شما می توانید Malware ها را شناسایی کنید NGIPS ها به صورت Centrally توسط Cisco FireSIGHT مدیریت می شوند و می توانند شامل قابلیت هایی مانند AMP و Application Visibility and Control و URL Filtering باشد.

    Data Loss and Exfiltration Methods:
    ما معمولاً اطلاعاتی که وارد سازمان می شوند را بررسی می کنیم و اطلاعاتی که از سازمان خارج می شوند را بررسی نمی کنیم که این روند می تواند باعث چالش های امنیتی شود و حتما بایستی ترافیک های ورودی و خروجی سازمان را بررسی کنیم.
    انواع اطلاعاتی که معمولاً برای هکرها جذاب می باشد:
    -Intellectual Property
    هر نوع دیتا و یا Document که Property و یا مشخصات یک سازمان را نمایان کند و توسط افراد یک سازمان ایجاد شده باشد.
    - Personally Identifiable Information
    هر نوع اطلاعاتی که مربوط به افراد می باشد مانند نام و تاریخ تولد و آدرس.
    - Credit/Debit Card
    اطلاعات مربوط به حساب های کاربری و مالی یک شرکت.


    ویرایش توسط EVERAL : 2018-09-10 در ساعت 10:19 AM
    m2000 سپاسگزاری کرده است.
    !It's possible to change your life at any time

  5. #5
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    (Cisco Configuration Profesional(CCP

    (Cisco Configuration Profesional(CCP:
    یکی از نرم افزارهای شرکت سیسکو CCP است که با استفاده از آن شما می توانید روترهای خود را به صورت گرافیکی پیکربندی کنید.
    برای استفاده از نرم افزار CCP شما نیاز به Java و Flash Player دارید.
    در ابتدا بایستی نرم افزار CCP را برروی کامپیوتر خود نصب کنید.

    پس از نصب برنامه CCP بایستی تنظیمات مورد نیاز برای GNS3 را انجام دهید. برای این منظور ما از IOS Router 7200 استفاده می کنیم و بایستی این روتر را در GNS3 به کامپیوتر خود متصل کنیم.

    پس از انتخاب IOS و اضافه نمودن به GNS3 بایستی سناریوی خود را ایجاد کنید. (فرآیند نصب و راه اندازی را google کنید، در صورتی داشتن سوال جهت اجرایی نمودن برنامه موضوع را از طریق تاپیک جدید اعلام فرمایید).


    m2000 سپاسگزاری کرده است.
    !It's possible to change your life at any time

  6. #6
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    Chapter 3 Implementing AAA in Cisco IOS

    Chapter 3 Implementing AAA in Cisco IOS
    یکی از مکانیزم های امنیتی در شبکه AAA می باشد AAA مخفف Authentication و Authorization و Accounting است؛ Authentication به معنی که چه کسی و Authorization به معنی اینکه به چه چیزی و Accounting به معنی ثبت و ضعیت دسترسی کاربر می باشد.
    مکانیزم AAA دو کاربرد زیر را دارد:
    - Device Access:
    این نوع پیاده سازی بیشتر برای دسترسی به تجهیزات شبکه مانند روتر و سوئیچ و ... توسط مدیران شبکه کاربرد دارد و برای مشخص کردن هویت افراد و سطح دسرتسی آنها و ثبت دسترسی آنها در زمان های مختلف استفاده می شود.
    - Network Access:
    این نوع پیاده سازی بیشتر برای دسترسی کاربران به شبکه استفاده می شود کاربران معمولاً از سه طریق زیر به شبکه متصل می شوند:
    1- از طریق Wire
    2- از طریق Wireless
    3- از طریق VPN
    در این نوع پیاده سازی مشخص می شود چه کاربری به چه سرویسی از شبکه دسترسی داشته باشد و تمامی دسترسی های آن نیز ثبت می شود. برای پیاده سازی AAA ما نیاز به Component های زیر داریم:
    - AAA Client:
    به تمامی تجهیزاتی که در شبکه وجود دارد و قرار است Admin و یا کاربر به آنها دسترسی داشته باشد AAA Client می گویند.
    - AAA Server:
    به سروری که به صورت Central عملیات AAA را انجام می دهد AAA Server می گویند که برای پیاده سازی AAA Server ما می توانیم از ACS استفاده کنیم.
    -Supplicant:
    به Admin یا کاربری که قرار است به سرویس ها و یا تجهیزات شبکه از طریق AAA متصل شود Supplicant می گوییم.
    -AAA Protocol:
    به پروتکل ارتباطی در مکانیزم AAA می گویند که می توان از پروتکل های Tacacs+ و یا Radius استفاده کرد.

    مکانیزم AAA را می توان به دو صورت زیر پیاده سازی کرد:
    1- Local:
    در این روش AAA مستقیما برروی تجهیزات و به صورت Local پیاده سازی می شود و دیتابیس مربوط به آن نیز برروی خود تجهیز شما قرار داد.
    2- External:
    در این روش AAA به صورت Central و از طریق AAA Server پیاده سازی می شود در این حالت دیتابیس مربوط به Username ها به صورت External و برروی خود AAA Server قرار دارد البته در این روش می توان از Active Directory نیز به عنوان External Database در کنار AAA Server استفاده کرد.

    ACS Platform:
    تا قبل از نسخه 5 شما می توانستید ACS را برروی Platform ویندوز نصب و پیاده سازی کنید ولی از نسخه 5 به بعد ACS از سیستم عامل لینوکس Centos استفاده می کند و به صورت یک Appliance و به صورت فایل ISO و یا OVA برای نصب در محیط های مجازی VMware قابل دسترس میباشد.

    What is ISE ؟
    ISE) Identity Service Engine) یک Appliance برای مکانیزم های AAA Server و Posture Assesment می باشد به عبارت دیگر ISE یک جایگزین مناسب برای Solution مربوط به ACS می باشد با استفاده از ISE شما می توانید هم عملیات AAA را انجام دهید و هم می توانید وضعیت یک سیستم را از لحاظ ویروس و Service Pack ها نیز بررسی کنید.
    یک Appliance ISE می تواند از پروتکل های TACACS+ و RADIUS برای مکانیزم AAA استفاده کند.

    مقایسه میان پروتکل های TACACS+ و RADIUS:
    TACACS+ یک پروتکل سیسکویی است در حالی که RADIUS یک پروتکل استاندارد می باشد. در پروتکل RADIUS فقط از Packet های Authentication و Accounting استفاده میکند و Packet Authorization را ندارد در حالی که TACACS+ از هر 3 نوع Packet استفاده می کند.
    در پروتکل RADIUS عملیات Authorization را از طریق Authentication و در یک مرحله انجام می دهد.
    از لحاظ Authorization پروتکل TACACS+ بیشتر برای Device Access استفاده می شود در حالی که RADIUS بیشتر در Network Access استفاده می شود و در مکانیزم Authentication تقاوت زیادی با هم ندارند.
    پروتکل RADIUS از پروتکل UDP در Layer 4 استفاده می کند در حالی که TACACS+ از پروتکل TCP در Layer 4 استفاده می کند. در پروتکل RADIUS فقط پسوردهایی که میان AAA Server و Client منتقل می شود Encrypt می شود در حالی که در پروتکل TACACS+ تمامی Packet های آن Encrypt می شود.
    پروتکل RADIUS وضعیت Accounting بهتر و جزئیتری نسبت به TACACS+ دارد.


    m2000 سپاسگزاری کرده است.
    !It's possible to change your life at any time

  7. #7
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    Configuring Router to Interoperate with an ACS Server

    Configuring Router to Interoperate with an ACS Server
    در این مرحله بایستی تنظیمات مربوط به AAA را هم در سمت Client و هم در سمت Server انجام دهیم به عبارت دیگر ما بایستی AAA Server را به Client معرفی کنیم و به AAA Server هم بایستی Client را معرفی کنیم.
    نصب ACS Server 5.8:
    در ابتدا بایستی یک ماشین مجازی با مشخصات زیر ایجاد کنیم و سپس بایستی ACS ISO را به ماشین مجازی Bind کنیم:


    در این مرحله بایستی برروی ماشین مجازی راست کیلک کرده و سپس آن را روشن یا Power on کنید.



    در این مرحله در کنسول ماشین مجازی بایستی گزینه 1 را برای نصب ACS انتخاب کنید و سپس دکمه Enter را بزنید.


    در این مرحله بایستی کلمه Setup را در قسمت Login تایپ و سپس دکمه Enter را بزنید.



    در این مرحله باید تنظیمات زیر را انجام دهید:
    - Hostname
    -IP Address
    - Mask
    - Default Gateway
    - Domain Name
    - Name Server
    - NTP Server
    - Enable SSH
    - Username and Password

    بعد از مشاهده صفحه Loging مراحل نصب ACS به پایان رسیده است.


    در این مرحله شما می توانید با استفاده از Username admin و پسوردی که در زمان نصب مشخص کرده اید به کنسول CLI ACS متصل شوید.


    برای مشاهده Configuration ACS شما می توانید از دستور زیر استفاده کنید.


    شما می‌توانید از دستور زیر برای بررسی وضعیت سرویس های ACS استفاده کنید.

    در این مرحله برای متصل شدن به صفحه کنسول GUI ACS بایستی از آدرس زیر و Username و Password که در زمان نصب وارد کرده اید استفاده کنید.




    !It's possible to change your life at any time

  8. #8
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    پیاده سازی سناریو AAA از طریق پروتکل TACACS+

    پیاده سازی سناریو AAA از طریق پروتکل TACACS+
    در ابتدا بایستی سناریو زیر را از طریق نرم افزار gns3 ایجاد کنید.


    در این مرحله بایستی تنظیمات مربوط به IP Address را برروی روتر انجام دهید و تست Connectivity بگیرید.



    در این مرحله بایستی تست Connctivity را با روتر انجام دهید.



    در این مرحله باستی AAA را برروی روتر فعال کنید.

    کد:
    R2(config)#aaa new-model

    در این مرحله بایستی متدهای Authentication را مشخص کنید.

    کد:
    R2(config)#aaa authentication login Auth group tacacs+ local
    در این مرحله بایستی متدهای Authorization را مشخص کنید.

    کد:
    R2(config)#aaa authorization exec Author group tacacs+ local

    در این مرحله بایستی متد Accounting را مشخص کنید.

    کد:
    R2(config)#aaa accounting exec Acc start-stop group tacacs

    در این مرحله باستی IP و پسورد مربوط به TACACS+ را مشخص کنید.

    کد:
    R2(config)#tacacs-server host 192.168.1.158 key cisco
    در این مرحله بایستی یک Username و Password به صورت Local برروی روتر تعریف شود این Username and Password برای زمانی استفاده می شود که Failover رخ دهد.
    کد:
    R2(config)#username admin password cisco
    در این مرحله بایستی AAA را تحت Line vty روتر فعال کنیم.
    کد:
    R2(config)#line vty 0 15
    R2(config-line)#login authentication Auth
    R2(config-line)#authorization exec Author
    R2(config-line)#accounting exec Acc

    در این مرحله بایستی وارد کنسول مدیریتی ACS شوید برای این منظور بایستی از IP Address ACS مبتنی بر وب استفاده کنید؛ دقت کنید برای وصل شدن به صفحه کنسول ACS بایستی از HTTPS و بهتر است از Internet Explorer استفاده کنید.


    در این مرحله بایستی با Username acsadmin و پسوردی که در زمان نصب مشخص کرده اید به کنسول ACS خود متصل شوید.




    ویرایش توسط EVERAL : 2018-09-12 در ساعت 08:52 PM
    !It's possible to change your life at any time

  9. #9
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    پیاده سازی سناریو AAA از طریق پروتکل TACACS+

    در این مرحله باید Lacation Device های خود را مشخص و ایجاد کنید.




    در این مرحله باید Device Type های خود را مشخص و ایجاد کنید.





    در این مرحله باید AAA Client های خود را به ACS معرفی کنید.


    در این مرحله باید مشخصات زیر را برای AAA Client تعریف کنید.
    - Name
    - Location
    - Device Type
    - IP Address
    - +Enable TACACS
    - Define Secret Password




    در این مرحله باید Identity Group های خود را بر طبق Policy های یک سازمان تعریف کنید، برای مثال ما قصد داریم یک Identity Group برای Admin و یک Identity Group برای Assistance تعریف کنیم.











    !It's possible to change your life at any time

  10. #10
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    پیاده سازی سناریو AAA از طریق پروتکل TACACS+

    در این مرحله بایستی User name و Password خود را تعریف کنیم.




    در قسمت Assistance نیز به روش بالا User Name و Password را ایجاد کنید.



    در این مرحله بایستی سطح دسترسی به روتر را مشخص کنیم این قسمت تنظیمات مربوط به Authorization می باشد که شامل سطح دسترسی و مجموعه ای از دستوراتی می باشد که یک User می تواند آن را برروی روتر ایجاد کند.





    در این قسمت بایستی Privilege Level را تحت Shell Profile تعریف کنیم.



    در این قسمت یک Shell Profile دیگر با Privilege Level 1 ایجاد می کنیم.


    خروجی کارهای اعمال شده Share Profile به صورت زیر نمایش داده می‌شود.




    !It's possible to change your life at any time

  11. #11
    نام حقيقي: Rmin Rezaeimehr

    عضو ویژه شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    429
    سپاسگزاری شده
    410
    سپاسگزاری کرده
    533
    نوشته های وبلاگ
    4

    پیاده سازی سناریو AAA از طریق پروتکل TACACS+

    در این قسمت بایستی Authorization Policy را تعریف کنیم در ابتدا بایستی شرایطی که می خواهیم در Authorization لحاظ شود را مشخص کنیم.




    در این مرحله بایستی یک Authorization Policy ایجا کنیم.






    در این مرحله مطابق با روش بالا یک Authorization Policy دیگر برای Priv1 ایجاد می‌کنیم.
    خروجی به شکل زیر نمایش داده می‌شود.


    در این مرحله شما می‌توانید AAA را برروی روتر با استفاده از دستور زیر تست کنید.



    در این مرحله بایستی دسترسی از Client به روتر را از طریق ACS بررسی کنیم.





    در این مرحله بایستی وضعیت Accounting را برروی ACS بررسی کنیم.





    برای مشاهده جزئیات هر Account برروی گزینهDetails کلیک کنید.

    - - - ادامه - - -

    در این قسمت بایستی از Command های زیر برای فعال کردن RADIUS Authentication برروی روتر استفاده کنیم:



    در این مرحله باید در ACS و در قسمت Network Access قابلیت RADIUS را برری AAA Client خود فعال کنیم:





    در این مرحله برای تست Authentication از طریق پروتکل RADIUS از دستور زیر برروی روتر استفاده می کنیم:



    در این مرحله برای تست Loing و Accounting به روتر از طریق نرم افزار Putty متصل می شویم:





    در این مرحله بایستی وضعیت Accounting RADIUS را بررسی کنیم:





    ویرایش توسط EVERAL : 2018-09-17 در ساعت 04:36 PM
    !It's possible to change your life at any time

کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •