Cisco IOS routers can be configured as a layer 2 bridges, this means that you can configure two or more interfaces to be in the same layer 2 domain and that traffic will be switched instead of routed. Another feature that has been added since IOS 12.3(7)T is the transparent Cisco IOS Firewall. This allows traffic filtering and stateful inspection using CBAC for the layer 2 bridge.
When you configure the router as a transparent firewall it will not do any routing and will only learn the MAC addresses on the interfaces and switch frames between the interfaces. The advantage of a transparent firewall is that you can place it at any location in your network without having to change any IP addresses or networking settings like default gateways.
To demonstrate this feature I will use the following topology:
Zone Based Firewall is the most advanced method of a stateful firewall that is available on Cisco IOS routers. The idea behind ZBF is that we don’t assign access-lists to interfaces but we will create different zones. Interfaces will be assigned to the different zones and security policies will be assigned to traffic between zones. To show you why ZBF is useful, let me show you a picture:
SNMP v3 شبیه SNMP v2 و SNMP v1 می باشد اما مدل امنیتی کاملا متفاوتی دارد. SNMP v1 و SNMP v2 از community-string به عنوان پسورد بدون Authentication و Encryption استفاده می کنند.
SNMP v3 قابلیت استفاده از Authentication و Encryption دارد و مدل امنیتی جدیدی دارد که به Userها ، Groupها و levelهای امنیتی دیگر کار می کند.user ها درون گروه هایی قرار می گیرند که بسته به نوع کاربری آنها می توانید policy هایی را برای آنها تعریف کنید بطور مثال به برخی کاربران دسترسی Read یا Read-write بدهید واینکه چه MIB (Management Information Base) هایی باید قابل دسترسی باشند را مشخص کنید.
ادامه مطلب ...Unicast Reverse Path Forwarding (URPF)
معمولا زمانی که روتر شما بسته های IP را بصورت Unicast دریافت می کند تنها چیزی را که چک می کند این است که IP مقصد آن چیست و آیا می تواند آن را forward نماید یا خیر؟
اگر بسته باید فرستاده شود روتر جدول روت های خود را چک کرده و آن را روی اینترفیس مورد نظر ارسال خواهد کرد.اما روتر شما آدرس فرستنده (source address) را بررسی نخواهد کرد چون این موضوع برای forward کردن بسته اهمیتی ندارد.
به همین دلیل ممکن است attacker ها با spoof کردن آدرس مبدا (Source ip address) و بسته هایی را ارسال کنند که بطور معمول توسط فایروال یا Access list ها drop می شود.
ادامه مطلب ...