Transparent Cisco IOS Firewall(ترجمه فارسی بزودی در همین وبلاگ)

Transparent Cisco IOS Firewall

Cisco IOS routers can be configured as a layer 2 bridges, this means that you can configure two or more interfaces to be in the same layer 2 domain and that traffic will be switched instead of routed. Another feature that has been added since IOS 12.3(7)T is the transparent Cisco IOS Firewall. This allows traffic filtering and stateful inspection using CBAC for the layer 2 bridge.

When you configure the router as a transparent firewall it will not do any routing and will only learn the MAC addresses on the interfaces and switch frames between the interfaces. The advantage of a transparent firewall is that you can place it at any location in your network without having to change any IP addresses or networking settings like default gateways.

To demonstrate this feature I will use the following topology:

 

پیکربندی Zone Base Firewall(ترجمه فارسی بزودی در همین وبلاگ)

Zone Based Firewall Configuration Example

Zone Based Firewall is the most advanced method of a stateful firewall that is available on Cisco IOS routers. The idea behind ZBF is that we don’t assign access-lists to interfaces but we will create different zones. Interfaces will be assigned to the different zones and security policies will be assigned to traffic between zones. To show you why ZBF is useful, let me show you a picture:

پیکربندی SNMP v3 روی روترهای سیسکو

SNMP v3 شبیه SNMP v2 و SNMP v1 می باشد اما مدل امنیتی کاملا متفاوتی دارد. SNMP v1 و SNMP v2 از community-string به عنوان پسورد بدون  Authentication و Encryption استفاده می کنند.

SNMP v3 قابلیت استفاده از Authentication و Encryption دارد و مدل امنیتی جدیدی دارد که به Userها ، Groupها و levelهای امنیتی دیگر کار می کند.user ها درون گروه هایی قرار می گیرند که بسته به نوع کاربری آنها می توانید policy هایی را برای آنها تعریف کنید بطور مثال به برخی کاربران دسترسی Read  یا Read-write بدهید واینکه چه MIB (Management Information Base) هایی باید قابل دسترسی باشند را مشخص کنید.

 

آسیب‌ پذیری‌ Cisco Prime Data Center Network Manager

Cisco Prime DCNM، که قبلاً تحت عنوان Cisco Data Center Network Manager شناخته می‌شد، یک نرم‌افزار مدیریت شبکه است که مدیریت اترنت و شبکه‌های ذخیره‌سازی را در یک داشبورد واحد تلفیق می‌کند و به این صورت مدیران شبکه و حافظه را در راستای مدیریت و اشکال‌یابی سلامت و نحوه‌ی عمل‌کرد خانواده‌ بزرگ محصولات سیسکو که Cisco NX-OS Software را اجرا می‌کنند، یاری می‌نماید.

پایگاه اطلاع‌رسانی پلیس فتا: در حال حاضر آسیب‌پذیری‌های متعددی گریبان‌‌گیر Cisco Prime DCNM شده است که قصد داریم به آن‌ها اشاره کنیم.
 

محافظت از شبکه با Unicast Reverse Path Forwarding

Unicast Reverse Path Forwarding (URPF)

معمولا زمانی که روتر شما بسته های IP  را بصورت Unicast دریافت می کند تنها چیزی را که چک می کند این است که IP مقصد آن چیست و آیا می تواند آن را forward نماید یا خیر؟

اگر بسته باید فرستاده شود روتر جدول روت های خود را چک کرده و آن را روی اینترفیس مورد نظر ارسال خواهد کرد.اما روتر شما آدرس فرستنده (source address) را بررسی نخواهد کرد چون این موضوع برای forward کردن بسته اهمیتی ندارد.

به همین دلیل ممکن است  attacker ها با spoof کردن آدرس مبدا (Source ip address)  و بسته هایی را ارسال کنند که بطور معمول توسط فایروال یا Access list ها drop  می شود.