NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 4 أبريل 2016

تعريف ب Infrastructure ACL








تعريف ب Infrastructure ACL

من الشائع أن (ACL) بنوعيها (standard) أو (extended) تستخدم لغايتين رئيسيتين: إما لتصفية (فلترة) البيانات المارة عبر جهاز الشبكة، أو لتحديد البيانات المارة عبر جهاز الشبكة وربطها بعملية معينة مثل (NAT/PAT). كلا الغايتين هدفهما البيانات التي تعبر من خلال جهاز الشبكة (through the box). ولكن يمكن استخدام هذه الأداة لحماية أجهزة الشبكة من خلال إحكام البيانات الموجه’ إلى الجهاز نفسه (to the box).

من المعلوم أن الوظيفة الرئيسية لأجهزة الشبكة هي تمرير وتوجيه البيانات التي تمر من خلالها، وهذا الدور الذي تؤديه الأجهزة يسمى (data plane)، ويتم تطبيق أساليب وسياسات مختلفة على البيانات المارة عبر أجهزة الشبكة باستخدام (ACL) وتصنف بأنها (transit ACL “tACL”).

لكنه يلزم أيضا تطبيق الحماية وسياسات الأمن للبيانات الموجهة إلى أجهزة الشبكات نفسها، مثل البيانات الخاصة ببروتوكولات الادارة (Telnet/SSH)، أو بروتوكول مراقبة أجهزة الشبكة وإدارتها (SNMP)، أو بروتوكولات التوجيه (OSPF, EIGRP, BGP). حيث من الضروري أن يتم ضبط الوصول لهذه البروتوكولات لرفع مستوى الحماية للشبكة باستخدام (ACL) حيث تصنف على أنها (Infrastructure ACL “iACL”).

تتيح (iACL) حماية أجهزة الشبكة من الهجمات التي تتعرض لها الشبكة استغلال البروتوكولات الشائعة والعاملة عليها لاغراض تهدف إلى تعطيل عمل الشبكة أو الحصول على عناوين الشبكات العاملة  (network addresses) أو منح صلاحيات للوصول لشبكات غير ممكنة الوصول إليها بالغاء أو تعديل اعدادات هذه الأجهزة. عند  تطبيق (iACL) يتم السماح فقط للبيانات الصادرة من أجهزة معينة من الوصول إلى  أجهزة الشبكة، وبالتالي فإن الهدف من (iACL) هو حماية (control plane) و (management plane).

ويجب الأشارة هنا بأن (iACL) لا يمكنها حماية أجهزة الشبكة من البيانات الضارة التي تصدر من الأجهزة الطرفية المصرح لها الوصول لأجهزة الشبكة. إذ أنه يجب تحصين الأجهزة الطرفية نفسها حسب طبيعة الجهاز. على سبيل المثال يمكن استخدام (iACL) لاحكام عمل بروتوكول (SNMP) على جهاز الشبكة وذلك بالسماح لجهاز أو أجهزة (SNMP manager) معينة من الوصول لجهاز الشبكة لأخذ قراءات (SNMP) المخزنة، هذا يؤدي إلى رفع مستوى الحماية لأجهزة الشبكة. لكن (iACL) لا تمنع اصابة أجهزة (SNMP manager) من البرمجيات الخبيثة التي قد تُستغل للحصول على معلومات عن عناوين الشبكات العاملة في المنظومة.
مثال استخدام (iACL)
في المثال التالي استخدمت (iACL) للسماح لجهاز (172.18.18.10) والمستخدم لادارة (management workstation) وجهاز (172.18.10.10) وهو عبارة عن خادم (server) من امكانية استخدام (ping) للتأكد من الوصول لأجهزة الشبكة :

ip access-list extended ACL-INFRASTRUCTURE-IN
!--- Permit ICMP Echo (ping) from trusted management stations and servers
 permit icmp host 172.18.18.10 any echo
 permit icmp host 172.18.10.10 any echo

!--- Deny all other IP traffic to any network device
 deny ip any 172.18.0.0 0.0.255.255

!--- Permit transit traffic
 permit ip any any



الاثنين، 14 مارس 2016

الفرق بين IOS - IOS XR - IOS XE - NX-OS



الفرق بين فئات أنظمة التشغيل لأجهزة سيسكو
يوجد عدة فئات من أنظمة التشغيل الخاصة بأجهزة سيسكو هي: IOS و IOS XR و IOS XE و NX-OS
يعمل نظام التشغيل (IOS( العادي على أغلب أجهزة سيسكو منذ زمن بعيد، وهو بتركيبته مبني على مبدأ أنظمة التشغيل )Monolithic OS( والتي تمتاز بأنها تعمل بكل وظائفها ضمن نفس النواة (kernel) على عكس أنظمة التشغيل الحديثة. إن تعطل جزء أو خاصية من نظام التشغيل تؤدي لتعطل نظام التشغيل بالكامل. وكذلك اجراء تحديث على نظام التشغل يتطلب اعادة تشغيل الجهاز.
يمتاز نظام التشغيل (IOS XR( بأنه أكثر استقرارية من نظام التشغيل (IOS) مع وجود امتيازات أخرى اضافية مثل امكانية اعادة تشغيل جزء من نظام تشغيل (process( بالاضافة لامكانية اجراء تعديلات على الاعدادات (configuration) ومن ثم تفعيلها على الجهاز باستخدام الأمر (commit). يعمل نظام التشغيل (IOS XR) على أجهزة سيسكو المستخدمة في شبكات الكبيرة من مستوى مزودي خدمات الانترنت ومزودي قنوات الاتصال (Carrier Class) مثل الأجهزة من فئة (12000) أو فئة (CNS-1(.


تستخدم شركة سيسكو نظام التشغيل (IOS XE) في أجهزة الراوترات الكبيرة من فئة (ASR) والتي تستخدم ضمن الشبكات الكبيرة التي تحتوي على عدد كبير من وصلات (WAN). يمتاز نظام التشغيل هذا بأنه (modular) أي يمكن اعادة تشغيل جزء من نظام التشغيل دون الحاجة لاعادة تشغيل الجهاز. كما يمنح نظام الشغيل (IOS XE) امكانية اضافة خدمات ووظائف يمكن تشغيلها على الجهاز مثل تطبيقات (SDN).
فيما يتم استخدام نظام التشغيل (NX-OS) في أجهزة السويشتات من فئة (Nexus) والتي تستخدم في بناء مراكز البيانات (Data Centers) الحديثة والتي تتطلب الكثير من الخصائص والامكانيات نتيجة استخدام (Virtualization) في تشغيل الخوادم وما يتطلبه ذلك من توفر قدرات اضافية وخصائص جديدة منها على سبيل المثال القدرة على ارسال عدد كبير جدا من البيانات وامكانية بناء مراكز بيانات موحدة في مواقع مختلفة مرتبطة معا من خلال شبكات (layer 3).