تنظیمات امنیتی

بلاک کردن ip

با استفاده از دستورات زیر می توان تنظیم کرد اگر کاربری رمز عبور برای اتصال ssh اشتباه وارد کرد ip آن کاربر بلاک شود و نتواند ssh بزند

در مثال زیر اگر کاربر ۵ بار در مدت ۶۰ ثانیه رمز عبور ssh را اشتباه وارد کند به مدت ۶۰۰ ثانیه بلاک خواهد شد .

soodar(config)# login block-for 600 attempts 5 within 60

به کمک دستور زیر می توان ip های پلاک شده را unblock کرد.
می توانید با وارد کردن آدرس ip مورد نظر آن را unblock کنید یا با استفاده از گزینه all همه ip های بلاک شده را باز کنید .

soodar(config)# login unblock 
  A.B.C.D   Unban a blocked conenction
  X:X::X:X  IPv4 address of banned connection
  all       IPv6 address of banned connection

urpf

کلمه uRPF تشکیل شده از کلمات Unicast Reverse Path Forwarding می‌باشد. مکانیزمی است به منظور جلوگیری از حملات جعل IP و یا همان IP Spoofing .

نحوه تنظیم urpf در سودار :

soodar(config)# int ge0
soodar(config-if)# ip verify unicast source reachable-via 
  any  Source is reachable via any interface
  rx   Source is reachable via interface on which packet was received
soodar(config-if)# ip verify unicast source reachable-via rx

حالت any
در حالت any کافی است source بسته در جدول مسیریابی روتر وجود داشته باشد و مهم نیست که دقیقا از همان اینترفیسی که روتر به آن route دارد بسته دریافت شود .

حالت rx
در این حالت باید مبدا(source) بسته در جدول مسیریابی روتر موجود باشد و دقیقا در همان اینترفیسی که ما از طریق آن به آن مبدا route داریم دریافت شود و گرنه بسته drop خواهد شد .

session timeout

می توان برای session هایی که به shell روتر ایجاد می شود timeout مشخص کرد و پس از کارنکردن با vtysh در بازه زمانی تعیین شدن session به طور خودکار بسته خواهد شد .
در مثال زیر بعد از غیرفعال بودن نشست به مدت ۶۰ ثانیه نشست بطور خودکار بسته خواهد شد

soodar(config)# line vty 
soodar(config-line)# exec-timeout  
  <cr>         
  (0-2147483)  Timeout in seconds
soodar(config-line)# exec-timeout 60 
soodar(config-line)#