DMVPN

التطبيق العملي والأوامر لل DMVPN .

Information Security D-11
===================

السيناريو هو ثلاث فروع تتمثل بي ثلاث روترات R1/R2/R3 , مربوطة بي Switch والذي يمثل دور ال ISP .
3 روترات مربوطة بي Switch Multilayer , الانترفيس في الروترات كلها هو F0/0 , الانترفيسات في السوج

R1 F0/0—> Switch F0/1
R2 F0/0—> Switch F0/2
R3 F0/0—> Switch F0/3
====================
R1 F0/0—> 150.1.1.1/24
R1 F0/0—> 150.1.2.2/24
R1 F0/0—> 150.1.3.3/24
====================
Switch F0/1—> 150.1.1.10/24
Switch F0/2—> 150.1.2.10/24
Switch F0/2—> 150.1.3.10/24
====================
نعمل الروت اولا بين الروترات من خلال Default Route , لكي يتأسس الاتصال بين الروترات الثلالثة ، (مرة اخرى يجب ان نتذكر ان هذة العناوين او الايبيات من المفترض حقيقية من ال ISP . وتسمى هذة العناوين NBMA تذكر هذا)

====================
R1—> IP Route 0.0.0.0 0.0.0.0 150.1.1.10
R2—> IP Route 0.0.0.0 0.0.0.0 150.1.2.10
R3—> IP Route 0.0.0.0 0.0.0.0 150.1.3.10
====================

نلاحظ هنا ان ال Switch Multiyear هو ال Next Hop للروترات ، النتيجة الروترات سوف تتصل في ما بينها . ماهي فائدة هذا !!
الروترات هنا تمثل فروع او شركات متفرقة يربطها ال ISP والذي يتمثل بي ال SWITCH في مثالنا هذا .
كل شي جميل و متكامل لايحتاج ان تصدع رؤوسنا بي ما يعرف DMVPN !!
لحظة ، ماذا لو كان عندك شبكات وراء الروترات ! اعني اذا أردنا ان نتناقل شبكات اخرى بين الروترات ، مثلاً ال R1 فية شبكات اخرى نريد ان ننقلها الى ال R2 . اكيد سوف نذهب الى ال ISP وسوف يطلب أجور إضافية !!

مع ال DMVPN سوف لن نحتاج ال ISP أبدا ، حيث أنتا سوف نعمل بخصوصية تامة من خلال نفق ال GRE ، كما سنلاحظ ، وكذالك بسرية تامة من خلال ال IPSec وكما سنرى لاحقا أيضاً .

لنبدء بعمل ال DMVPN …..

هناك ثلاث طرق لي ال DMVPN :

Phase #1 —> Hob and Spokes
Phase #2 —> Spoke To Spoke
Phase #3 —> Redirect / Shortcut
====================

ال Phase #1,2 مهم جداً لذالك سيكون موضوعنا .

Phase #1
في التصميم السابق المكون من 3 روترات مربوطة في ال Switch , سوف نجعل R1 هو ال HUB
وبقية الروترات Spoke . لنتعرف على الأوامر و الخطوات :
R1
===
‪#‎Interface‬ Tunnel 1
‪#‎IP‬ address 10.1.1.1 255.255.255.0
‪#‎Tunnel‬ source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================

في هذة الأوامر ، عملنا انترفيس يمثل النفق الذي سيكون الممر بين فروع الشركة ، وعينا لة مصدرة وهو ال IP الحقيقي من ال ISP . وجعلناة متعدد الاتصال و الوصول من خلال الامر الأخير Multipoint .
====================

عمل ال NHRP بروتكول ، وهو الذي يقوم بربط ال IP الحقيقي مع ال IP العادي او ال Private
بشكل اوتماتيكي وكما في الأوامر التالية :
(ملاحظة جميع أوامر ال DMVPN في الانترفيس مود الخاص بي ال Tunnel )

IF)#IP NHRP Network-ID 111
IF)#IP NHRP Map 10.1.1.2 150.1.2.2
IF)#IP NHRP Map 10.1.1.3 150.1.3.3
======================

الامر الاول هو تحديد وتفعيل ال NHRP ID .
الامر الثاني و الثالث هو عمل ترجمة لروترات مع عناوينها ، عناوين الروترات الحقيقية من ال ISP وكذالك عناوين ال Tunnel Interface .

R2
====
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Destination 150.1.1.1
=======================
في هذة الأوامر نلاحظ اننا حددنا ال Destination والتي تمثل ال HUB , ذالك ان ال R2 عندما يتحدث مع ال R3 يجب ان يمر من خلال ال HUB .
====================

IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
في الامر الاول تحديد وتفعيل ال NHRP بروتكول ، ولا يهم اي رقم تضع ، ولا يحب ان تتطابق الأرقام بين الروترات .
الامر الثاني هو تحديد المترجم الذي سيقوم بتنسيق والربط بين العنوان الحقيق وعناوين الخاصة بي ال Tunnel . وهذا المترجم كما هو واضح ال R1 والذي يمثل ال HUB .
====================

نفس الإعدادات نضعها في الروتر R3 وكما يأتي :
R3
====
#Interface Tunnel 3
#IP address 10.1.1.3 255.255.255.0
#Tunnel source 150.1.3.3
#Tunnel Destination 150.1.1.1
====================
IF)#IP NHRP Network-ID 333
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
Phase #2
=======
هنا القصة ستكون ان R2 مع ال R3 يستطيعون ان يتصلون مباشرتا بدون ال HUB R1 .
ولكن يجب ان تضع بعض الأمور في بالك ، أولها ان ال R2,R3 يجب عليهم عمل رجستر في ال NHRP Server والذي يقوم مثل ما عرفنا بربط العناوين الحقيقة مع عناوين ال Tunnel .
وهو ال HUB في مثالنا ،
الامر الاخر الذي يجب ان تضعة في بالك ، ان ال R2,R3 يجب ان يتوفر بينهم الاتصال المباشر Physically اولا . وهذا متوفر في مثالنا حيث جميع الروترات مربوطة بي ال Switch . مما يوفر الطريق لل R2, R3 من عمل رجستر في ال R1 من ثم بعد ذالك الاتصال في ما بينهما مباشر بدون الرجوع لل R1 .

الأوامر كما يأتي :

R1
====
#Interface Tunnel 1
#IP address 10.1.1.1 255.255.255.0
#Tunnel source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================

# IP NHRP Network-ID 111

فقط مع هذا الامر ، سيكون ال R1 هو ال NHRP Server .

====================

R2
===
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Mode GRE Multipoint
====================
لاحظ الامر الأخير جعلنا ال Tunnel يكون متعدد النقاط ، وليس كما في الحالة السابقة كانت وجهته لل HUB فقط .
====================
IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
IF)#IP NHRP NHS 150.1.1.1
====================

لاحظ الامر الأخير ، يخبر الروتر R2 ان سيرفر ال NHRP هو ال R1 150.1.1.1 .

يجب ان تعرف ان كل الكونفك السابق والأوامر هي لتحقيق الاتصال ، او تأسيس الاتصال المستقل في بيئة ال WAN او اي بيئة كانت .

في ال CCIE LAB سيطلب منك تطبيق ال RIPV2 / EIGRP / OSPF / BGP في بيئة ال DMVPN عوضاً عن ال Frame Relay

لذالك يجب تأسيس الاتصال اولا ثم تطبيق الروت بروتكول بعد ذالك .
==============

هدف ال DMVPN الآتي :
1- أستقلالية تامة ممثلة بي ال Tunnel + GRE .

2- مرونة عالية والمتمثلة بي ال NHRP بروتكول .

3- سرية عالية و المتمثلة بي ال IPSec على ال Tunnel Interface . والذي سيكون محتوى الكتابات القادمة .

هذة هي ملخص أوامر ال DMVPN بدون اضافة ال IPSec , مع نبذة عن هذة الأوامر .
اخيراً لن تشعر بقيمة هذة التكنولوجي اذ لم تطبقها .

شكر خاص الى الاستاذ الكبير كرم جبري ، والأستاذ الرائع ياسر رمزي على ملاحظاتهم وارشاداتهم لهذا العمل . كل التقدير والاحترام لهم

Karam jabry
Yasser Ramzy Auda

انتظرونا في الكتابات القادمة مع ال DMVPN With IPSec .

ضاري خالد ،

 

DMVPN With IPSec

التطبيق العملي والأوامر لل
DMVPN With IPSec .

Information Security D-12
===================
في كتابات اليوم سنظيف بروتكول ال IPSec على ال DMVPN . لكي نجعل الخطوط بين الروترات او بين ال Hub R1 و الفروع R2/3 مؤمنة ، محمية ، و مشفرة !! وهل نحتاج هذا ؟ ولماذا ؟

نعم نحتاج لسببين : الاول ان الخطوط بين الفروع في حقيقة الامر ستبحر في الانترنيت لذالك نحتاج ان نوفر الحماية لهذا الترفك المار خلال هذة الخطوط . وربما تسائل أين الانترنيت الذي تتكلم عنة !! في مثالنا يوجد فقط Switch و ثلاث روترات !!! نعم ال Switch يمثل الانترنيت في مثالنا او يمثل ال ISP .

السبب الاخر والمهم ان ال DMVPN تبنى على ال GRE Tunnel Interface وهذا الانترفيس غير محمي ، بمعنى الاترفك الذي يمر من خلالة مكشوف وغير مؤمن . لذالك اقتضى الامر ان نستعين بالية او ببروتكول يساعدنا على تشفير مافي داخل هذا الانترفيس ، وهذا البروتكول هو ال IPSec . لذالك ال DMVPN تعمل بدون ال IPSec . لكنها ستكون غير محمية .

السيناريو هو ثلاث فروع تتمثل بي ثلاث روترات R1/R2/R3 , مربوطة بي Switch والذي يمثل دور ال ISP .
3 روترات مربوطة بي Switch Multilayer , الانترفيس في الروترات كلها هو F0/0 , الانترفيسات في السوج

R1 F0/0—> Switch F0/1
R2 F0/0—> Switch F0/2
R3 F0/0—> Switch F0/3
====================
R1 F0/0—> 150.1.1.1/24
R1 F0/0—> 150.1.2.2/24
R1 F0/0—> 150.1.3.3/24
====================
Switch F0/1—> 150.1.1.10/24
Switch F0/2—> 150.1.2.10/24
Switch F0/2—> 150.1.3.10/24
====================
نعمل الروت اولا بين الروترات من خلال Default Route , لكي يتأسس الاتصال بين الروترات الثلالثة ، (مرة اخرى يجب ان نتذكر ان هذة العناوين او الايبيات من المفترض حقيقية من ال ISP . وتسمى هذة العناوين NBMA تذكر هذا)
====================
R1—> IP Route 0.0.0.0 0.0.0.0 150.1.1.10
R2—> IP Route 0.0.0.0 0.0.0.0 150.1.2.10
R3—> IP Route 0.0.0.0 0.0.0.0 150.1.3.10
====================
نلاحظ هنا ان ال Switch Multiyear هو ال Next Hop للروترات ، النتيجة الروترات سوف تتصل في ما بينها . ماهي فائدة هنا !!
الروترات هنا تمثل فروع او شركات متفرقة يربطها ال ISP والذي يتمثل بي ال SWITCH في مثالنا هذا .
==============
تمت عملية الروت مابين الفروع و ال ISP . لننتقل الى إعدادات ال DMVPN بدون ال IPSec .
الأوامر كما يأتي :

R1
====
R1#Interface Tunnel 1
R1#IP add 10.1.1.1 255.255.255.0
R1#Tunnel source 150.1.1.1
R1#Tunnel Mode GRE Multipoint
R1# IP NHRP Network-ID 111
====================
R2
===
R2#Interface Tunnel 2
R2#IP add 10.1.1.2 255.255.255.0
R2#Tunnel source 150.1.2.2
R2#Tunnel Mode GRE Multipoint
R2#IP NHRP Network-ID 222
R2#IP NHRP Map 10.1.1.1 150.1.1.1
R2#IP NHRP NHS 150.1.1.1
====================
R3
===
R3#Interface Tunnel 3
R3#IP add 10.1.1.2 255.255.255.0
R3#Tunnel source 150.1.2.2
R3#Tunnel Mode GRE Multipoint
R3#IP NHRP Network-ID 222
R3#IP NHRP Map 10.1.1.1 150.1.1.1
R3#IP NHRP NHS 150.1.1.1
====================

الان ننتقل الى المرحلة المهمة في هذا المقال ، إعدادات ال IPSec . تذكر سوف نقوم بإضافة الفيز الاول والثاني في جميع الروترات . وبشكل متطابق ، اذا ليس لديك فكرة عن الفيز الاول والثاني راجع الكتابات الاولى في هذة السلسلة .
بعدها نعمل بروفيل للتشفير يضم كل إعدادات ال IPSec و سيسمى هذا البروفيل CCIE . وسيكون معرف عن كل الروترات وبالأخص ال Hub او ال R1 . ما فائدة هذا البروفيل ؟؟؟
لو لم يكن موجود هذا البروفيل . سوف ينبغي علينا اضافة إعدادات الفيز الاول والثاني لكل فرع جديد ينظم الى الشركة . بمعنى اننا لو لدينا خمسة روترات إضافية ، يجب ان نعود الى ال Hub R1 ونضيف خمسة Crypto Map كل واحدة خاصة بروتر من هذة الروترات او الفروع الخمسة وهذا يعني اننا نقوم بعمل ال
VPN Site-To-Site

لكننا مع الية عمل ال DMVPN والتي تتمثل بالمرونة والديناميكية ، من خلال ال mGRE نستطيع ان نستفاد من هذة النقطة ونضع بروفيل او BOX يمثل الية تشفير سهلة التوزيع .

لنتعرف على الاوامر الخاصة بي ال IPSec التي يجب إضافتها في الروترات الثلاثة :

R1
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 1
tunnel protection ipsec profile CCIE
===================

R2
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 2
tunnel protection ipsec profile CCIE
===================

R3
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 3
tunnel protection ipsec profile CCIE
===================

لاحظ الاوامر المهمة في جميع الروترات بما يخص ال IPSec وعملة مع ال DMVPN هي :

1. crypto isakmp key CCNP address
0.0.0.0 0.0.0.0
================
2. crypto ipsec profile CCIE

set security-association lifetime seconds 86400

set transform-set DHARI
=============
3. interface Tunnel 3

tunnel protection ipsec profile CCIE
==============

الامر الاول : وهو الذي يجعل تاسيس الاتصال المشفر مفتوح لكل العناوين . بعد التحقق من المفتاح وهو ال CCNP في مثالنا . حيث سيقوم الروتر الثاني بتأسيس نفق IPSec مع الروتر الثالث بواسطة هذا الامر . اما اذا أردنا ان يكون التأسيس ملزم بال Hub R1 فعلينا ان نضع عنوان ال R1 بدل ال 0.0.0.0 .
==============
الامر الثاني : فائدتة تكوين البروفيل الذي سيكون فية كل أدوات التشفير وبالأحرى سيكون فية ال IPSec والمسمى DHARI في مثالنا ، وسيكون اسم هذا البروفيل CCIE .
===============
الامر الثالث : وهو يفيد بربط البروفيل ال CCIE مع الانترفيس ال Tunnel المسوؤل عن عمل ال DMVPN .
================
اخيراً اوامر التحقق :

Router#Show Crypto Session
Router#Show Crypto Map
Router#Show DMVPN
Router#Show IP NHRP

================

حاول تطبيق هذا الاب وستكتشف المزيد . ألقاكم في الكتابات القادمة وستكون خاصة بي ال GET VPN . تابعونا …

ضاري خالد ،

 

Next-Generation Encryption

فكرة Next-Generation Encryption NGE

Information Security D-12
===================
سيسكو تقدم لنا هذة المجموعة الجديدة من بروتكولات التشفير ، والتي ستكون الأهم في المستقبل القريب . أطلقت سيسكو على هذة الحزمة من بروتكولات التشفير اسم ال NGE
Next-Generation Encryption
والتي تعني الجيل الجديد القادم لتكنولوجي التشفير . سيسكو غيرت المعادلة التي يعمل عليها العالم منذو ٣٠ سنة ، لنتعرف بشكل سريع على محتوى ال NGE :
===============
اولا : سيسكو استبدلت بروتكولات تشفير المفاتيح المشهورة RSA / DH بي بروتكول جديد يسمى
Elliptic curve cryptography. ECC
===============
ثانيا : البروتكولات الخاصة بي ال Authentication استبدلت بي بروتكول ال

Galois/Counter Mode GCM.

والذي يعتبر جزء من بروتكول ال
Advanced Encryption Standard AES
==================
ثالثا : البروتكولات الخاصة بي ال Hashing
استبدلت هي الاخرى حيث استبدل ال MD5 / SHA-1 بي البروتكول المعروف SHA- 2

هذة البروتكولات الجديدة سنراها في اجهزة سيسكو قريبا ، علما انها جزء مهم من بروتكولات ال IKEv2 وكذالك ال TLS V1.2 .

ضاري خالد ،

 

IPSec Anti-Replay Protection

فكرة IPSec Anti-Replay Protection

Information Security D-13
===================
خاصية مهمة جداً في ال IPSec فكرتها ببساطة لو كان لديك اتصال بين نقطتين او اكثر مشفر بشكل ممتاز وباستخدام اي نوع من انواع ال VPN . اكيد ستكون مطمئن بان لا احد يستطيع ان يقترب او يستخدم هذا الاتصال لانة ببساطة مشفر .
وماذا لو كان الهكر يستطيع ان يستنسخ هذا الترفك ثم يستخدمة بمافية من تشفير لكي يكون هو المصدر لهذا الاتصال او يكون جزء من الاتصال !! هل ممكن هذا ؟ نعم والذي يتمثل بعمل Duplicate Encrypted Packets ثم يستخدمها بالرد على الاتصال ليكون جزء من هذا الاتصال .

ال IPSec وضع حد نوعا ما جيد لهذا المشكل بواسطة ال Anti-Reply Protection والتي تتمثل بإعطاء رقم فريد غير مكرر يسمى Sequence يعني تتابعي . لكل بكت مشفر . ويراقب هذة الأرقام . لو تم تطابق الأرقام بواسطة الهكر سيتم كشف هذا الموضوع بسرعة ذالك لان هذا الرقم سوف يتم التحقق منة اولا قبل كل شي .
هذا الرقم يحشر في البكت في جزء ال Window Size والتي بدورها تكفي لإضافة هذا الرقم وتكون 64 Bit . اغلب الفيرول تسمح بزيادة هذا الرقم تبعا لظروف معينة .

إذن ال IPSec Anti-Reply Protection عبارة عن رقم فريد مضاف للبكت المشفرة لغرض حمايتها من الاستنساخ .

ضاري خالد ,

 

Group Encrypted Transport. VPN

ال GET VPN

Group Encrypted Transport. VPN

Information Security D-14
=====================

تذكروا معي موضوع ال VPN Site-To-Site
حيث كان يقوم على أساس النقطة لنقطة او Point To Point . وكان كذالك يعتمد على اداء النقاط في مابينها . ماذا لو كان عندي نقطة لعدة نقاط ؟ او ماذا لو كان عندي نقاط كثيرة او روترات ، فيروولات تريد ان تتصل في مابينها بهذا الاسلوب أسلوب النقطة لنقطة . ها سيكون هناك مركزية في التشفير ؟ هل سيكون هناك مركزية في توزيع المفاتيح والتي تسمى Keyes ؟

ابداً سنفتقد للمركزية ؟ ذالك لان كل نفطة لديها مفاتيحها وأساليب تشفيرها مع النقطة الاخرى !! إذن ماهو الحل ؟؟

مشكلة اخرى ، تذكر معي موضوع ال DMVPN والذي يوفر مع خاصية الفيز الثاني إمكانية التحدث بين ال Spoke To Spoke بشكل مباشر . جيد جداً ، علما ان ال DMVPN اصبحت احد الحلول المهمة في ال WAN مما يقودنا الى التفكير بأكثر من Spoke واحد يتحدث مع الاخر باللغة التشفير والتي يتخللها الكثير من المفاتيح Keys .

ماذا لو أردت ان اشفر هذا الترفك القائم بين ال. Spoke To Spoke بشكل مركزي من غير الرجوع ال Hub ؟؟

ال GET VPN توفر الحلول لهكذا مشاكل ، تتكون هذة التكنولوجي من 6 اجزاء مهمة تقوم بأدوار محددة . للوصول الى ال GET VPN

لنأخذ فكرة علمة عن هذة التكنولوجي ، ال GET VPN تحدد روتر او فيروول واحد خاص بإنشاء المفاتيح ، وتحدد الجهاز الاخر وربما نفس الجهاز بتشفير وتوزيع هذة المفاتيح .
انشاء وتوزيع المفاتيح لمن ؟؟ للروترات او الفيرولات التي تريد ان تستخدم خدمة ال VPN . كما ذكرنا نقطة تريد الوصول لنقطة اخرى او Spoke يريد الوصول الى Spoke اخر . فتبدء هذة الأجهزة بطلب المفاتيح وآليات التشفير من الأجهزة المسؤولة عن ال KEYS وتشفير هذة ال KEYS , ومن ثم توزيعها من نفس هذة الأجهزة.

الان نعود الى اجزاء ال GET VPN :

1. Group Domain Of Interpretation GDOI
===================
وهو البروتكول المسؤول عن انشاء المفاتيح وتشفير هذة المفاتيح الفيز الثاني اي مفاتيح ال IPSec .
يستخدم ال UDP مع بورت 868 لضمان السرعة في الأداء . حيث يولد مفاتيح لل IPSec ثم يشفر هذة المفاتيح تستخدم 2 تكنولوجي لعمل التشفير

الاول : ال Key Encryption Key KEK
لتشفير المفاتيح ذاتها .

الثاني : ال Traffic Encryption Key TEK. والذي يقوم بتوليد المفاتيح الخاصة بتشفير الترفك
===================
2. Key Server KS
===================
تكنولوجي تدير ال IPSec Policy , حيث تدير هذة التكنولوجي مواضيع الترفك المخصص للتشفير ، وقت انتهاء ال Keys . وغيرها من الأمور التي تخص ال IPSec .
تطبق هذة التكنولوجي في داخل سيسكو روتر ويسمى ال Key Server .
==================
3. Co-operative Key Server COOP KS
=================
وهذا الجزء يختص بإعادة استخدام المفاتيح لل ال GM لحظة ماذا يعني ال GM ؟ سوف نعرف بعد قليل .
=================
4. Group Member GM
=================
وهم الروترات او الفيرولولات التي سوف تستخدم ال GET VPN .
==================
5. Rekeying
==================
وهو الجزء الذي يرسل للكل ال GM مفتاح جديد او key قبل ان يصل المفتاح القديم الى وقت الانتهاء . بالضبط يعمل بما يعرف ال Refresh Keys .
==================
6. Time-based Anti-Replay TBAR
=================
ال Anti-Replay كما عرفنا في المقال السابق هي ان ال IPSec يضع رقم متتابع لكل تشفير يقوم بة . لكي يحمي البكت من الاستنساخ .
هذة الخاصية توفر إمكانية للمستلم من ان يحدد ان هذا الرقم مقبول ومتفق علية مسبقا مع المرسل ضمن وقت محدد .

لتلخيص كل ماسبق ، ال GET VPN توفر المركزية في توزيع وتوفير وتشفير المفاتيح وتشفير المفاتيح نفسها للوصول الى تشفير الترفك ككل بمركزية وسرعة ومرونة عالية ، من خلال توزيع الأدوار . وتتكون من الأجزاء الآتية :

1. Group Domain Of Interpretation GDOI.
2. Key Server KS .
3. Co-operative Key Server COOP KS .
4. Group Member GM .
5. Rekeying .
6. Time-based Anti-Replay TBAR

اخيراً ، من النقاط المهمة والمستخدمة دائماً وينصح التركيز عليها من بين اجزاء ال GET VPN هي : النقاط 1 2 3 .

الكتابات القادمة ستكون عن الاوامر المطلوبة لتأسيس وعمل ال GET VPN . تابعونا . . .

ضاري خالد ،

 

أسئلة يجب ان تجد لها إجابات لانها مهمة !! الإجابة

الأسئلة

أسئلة يجب ان تجد لها إجابات لانها مهمة !!

بارك الله بالجميع دعني اضع اجابتي علها تكون صحيحة او واضحة .

السوال الاول :
ممكن ان يربط الانترفيس الترك مع vlan غير ال native . ماهو الغرض ؟ لتفعيل ال svi انترفيس من دون خسران اي انترفيس . وهذا يدخلنا بموضوع اخر عميق ساتطرق الية لاحقا .

السوال الثاني :
للتوضيح لدينا روتر فية dhcp سيرفر ونريد ان تاخذ الانترفيسات في الروتر نفسة من هذا ال dhcp سيرفر ممكن ؟ بمعنى ان الروتر يعطي عناوين اوتماتيكية لنفسة من خلال ال dhcp المركب علية
كيف يكون هذا ؟؟ نعمل dhcp واعتقد معروف . ثم نذهب على الانترفيس الذي نريد ان ياخذ من هذا السيرفر ونكتب الامر Ip address pool Name طبعا نضع اسم ال pool الذي عملناة في ال dhcp .

السوال الثالث :
وهو مهم جدا في الشركات هو ان يكون ال dhcp سيرفر في روتر وكما تعلمون ان ال dhcp يتكون من الشبكة وال gateway ممكن ان تكون ال gateway في جهاز اخر مثلا في multilyer Switch الفائدة من هذا هو جعل الروتر بانترفيس واحد فقط يكون dhcp سيرفر للكثير من الشبكات ذالك لان ال gateway تتواجد في مكان اخر . ولو كانت هذة ال gateway يجب ان تكون دائما في الروتر لحتاجينا الكثير من الانترفيسات في الروتر لعمل الكثير من ال dhcp servers
السوال الرابع :
بالتاكيد ممكن . لو تصورنا روتران مربوطان بسيريل من نقطة لنقطة اخرى مثلا . ممكن ان نستخدم امر ال Ip unnumber والذي يتيح لنا ان تتصل هذة النقاط بواسطة استعارت عناوين او IPs من انترفيسات اخرى . وزد على ذالك ان الاتصال بين نقطة لنقطة اخرى لا يحتاج دائما ان تكون النقطتان من نفس الشبكة ، مثلا تستطيع ان تجرب بين روتران مربوطان بسيريل ومفعل على هذة الانترفيسات البروتكول الرائع PPP . وضع في الانترفيس الاول 10.10.10.1 والاخر 20.20.20.1 واعمل ping سترى ان هناك اتصال

السوال الخامس :
ممكن من خلال ال SVI انترفيس . مثلا لدينا 2 switches مربوطين بكيبل واحد فقط . وهذا الاتصال هو trunk . ممكن ان نكون مثل ثلاث svi انترفيس في الطرفين ، بشبكات مختلفة ، وبالتاكيد يجب ان تكون ارقام ال vlan متطابقة في الطرفين ، والامر الاخر يجب ان يكون ال svi في داخلة انترفيس واحد على الاقل لكي يكون UP . وهذا يعلل جواب السوال الاول حيث ممكن ان نضع ال trunk نفسة في هذة ال Vlan او في هذا ال svi لكي يكون active . بعدها يمكن تمرير الترفك الخاص في الشبكات الثلاثة في مثالنا هذا .

هذا ماعندي اتمنى ان يكون واضح و مفيد علما ان هناك اجابات صحيحة فبارك الله بالجميع

 

أسئلة يجب ان تجد لها إجابات لانها مهمة !!

أسئلة يجب ان تجد لها إجابات لانها مهمة !!

١- هل ال Trunk Interface ممكن ان يكون في VLAN معينة ؟

٢- هل ممكن الحصول على IP Address لروتر من DHCP Server موجود داخل الروتر نفسة ؟

٣- هل ممكن ان اعمل DHCP Server ويكون ال Default-Gateway على جهاز اخر ؟

٤- هل ممكن ان اعمل Point to Point بين روتران من غير ان اضع IP address و يتحقق الاتصال ؟

٥- هل ممكن ان أمرر اكثر من شبكة مختلفة العناوين بين 2 Switches . بدون استخدام ال SubInterface ؟

هذة مجموعة من التسائلات حاول اولا ان تجد لها أجوبة بما تعلمت ! وبعدها سنعرض الإجابات .
ملاحظة Google لن يسعفك كثيراً للوصول الى الإجابات ، ولكن حاول علنا نجد شي جديدا .

ضاري خالد ،

الإجابة

أسئلة يجب ان تجد لها إجابات لانها مهمة !! الإجابة

 

Privilege Level

فكرة ال Privilege Level

Information Security D-15
=====================
من المواضيع المهمة جدا في مجال السيكورتي وبالتحديد إعطاء الصلاحيات لإدارة الأجهزة ،

فكرتها انك لا تستطيع ان تدير الروترات بمفردك حتى لو كنت سوبرمان . لكثر الأمور والمهام في هذة الأجهزة ، لذى تحتاج ان تعمل مع فريق قد يكون خمسة او عشرة أشخاص على سبيل المثال ، يتم توزيع المهام في مابين الفريق ، فمثلا هناك مهندس مسوؤل عن أمور ال Show . والآخر مسؤول عن ال Checking . والآخر قد يكون لة مستوى ال Admin ويستطيع ان ينفذ كل الاوامر .
كيف يتم هذا ؟!

ال Privileg Level هو الحل ، سيسكو وفرت لنا 16 Level . أغلبنا يعرف المستوى الاول و الأخير وهما :

User EXEC mode—privilege level 1

Privileged EXEC mode—privilege level 15

المستوى الاول اليوزر / والمستوى 15 يكون لل Admin . مابينها يمكننا التحكم فية وكماياتي :

Router(config)# privilege exec level 2 show
Router(config)# privilege exec level 3 show ip route
Router(config)# privilege exec level 4 show access-list

هنا عملنا 3 يوزرية ، بالأرقام 2/3/4

ال 2 خاص بي ال Show
ال 3 خاص بي ال Show IP Route
ال 4 خاص بي ال Show Access-List
========================
Router(config)# line vty 0 4
Router(config-line)# privilege level 2
Router(config-line)# line aux 0
Router(config-line)# privilege level 3
Router(config-line)# line console 0
Router(config-line)# privilege level 4
هنا حددنا لكل يوزر الطريق الذي يسلكة للوصول الى الروتر .
======================
Router(config)# enable secret level 2 CCIE2
Router(config)# enable secret level 3 CCIE3
Router(config)# enable secret level 4 CCIE4
حددنا سيكرت لكل يوزر .
======================
Router(config)# username User2 privilege 2 password CCIE2
Router(config)# username User3 privilege 3 password CCIE3
Router(config)# username User4 privilege 4 password CCIE4
هنا حددنا اسم و باسور لكل يوزر .
======================
الان كيف الدخول على الروتر بواسطة هذة اليوزرية ؟

router# enable 2
Router# Password CCIE2
Router> show privilege
Current privilege level is 2
Router>

حاولوا تطبيق هذة الاوامر لأننا سوف نحتاجها بشكل كبير مستقبلا لغرض تحديد الصلاحيات .
مثالنا كان على الروتر تذكر تطبيق هذة الفكرة ممكن على اغلب اجهزة سيسكو ، وستجد الفكرة ذاتها موجودة في اغلب الأجهزة .

ضاري خالد ،

 

DHCP Snooping

فكرة ال DHCP Snooping

Information Security D-16
=====================
من المواضيع المهمة في عالم السيكيورتي ، والتي أضيفت في المنهج الجديد لل CCIE v5 .

فكرة هذا الموضوع ، لديك DHCP Server ,
مربوط في Switch , وبقية الروترات او الكومبوترات يستلمون IP وملحقاته من هذا السيرفر بشكل جيد .

الأشكال في حالة ظهور DHCP Server اخر في الشبكة ، وإعلانه عن ما عندة ، فسوف يذهب بعض وربما الكثير من الكومبوترات او الروترات الى هذا ال DHCP Server الجديد

كيف يتم تحديد DHCP Server واحد فقط لا غير لتوزيع ال IP ؟
هنا يأتي دور ال DHCP Snooping .
تخيل الآتي :

Switch F0/1 —–>R1 (DHCP Server )
——————————————
Switch F0/2 —–>R2 (DHCP Client )
Switch F0/3 —–>R3 (DHCP Client )
Switch F0/4 —–>R4 (DHCP Client )

كل الروترات متصلة بي VLAN 10 . من خلال الانترفيس F0/0 .

في مثالنا نفترض اننا أكملنا عمل ال DHCP Server في ال R1 . من خلال الاوامر التالية :

R1# IP DHCP Pool CCNP
R1# Network 10.10.10.0 255.255.255.0
R1# Default-Route 10.10.10.1
R1# DNS Server 4.4.4.4

===========================
الان ربط الروترات بي السيرفر ال DHCP على الانترفيسات في الروترات المرتبطة بي الSwitch . نعمل ال DHCP Client من خلال الامر التالي :
Rx# Inter F0/0
IF#IP address DHCP

هذا الامر يجعل الروتر يبحث عن السيرفر المخصص للتوزيع العناوين والمسمى DHCP Server .

===========================
الان عمل ال DHCP Snooping . كل الكونفك يكون في ال Switch :

SWITCH#IP DHCP Snooping
SWITCH#IP DHCP Snooping VLAN 10
SWITCH#Interface F0/1

IF#IP DHCP Snooping Trust

في هذة الاوامر فعلنا هذة الخاصية من خلال الامر الاول ، و حددنا في ال VLAN ستكون ،
بعدها ذهبنا الى الانترفيس المتصل مع ال DHCP Server , و كتبنا امر الثقة لنجعل من هذا الانترفيس المتصل بسيرفر ال DHCP الوحيد الذي يذيع ويعلن ماعنده من IP .

اخيراً اوامر الجيك :

SWITCH#Show IP DHCP Snooping
SWITCH#Show IP DHCP Snooping Binding

ملاحظة اخيرة لاتخلطوا بين ال Snooping و ال Spoofing . فالأخير هو موضوعا اخر ومشكلة سنتطرق آليها لاحقا وعلاجها من سيسكو بواسطة ال IP Source Guard .

ضاري خالد ،

 

MAC Address Overflow

فكرة ال MAC Address Overflow

Information Security D-17
=====================

قبل الخوض بفكرة ال MAC Address Overflow Attack , دعونا نفهم أصل هذا الموضوع !! سنأخذ مثال ال Switch , على ان هذا النوع من الهجمات يطبق على الكثير من الأجهزة التي تستخدم ال MAC Address .

لدي Switch يتكون من 48 بورت . وكلنا نعرف ان هناك لوحة الماكات او MAC Address Table .
السؤال كم هو عدد ال MACs الذي يستوعبه هذا ال Switch ؟ ربما القدرة الاستيعابية لهذا ال Switch تعتمد على عدد البورتات ! فيكون عدد ال MACs الذي يستوعبه هذا ال Switch هو 48 MAC .
هذا خطأ شائع . قدرة استيعاب ال Switch بالنسبة لل MAC لا يعتمد على عدد البورتات ، وإنما يعتمد على الرام الموجود في ال Switch . لذالك ترى ال Cisco Switch مثلا فيها 48 بورت ولكن عدد ال MACs يصل الى 5000 وبعضها الى 8000 MAC .

لمشاهدة القدرة الحقيقة لإجمالي عدد ال MACs في السيسكو Switch .

Switch#Show MAC address-Table Count .
في اغلب السوجات يتراوح عدد القدرة الاستيعابية بين ال 5000 و ال 8000 !!

إذن عدد ال MAC Address في ال Switch يعتمد على سعة وحجم الرام ، ولا يعتمد على عدد البورتات .

جيد, التسائل هنا هل يمكن إغراق لوحة الماكات
هذة ؟ بمعنى هل يمكن لأحد المستخدمين ان يطلب من ال Switch حوالي 8000 MAC !!
ويقول لة رجاء سجل هذا العدد من الماكات في داخل ال MAC Table . نعم ممكن بل الكارثة ان هذا المستخدم ربما يرسل اكثر من 8000 ماك وبشكل مستمر مما يودي الى إغراق ال MAC Table بعدد غير متناهي من الماكات .

كيف يحصل هذا ؟؟ ببساطة يمكنك تجربة هذا الموضوع من خلال استخدام ال Back Track 5
أو النسخة الجديدة المسماة Kali . وهذة هي اهم الأدوات التي يستخدمها الهكر و السيكيورتي كذالك على حدا سواء . لن أخوض بهذا الان .

الان ال Switch في حالة الغرق اي ان ال MAC Table التي هي جزء أساسي في ال Switch اصبحت منتهية . هل سيتوقف ال Switch عن العمل ؟

لا وإنما سينتقل ليعمل كا HUB بمعنى ان كل طلب من اي كومبوتر مربوط على هذا السوج سيرسل الى الجميع بحالة البرودكاست . لذالك اغلب الهكر يستخدمون هذة العملية للوصول الى هذة النقطة نقطة جعل الترفك برودكاست , ليتسنى لهم مراقبة الترفك والحصول على المعلومات ، وليس الهدف القضاء على ال Switch .

ماهو الحل ؟ كيف التخلص من هذة الهجمات ؟ الحل هو ال Port Security . والذي سيكون محتوى كتاباتنا القادمة .

ملاحظة ، هدف هذا الموضوع تعليمي فقط ، للإحاطة بهكذا هجمات والتصدي لها .

ضاري خالد ،