Configure Secure Passwords and SSH

تنفيذ سياسات الأمان والحماية الأساسية (Device Hardening) على أجهزة التوجيه والتحويل (Routers & Switches) في بيئة محاكاة. يهدف هذا المشروع إلى منع الوصول غير المصرح به، وحماية بيانات الاعتماد، واستبدال بروتوكولات الاتصال غير الآمنة (مثل Telnet) ببروتوكول (SSHv2) لضمان تشفير كامل للبيانات أثناء الإدارة عن بُعد، مما يتوافق مع معايير الأمن السيبراني.

1. إعداد وحماية كلمات المرور الأساسية (Password Security):

حماية وضع الامتياز (Privileged EXEC Mode) باستخدام كلمات مرور قوية ومشفرة عبر أمر enable secret لضمان استخدام خوارزميات التشفير الحديثة (MD5/SHA) بدلاً من الكلمات النصية الواضحة (Plaintext).

تفعيل التشفير الشامل لجميع كلمات المرور المحفوظة في ملف الإعدادات running-config باستخدام أمر service password-encryption.

تأمين منفذ الدخول المباشر (Console Port) بكلمة مرور لتجنب العبث الفعلي بالأجهزة.

2. تهيئة الجهاز لبروتوكول الـ SSH (SSH Preparation):

إعداد اسم الجهاز (Hostname) واسم النطاق (IP Domain Name) كمتطلبات أساسية لإنشاء مفاتيح التشفير.

توليد مفاتيح تشفير غير متماثلة (RSA Keys) بحجم لا يقل عن 1024-bit لضمان قوة التشفير لبروتوكول SSH.

إنشاء قاعدة بيانات محلية للمستخدمين (Local Database) تتضمن أسماء مستخدمين وكلمات مرور مشفرة بامتيازات محددة username [name] secret [password].

3. تأمين خطوط الوصول عن بُعد (Securing VTY Lines):

الدخول على إعدادات خطوط (VTY 0 4 أو VTY 0 15).

إجبار الأجهزة على استخدام قاعدة البيانات المحلية للمصادقة عبر أمر login local.

تعطيل بروتوكول Telnet غير الآمن بالكامل، وقصر الاتصال عن بُعد على بروتوكول SSH فقط باستخدام أمر transport input ssh.

4. سياسات حماية إضافية (Advanced Hardening):

إعداد وقت محدد لإنهاء الجلسة في حالة الخمول (Exec-Timeout) لمنع استغلال الجلسات المفتوحة.

إعداد رسالة تحذيرية (Banner MOTD) تنبه لعدم قانونية الدخول غير المصرح به، كإجراء أمني وقانوني مُتبع في بيئات العمل الحقيقية.

النتيجة النهائية:

جهاز شبكة محمي بالكامل ضد محاولات التنصت (Eavesdropping) واعتراض البيانات، ولا يقبل سوى الاتصالات المُشفرة والمُصادق عليها، مما يضمن بيئة إدارة شبكات آمنة وموثوقة.