یکی ار راه کار اجرای ایمنی درIOS استفاده از قابلیتی به نام IOS Resilency می باشد . این قابلیت این امکان را به کاربر می دهد تا تنظیمات running configuration و image در حال استفاده را کاملا ایمن کند به طوری که از حملات مخربانه که قصد پاک کردن حافظه NVRAM و flash را دارد جلوگیری می کند. این قالبیت از نسخه 12.3(8)T در IOS قرار داده شده است.  این feature برای مبارزه با شرایطی تعبیه شده که router بدلیل حملات compromise شده و IOS و تنظیمات آن از داخل حافظه دائمی پاک شده است. تحت شرایط عادی ، در چنین وضعیتی اپراتور شبکه باید مجددا configuration و IOS را مجددا به در روتر restore کند تا شرایط به حالت نرمال باز گردد. قابلیت IOS Resilent Configuration جهت افزایش زمان recovery بوجود آمده است. این feature همیشه یک کپی ایمن از ios و startup configuaration را نگهداری می کند که کاملا ایمن بوده و توسط کاربر قابل پاک شدن نمی باشد. مجموعه این فایل ها primary bootset نام دارد. استفاده از این روش دو مزیت عمده دارد.به دلیل اینکه از local storage استفاده می شود لذا دغدغه های استفاده از TFTP دیگر مطرح نمی شود. به علاوه لغو این feature تنها از طریق console امکان پذیر است ، لذا در صورت compromise شدن router همچنان امنیت روتر حفظ می ماند.

طبق رسم هر تکنولوژی ، اجرای این قابلیت هم محدودیت هایی دارد. استفاده از این feature تنها در platform هایی که از PCMCIA و ATAاستفاده می کنند امکان پذیر است. به علاوه می بایستی فضای کافی برای نگهداری یک IOS و config file موجود باشد و IFS(IOS File system) هم می بایست که قابلیت استفاده از این secure file system را داشته باشد. در صورتی که از نسخه های قدیمی IOS استفاده شود که از فایل های hidden پشتیبانی نمی کنند امکان حذف این فایل ها وجود دارد. نکته مهم در این است که حتما image مورد استفاده باید که local باشد و در صورتی که از   network بارگذاری شده باشد شامل نمی شود.

برای استفاده از این قابلیت تنها نیاز است مطابق زیر عمل کنیم.

LAB-RTR(config)#secure boot-image

LAB-RTR(config)#secure boot-image

برای مشاهده فایل های secure نمی توان از dir استفاده کرد و باید به طریق زیر عمل کرد:

LAB-RTR# show secure bootset

IOS resilience router id JMX0704L5GH

IOS image resilience version 12.4 activated at 08:16:51 UTC Sun Jun 16 2002

Secure archive slot0: cxxx-xxx-mz type is image (elf) [] ?

  file size is 25469248 bytes, run size is 25634900 bytes

  Runnable image, entry point 0x80008000, run from ram

IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002

Secure archive slot0:.runcfg-20020616-081702.ar type is config

configuration archive size 1059 bytes

برای restoreکردن می بایستی ابتدا وارد rommon شویم و سپس نام IOS که archiveشده و قبلا با فرمان show secure bootset دیده ایم را به عنوان مرجع boot در نظر می گیریم.

RTR-LAB(Config)#reload

Rommon 1 > dir slot0:->where i have stored my secure bootset

Rommon 2 > boot slot0:cxxx-xxx-mz

سپس مجددا router را reloadمی کنیم. در صورتی که فایل های nvram نیز پاک شده باشد، وارد setup mode می شود که آنرا با no  پاسخ می دهیم . و برای بازگرداندن config قبلی مطابق زیر عمل می کنیم.

RTR-LAB#configure terminal

RTR-LAB (config)#secure boot-config restore slot0:rescue-cf  ->where I have stored my secure bootset

RTR-LAB (config)#end

ارسال نظر

نوشتن نظر
نام:
ايميل:
صفحه اصلي:
عنوان:
BBCode:
نظر:
كد:*
	من اين نظر را دوستانه جهت تماس ارسال ميكنم