محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 17 روش امن کردن سویچ و روتر سیسکو به زبان ساده

چگونه سویچ و روتر سیسکو را امن کنیم ؟ زمانیکه صحبت از زیرساخت شبکه می شود منظور تجهیزات و دستگاه های فیزیکی است که در شبکه شما استفاده می شوند. بصورت ویژه در شبکه های داخلی منظور دستگاه های سویچ و روتری می باشد که در زیرساخت شبکه وجود دارند. هر یک از این نوع تجهیزات برای خود امکانات امنیتی دارند که شما می توانید از آنها در صورت لزوم استفاده کنید ، در این مطلب قصد داریم به شما راهکارهای امنیتی که بر روی تجهیزات زیرساختی شبکه مانند سویچ ها و روترها می توان انجام داد را معرفی کنیم ، ابتدا به معرفی راهکارهای امنیتی سویچ های شبکه های LAN و سپس راهکارهای امنیتی روترهای شبکه های WAN می پردازیم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
 مکانیزمهای امنیتی در سیسکو

راهکارهاي امنيتي در سویچ های شبکه LAN

در سویچ های لایه دسترسی یا Access یک سری امکانات امنیتی تعبیه شده است که شما می توانید از آنها در موارد لازم استفاده و کنترل شبکه داخلی خود را بصورت کامل در اختیار بگیرید ، حتی با استفاده از برخی از این امکانات شما قادر به کنترل کردن دسترسی کاربران خود در شبکه نیز خواهید بود ، شما می توانید از بروز بسیاری از حملات متداول در شبکه های LAN با پیاده سازی و استفاده درست از همین امکانات امنیتی پیشگیری کنید ، مکانیزم های امنیتی که در سویچ ها تعبیه شده اند به شرح زیر می باشند :

  • Port Security یا امنیت پورت در سطح سویچ : شما می توانید با استفاده از این قابلیت در سویچ ها به آنها بگویید که صرفا به ترافیکی که از یک آدرس مشخص MAC ایجاد شده است پاسخگو باشد. در این مکانیزم شما می توانید برای سویچ آدرس های MAC معتبر را معرفی کنید تا سویچ صرفا به آنها سرویس دهی کند . روش های مختلفی برای معرفی آدرس های MAC به سویچ وجود دارد که هم بصورت دستی و هم بصورت خودکار انجام می شود. با پیاده سازی این مکانیزم امنیتی دیگر هیچ کامپیوتر عادی که به پورت های شبکه شما متصل می شود نمی تواند از منابع شبکه شما استفاده کند ، نوع برخورد با پورت های متخلف نیز در این مکانیزم امنیتی قابل تعیین است.
  • استفاده از قابلیت 802.1x ( دات وان ایکس ) : يکي از مکانيزم¬هاي امنيتي بسيار مناسب در لايه Access احراز هويت کاربران با استفاده از روش ترکيبي AAA Authentication و Port Security مي¬باشد. با فعال¬سازي 802.1x پورت سوئيچ تا زماني که کاربر توسط آن احراز هويت نگردد، مجوز عبور هيچ¬گونه ترافيکي را از پورت مورد نظر نمي¬دهد. معمولا برای راه اندازی این سرویس از نرم افزارها یا سرویس های اکانتینگی مانند Cisco ACS استفاده می شود.
  • DHCP Snooping یا جستجوگر DHCP : یکی از حملاتی که در شبکه و بر روی سویچ ها انجام می شود به نام DHCP Spoofing یا جعل DHCP معروف است که در آن هکر کامپیوتر خود را به عنوان DHCP سرور معتبر در شبکه معرفی می کند و با این روش می تواند آدرس DNS و Gateway کلاینت ها را آدرس مد نظر خود قرار دهد و ترافیک عبوری از این آدرس ها را شنود کند. با استفاده از قابلیت DHCP Snooping سویچ های شما در شبکه صرفا به DHCP سروری اجازه فعالیت می دهند که برای آنها به عنوان سرور معتبر در نظر گرفته شده است و به سایر DHCP سرورها اجازه فعالیت نمی دهند. به این نوع فعالیت غیرمجاز DHCP ها در شبکه Rogue DHCP نیز می گویند.
  • IP Source Guard : يکي از رايج¬ترين انواع حمله جعل نمودن آدرس IP مي باشد. حمله کننده مي¬تواند از آدرس هاي جعلي کاربران ديگر و يا آدرس¬هاي موجود در شبکه استفاده نمايد. اين نوع حملات معمولا براي حملات Denial-of-Service مورد استفاده قرار مي گيرند. با استفاده از اين مکانيزم، روترها و تجهيزات لايه 3 مي¬توانند با استفاده از برخي تستهاي ساده آدرس¬هاي IP جعلي را شناسايي نمايند. این مکانیزم امنیتی به همراه مکانیزم DHCP Snooping و به همکاری سرویس DHCP در شبکه کار می کند.
  • Dynamic ARP Inspection : پروتکل ARP به هیچ عنوان با دید امنیتی طراحی و ایجاد نشده است و می توان آن را با استفاده از حمله ای به نام ARP Spoofing یا ARP Cache Poisoning مورد حمله قرار داد و سوء استفاده کرد. با استفاده از قابلیت Dynamic ARP Inspection دیگر امکان بروز حملاتی از این قبلی وجود نخواهد داشت ، در ARP Spoofing هکر می تواند خود را در وسط مسیر تبادل اطلاعات قرار داده و خود را با استفاده از جعل ARP به عنوان یکی از طرفین ارتباط معرفی کند.
  • امن سازي عمليات STP : ( به منظور جلوگيري از قرار دادن بسته هاي( STP bridge protocol(BPDU درون شبکه توسط حمله-کننده، لازم است قابليت BPDU Guard درون سوئيچ ها فعال گردد تا در صورت دريافت بسته BPDU مشکوک پورت سوئيچ به صورت اتوماتيک غيرفعال گردد.

به غیر از امکانات امنیتی ذکر شده در بالا ، موارد امنيتي ديگري نيز وجود دارد که در جلوگيري از دسترسي غيرمجاز به تجهيزات و در نهايت شبکه داخلي سازمان بسيار مفيد مي باشند. اين موارد به شرح ذيل مي باشند :

  • Enable secret password – استفاده از enable secret به جاي enable password ، در حالت enable password رمز عبور Privileged Mode شما در حالت Clear text نمایش داده می شود اما اگر آن را به حالت Enable Secret در بیاورید با استفاده از الگوریتم Hashing ای به نام MD5 این رمز عبور بصورت رمزنگاری شده نگهداری و نمایش داده می شود.
  • service password-encryption – با فعال نمودن اين سرويس تمامي password هاي ذخيره شده بر روي سوئيچ به صورت رمزگزاري شده ذخيره مي گردد.
  • امن سازي رابط تحت وب- بسياري از مديران شبکه از دستورات سوئيچ براي مديريت شبکه استفاده مي نمايند. در اين حالت بايد اينترفيس تحت وب سوئيچ با دستور no ip http server غيرفعال گردد. چه لزومی دارد زمانیکه شما از یک سرویس استفاده نمی کنید آن سرویس فعال باشد ؟ به این فرآیند Switch Hardening نیز می گویند.
  • امن سازي پورت console سوئيچ – به منظور افزايش امنيت بهتر است Authentication بر روي تمامي پورت هاي کنسول سوئيچ¬ها فعال گردد.
  • استفاده از SSH – استفاده از telnet آسان مي باشد ولي به دليل عدم رمزگذاري شدن اطلاعات ارتباط ناامن بوده و امکان استراق سمع username و password زياد مي باشد. در شرايطي که امکان برقراري ارتباط از طريق SSH مي باشد، بهتر است که از اين پروتکل استفاده شود.
  • کنترل دسترسي به تجهيزات با استفاده از SNMP- به منظور جلوگيري از دسترسي غيرمجاز به تجهيزات يا استفاده از SNMP بايد دسترسي Read و Write توسط اين پروتکل تنها به تعداد معدودي آدرس IP مشخص محدود گردد.
  • غيرفعال نمودن پورتهاي بدون استفاده – لازم است تا تمامي پورتهايي که مورد استفاده قرار نگرفتند غيرفعال گردند تا در دسترس کاربران غيرمجاز قرار نگيرند. این نیز جزوی از موارد Switch Hardening می باشد.

راهکارهاي امنيتي در شبکه WAN

از آنجايي که لبه اينترنت محلي است که کاربران خارجي به سرويس هاي سازمان دسترسي پيدا مي نمايند و همچنين کاربران داخلي از سرويس اينترنت استفاده مي کنند، بنابراين بايد تمهيدات امنيتي مناسبي در نظر گرفته شود تا تنها ترافيک هاي مجاز وارد شبکه سازمان شوند.

  • استفاده از Antispoofing Filtering – در اين روش با استفاده از ACL ها مي توان حملات source-address spoofing را از بيرون سازمان به داخل و همچنين از داخل به شبکه هاي بيروني کاهش داد.
  • استفاده از uRFP – روترها بسته ها را بر اساس آدرس IP مقصد ارسال مي نمايند و اطلاعات ديگري مانند آدرس IP مبدا و يا آدرس IP تجهيزاتي که بسته را از آن دريافت کرده اند، بررسي نمي نمايند. با استفاده از اين مکانيزم، بسته هاي دريافتي به طور کامل بررسي مي¬شوند که از مبدا مورد نظر دريافت شده باشند. با اين روش حملات DoS را به طور قابل توجهي مي توان کاهش داد.
  • استفاده ازACLs – با استفاده از ACL ها مي توان دسترسي ها را به طور کامل کنترل و محدود نمود.
  • محدود نمودن نرخ ترافيک – با استفاده از مکانيزم هاي صف بندي مي توان حجم ترافيکي که توسط يک روتر منتقل مي شود را کنترل نمود. اين روش تاثير حملات DoS را کاهش مي دهد.

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات