کنترل های مدیریت و کنترل دسترسی تجهیزات زیرساختی
لازمه ايمننمودن زيرساخت، ايجاد امنيت در فرآيند مديريت و دسترسي به تجهيزات زیرساختی ميباشد. در صورتي كه روش دسترسي به تجهيزات زيرساختي كشف شود، روش مديريت و كنترل آنها نيز كشف خواهد شد. لذا حياتي است تا تمهيدات لازم جهت جلوگيري از دسترسيهاي غيرمجاز به اينگونه تجهيزات انديشيده شود. اصولاً به كمك روشهاي مختلفي ميتوان به تجهيزات زيرساختي شبكه دسترسي پيدا كرد. استفاده از پروتكلهايي مانند Telnet، SSH و HTTP براي اتصال از راهدور و يا اتصال به كنسول تجهيزات به كمك مودم از جمله راههاي دسترسي به تجهيزات زيرساختي به شمار ميرود. براي برقراري امنيت لازم در اين زمينه،اعمال کنترل های زیر برای ایمن سازی مدیریت و دسترسی به تجهیزات زیرساختی ضروری است.
حفاظت از رمزهاي عبور محلي
رمزهاي عبور به صورت عمومي بايد بوسيله يك سرور AAA نگهداري و حفاظت شوند اما بعضي از سيستم عاملهاي داخلي تجهيزات، رمزهاي عبور حساس را ذخيرهسازي مينمايند تا در مواردي كه سرورهاي AAA در اختيار نميباشند، بتوان از تجهيزات مربوطه استفاده نمود. از اين رو همواره بايد امكانات رمزنگاري رمزهاي عبور را در درون تجهيزات فعال نمود. براي مثال تجهيزاتي مانند سوئيچها و روترهاي شركت سيسكو از امكاناتي برخوردارند كه ميتوان رمزهاي عبور را نيز به صورت رمزنگاريشده نگهداري نمود.
پيادهسازي Notification Banner
بر روي كليه تجهيزات زيرساختي مانند سوئيچها و روترها بايد پيامهاي قانوني تعريف گردد تا كليه كاربران و كساني كه از كنسولهاي اين تجهيزات استفاده مينمايند متوجه گردند كه در صورت استفاده غيرمجاز با چه عواقبي روبرو هستند و مسئوليت ايشان در اين زمينه چيست. براي مثال در صورتي كه مهاجمي توانست با وجود كليه تمهيدات انديشيده شده به سيستم نفوذ نمايد، به وي هشدار داده شود كه چه مجازاتهايي در سطوح ملي و بينالمللي در انتظار وي قرار دارد. ميتوان به وي هشدار داد كه كليه فعاليتهاي وي ثبت ميشود و در صورت تخلف، موارد ثبتشده ميتواند عليه وي مورد استفاده قرار گيرد و يا اينكه هرگونه افشاء اطلاعات و دادههاي شركت ميتواند چه عواقب خطرناكي براي وي در پي داشته باشد.
اجبار به فعالسازي و پيروي از AAA
بايد در اسرع وقت مكانيزمهاي AAA تعريف شود، سرورهاي مورد نظر مستقر گردد و كليه رمزهاي عبور تجهيزات زيرساختي در اين زمينه تنظيم شوند. كليه كاربراني كه ميخواهند از شبكه استفاده نمايند و يا به تجهيزات زيرساختي دسترسي پيدا كنند، بايد تصديق هويت شوند، دسترسيهاي كليه كاربران و گروههاي كاربري مشخص و در سرور AAA تنظيم گردد و به علاوه ميزان و نوع استفاده ايشان از شبكه و تجهيزات زيرساختي ثبت شود. اجراي اين موضوع براي امنيت زيرساخت شركت حياتي است و بايستي جزء اولويتهاي امنيتي قرار گيرد.
تنظيم دسترسيهاي راهبري
تنظيمات مدیریت و دسترسی تجهیزات زیرساختی شركت بايد به گونهاي باشد كه به جز اشخاص معتبر، افراد ديگري نتوانند از اين موضوع سوءاستفاده نمايند. به جاي Telnet از SSH استفاده گردد و به جاي پروتكل HTTP حتما از HTTPS بهره گرفته شود. پورتها و خطوطي كه كمتر استفاده ميشوند مانند پورت Auxiliray حتما بسته شود. زمان لازم براي خروج(Time out) هر جلسه كاري(Session) در صورت بلااستفاده بودن بايد تنظيم گردد
تنظيمات امنيتي مسيريابي
روشهاي مسيريابي از جمله مواردي است كه ميتواند مورد سوءاستفاده مهاجمان قرار بگيرد. به همين منظور بايد قابليت عضويت در پروتكلهاي مسيريابي بر روي روترها محدود شود و تنها آدرسهاي معتبر مورد قبول واقع شوند. اغلب روترها از جمله روترهاي سيسكو، به صورت خودكار روترهاي ديگر را تشخيص ميدهند و با اين فرض كه همه روترها قابل اعتماد هستند، اقدام به برقراري ارتباط ميكنند. بسياري از سيستم عاملها از جمله IOS روترهاي سيسكو، داراي تنظيماتي هستند كه به كنترل اين موضوع ميپردازند. با فعالسازي خاصيتي به نام Neighbor Authentication، روتر كليه مسيرهاي پيشنهادي را بررسي مينمايد. به علاوه زمان كار با روئرهاي شركت بايد از دستور passive Interface استفاده نمود تا از انتشار مسيريابيها بر روي اينترفيسهاي مختلف جلوگيري شود. مبادله اطلاعات صحيح بر روي روترهاي شركت بايد كنترل گردد و تغييرات ايجاد شده ثبت و رهگيري شود. كنترل logها بايد به عنوان يك دستورالعمل به صورت مرتب انجام شود و در صورت مشاهده موارد مشكوك، اقدامات لازم صورت پذيرد.
از كار انداختن سرويسهاي غيرضروري
اغلب شبكهها توسط نفوذ به سوئيچها و روترها هك ميشوند. لذا بايد تنظيمات اين تجهيزات را به گونهاي تنظيم نمود كه از اينگونه سوءاستفادهها جلوگيري شود. سوئيچها و روترها براي اينكه بتوانند در هر شبكهاي مورد استفاده قرار بگيرند از خاصيتهاي مختلفي برخوردارند كه بسياري از آنها در برخي شبكهها كاربرد ندارند. به كمك فرمان جهاني Show Control Plane host open-ports كليه پورتها و سرويسهاي باز نمايش داده ميشوند. بهتر است خاصيتهاي نظير ensure finger و Small TCP&UDP Servers بر روي سوئيچها و روترها غيرفعال شود. سرويسهايي نظير BOOTP و IP Source Routing نيز غيرفعال شود. به علاوه IP Direct Broadcast نيز بايد غيرفعال شود. فعالسازي اين سرويسها تنها در موارد ضروري و با تائيد كميته امنيت شركت امكانپذير خواهد بود.
ايجاد ليستهاي دسترسي برای مدیریت و دسترسی تجهیزات زیرساختی
ليستهاي كنترل دسترسي(Access Control List) يا ACL از جمله امكاناتي است كه امروزه بر روي اغلب سوئيچها و روترها وجود دارد. اين ليستها بايد به دقت توسط كارشناسان شبكه و امنيت شركت تنظيم شوند. به كمك اين ليستها فقط كاربران مجاز قادر به ورود به محيط تنظيمات تجهيزات ميباشند. اين تنظيمات چه در محيط شبكه WAN، چه در محيط شبكه LAN و چه در اينترنت كاربرد فراواني دارند و ميتوانند از دسترسي كاربران غيرمجاز از هر يك از اينگونه محيطها به زيرساخت شبكه شركت جلوگيري نمايند.
فعالنمودن خاصيت COPP
خاصيت (Control Plane Policing) COPP يكي از امكانات زيرساختي روترها و سوئيچها به شمار ميرود كه با اجراي سياستهاي Qos، مديريت ترافيك را در پردازنده اصلي تجهيزات زيرساختي در دست ميگيرد و از حملاتي مانند افزايش بار و انكار سرويس جلوگيري مينمايد. به كمك دستور فرمانهايي كه توسط اين خاصيت پشتيباني ميشوند، ميتوان چندين كلاس تعريف نمود و سياستهاي مشخصي را به هر كلاس اعمال نمود. با تنظيم اين سياستها ميتوان مشخص نمود كه پردازنده اصلي روتر يا سوئيچ چه نرخي از بستههاي اطلاعاتي را ميتواند پردازش نمايد. بايد به خوبي كلاسهاي ترافيكي تشخيص داده شود. با دانستن دقيق پروتكلها و پورتها ميتوان كلاسهاي مناسبتري تعريف نمود و لذا به نحو موثري از امكانات COPP استفاده نمود.
برقراري تنظيمات امنيتي پورتهاي سوئيچها
به كمك اين خاصيت كه در اغلب سوئيچها موجود است، تنها پورتهايي ميتوانند اقدام به ارسال داده نمايند كه آدرس MAC آنها ثبت شده باشد. اين خاصيت ميتواند به صورت جداگانه بر روي هر يك از پورتها تنظيم شود و همچنين اينگونه تنظيمات ميتواند هم به صورت پويا و هم به صورت ايستا اعمال شود. برخي از سوئيچها از اين قابليت برخوردارند تا در طول زمان و با توجه به دادههاي گذشته، قواعد فيلترينگ MAC آدرسها را شناسايي و اعمال كنند. به اين روش، روش پويا گفته ميشود. فيلترينگ آدرسهاي MACدر مورد كليه تجهيزات مانند رايانهها، تلفنها و تجهيزاتي كه قادر به اتصال به شبكه ميباشند، ميتواند اعمال شود.
استفاده از تجهيزات جايگزين برای مدیریت و دسترسی تجهیزات زیرساختی
براي افزايش امنيت شبكه، بايد وابستگي به برخي تجهيزات كليدي را از بين برد. وجود يك نقطه اتكاي واحد همواره خطرناك است و شانس از كارافتادن را افزايش ميدهد. ايجاد مسيرهاي جايگزين در شبكه، خريد تجهيزات جايگزين و قراردادن در شبكه، استفاده از پروتكلهاي جايگزين و اعمال تنظيمات مربوطه و همچنين تهيه ماژولهاي جايگزين از جمله راهكارهايي است كه ميتواند اعمال شود. البته اين موضوع رابطه نزديكي با ميزان قابليت اطميناني دارد كه از سيستم انتظار ميرود. هرچه ميزان قابليت اطمينان بالاتري مدنظر باشد، بايد سرمايهگذاري بيشتري صورت پذيرد.
اندازهگيري و مانيتورينگ وضعيت شبكه
يكي از راهكارهاي ايجاد امنيت در شبكههاي رايانهاي، مانيتورينگ وضعيت شبكه ميباشد. بدين منظور همواره بايد اطلاعات مرتبط با شبكه به كمك ابزارها، جمعآوري شود. اطلاعاتي از قبيل ميزان كاركرد شبكه، سابقه فعاليت كاربران در شبكه، وضعيت ترافيك شبكه و ترافيك موجود بر روي هر يك از تجهيزات زيرساختي مانند روترها و سوئيچها از جمله اين اطلاعات ميباشد. علاوه بر اين بايد ساعت كليه تجهيزات به كمك پروتكلهايي مانند NTP همسان شود. به كمك اين خاصيت، اطلاعات ثبتشده در مورد تجهيزات مختلف قابل استناد است. پروتكل NTP كمك مينمايد تا در صورتي كه تغييراتي در شبكه اعمال شد، به راحتي قابل كشف باشد و به علاوه مديريت تجهيزات زيرساختي نيز ميتواند از تغيير ستاد مركزي اعمال شود. از جمله اطلاعات امنيتي مهمي كه همواره بايد مانيتور گردد، ميزان بار موجود بر روي پردازشگر مركزي و حافظه هر يك از تجهيزات ميباشد. بدينصورت كشف نفوذها راحتتر ميگردد و ميتوان از اعمال ترافيكهاي غيرمجاز به شبكه جلوگيري نمود. كليه تجهيزات زيرساختي نظير روترها و سوئيچها از اين قابليت برخوردارند كه يك ميزان آستانه در اين مورد تعريف شود و در صورتي كه حدآستانه تحريك شد، كارشناسان شركت در اين زمينه مطلع شوند.
تفکیک بخشهاي مختلف شبكه از يكديگر
مكانيزم Broadcasting، از نظر امنيتي داراي مشكلات فراواني است و ميتواند به راحتي مورد استفاده مهاجمان قرار گيرد. لذا جداسازي (Segmentation) بخشهاي مختلف شبكه از يكديگر، يكي از فعاليتهاي ضروري محسوب ميشود. ايجاد VLANها يكي از اين تكنيكها است كه جدا از فوايدي نظير كاهش ترافيك و كنترل مناسبتر شبكه، از امنيت بالاتري نيز برخوردار است. لذا توصيه ميشود تا بر روي سوئيچها، VLANها تنظيم شوند.