کنترل های مدیریت و کنترل دسترسی تجهیزات زیرساختی

کنترل های مدیریت و کنترل دسترسی تجهیزات زیرساختی

لازمه ايمن‌نمودن زيرساخت، ايجاد امنيت در فرآيند مديريت و دسترسي به تجهيزات زیرساختی مي‌باشد. در صورتي كه روش دسترسي به تجهيزات زيرساختي كشف شود، روش مديريت و كنترل آنها نيز كشف خواهد شد. لذا حياتي است تا تمهيدات لازم جهت جلوگيري از دسترسي‌هاي غيرمجاز به اين‌گونه تجهيزات انديشيده شود. اصولاً به كمك روش‌هاي مختلفي مي‌توان به تجهيزات زيرساختي شبكه دسترسي پيدا كرد. استفاده از پروتكل‌هايي مانند Telnet، SSH و HTTP براي اتصال از راه‌دور و يا اتصال به كنسول تجهيزات به كمك مودم از جمله راه‌هاي دسترسي به تجهيزات زيرساختي به شمار مي‌رود. براي برقراري امنيت لازم در اين زمينه،اعمال کنترل های زیر برای ایمن سازی مدیریت و دسترسی به تجهیزات زیرساختی ضروری است.

حفاظت از رمزهاي عبور محلي

رمزهاي عبور به صورت عمومي بايد بوسيله يك سرور AAA نگهداري و حفاظت شوند اما بعضي از سيستم‌ عامل‌هاي داخلي تجهيزات، رمزهاي عبور حساس را ذخيره‌سازي مي‌نمايند تا در مواردي كه سرورهاي AAA در اختيار نمي‌باشند، بتوان از تجهيزات مربوطه استفاده نمود. از اين رو همواره بايد امكانات رمزنگاري رمزهاي عبور را در درون تجهيزات فعال نمود. براي مثال تجهيزاتي مانند سوئيچ‌ها و روترهاي شركت سيسكو از امكاناتي برخوردارند كه مي‌توان رمزهاي عبور را نيز به صورت رمزنگاري‌شده نگهداري نمود.

پياده‌سازي Notification Banner

بر روي كليه تجهيزات زيرساختي مانند سوئيچ‌ها و روترها بايد پيام‌هاي قانوني تعريف گردد تا كليه كاربران و كساني كه از كنسول‌هاي اين تجهيزات استفاده مي‌نمايند متوجه گردند كه در صورت استفاده غيرمجاز با چه عواقبي روبرو هستند و مسئوليت ايشان در اين زمينه چيست. براي مثال در صورتي كه مهاجمي توانست با وجود كليه تمهيدات انديشيده شده به سيستم نفوذ نمايد، به وي هشدار داده شود كه چه مجازات‌هايي در سطوح ملي و بين‌المللي در انتظار وي قرار دارد. مي‌توان به وي هشدار داد كه كليه فعاليت‌هاي وي ثبت مي‌شود و در صورت تخلف، موارد ثبت‌شده مي‌تواند عليه وي مورد استفاده قرار گيرد و يا اينكه هرگونه افشاء اطلاعات و داده‌هاي شركت مي‌تواند چه عواقب خطرناكي براي وي در پي داشته باشد.

اجبار به فعال‌سازي و پيروي از AAA

بايد در اسرع وقت مكانيزم‌هاي AAA تعريف شود، سرورهاي مورد نظر مستقر گردد و كليه رمزهاي عبور تجهيزات زيرساختي در اين زمينه تنظيم شوند. كليه كاربراني كه مي‌خواهند از شبكه استفاده نمايند و يا به تجهيزات زيرساختي دسترسي پيدا كنند، بايد تصديق هويت شوند، دسترسي‌هاي كليه كاربران و گروه‌هاي كاربري مشخص و در سرور AAA تنظيم گردد و به علاوه ميزان و نوع استفاده ايشان از شبكه و تجهيزات زيرساختي ثبت شود. اجراي اين موضوع براي امنيت زيرساخت شركت حياتي است و بايستي جزء اولويت‌هاي امنيتي قرار گيرد.

تنظيم دسترسي‌هاي راهبري

تنظيمات مدیریت و دسترسی تجهیزات زیرساختی شركت بايد به گونه‌اي باشد كه به جز اشخاص معتبر، افراد ديگري نتوانند از اين موضوع سوءاستفاده نمايند. به جاي Telnet از SSH استفاده گردد و به جاي پروتكل HTTP حتما از HTTPS بهره گرفته شود. پورت‌ها و خطوطي كه كمتر استفاده مي‌شوند مانند پورت Auxiliray حتما بسته شود. زمان لازم براي خروج(Time out) هر جلسه كاري(Session) در صورت بلااستفاده بودن بايد تنظيم گردد

تنظيمات امنيتي مسيريابي

روش‌هاي مسيريابي از جمله مواردي است كه مي‌تواند مورد سوء‌استفاده مهاجمان قرار بگيرد. به همين منظور بايد قابليت عضويت در پروتكل‌هاي مسيريابي بر روي روترها محدود شود و تنها آدرس‌هاي معتبر مورد قبول واقع شوند. اغلب روترها از جمله روترهاي سيسكو، به صورت خودكار روترهاي ديگر را تشخيص مي‌دهند و با اين فرض كه همه روترها قابل اعتماد هستند، اقدام به برقراري ارتباط مي‌كنند. بسياري از سيستم عامل‌ها از جمله IOS روترهاي سيسكو، داراي تنظيماتي هستند كه به كنترل اين موضوع مي‌پردازند. با فعال‌سازي خاصيتي به نام Neighbor Authentication، روتر كليه مسيرهاي پيشنهادي را بررسي مي‌نمايد. به علاوه زمان كار با روئرهاي شركت بايد از دستور passive Interface استفاده نمود تا از انتشار مسيريابي‌ها بر روي اينترفيس‌هاي مختلف جلوگيري شود. مبادله اطلاعات صحيح بر روي روترهاي شركت بايد كنترل گردد و تغييرات ايجاد شده ثبت و رهگيري شود. كنترل logها بايد به عنوان يك دستورالعمل به صورت مرتب انجام شود و در صورت مشاهده موارد مشكوك، اقدامات لازم صورت پذيرد.

از كار انداختن سرويس‌هاي غيرضروري

اغلب شبكه‌ها توسط نفوذ به سوئيچ‌ها و روترها هك مي‌شوند. لذا بايد تنظيمات اين تجهيزات را به گونه‌اي تنظيم نمود كه از اين‌گونه سوء‌استفاده‌ها جلوگيري شود. سوئيچ‌ها و روترها براي اينكه بتوانند در هر شبكه‌اي مورد استفاده قرار بگيرند از خاصيت‌هاي مختلفي برخوردارند كه بسياري از آنها در برخي شبكه‌ها كاربرد ندارند. به كمك فرمان جهاني Show Control Plane host open-ports كليه پورت‌ها و سرويس‌هاي باز نمايش داده مي‌شوند. بهتر است خاصيت‌هاي نظير ensure finger و Small TCP&UDP Servers بر روي سوئيچ‌ها و روترها غيرفعال شود. سرويس‌هايي نظير BOOTP و IP Source Routing نيز غيرفعال شود. به علاوه IP Direct Broadcast نيز بايد غيرفعال شود. فعال‌سازي اين سرويس‌ها تنها در موارد ضروري و با تائيد كميته امنيت شركت امكان‌پذير خواهد بود.

ايجاد ليست‌هاي دسترسي برای مدیریت و دسترسی تجهیزات زیرساختی

ليست‌هاي كنترل دسترسي(Access Control List) يا ACL از جمله امكاناتي است كه امروزه بر روي اغلب سوئيچ‌ها و روترها وجود دارد. اين ليست‌ها بايد به دقت توسط كارشناسان شبكه و امنيت شركت تنظيم شوند. به كمك اين ليست‌ها فقط كاربران مجاز قادر به ورود به محيط تنظيمات تجهيزات مي‌باشند. اين تنظيمات چه در محيط شبكه WAN، چه در محيط شبكه LAN و چه در اينترنت كاربرد فراواني دارند و مي‌توانند از دسترسي‌ كاربران غيرمجاز از هر يك از اين‌گونه محيط‌ها به زيرساخت شبكه شركت جلوگيري نمايند.

فعال‌نمودن خاصيت COPP

خاصيت (Control Plane Policing) COPP يكي از امكانات زيرساختي روترها و سوئيچ‌ها به شمار مي‌رود كه با اجراي سياست‌هاي Qos، مديريت ترافيك را در پردازنده اصلي تجهيزات زيرساختي در دست مي‌گيرد و از حملاتي مانند افزايش بار و انكار سرويس جلوگيري مي‌نمايد. به كمك دستور فرمانهايي كه توسط اين خاصيت پشتيباني مي‌شوند، مي‌توان چندين كلاس تعريف نمود و سياست‌هاي مشخصي را به هر كلاس اعمال نمود. با تنظيم اين سياست‌ها مي‌توان مشخص نمود كه پردازنده اصلي روتر يا سوئيچ چه نرخي از بسته‌هاي اطلاعاتي را مي‌تواند پردازش نمايد. بايد به خوبي كلاس‌هاي ترافيكي تشخيص داده شود. با دانستن دقيق پروتكل‌ها و پورت‌ها مي‌توان كلاس‌هاي مناسب‌تري تعريف نمود و لذا به نحو موثري از امكانات COPP استفاده نمود.

برقراري تنظيمات امنيتي پورت‌هاي سوئيچ‌ها

به كمك اين خاصيت كه در اغلب سوئيچ‌ها موجود است، تنها پورت‌هايي مي‌توانند اقدام به ارسال داده نمايند كه آدرس MAC آنها ثبت شده باشد. اين خاصيت مي‌تواند به صورت جداگانه بر روي هر يك از پورت‌ها تنظيم شود و همچنين اين‌گونه تنظيمات مي‌تواند هم به صورت پويا و هم به صورت ايستا اعمال شود. برخي از سوئيچ‌ها از اين قابليت برخوردارند تا در طول زمان و با توجه به داده‌هاي گذشته، قواعد فيلترينگ MAC آدرس‌ها را شناسايي و اعمال كنند. به اين روش، روش پويا گفته مي‌شود. فيلترينگ آدرس‌هاي MACدر مورد كليه تجهيزات مانند رايانه‌ها، تلفن‌ها و تجهيزاتي كه قادر به اتصال به شبكه مي‌باشند، مي‌تواند اعمال شود.

استفاده از تجهيزات جايگزين برای مدیریت و دسترسی تجهیزات زیرساختی

براي افزايش امنيت شبكه، بايد وابستگي به برخي تجهيزات كليدي را از بين برد. وجود يك نقطه اتكاي واحد همواره خطرناك است و شانس از كارافتادن را افزايش مي‌دهد. ايجاد مسيرهاي جايگزين در شبكه، خريد تجهيزات جايگزين و قراردادن در شبكه، استفاده از پروتكل‌هاي جايگزين و اعمال تنظيمات مربوطه و همچنين تهيه ماژول‌هاي جايگزين از جمله راهكارهايي است كه مي‌تواند اعمال شود. البته اين موضوع رابطه نزديكي با ميزان قابليت اطميناني دارد كه از سيستم انتظار مي‌رود. هرچه ميزان قابليت اطمينان بالاتري مدنظر باشد، بايد سرمايه‌گذاري بيشتري صورت پذيرد.

اندازه‌گيري و مانيتورينگ وضعيت شبكه

يكي از راهكارهاي ايجاد امنيت در شبكه‌هاي رايانه‌اي، مانيتورينگ وضعيت شبكه مي‌باشد. بدين منظور همواره بايد اطلاعات مرتبط با شبكه به كمك ابزارها، جمع‌آوري شود. اطلاعاتي از قبيل ميزان كاركرد شبكه، سابقه فعاليت كاربران در شبكه، وضعيت ترافيك شبكه و ترافيك موجود بر روي هر يك از تجهيزات زيرساختي مانند روترها و سوئيچ‌‌ها از جمله اين اطلاعات مي‌باشد. علاوه بر اين بايد ساعت كليه تجهيزات به كمك پروتكل‌هايي مانند NTP همسان شود. به كمك اين خاصيت، اطلاعات ثبت‌شده در مورد تجهيزات مختلف قابل استناد است. پروتكل NTP كمك مي‌نمايد تا در صورتي كه تغييراتي در شبكه اعمال شد، به راحتي قابل كشف باشد و به علاوه مديريت تجهيزات زيرساختي نيز مي‌تواند از تغيير ستاد مركزي اعمال شود. از جمله اطلاعات امنيتي مهمي كه همواره بايد مانيتور گردد، ميزان بار موجود بر روي پردازشگر مركزي و حافظه هر يك از تجهيزات مي‌‌باشد. بدين‌صورت كشف نفوذها راحت‌تر مي‌گردد و مي‌توان از اعمال ترافيك‌هاي غيرمجاز به شبكه جلوگيري نمود. كليه تجهيزات زيرساختي نظير روترها و سوئيچ‌ها از اين قابليت برخوردارند كه يك ميزان آستانه در اين مورد تعريف شود و در صورتي كه حدآستانه تحريك شد، كارشناسان شركت در اين زمينه مطلع شوند.

تفکیک بخش‌هاي مختلف شبكه از يكديگر

مكانيزم Broadcasting، از نظر امنيتي داراي مشكلات فراواني است و مي‌تواند به راحتي مورد استفاده مهاجمان قرار گيرد. لذا جداسازي (Segmentation) بخش‌هاي مختلف شبكه از يكديگر، يكي از فعاليت‌هاي ضروري محسوب مي‌شود. ايجاد VLANها يكي از اين تكنيك‌ها است كه جدا از فوايدي نظير كاهش ترافيك و كنترل مناسب‌تر شبكه، از امنيت بالاتري نيز برخوردار است. لذا توصيه مي‌شود تا بر روي سوئيچ‌ها، VLANها تنظيم شوند.