یازدهمین کنترل از مجموعه کنترل های امنیتی موسسه SANS مربوط به پیکره بندی امن تجهیزات شبکه است. در ادامه این کنترل توصیف شده است.
شرح کنترل
تجهیزات شبکه در زمان ساخت و ارائه توسط سازندگان به صورت پیش فرض تنظیم و پیکره بندی می شوند. لیکن در زمان نصب و بهره برداری آنها در سازمان ضروری است تا پیکره بندی این تجهیزات براساس نیازمندی های سازمان و سیاست های امنیت اطلاعات تغییر یابد. به عنوان مثال در بسیاری از موارد نام کاربری و کلمه عبور این تجهیزات پس از نصب و استقرار در سازمان تغییر نمی یابند و امکان سواستفاده از آنها توسط هکرها وجود دارد. این تجهیزات معمولاً برخی از سرویس ها و پورت را به صورت پیش فرض فعال نموده اند و نرم افزارهایی به صورت پیش فرض بر روی آنها نصب شده است که این موارد در سازمان مورد نیاز نیستند. وجود چنین تنظیمات پیش فرضی باعث می شود تا هکرها بتوانند به راحتی از آنها سو استفاده کرده و حملات خود را از این طریق انجام دهند. همچنین در این تجهیزات به صورت پیش فرض پروتکل هایی فعال شده است که مورد نیاز سازمان نیست. این پروتکل ها نیز می توانند باعث آسیب پذیری سازمان شوند. براین اساس پیکره بندی امن تجهیزات شبکه یک ضرورت کلیدی به شمار می رود.
پیکره بندی امن تجهیزات شبکه تنها یک بار اتفاق نمی افتد و باید به صورت یک فرآیند مستمر اعمال گردد. چرا که این تغییرات به صورت مرتب براساس نیازمندی های سازمان رخ می دهد و پس از هر بار تغییر ممکن است یک آسیب پذیری جدید شکل گیرد. به عنوان مثال در برخی از موارد یک سری از پورت ها، پروتکل ها یا سرویس های این تجهیزات فعال می شود تا یک نیاز مشخص در سازمان پاسخ داده شود. پس از رفع این نیاز باید پورت، پروتکل و سرویس مذکور غیر فعال گردد تا امکان سواستفاده از آنها محدود شود. در عمل چنین امری رخ نمی دهد و در اغلب موارد پس از مرتفع شدن نیازمندی، تنظیمات به حالت اولیه امن باز گردانده نمی شود. هکرها به صورت منظم، پورت ها و سرویس های فعال تجهیزات را اسکن می کنند تا بتوانند از طریق آنها حملات خود را اجرایی کنند. تنظیمات پیش فرض در کارخانه، خطرناک ترین نوع آسیب پذیری برای سازمان ها هستند چرا که هکرها کاملاً بدان ها آشنایی دارند.
یکی از ملاحظات دیگر در خصوص ایمن سازی تنظمیات تجهیزات شبکه، وجود فرآیند رسمی مدیریت تغییر برای اعمال تغییرات در این تنظیمات است. طی این فرآیند درخواست برای تغییرات در پیکره بندی توسط متقاضی ارائه شده و پس از ارزیابی و تایید توسط مراجع ذیصلاح در سازمان، برای اجرا ابلاغ می شود. وجود چنین فرآیندی باعث می شود تا تمامی ذینفعان و مراجع مربوطه از تغییر مذکور مطلع باشند. در بسیاری از موارد مدیران یا کارشناسان شبکه به صورت شخصی اقدام به تغییر این تنظمیات می کنند. در صورتی که هیچ مستندی در خصوص درخواست تغییر یا تصویب آن و نتایج تغییرات وجود ندارد. در این حال اگر کارشناس یا مدیر مربوطه از دسترس خارج شود، دسترسی به تجهیز مورد نظر و اعمال تغییرات جدید میسر نیست.
آزمون کنترل
• پورت ها، پروتکل ها و سرویس های تجهیزات شبکه بررسی شده و از غیرفعال شدن موارد غیرضروری اطمینان حاصل شود.
• کلمات عبور و سایر تنظمیات پیش فرض کارخانه بر روی تجهیزات بررسی شده و از تغییر آنها براساس سیاست های امنیتی سازمان اطمینان حاصل شود.
• وجود فرآیند رسمی درخواست و اعمال تغییرات بر روی تجهیزات شبکه و اجرای موثر آن در سازمان بررسی شود.
• با استفاده از نرم افزارهای اسکن تجهیزات، آسیب پذیری های آنها شناسایی شده و سرویس ها و پورت های پر خطر شناسایی شوند.