جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

معرفی 8 نکته مهم در امن کردن Management Plane سیسکو به زبان ساده

چگونه Management Plane سیسکو را امن کنیم؟ با بحث NFP و اهمیت آن آشنا شدیم و حال به نکات حائز اهمیت در management plane می پردازیم.در زمان اجرای شبکه ، best practices زیر را به خاطر بسپارید. هر یک از این آیتم ها در زمان اجرا وضعیت امنیتی management plane را بهبود می بخشند. به عبارت دیگر ، هر اقدام امنیتی که در نظر گرفته شود باعث می شود که دستیابی مهاجم به دستگاه سخت تر شود. در ادامه لیستی از best practice در رابطه با management plane نشان داده شده است :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
وب سایت توسینسو
  1. Strong passwords : پسورد را به گونه ای انتخاب کنید که شکستن آن سخت باشد. سعی کنید از پسوردهای Complex استفاده کنید و پسورد را به گونه ای انتخاب کنید که قابل حدس زدن نباشد. یک مهاجم می تواند از طریق روش های مختلف اقدام به شکستن پسورد کند از جمله استفاده از دیکشنری و حمله brute-force را می توان نام برد. در حمله با استفاده از دیکشنری مهاجم سعی می کند با استفاده از لیستی از لغات که ممکن است به عنوان پسورد انتخاب شده باشند اقدام به login شدن به سیستم می کند. به این صورت که تمام این لغات را برای ورود امتحان می کند تا موفق به ورود به سیستم شود. در حمله brute-force از دیکشنری استفاده نمی شود اما هزاران رشته از کاراکترها را برای ورود امتحان می کند. استفاده از پسورد پیچیده باعث می شود که شکستن آن نسبت به یک پسورد ساده سخت تر و وقتگیرتر باشد.
  2. User authentication and AAA : دسترسی به دستگاه را با استفاده از یوزر و پسورد تعیین کنید. استفاده از یوزر و پسورد خیلی بهتر از استفاده از پسورد به تنهایی است چون مهاجم علاوه بر پیدا کردن پسورد نیاز به دانستن یوزر نیز دارد. استفاده از یوزر و پسورد به دو صورت local و AAA قابل پیدا سازی است که استفاده از AAA با متمرکز کردن کنترل دسترسی می تواند امکانات و مزایایی مانند اینکه چه کاربری می تواند به چه دستگاهی متصل شود ، چه کاری انجام دهد و همچنین امکان ضبط وقایع را برای ما فراهم کند.
  3. Login Password Retry Lockout : ویژگی است که توسط آن می توانیم مشخص کنیم که کاربر local بعد از چند بار تلاش ورود ناموفق ، برای مدت زمان مشخص نتواند به سیستم وارد شود یا به طور کلی یوزر مربوطه غیرفعال شود و باید توسط مدیر سیستم دوباره فعال گردد.
  4. (Role-based access control (RBAC : همه کاربران نیاز به دسترسی کامل به همه دستگاه ها ندارند در نتیجه شما باید با استفاده از AAA و custom privilege levels (یا استفاده از parser views) این دسترسی را محدود کنیم. به طور مثال در صورتی که کاربران تازه واردی وجود داشته باشند شاید شما بخواهید یک گروه ایجاد کنید و دسترسی این گروه را محدود کنید. سپس کاربران مورد نظر را به این گروه اضافه می کنیم و بر این اساس ، دسترسی ها گروه به کاربر اعمال می شود. یک مثال دیگر از RBAC ایجاد یک custom privilege level و اختصاص آن به کاربران مورد نظر است و به این شکل دسترسی این کاربران براساس این custom privilege level خواهد بود.
  5. Encrypted management protocols : زمانی که از شبکه in-band برای ترافیکی مدیریتی استفاده می کنیم باید از ارتباط رمز شده برای ارتباط با دستگاه مانند (Secure Shell (SSH یا (Hypertext Transfer Protocol Secure (HTTPS استفاده کنیم. (Out-of-band (OOB یک شبکه کاملا مجزا از ترافیک کاربران است که فقط برای ترافیک های مدیریتی مورد استفاده قرار می گیرد اما در In-band شبکه به صورت مشترک توسط ترافیک کاربران و ترافیک مدیریتی مورد استفاده قرار می گیرد و نسبت به OOB از امنیت پایین تری برخوردار است. اگر پروتکل های plaintext مانند Telnet یا HTTP باید مورد استفاده قرار گیرد این ارتباط را در قالب تانل (virtual private network (VPN برقرار کنید تا با رمزنگاری از محتوای بسته ها محافظت کند.
  6. Logging and monitoring : یک روش برای ضبط وقایع است. Logging فقط شامل تغییرات و عملیات تعیین شده توسط مدیر نیست بلکه شامل اتفاقات سیستمی که توسط روتر و سوئیچ تولید می شوند که می تواند نشان دهنده خطا ، شرایط خاص و ... باشد. تعیین اهمیت اطلاعات log به صورت ساده با استفاده از سطح بندی انجام می گیرد و با استفاده از این سطوح می توان log ها را مدیریت کرد. Logging می تواند از روش های مختلف انجام گیرد و اطلاعات مربوط به logging می تواند از منابع مختلفی مانند روتر ، سوئیچ و ... تولید شود و به سرور Syslog ارسال شود. سرور Syslog دستگاهی است که تنظیم شده است پیام های Syslog ارسالی توسط دستگاه های شبکه را دریافت و نگه داری کند. اگر SNMP استفاده می شود ترجیحا از نسخه 3 استفاده کنید که قابلیت رمزنگاری و احرازهویت را دارد. شما می توانید از SNMP برای تغییرات در روتر یا سوئیچ استفاده کنید و همچنین می توانید از وضعیت دستگاه اطلاعات کسب کنید. SNMP trap بسته ای است که توسط دستگاه مانند روتر یا سوئیچ تولید می شود و نشان دهنده یک اتفاق است.
  7. (Network Time Protocol (NTP : از NTP برای هماهنگی ساعت دستگاه های شبکه استفاده کنید تا هر Log ی که تولید شود و شامل زمان باشد راحت تر می تواند جمع آوری و بررسی شود. ترجیحا از NTP ورژن 3 استفاده کنید تا از ویژگی Authentication آن ، برای update ها بتوانیم استفاده کنیم. خیلی مهم است که log های تولید شده توسط دستگاه ها را جمع آوری کنیم تا از اتفاقات شبکه باخبر شوید و برای اینکه بتوانید اطلاعات این log ها را بهتر و دقیق تر بررسی کنیم باید زمان تمام دستگاه ها یکسان باشد.
  8. Secure system files : باعث سخت شدن پاک کردن فایل startup configuration و فایل های مرتبط با IOS می شود اینکار می تواند به صورت تصادفی یا از روی قصد باشد. شما می توانید اینکار را با استفاده از قابلیت موجود در IOS انجام دهید.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات