عاطفه حسین زاده
متخصص شبکه های سیسکو

10 نکته برای امن کردن سویچ سیسکو که باید بدانید

چگونه سویچ سیسکو را امن کنیم؟ مراحل امن کردن سویچ سیسکو چیست؟ با اینکه می توانید ویژگی های امنیتی بسیاری را در روی سوئیچ ها فعال سازید، اما در این بین باید با نکات ضعف و قدرت هرکدام از این ویژگی ها نیز آشنا باشید. به عبارتی دیگر، تصور نکنید که تمامی کلاینت های متصل به شبکه شما بر طبق قوانین عمل کرده و شرایط نیز در همان وضعیت عادی پیش خواهد رفت. همیشه و در همه حال به امنیت شبکه بدبین بوده و سعی در بستن تمام راه هایی داشته باشید که ممکن است مورد سوء استفاده افراد خرابکار قرار گیرد.در ادامه به تشریح روشها و ارائه توصیه هایی می پردازیم که امنیت شبکه شما را افزایش خواهند داد. این توصیه ها عبارتند از :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1- استفاده از پسوردهای امن

تا جای ممکن در روی تمامی سوئیچ ها و روترهای خود از دستور enable secret استفاده کرده و بدین ترتیب پسورد قدرتمندی را به محیط privilege دستگاه اختصاص دهید . همچنین اگر می توانید از ویژگی AAA برای بررسی هویت کلاینت هایی که از سوئیچ ها و یا روترها استفاده می نمایند استفاده کنید. بهره گیری از سرورهای خارجی برای نگهداری نام های کاربری و پسوردها بسیار مناسب تر از ذخیره آنها در روی خود سوئیچ است. همچنین این روش دارای مقیاس پذیری بیشتری از نگهداری اطلاعات در روی خود دستگاه می باشد. در انتها باید از دستور service password encryption استفاده کنید تا تمامی پسوردهای نوشته شده در روی سوئیچ یا روتر از دید افراد مخفی شوند. البته الگوریتم مورد استفاده برای پنهان سازی اطلاعات در این روش زیاد قدرتمند نیست.

2- از بنرها استفاده کنید

شما می توانید سوئیچ را به نحوی پیکربندی کنید که تا پیام مورد نظر شما را در ابتدای دسترسی کلاینت ها به دستگاه نمایش دهد. برای مثال می توانید متن این پیام را برای هشدار به کاربرانی تنظیم نمائید که قصد دسترسی غیر مجاز به دستگاه را دارند. همچنین این پیام می تواند در رابطه با سیاستهای امنیتی شبکه بوده و اخطاری مبنی بر پیگردی قانونی برای کاربران غیر مجاز نشان دهد. برای ایجاد این بنر می توان از دستور banner mtod استفاده کرد. لازم به ذکر است که از بکارگیری دیگر روشهای نشان دادن پیام خودداری کرده و همچنین از بیان کردن اطلاعات حساس در این متن بپرهیزید.

3- تامین امنیت سرویس وب

در صورتی که از محیط وب برای مشاهده و مدیریت دستگاه استفاده نمی کنید، اقدام به غیرفعال کردن سرویس وب نمایید. برخی از مدیران تنها از محیط CLI برای دسترسی به دستگاه و مدیریت آن بهره می گیرند که در این شرایط غیرفعال کردن سرویس وب باعث افزایش امنیت دستگاه خواهد شد. دستور مورد استفاده برای این کار no ip http server است. اما در شرایطی که تمایل و یا نیاز به استفاده از محیط وب داشته باشید، سعی در بهره گیری از سرویس امن تر آن، یعنی HTTPs نمایید.پروتکل HTTP دارای نقاط ضعفی می باشد که امکان سوء استفاده از آن را فراهم ساخته است.

برای مثال تمامی اطلاعاتی که توسط پروتکل HTTP منتقل می شوند را می توان با استفاده از نرم افزارهایی مانند WireShark و یا Nmap کشف کرده و از آنها برای مقاصد خرابکارانه بهره گرفت . به منظور فعال کردن سرویس HTTPs از دستور ip http secure server استفاده کنید. همچنین سعی در محدود کردن آدرسهای IP داشته باشید که قادر به دسترسی به دستگاه از طریق پروتکل HTTPs می باشند. برای این منظور در ابتدا یک ACL ایجاد کرده و آدرسهای IP موردنظر خود را مجاز کنید. سپس این ACL را با کمک دستور ip http access-class بر روی HTTPs interface اعمال نمایی. برای نمونه مثال زیر آدرسهای واقع در رنج 10.100.50.0/24 را برای دسترسی به دستگاه از طریق پروتکل HTTPs مجاز کرده است.

Switch (config)# no ip http server
Switch (config)# ip http secure server
Switch (config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch (config)#ip http access-class 1

4- امنیت پورت کنسول دستگاه را فراهم کنید

همیشه به یاد داشته باشید که اولین قدم در تامین امنیت دستگاه، محافظت آن از دسترسی فیزیکی افراد است. بنابراین سعی کنید تا پسورد قدرتمندی را بر روی پورت کنسول دستگاه اعمال کنید.

Switch (config)#line console 0
Switch (config)#password --
 

5- امنیت اتصالات telnet یا همون پورت های VTY را تامین کنید

برای دسترسی به طریق telnet نیز باید پسوردی بر روی تمامی پورت های VTY دستگاه اعمال شود. همچنین باید آدرسهای IP افرادی که قادر به دسترسی به دستگاه از طریق telnet یا SSH می باشند را نیز محدود نمائید. برای این منظور می توان از یک ACL ساده استفاده کرد. مثال زیر نمونه ای از پیکربندی آن را نشان داده است. لازم به یادآوری مجدد است که این پسورد باید بر روی تمامی پورتهای VTY اعمال شود. برای مشاهده اینکه یک دستگاه حداکثر از چند پورت VTY پشتیبانی می کند می توان از دستور show user all بهره گرفت.

Switch (config)#access-list 10 permit 192.168.199.10
Switch (config)#access-list 10 permit 192.168.20.1.100
Switch (config)#line vty 0 15
Switch (config)#access-class 10 in 

10 نکته برای امن کردن سویچ سیسکو که باید بدانید

6- تا جای ممکن از SSH استفاده کنید

اتصال telnet به راحتی قابل پیکربندی و استفاده است. اما این پروتکل امن نبوده و تمامی اطلاعاتی که از این طریق منتقل می شوند به صورت متون ساده فرستاده خواهند شد. بنابراین افراد هکر می توانند با شکار ترافیک انتقالی پی به نام های کاربری و پسوردها ببرند. برای برطرف کردن این خطر می توان از SSH به جای telnet استفاده کرد . این پروتکل از یک متد امنیتی بسیار قوی برای مخفی ساختن اطلاعات انتقالی استفاده می کند. اما برای بکارگیری این ویژگی باید از پشتیبانی IOS دستگاه از آن اطمینان حاصل نمایید.این پروتکل دارای چندین نسخه است که بالاترین نسخه امن ترین آنهاست.نسخه های مربوط به این پروتکل عبارتند از1 SSH، SSH 1.5، SSH 2.

7- تامین امنیت پروتکل SNMP

برای جلوگیری از تغییر پیکربندی دستگاه توسط افراد ناشناخته و غیرمجاز باید مجوزهای read و write را در مورد پروتکل SNMP غیرفعال سازید. همچنین دستورات را باید به صورت read-only در آورده و آدرسهای IP مجاز به مشاهده این اطلاعات read-only را نیز محدود سازید. لازم به ذکر است که پسوردها یا در حقیقت stringهای نوشته شده در پیکربندی SNMP به صورت متون ساده و بدون هیچ محافظتی انتقال خواهند یافت. بنابراین تکیه بر آنها برای افزایش امنیت صحیح نیست.

8- تامین امنیت پورت های آزاد سوئیچ

تمامی پورتهای آزاد سوئیچ را غیرفعال کنید تا هیچکس بدون آگاهی شما قادر به متصل کردن دستگاهی دیگر به شبکه نباشد. این کار با استفاده از دستور shutdown در محیط پیکربندی یک interface انجام می پذیرد. علاوه بر این تمامی پورتهای آزاد سوئیچ را با استفاده از دستور switchport mode access در وضعیت access قرار دهید تا امکان ایجاد اتوماتیک اتصال trunk توسط افراد هکر در روی پورت های مزبور غیرممکن باشد. همچنین برای افزایش امنیت می توانید VLAN جدید ایجاد کرده و تمامی پورت های آزاد دستگاه را عضوی از این VLAN نمایید. در چنین وضعیتی حتی اگر فردی قادر به دسترسی به این پورت باشد نیز تنها به همان VLAN دسترسی پیدا خواهد کرد.

9- امنیت پروتکل STP را تامین کنید

افراد هکر می توانند دستگاه خود را به یکی از پورت های سوئیچ وصل کرده و پیامهای BPDU خود را ایجاد و ارسال نمایند. در این صورت می توانید از ویژگی BPDU Gurd استفاده کنید تا پورتهای access دستگاه در هنگام دریافت پیامهای BPDU غیرفعال گردند.

10- امنیت پروتکل CDP را فراهم کنید

به صورت پیش فرض تمامی پورتهای سوئیچ در هر 60 ثانیه یک بار اقدام به ارسال پیامهای Cisco Discovery Protocol) CDP) می کنند. با وجود آنکه این پروتکل می تواند در بسیاری از مواقع مفید باشد، اما برخی از افراد می توانند از اطلاعات منتشر شده توسط این پروتکل سوء استفاده کنند. بنابراین این پروتکل باید بر روی پورتهایی فعال باشد که به یک سوئیچ مطمئن دیگر متصل هستند. در این بین اگر پورتی از سوئیچ به تلفن های IP سیسکو متصل باشد، فعال بودن CDP در روی آن بسیار مفید خواهد بود. تلفن های IP سیسکو بعد از دریافت پیامهای CDP آنها را به سمت کامپیوتر متصل به خود هدایت نخواهند کرد. برای غیرفعال کردن CDP در روی پورتهای مورد نظر خود از دستور no cdp enable استفاده کنید.


عاطفه حسین زاده
عاطفه حسین زاده

متخصص شبکه های سیسکو

سابقه فعالیت در حوزه های مایکروسافت و سیسکو و مجازی سازی رو دارم اما عمده فعالیت و علاقم حوزه لینوکس و متن بازه و در حال حاضر تصمیم به تمرکز در این حوزه دارم.

نظرات