به نام خدا
امنیت تجهیزات و پروتکلهای سوئیچینگ و مسیریابی
امنیت تجهیزات و پروتکلهای سوئیچینگ و مسیریابی
فهرست مطالب:
مقاوم سازی تجهیزات شبکه
امنیت سوئیچینگ
امنیت مسیریابی
Hardening
تجهیزات شبکه اولین هدف یک هکر توانمند خواهند بود.
در صورت در اختیار گرفتن سوئیچ یا روتر، هکر می تواند کنترل شبکه را تا حد زیادی در دست گیرد.
علاوه بر امنیت فیزیکی و مکان قرار گیری، تجهیزات شبکه باید مقاوم سازی یا Hardening شوند.
مقاوم سازی تجهیزات شبکه
کنترل خطوط tty و vty
خطوط Terminal Type (tty)و Virtual tty (vty)خطوطی هستند که جهت تعامل مدیر با تجهیزات شبکه مورد استفاده قرار می گیرند.
بررسی تعداد Session های موجود جهت جلوگیری از DoS.
استفاده همزمان از نام کاربری و کلمه عبور قدرتمند .
ایجاد اکانت های متفاوت با میزان دسترسی مشخص!
بهترین شیوه (Best Practice) این است که از سرور مرکزی مانند Radius یا Tacacs برای Authentication استفاده شود.
مقاوم سازی تجهیزات شبکه
مدیریت کلمه عبور:
خصوصیات کلمه عبور قدرتمند:
> کلمه عبور حداقل شامل 8 کاراکتر باشد. (توصیه می شود دارای 15 کاراکتر باشد.)
> از حروف بزرگ و کوچک استفاده شود.
> از اعداد استفاده شود.
> از نماد(Symbol) ها استفاده شود. مثل @، !، #، % و غیره.
> از اطلاعات شخصی مثل نام، فامیل، تاریخ تولد و یا شماره تلفن استفاده نگردد.
> از الگوی صفحه کلید استفاده نشود. مثل: asdfghjkl یا 123456789 و یا qwerty.
> این عبارت نباید عمومی بوده یا در فرهنگ لغت موجود باشد.
> در بازه های زمانی مشخص اقدام به تعویض کلمه عبور نمایید.
> کلمه عبور جدید، شبیه کلمه عبور قبلی نباشد.
> برای اهداف مختلف از کلمه های عبور یکسان استفاده نکنید.
مقاوم سازی تجهیزات شبکه
نگهداری کلمات عبور بصورت رمز شده
بصورت پیش فرض کلمات عبور، NTP Key، SNMP String، Routing Protocol Key بصورت متن واضح بر روی تجهیزات ذخیره می شود!
جهت رفع عیب فوق:
1. دستور Enable Password
استفاده از MD5 فقط برای کلمات عبور
2. دستور Enable Secret
استفاده از MD5 فقط برای کلمات عبور
3. دستور Service Password-Encryption
استفاده از Vigenère cipher برای تمام عبارات مهم بجز SNMP
مقاوم سازی تجهیزات شبکه
ادامه امنیت کلمه عبور:
استفاده از نام کاربری در کنار Password
قفل اکانت در صورت تکرار در وارد کردن اشتباه کلمه عبور
سرویس عدم بازیابی کلمه عبور
مقاوم سازی تجهیزات شبکه
غیر فعال کردن سرویس های بلااستفاده و ریسک پذیر:
تا حد امکان سرویس هایی که از پروتکل UDP استفاده می نمایند، غیرفعال گردند.
غیرفعال نمودن سرویس های مثل:
Bootp, http server, service config (tftp boot)
غیر فعال کردن پروتکل CDP
غیر فعال کردن پروتکل LLDP (نسخه استاندارد CDP)
مقاوم سازی تجهیزات شبکه
امنیت Session:
رمز نگاری نشست های مدیریتی
استفاده از SSH به جای Telnet
استفاده از SCP به جای FTP
استفاده از دستور EXEC Timeout
در صورت Idle بودن، نشست خاتمه یابد.
استفاده از دستور Keepalive برای نشست TCP
ارسال پیام Keepalive برای بررسی در دسترس بودن طرف مقابل
مقاوم سازی تجهیزات شبکه
سایر نکات Hardening
استفاده از اینترفیس مدیریت
مشخص کردن یک اینترفیس خاص جهت دسترسی های مدیریتی
محدود کردن دسترسی به تجهیزات با استفاده از ACL
هشدار آستانه حافظه
هشدار آستانه CPU
رزرو حافظه جهت دسترسی کنسول
آشکار ساز نشت حافظه
فیلتر بسته های ICMP
دقت در انتخاب و پیکربندی سرویس NTP
مقاوم سازی تجهیزات شبکه
استفاده از بهترین شیوه رویدادنگاری
ارسال رویدادها به یک مکان مرکزی به عنوان Syslog Server
مشخص کردن سطح واقعه نگاری
عدم ارسال رویداد به نشست های مدیریتی و کنسول
استفاده از بافر
تعیین اینترفیس مبدا جهت واقعه نگاری
ثبت وقایع به همراه زمان
مقاوم سازی تجهیزات شبکه
مقاوم سازی پروتکل SNMP
SNMP یک پروتکل مدیریتی جهت مانیتورینگ و انجام پیکربندی بر روی تجهیزات می باشد.
نکاتی که جهت امنیت SNMP باید مدنظر قرار داد:
< تغییر Communication String پیش فرض به یک رشته قدرتمند!
< تغییر پریودیک Communication String
> مشخص نمودن RO یا RW بودن SNMP
> استفاده از ACL جهت مشخص نمودن سیستم های قابل اطمینان
> مشخص نمودن دسترسی به MIB های خاص توسط ویژگی SNMP View
> استفاده از SNMP v3
مقاوم سازی تجهیزات شبکه
ســـرویس AAA
سرویس (Authentication, Authorization, Accounting)AAA، اقدام به ارائه چارچوبی برای خدمات امنیت شامل احراز هویت، مشخص کردن حدود اختیارات و حسابداری می نماید.
ماژول احراز هویت:
روش شناسایی کاربر و پشتیبانی از رمزنگاری مورد نظر شما را اجرا می نماید.
ماژول حدود اختیارات:
مشخص کننده حدود اختیارات و دسترسی هر کاربر می باشد.
ماژول حسابداری:
ردیابی کاربران در دسترسی به سرویس ها و مشخص نمودن مقدار استفاده از آنها
مقاوم سازی تجهیزات شبکه
VLAN بندی
تقسیم شبکه های بزرگ به زیرشبکه های کوچک تر دارای مزایای زیر می باشد:
> محدود کردن دامنه پخش همگانی (Broadcast)
> جداسازی کاربران بر اساس حوزه کاری
> امکان کنترل دسترسی کاربران بخش های مختلف به منابع شبکه
> افزایش امنیت با استفاده از ACL
> محدود کردن دامنه تاثیر گذاری حملات و کدهای مخرب
امنیت سوئیچینگ
امنیت پروتکل STP
از پروتکل Spanning Tree Protocol(STP)، جهت جلوگیری از ایجاد حلقه لایه دو در شبکه بهره برده می شود.
مواردی که باید برای امنیت STP مدنظر قرار داد:
> غیرفعال سازی Dynamic Trunking
> بهتر است از پروتکل PVST استفاده شود
> استفاده از ویژگی PortFast
> استفاده از ویژگی BPDU Guard
> استفاده از ویژگی STP Root Guard
> غیر فعال سازی پورت های بلااستفاده
> استفاده از ویژگی Loop Guard (اتصال یکطرفه منطقی)
> استفاده از ویژگی UDLD(اتصال یکطرفه فیزیکی)
امنیت سوئیچینگ
ویژگی Port Security
ویژگیPort Security فراهم آورنده امنیت مورد نیاز در برابر آسیب پذیری های متعددی است که از جمله آنها می توان به موارد زیر اشاره نمود:
1. برقراری امنیت در پروتکلSTP
2. مقابله با حملات MAC Flooding
3. جلوگیری از اتصال تجهیزات ناشناخته به شبکه
به سه حالت می توان Port Security را راه اندازی نمود:
> مشخص نمودن دستی آدرس های MAC
> یادگیری آدرس MAC بصورت پویا
> از طریق ویژگی Sticky MAC Address
امنیت سوئیچینگ
کنترل طوفان ترافیک
ویژگیStorm Control از ایجاد اختلال در ترافیکLAN، توسط طوفان Unicast، Multicast یا Broadcast بوجود آمده از طریق یک اینترفیس فیزیکی، ممانعت به عمل می آورد.
ویژگی کنترل طوفان (یا سرکوب ترافیک)، بر روی بسته های عبوری از یک اینترفیس به سوئیچ نظارت کرده و مشخص می نماید که این بسته ها از نوع Unicast، Multicast و یا Broadcast هستند.
سوئیچ نیز در بازه زمانی یک ثانیه اقدام به شمارش هر نوع از بسته های مشخص شده می نماید تا در صورتیکه تعداد بسته های مورد نظر از آستانه تعیین شده فراتر رود، اقدام به سرکوب آن ترافیک نماید.
امنیت سوئیچینگ
ویژگی DHCP Snooping
برای جلوگیری از سوء استفاده هکرها به وسیله سرویس DHCP از ویژگی DHCP Snooping بهره می برند.
ویژگی DHCP Snooping همانند یک فایروال بین سرورDHCP قابل اعتماد و کلاینت های غیرقابل اطمینان در شبکه قرار گرفته و فعالیت های زیر را انجام می دهد:
> اعتبار سنجی پیام هایDHCP دریافت شده
> محدود سازی میزان ترافیکDHCP از منابع قابل اعتماد و غیرقابل اعتماد.
> ایجاد و نگهداری پایگاه داده DHCP Snooping، شامل اطلاعاتی درباره کلاینت های غیرقابل اطمینان به همراه آدرس هایIP استیجاری اختصاص داده شده به آنها.
> بهره گیری از پایگاه دادهDHCP Snooping برای اعتبار سنجی درخواست های بعدی کلاینت های غیرقابل اعتماد.
منظور از غیرقابل اطمینان کلاینت هایی هستند که به طور معمول به شبکه وصل می شوند و ممکن است فرد هکر نیز یکی از آنها باشد. پس توجه داشته باشید که غیرقابل اطمینان به منظور ناشناخته بوده و با غیرمجاز فرق می کند!
امنیت سوئیچینگ
IP Source Guard
ویژگی امنیتی IPSG جهت محدود سازی ترافیک مربوط به اینترفیس های لایه دو می باشد و عمل فیلتر ترافیک شبکه را بر اساس جدولIP Source Binding انجام می دهد.
با ادغام دو ویژگی IP Source Guard با DHCP Snooping، سوئیچ تمام ترافیک دریافتی یک اینترفیس را بلوکه می کند مگر آنکه ترافیک از سویDHCP Snooping مجاز شناخته شده باشد.
جدول IP Source Binding، شامل آدرس های یاد گرفته شده از طریقDHCP Snooping و یا پیکربندی شده بصورت دستی(Static IP Source Binding) می باشد. هر ورودی این جدول شامل آدرسIP به همراه آدرسMAC اختصاص داده شده و شماره VLAN مربوطه می باشد.
امنیت سوئیچینگ
ویژگی DAI
جهت محافظت از پروتکل ARP از ویژگی Dynamic ARP Inspection بهره می برند.
از جمله حملاتی که از طریق ARP انجام می شود، می توان به ARP Spoofing اشاره نمود. در این نوع حمله، هکر با جعل آدرس MAC خود را به عنوان کاربر مجاز معرفی می نماید!
ویژگیDAI با رهگیری، ثبت وقایع و حذف بسته هایARP که شامل آدرس های IP-to-MAC نامعتبر هستند، از حملات مرد میانی(MITM) جلوگیری به عمل می آورد.
ویژگیDAI را می توان مبتنی بر سرورDHCP و یا غیر مبتنی بر سرورDHCP راه اندازی نمود.
در صورتیکه بخواهید ویژگی DAI را مبتنی بر DHCP راه اندازی نمائید، باید قبلا ویژگی DHCP Snooping را بر روی سوئیچ فعال کرده باشید.
امنیت سوئیچینگ
شبکه مجازی خصوصی
ممکن است در برخی مواقع به دلایل امنیتی بخواهید بعضی از پورتهای حساس یک VLAN را بدون تغییر در آدرسIP و VLAN مربوطه، از سایر پورت های موجود در آن شبکه جداسازی نمائید. در این صورت از شبکه مجازی خصوصی (Private VLAN) بهره برده می شود.
از ویژگی PVLAN اغلب در Server Farm استفاده می شود.
شبکه مجازی شخصی (Private VLAN)، امکان جداسازی بین پورت های سوئیچ که در یک Broadcast Domain یکسان قرار دارند، را فراهم می آورد؛ بدون آنکه نیاز به ایجاد شبکه ای جدا با رنج آدرسIP متفاوت وجود داشته باشد.
امنیت سوئیچینگ
پروتکل IEEE 802.1x
سازمان IEEE برای امنیت شبکه اقدام به معرفی استاندارد802.1X نموده است. این استاندارد احراز هویت کلاینت ها را جهت دسترسی به شبکه بر اساس هر پورت سوئیچ انجام می دهد.
استاندارد dot1x کنترل دسترسی به شبکه را در سطح رسانه (Media Level) انجام داده و صدور اجازه یا رد دسترسی به شبکه را در همان سطح صادر می نماید.
این استاندارد کنترل دسترسی و اعمال سیاست های ترافیکی را مبتنی بر هویت کاربر یا ماشین انجام می دهد.
امنیت سوئیچینگ
Access Control List
لیست کنترل دسترسی (ACL) دارای طیف کاربردی وسیعی از جمله موارد زیر می باشد:
> کنترل دسترسی مدیریتی به تجهیزات شبکه
> کنترل دسترسی کاربران VLAN های مختلف با یکدیگر
> کنترل دسترسی کاربران به منابع شبکه
> کنترل ارسال و دریافت فایل های رویدادنگاری
> کنترل دسترسی های مربوط به پروتکل SNMP
> فیلترینگ ترافیک
> ایجاد محدودیت در دسترسی به سرویس های ارائه شده بر روی سرورها
امنیت مسیریابی
Access Control List
ACL دارای به یکی از دو حالت زیر می تواند ایجاد گردد:
Standard ACL
این نوع ACL که در رنج های 1-99 و 1300-1999 قرار دارد، فقط امکان Permit یا Deny نمودن جریان ترافیک مربوط به یک آدرسIP خاص را دارد.
2. Extended ACL
این نوع ACL که در رنج های 100-199 و 2000-2699 قرار دارد، امکان Permit و Deny ترافیک را بر اساس آدرس مبدا، آدرس مقصد و پورت مورد نظر فراهم می آورد. همچنین Extended ACL ها مدیر شبکه را قادر می سازند تا فیلتر ترافیک را حتی بر اساس نوع پروتکل (مثل UDP، TCP و ICMP) اعمال نماید.
امنیت مسیریابی
Route Maps
Route-Maps را می توان نوعیACL پیشرفته دانست که برای فیلتر کردن مسیرها و تغییر پارامترهای آنان در فرآیند توزیع مجدد (Redistribution) کاربرد دارد.
1. شباهت ACL با Route-Maps
> دارای دستورات پی در پی هستند.
> با تطبیق اولین شرط، همان را اعمال می نمایند.
2. تفاوت ACL با Route-Maps
> Route-Maps برای تطابق معیار از ACL بهره می برند.
> ACLها فقط نتیجه Permit یا Deny دارند، اما Route-Maps امکان توزیع مجدد را دارد.
> Route-Maps انعطاف پذیرتر از ACL است. (مثل تشخیص داخلی یا خارجی بودن مسیر)
> بر خلاف ACL، دستورات Route_Maps را فقط می توان به ترافیک ورودی اعمال نمود!
> ایجاد Route-Maps سخت تر و پیچیده تر از ACL می باشد.
امنیت مسیریابی
ویژگی Passive Interface
به صورت پیش فرض، تمام اینترفیس های روتر اقدام به ارسال و دریافت پیام های مسیریابی مینمایند.
در بسیاری از موارد نیازی نیست که یک اینترفیس اقدام به دریافت یا ارسال پیام های مسیریابی نماید.
در صورتیکه فرد هکر به اینترفیس مورد نظر دسترسی پیدا کند، می تواند از مسیریابی شبکه آگاه شده و حتی با دستکاری پیام ها، مسیرها را تغییر دهد.
در صورتیکه ویژگی Passive Interfaceبر روی یک اینترفیس فعال باشد، پیام های بروز رسانی مربوط به مسیریابی پویا از طریق آن اینترفیس دریافت و ارسال نخواهد شد.
استفاده از این ویژگی باعث افزایش امنیت مربوط به پیام های مسیریابی می گردد.
امنیت مسیریابی
ترجمه آدرس شبکه (NAT)
ویژگی ترجمه آدرس شبکه یا NAT علاوه بر ترجمه آدرس های Private به آدرس های Public و برقراری امکان استفاده از اینترنت برای کاربران فاقد آدرس های عمومی، یک ویژگی امنیتی نیز محسوب می گردد.
ترجمه آدرس شبکه می تواند با تبدیل آدرس های مورد استفاده در داخل شبکه به یک سری آدرسIP خاص، از افشای آدرس هایIP و زیر شبکه های مورد استفاده در سازمان شما جلوگیری به عمل آورد.
امنیت مسیریابی
استاندارد RFC 2827
نوعی از حملات منع خدمت که توسط افراد خرابکار انجام می پذیرد، حمله بر اساس جعل آدرسIP مبدا می باشد. برای جلوگیری از این نوع حملات این استاندارد به رعایت دو مورد زیر تاکید می نماید:
> جلوگیری از ورود بسته هایی که آدرس مبدا آنان در شبکه داخلی وجود دارد.
> جلوگیری از خروج بسته هایی که آدرس مبدا آنان در شبکه داخلی وجود ندارد.
سیسکو در جهت تکمیل فیلترینگ بسته های دارای آدرسIP مبدا جعلی، پیشنهاد می کند موارد زیر در مرز شبکه توسط ACLها یا فایروال اعمال گردد:
> رعایت موارد گفته شده در RFC 2827.
> فیلتر آدرس های موجود درRFC 1918. (رنج آدرس های Private)
> فیلتر رنج آدرس های معرفی شده در RFC 3330. (رنج آدرس های موارد خاص)
امنیت مسیریابی
احراز هویت در پروتکل های مسیریابی
پروتکل های مسیریابی بصورت پیش فرض امکان برقراری رابطه مجاورت با روترهای همسایه خود را دارند. در اینصورت هر روتر دیگری می تواند با برقراری رابطه مجاورت، به راحتی اطلاعات مسیریابی را دریافت و آنها را با تغییر در شبکه تبلیغ نماید.
برای جلوگیری از ورود روترهای غیرقابل اطمینان به پروسه مسیریابی، می توان اقدام به احراز هویت بین روترها نموده و سپس رابطه مجاورت را برقرار کرد!
پروتکل های مسیریابی علاوه بر امکاناتی که ممکن است بصورت مستقل داشته باشند، از یکی از دو روش کلی زیر بهره می برند:
1. استفاده از یک کلمه عبور بصورت کلی
2. استفاده از کلمه عبور متفاوت به ازای هر روتر همسایه
امنیت مسیریابی
امنیت در پروتکل RIP
احراز هویت در پروتکل RIP می تواند در یکی از حالات زیر انجام پذیرد:
بصورت متن واضح
با استفاده از توابع درهم ریزی (MD5)
می توان از خصوصیت Passive Interface در این پروتکل بهره برد.
امنیت مسیریابی
امنیت در پروتکل EIGRP
احراز هویت در پروتکل EIGRP می تواند در یکی از حالات زیر انجام پذیرد:
بصورت متن واضح
با استفاده از توابع درهم ریزی (MD5)
استفاده از Keychain
در این حالت یک زنجیره کلید دارید که بر اساس طول عمر مشخص شده تغییر می نمایند.
فاکتور NTP در استفاده از Keychain بسیار مهم است.
امکان استفاده از خصوصیت Passive Interface در این پروتکل وجود دارد.
امکان بهره برداری از AS Number.
از پروتکل(Reliable Transport Protocol)RTP، در قالب IP Protocol Type 88 جهت انتقال قابل اطمینان اطلاعات استفاده می گردد. این پروتکل با ارسال پیام های Acknowledge به فرستنده، دریافت صحیح بسته ها را اعلام می نماید.
امنیت مسیریابی
امنیت در پروتکل OSPF
احراز هویت در پروتکل OSPF می تواند در یکی از حالات زیر انجام پذیرد:
بصورت متن واضح
با استفاده از توابع درهم ریزی (MD5)
امکان پیکربندی احراز هویت برای کل Area و یا فقط بر روی یک اینترفیس خاص.
امکان استفاده از خصوصیت Passive Interface .
امکان ایجاد Area های مختلف.
امکان استفاده از Virtual Link.
امنیت مسیریابی
امنیت در پروتکل BGP
RFC 4272 به تجزیه و تحلیل آسیب پذیری های پروتکل BGP می پردازد.
EBGP بسیار آسیب پذیر است.
احراز هویت در پروتکل BGP فقط می تواند بصورت MD5 انجام پذیرد.
استفاده از خصوصیت BGP Filtering.
محافظت از تبلیغ آدرس های شبکه داخلی توسط EBGP.
محافظت تبلیغ مسیرهایی که از EBGP قرار است در IBGP انجام پذیرد.
استفاده از پروتکل IPSec بین روترهای همسایه.
امنیت مسیریابی
امنیت تجهیزات و پروتکلهای سوئیچینگ و مسیریابی
منبع:
بخشی از کتاب شبکه؛ صفر تا صد
مولف: محمدتقی روغنی
ناشر: ناقوس
پایان