بخشی از پاورپوینت
--- پاورپوینت شامل تصاویر میباشد ----
اسلاید 1 :
Hardening
تجهیزات شبکه اولین هدف یک هکر توانمند خواهند بود.
در صورت در اختیار گرفتن سوئیچ یا روتر، هکر می تواند کنترل شبکه را تا حد زیادی در دست گیرد.
علاوه بر امنیت فیزیکی و مکان قرار گیری، تجهیزات شبکه باید مقاوم سازی یا Hardening شوند.
اسلاید 2 :
کنترل خطوط tty و vty
- خطوط Terminal Type (tty)و Virtual tty (vty)خطوطی هستند که جهت تعامل مدیر با تجهیزات شبکه مورد استفاده قرار می گیرند.
- بررسی تعداد Session های موجود جهت جلوگیری از DoS.
- استفاده همزمان از نام کاربری و کلمه عبور قدرتمند .
- ایجاد اکانت های متفاوت با میزان دسترسی مشخص!
- بهترین شیوه (Best Practice) این است که از سرور مرکزی مانند Radius یا Tacacs برای Authentication استفاده شود.
اسلاید 3 :
مدیریت کلمه عبور:
- خصوصیات کلمه عبور قدرتمند:
کلمه عبور حداقل شامل 8 کاراکتر باشد. (توصیه میشود دارای 15 کاراکتر باشد.)
از حروف بزرگ و کوچک استفاده شود.
از اعداد استفاده شود.
از نماد(Symbol) ها استفاده شود. مثل @، !، #، % و غیره.
از اطلاعات شخصی مثل نام، فامیل، تاریخ تولد و یا شماره تلفن استفاده نگردد.
از الگوی صفحه کلید استفاده نشود. مثل: asdfghjkl یا 123456789 و یا qwerty.
این عبارت نباید عمومی بوده یا در فرهنگ لغت موجود باشد.
در بازههای زمانی مشخص اقدام به تعویض کلمه عبور نمایید.
کلمه عبور جدید، شبیه کلمه عبور قبلی نباشد.
برای اهداف مختلف از کلمه های عبور یکسان استفاده نکنید.
اسلاید 4 :
نگهداری کلمات عبور بصورت رمز شده
- بصورت پیش فرض کلمات عبور، NTP Key، SNMP String، Routing Protocol Key بصورت متن واضح بر روی تجهیزات ذخیره می شود!
- جهت رفع عیب فوق:
- 1. دستور Enable Password
استفاده از MD5 فقط برای کلمات عبور
- دستور Enable Secret
استفاده از MD5 فقط برای کلمات عبور
- 3. دستور Service Password-Encryption
استفاده از Vigenère cipher برای تمام عبارات مهم بجز SNMP
اسلاید 5 :
ادامه امنیت کلمه عبور:
- استفاده از نام کاربری در کنار Password
- قفل اکانت در صورت تکرار در وارد کردن اشتباه کلمه عبور
- سرویس عدم بازیابی کلمه عبور
اسلاید 6 :
غیر فعال کردن سرویس های بلااستفاده و ریسک پذیر:
- تا حد امکان سرویس هایی که از پروتکل UDP استفاده می نمایند، غیرفعال گردند.
- غیرفعال نمودن سرویس های مثل:
Bootp, http server, service config (tftp boot)
- غیر فعال کردن پروتکل CDP
- غیر فعال کردن پروتکل LLDP (نسخه استاندارد CDP)
اسلاید 7 :
امنیت Session:
- رمز نگاری نشست های مدیریتی
استفاده از SSH به جای Telnet
استفاده از SCP به جای FTP
استفاده از دستور EXEC Timeout
در صورت Idle بودن، نشست خاتمه یابد.
استفاده از دستور Keepalive برای نشست TCP
ارسال پیام Keepalive برای بررسی در دسترس بودن طرف مقابل
اسلاید 8 :
سایر نکات Hardening
استفاده از اینترفیس مدیریت
مشخص کردن یک اینترفیس خاص جهت دسترسی های مدیریتی
- محدود کردن دسترسی به تجهیزات با استفاده از ACL
- هشدار آستانه حافظه
- هشدار آستانه CPU
- رزرو حافظه جهت دسترسی کنسول
- آشکار ساز نشت حافظه
- فیلتر بسته های ICMP
- دقت در انتخاب و پیکربندی سرویس NTP
اسلاید 9 :
استفاده از بهترین شیوه رویدادنگاری
ارسال رویدادها به یک مکان مرکزی به عنوان Syslog Server
مشخص کردن سطح واقعه نگاری
عدم ارسال رویداد به نشست های مدیریتی و کنسول
استفاده از بافر
تعیین اینترفیس مبدا جهت واقعه نگاری
ثبت وقایع به همراه زمان
اسلاید 10 :
مقاوم سازی پروتکل SNMP
SNMP یک پروتکل مدیریتی جهت مانیتورینگ و انجام پیکربندی بر روی تجهیزات می باشد.
نکاتی که جهت امنیت SNMP باید مدنظر قرار داد:
تغییر Communication String پیش فرض به یک رشته قدرتمند!
تغییر پریودیک Communication String
مشخص نمودن RO یا RW بودن SNMP
استفاده از ACL جهت مشخص نمودن سیستم های قابل اطمینان
مشخص نمودن دسترسی به MIB های خاص توسط ویژگی SNMP View
استفاده از SNMP v3
