بخشی از پاورپوینت
اسلاید 1 :
به نام خدا
اسلاید 2 :
امنیت تجهیزات و پروتکلهای سوئیچینگ و مسیریابی
اسلاید 3 :
امنیت تجهیزات و پروتکلهای سوئیچینگ و مسیریابی
فهرست مطالب:
مقاوم سازی تجهیزات شبکه
امنیت سوئیچینگ
امنیت مسیریابی
اسلاید 4 :
Hardening
تجهیزات شبکه اولین هدف یک هکر توانمند خواهند بود.
در صورت در اختیار گرفتن سوئیچ یا روتر، هکر می تواند کنترل شبکه را تا حد زیادی در دست گیرد.
علاوه بر امنیت فیزیکی و مکان قرار گیری، تجهیزات شبکه باید مقاوم سازی یا Hardening شوند.
مقاوم سازی تجهیزات شبکه
اسلاید 5 :
کنترل خطوط tty و vty
خطوط Terminal Type (tty)و Virtual tty (vty)خطوطی هستند که جهت تعامل مدیر با تجهیزات شبکه مورد استفاده قرار می گیرند.
بررسی تعداد Session های موجود جهت جلوگیری از DoS.
استفاده همزمان از نام کاربری و کلمه عبور قدرتمند .
ایجاد اکانت های متفاوت با میزان دسترسی مشخص!
بهترین شیوه (Best Practice) این است که از سرور مرکزی مانند Radius یا Tacacs برای Authentication استفاده شود.
مقاوم سازی تجهیزات شبکه
اسلاید 6 :
مدیریت کلمه عبور:
خصوصیات کلمه عبور قدرتمند:
> کلمه عبور حداقل شامل 8 کاراکتر باشد. (توصیه میشود دارای 15 کاراکتر باشد.)
> از حروف بزرگ و کوچک استفاده شود.
> از اعداد استفاده شود.
> از نماد(Symbol) ها استفاده شود. مثل @، !، #، % و غیره.
> از اطلاعات شخصی مثل نام، فامیل، تاریخ تولد و یا شماره تلفن استفاده نگردد.
> از الگوی صفحه کلید استفاده نشود. مثل: asdfghjkl یا 123456789 و یا qwerty.
> این عبارت نباید عمومی بوده یا در فرهنگ لغت موجود باشد.
> در بازههای زمانی مشخص اقدام به تعویض کلمه عبور نمایید.
> کلمه عبور جدید، شبیه کلمه عبور قبلی نباشد.
> برای اهداف مختلف از کلمه های عبور یکسان استفاده نکنید.
اسلاید 7 :
نگهداری کلمات عبور بصورت رمز شده
بصورت پیش فرض کلمات عبور، NTP Key، SNMP String، Routing Protocol Key بصورت متن واضح بر روی تجهیزات ذخیره می شود!
جهت رفع عیب فوق:
1. دستور Enable Password
استفاده از MD5 فقط برای کلمات عبور
2. دستور Enable Secret
استفاده از MD5 فقط برای کلمات عبور
3. دستور Service Password-Encryption
استفاده از Vigenère cipher برای تمام عبارات مهم بجز SNMP
اسلاید 8 :
ادامه امنیت کلمه عبور:
استفاده از نام کاربری در کنار Password
قفل اکانت در صورت تکرار در وارد کردن اشتباه کلمه عبور
سرویس عدم بازیابی کلمه عبور
اسلاید 9 :
غیر فعال کردن سرویس های بلااستفاده و ریسک پذیر:
تا حد امکان سرویس هایی که از پروتکل UDP استفاده می نمایند، غیرفعال گردند.
غیرفعال نمودن سرویس های مثل:
Bootp, http server, service config (tftp boot)
غیر فعال کردن پروتکل CDP
غیر فعال کردن پروتکل LLDP (نسخه استاندارد CDP)
اسلاید 10 :
امنیت Session:
رمز نگاری نشست های مدیریتی
استفاده از SSH به جای Telnet
استفاده از SCP به جای FTP
استفاده از دستور EXEC Timeout
در صورت Idle بودن، نشست خاتمه یابد.
استفاده از دستور Keepalive برای نشست TCP
ارسال پیام Keepalive برای بررسی در دسترس بودن طرف مقابل
اسلاید 11 :
سایر نکات Hardening
استفاده از اینترفیس مدیریت
مشخص کردن یک اینترفیس خاص جهت دسترسی های مدیریتی
محدود کردن دسترسی به تجهیزات با استفاده از ACL
هشدار آستانه حافظه
هشدار آستانه CPU
رزرو حافظه جهت دسترسی کنسول
آشکار ساز نشت حافظه
فیلتر بسته های ICMP
دقت در انتخاب و پیکربندی سرویس NTP
اسلاید 12 :
استفاده از بهترین شیوه رویدادنگاری
ارسال رویدادها به یک مکان مرکزی به عنوان Syslog Server
مشخص کردن سطح واقعه نگاری
عدم ارسال رویداد به نشست های مدیریتی و کنسول
استفاده از بافر
تعیین اینترفیس مبدا جهت واقعه نگاری
ثبت وقایع به همراه زمان
اسلاید 13 :
مقاوم سازی پروتکل SNMP
SNMP یک پروتکل مدیریتی جهت مانیتورینگ و انجام پیکربندی بر روی تجهیزات می باشد.
نکاتی که جهت امنیت SNMP باید مدنظر قرار داد:
< تغییر Communication String پیش فرض به یک رشته قدرتمند!
< تغییر پریودیک Communication String
> مشخص نمودن RO یا RW بودن SNMP
> استفاده از ACL جهت مشخص نمودن سیستم های قابل اطمینان
> مشخص نمودن دسترسی به MIB های خاص توسط ویژگی SNMP View
> استفاده از SNMP v3
اسلاید 14 :
ســـرویس AAA
سرویس (Authentication, Authorization, Accounting)AAA، اقدام به ارائه چارچوبی برای خدمات امنیت شامل احراز هویت، مشخص کردن حدود اختیارات و حسابداری مینماید.
ماژول احراز هویت:
روش شناسایی کاربر و پشتیبانی از رمزنگاری مورد نظر شما را اجرا می نماید.
ماژول حدود اختیارات:
مشخص کننده حدود اختیارات و دسترسی هر کاربر می باشد.
ماژول حسابداری:
ردیابی کاربران در دسترسی به سرویس ها و مشخص نمودن مقدار استفاده از آنها
اسلاید 15 :
امنیت تجهیزات و پروتکهای سوئیچینگ و مسیریابی
فهرست مطالب:
مقاوم سازی تجهیزات شبکه
امنیت سوئیچینگ
امنیت مسیریابی
اسلاید 16 :
VLAN بندی
تقسیم شبکه های بزرگ به زیرشبکه های کوچک تر دارای مزایای زیر می باشد:
> محدود کردن دامنه پخش همگانی (Broadcast)
> جداسازی کاربران بر اساس حوزه کاری
> امکان کنترل دسترسی کاربران بخش های مختلف به منابع شبکه
> افزایش امنیت با استفاده از ACL
> محدود کردن دامنه تاثیر گذاری حملات و کدهای مخرب
امنیت سوئیچینگ
اسلاید 17 :
امنیت پروتکل STP
از پروتکل Spanning Tree Protocol(STP)، جهت جلوگیری از ایجاد حلقه لایه دو در شبکه بهره برده می شود.
مواردی که باید برای امنیت STP مدنظر قرار داد:
> غیرفعال سازی Dynamic Trunking
> بهتر است از پروتکل PVST استفاده شود
> استفاده از ویژگی PortFast
> استفاده از ویژگی BPDU Guard
> استفاده از ویژگی STP Root Guard
> غیر فعال سازی پورت های بلااستفاده
> استفاده از ویژگی Loop Guard (اتصال یکطرفه منطقی)
> استفاده از ویژگی UDLD(اتصال یکطرفه فیزیکی)
اسلاید 18 :
ویژگی Port Security
ویژگیPort Security فراهم آورنده امنیت مورد نیاز در برابر آسیب پذیریهای متعددی است که از جمله آنها میتوان به موارد زیر اشاره نمود:
1. برقراری امنیت در پروتکلSTP
2. مقابله با حملات MAC Flooding
3. جلوگیری از اتصال تجهیزات ناشناخته به شبکه
به سه حالت می توان Port Security را راه اندازی نمود:
> مشخص نمودن دستی آدرس های MAC
> یادگیری آدرس MAC بصورت پویا
> از طریق ویژگی Sticky MAC Address
اسلاید 19 :
کنترل طوفان ترافیک
ویژگیStorm Control از ایجاد اختلال در ترافیکLAN، توسط طوفان Unicast، Multicast یا Broadcast بوجود آمده از طریق یک اینترفیس فیزیکی، ممانعت به عمل میآورد.
ویژگی کنترل طوفان (یا سرکوب ترافیک)، بر روی بستههای عبوری از یک اینترفیس به سوئیچ نظارت کرده و مشخص مینماید که این بستهها از نوع Unicast، Multicast و یا Broadcast هستند.
سوئیچ نیز در بازه زمانی یک ثانیه اقدام به شمارش هر نوع از بستههای مشخص شده مینماید تا در صورتیکه تعداد بستههای مورد نظر از آستانه تعیین شده فراتر رود، اقدام به سرکوب آن ترافیک نماید.
اسلاید 20 :
ویژگی DHCP Snooping
برای جلوگیری از سوء استفاده هکرها به وسیله سرویس DHCP از ویژگی DHCP Snooping بهره می برند.
ویژگی DHCP Snooping همانند یک فایروال بین سرورDHCP قابل اعتماد و کلاینتهای غیرقابل اطمینان در شبکه قرار گرفته و فعالیتهای زیر را انجام میدهد:
> اعتبار سنجی پیامهایDHCP دریافت شده
> محدود سازی میزان ترافیکDHCP از منابع قابل اعتماد و غیرقابل اعتماد.
> ایجاد و نگهداری پایگاه داده DHCP Snooping، شامل اطلاعاتی درباره کلاینتهای غیرقابل اطمینان به همراه آدرسهایIP استیجاری اختصاص داده شده به آنها.
> بهرهگیری از پایگاه دادهDHCP Snooping برای اعتبار سنجی درخواستهای بعدی کلاینت های غیرقابل اعتماد.
منظور از غیرقابل اطمینان کلاینتهایی هستند که به طور معمول به شبکه وصل میشوند و ممکن است فرد هکر نیز یکی از آنها باشد. پس توجه داشته باشید که غیرقابل اطمینان به منظور ناشناخته بوده و با غیرمجاز فرق میکند!
