پیاده سازی استاندارد های امنیتی در مسیریاب ها

کل زیر نمونه ی از یک شبکه عمومی می باشد، ساختار و آدرس دهی که در قسمت های مختلف به آنها اشاره شده است، مطابق شکل این شکل می باشد:

 

Router Security 

شکل فوق بعنوان نمونه امنی از شبکه نیست در حالیکه بیشتر شبکه های سازمان ها به صورت  فوق پیاده سازی می شوند

 

امنیت دسترسی به مسیر یاب:

            در این قسمت روشهایی را برای محافظت از خود مسیر یاب بررسی می کنیم که شامل دسترسی فیزیکی، محافظت از اسامی کاربری روی مسیریاب، محافظت از نرم افزار مسیریاب، وظایف مدیر شبکه، و تنظیماتی که باید رعایت شود. هنگامی که به امنیت فکر می کنید، پیاده سازی این شرایط برای تمامی تجهیزات روی شبکه باید انجام شود.

 

امنیت فیزیکی:

اگر شخصی به قسمتی از شبکه دسترسی داشته باشد، نمی توان از تغییراتی که اعمال می کند جلوگیری نمود

و به راحتی می تواند کل شبکه را تسخیر کند. بنابراین حدود دسترسی به منابع و اطلاعات در شبکه از موارد اولیه است که باید رعایت شود. یکی از قابلیت های سیستم های امنیتی تعریف محدودیت های دسترسی  می باشد. 

عناصر تشکیل دهنده ساختار شبکه مانند مسیریاب ها از دو جهت نقش مهمی را در شبکه ایفا می کنند یکی حفاظت از بخش هایی که توسط آنها تفکیک شده و دیگر آنکه اگر دارای امنیت مناسب نباشد جهت حمله به نقاط دیگر مورد استفاده قرار می گیرد.

تجهیرات شبکه، از جمله سوئیچ ها و مسیریاب ها باید در مکانی قرار داشته باشند که از لحاظ دسترسی فیزیکی محدود شده باشند. و دسترسی به این مکان باید توسط اشخاصی که دارای دسترسی مدیریتی هستند صورت گیرد. این منطقه می بایست توسط رویه روال های امنیتی مانند درب های امنیتی، و یا کنترل های الکترونیکی و... حفاظت شوند ولی این حفاظت نباید اشکالی در ورود مدیران به این منطقه ایجاد کند.

حفاظت فیزیکی به این دلیل مهم می باشد که با دسترسی به مسیریاب به راحتی و با استفاده از مراحل حذف کلمه رمز(Password recovery) قابل اجرا است. با این روش می توان براحتی به قسمت های حساس مسیریاب دست یافت.  روشهای دسترسی به بخشهای حساس در مسیریاب های مختلف متفاوت می باشد و معمولا مراحل مشخص می باشد. برای حذف کلمه عبور می بایست مدیر و یا هکر باید به پورت کنسول مسیریاب متصل شده و مراحل زیر را انجام دهد:

- تنظیم مسیریاب برای اینکه در مرحله بوت شدن فایل هایی که از قبل وجود دارند(NVRAM) خوانده نشده و مستقیم وارد قسمت مدیریتی مسیریاب شود.

- راه اندازی مجدد مسیریاب

- دسترسی به محیط Accessبدون نیاز به نام کاربری

- بررسی کلمه های عبوری و یا حذف فایل های ذخیره شده

- تنظیم مسیریاب برای اینکه فایل جدید ذخیره شده در (NVRAM) خوانده شود

- راه اندازی مجدد مسیریاب

دلیل دیگری که امنیت فیزیکی می بایست رعایت شود، این است که مسیریاب ها دارای حافظه های جانبی هستند. هکر با استفاده از حافظه هایی که دارای سیستم عامل میباشد و تمامی تنظیماتی که مورد نیاز هکر می باشد روی این سیستم عامل اعمال شده است، براحتی می تواند این حافظه را جایگزین کرده و مسیریاب را مجدد راه اندازی نماید این نوع از حمله، اگر حرفه ای انجام شود براحتی قابل تشخیص نخواهد بود.

محیط قرار گیری مسیریاب باید عاری از امواج مغناطیسی و همجنین از لحاظ رطوبت و دما کنترل شده باشد.

 

نسخه های نرم افزاری مسیریاب:

نرم افزار مسیریاب در بازه زمانی مختلف بروز رسانی شده و مشکلات مربوط به آن بر طرف می شود از اینرو دریافت این نرم افزار و کنترل اینکه مسیریاب دارای نرم افزار بروز می باشد، از روشهای جلوگیری از حمله می باشد. برای کنترل نسخه نرم افزار مسیریاب پس از ارتباط با مسیریاب از دستور show version  استفاده کنید.

 

تنظیم مسیریاب و دستورات آن:

پس از ارتباط با مسیریاب و login کردن، در محیط user mode که به نام Exec mode هم معروف است قرار خواهید گرفت. این محیط دسترسی محدودی را به کاربر می دهد. دسترسی به دستوراتی که شامل تغییر تنظیمات اصلی می باشد در محیط Priviledg EXEC mode اجازه استفاده دارند. این محیط بعنوان Enable mode نیز شناخته می شود. پس از ورود به محیط فوق، برای ایجاد انواع تغییرات و تنظیمات روی مسیریاب از دستور Config t استفاده کنید. قسمت های مختلفی برای اعمال تنظیمات موجود است که تعدادی از آنها عبارتند از :

 

• interface (config-if): is used to configure aspects of a particular interface like FastEthernet0, Ethernet 0/1, or Vlan2.

Line (config-line): is used to set up the console port, auxiliary port and virtual terminal lines.

• Access-list: There are two types of IP named access lists, extended (config-ext-n) and standard (config-std-n), which can be used instead of numbered lists. Access-list mode is used for building named access lists.

Route (config-route): is where specific parameters can be set and modified for a selected routing protocol.

 

 

در جهت استاندارد کردن نحوه تصدیق هویت و مشخص کردن حدود دسترسی و امکان ردیابی عملکرد در مسیریاب، امکان جدیدی رو مسیریاب ها از نسخه 11.1 به بعد ایجاد شد که به authentication, (authorization, accountig)AAA معروف است. با استفاده از این قابلیت میتوان کنترل های امنیتی بیشتری را روی مسیریاب پیاده سازی نمود.که نحوه عملکرد آنها را در بخش بعدی بررسی می کنیم.

/ 0 نظر / 10 بازدید