ساناپرداز

۱۱ راهکار برای امنیت سوئیچ های سیسکو سوئیچ های سیسکو قابلیت های بسیاری دارند که بسیار کاربردی هستند اما در مواقعی این قابلیت ها باعث به خطر افتادن امنیت سویئچ های سیسکو نیز میشوند.باید بدانید که اینترنت مملو از افرادی است که به دلایل مختلف می خواهند از شبکه شما بهره برداری کنند و یا در کارکرد سیستم شما اختلال ایجاد کنند. ما بهترین روش ها برای تأمین امنیت در لایه ۲ شبکه روی سوئیچ های سیسکو را به شما نشان خواهیم داد. بیایید شروع کنیم… ۱.رمز عبور ایمن در ابتدا بهتر است که enable secret را فعال کنید. همچنین enable password را نیز فعال نمایید. البته پیشنهاد میشود که برای احراز هویت کسانی که به سوئیچ دسترسی دارند از یک AAA سرور استفاده نمایید. Cisco ACS گزینه مناسبی است و امکانات بسیاری نیز در اختیار شما خواهد گذاشت در این شیوه دیگر اطلاعات اکانتها روی سوئیچ ذخیره نمیشوند. این امر به دلیل مدیریت متمرکز کاربران نیز بهتر است. همچنین با فعالسازی service password-encryption پسورد اکانتها نشان داده نمیشوند. ۲. تنظیم بنر سوئیچ هنگامی اتصال افراد به سویئچ ها بهتر است که یک اعلان دریافت کنند تا در این اعلام دسترسی به افراد غیر مجاز و موارد مشابه اعلام شود. ۳.رابط وب را ایمن کنید می دانید که می توانید از رابط وب برای مدیریت سویئچ با استفاده از پروتکل HTTP استفاده کنید. برخی از سرپرستان شبکه از رابط خط فرمان استفاده می کنند و نیازی به دسترسی HTTP ندارند. هر آنچه را که در دستگاه شبکه لازم ندارید باید غیرفعال کنید. این همچنین برای دسترسی HTTP به دستگاه معتبر است. دستور انجام این کار no ip http server است. ۴.از HTTPS استفاده کنید اگر تصمیم به استفاده از رابط وب دارید که در سوئیچ پشتیبانی می شود ، از رابط HTTPS استفاده کنید. رابط وب HTTP استاندارد دارای نقاط ضعف جدی است زیرا هیچ آن رمزگذاری نشده است. رابط HTTPS را با دستور ip http secure server فعال کنید. نکته بعدی برای محدود کردن آدرسهای مبدأ دسترسی به رابط HTTPS است. شما این کار را با اضافه کردن لیست دسترسی انجام می دهید که فقط برخی از آدرس های منبع تعریف شده را مجاز می سازد و سپس با استفاده از ip http access-class ، لیست دسترسی را به رابط HTTPS اعمال می کنید. ۵.امنیت کنسول را فراموش نکنید! سوئیچ ها معمولاً در رک های قفل دار نگهداری می شوند که تنها افراد مجاز قادر به دسترسی و اتصال به کنسول سوئیچ است. اگر محل نگهداری سوئیچ شما با دسترسی محدود نیست یا ممکن است افرادی به آن دسترسی داشته باشند. باید همیشه احراز هویت را در هر کنسول سوئیچ تنظیم کنید. معمولاً استفاده از همان پیکربندی احراز هویت در کنسول به عنوان برای (vty) نیز مناسب است. ۶.دسترسی VTY شما همیشه باید احراز هویت کاربر را در تمام خطوط vty روی یک سوئیچ تنظیم کنید. علاوه بر این ، شما باید از یک لیست دسترسی استفاده کنید تا آدرس های IP کاربران مجاز را که سعی در استفاده از Telnet یا Secure Shell – SSH دارند برای دسترسی به یک سوئیچ استفاده کنید. شما می توانید فقط از آدرس های منبع شناخته شده ، از یک IP access list ساده برای اینکار استفاده کنید. ۷.از SSH به جای telnet استفاده کنید اگرچه دسترسی به Telnet برای پیکربندی و استفاده آسان است ، اما Telnet ایمن نیست زیرا ارتباطات فاقد رمزگذاری است. هر کاراکتری که در اتصال Telnet تایپ می کنید به صورت ClearText ارسال می شود. بنابراین در صورت شنود ترافیک تمام اطلاعات به راحتی قابل استفاده است.درعوض باید از SSH استفاده کنید. Secure Shell از رمزگذاری قوی برای برقراری اتصال استفاده می کند. نکته مهم دیگر استفاده از بالاترین نسخه SSH است که در سوئیچ موجود است. SSHv1 اولیه و SSHv1.5 ضعف و مشکلاتی دارند ، بنابراین باید در صورت امکان SSHv2 را انتخاب کنید. ۸.دسترسی SNMP ایمن برای جلوگیری از ایجاد تغییرات غیرقانونی کاربران در تنظیمات سوئیچ ، باید دسترسی SNMP نوشتن را غیرفعال کنید. این دستورات به صورت snmp-server community string RW هستندکه برای حالت فقط خواندی باید RW به RO تغییر پیدا کند. همیشه باید در تنظیمات فقط دستورات فقط خواندنی داشته باشید. علاوه بر این ، شما باید از لیست های دسترسی استفاده کنید تا آدرس های منبع که دسترسی دارند را محدود کنید. نکته حائز اهمیت این است که برای امنیت بالاتر از SNMP v3 استفاده کنید. ۹.غیر فعال کردن پورتهای بدون استفاده هر پورت بدون استفاده از سوئیچ باید غیرفعال شود تا کاربران غیر منتظره بدون اطلاع شما قادر به اتصال و استفاده از آنها نباشند. شما می توانید این کار را با دستور shutdown انجام دهید. علاوه بر این ، شما باید هر درگاه کاربر را به عنوان پورت دسترسی با دستور switchport mode access پیکربندی کنید. اگر این کار را نکنید ، برای مهاجم امکان پذیر کرده اید که حملات مختلف لایه ۲ را برای Trunk کردن پورت انجام دهند. همچنین باید توجه داشته باشید که هر درگاه دسترسی استفاده نشده را با یک VLAN جدا شده مرتبط کنید که در هیچ پورت مفیدی مورد استفاده قرار نمی گیرد. اگر یک کاربر غیر منتظره به پورت دسترسی پیدا کند ، فقط به یک VLAN دسترسی دارد که از منابع دیگر شبکه شما جدا شده باشد. روش هوشمندانه انجام این کار ، استفاده از دستور switchport host به عنوان راهی سریع برای مجبور کردن پورت برای پشتیبانی فقط از سیستم کاربر است. ۱۰.ایمن سازی STP یک کاربر مخرب می تواند داده های مربوط به STP را به پورت های سوئیچ یا VLAN تزریق کند تا توپولوژی پایدار و بدون حلقه شبکه شما را را مختل کند. شما همیشه باید ویژگی BPDU guard را فعال کنید تا در صورت دریافت BPDU های غیر منتظره ، پورت های سوئیچ دسترسی به طور خودکار غیرفعال شوند. ۱۱.استفاده از CDP را ایمن کنید CDP advertisements در برخی موارد هنگامی که از فناوری VoIP استفاده می کنید یا برخی از عیب یابی ها را انجام می دهید ، می تواند بسیار مفید و مفید باشد. باید بدانیم که تبلیغات CDP هر ۶۰ ثانیه در هر درگاه سوئیچ ارسال می شود. اگرچه CDP ابزاری بسیار مفید برای کشف دستگاه های همسایه سیسکو است ، اما نباید اجازه دهید CDP اطلاعات غیر ضروری درباره سوئیچ شما به مهاجمان ارسال کند. CDP فقط باید در درگاههای سوئیچ که به سایر دستگاههای قابل اعتماد سیسکو متصل می شوند فعال شود. برای غیر فعال سازی CDP از دستور no cdp enable می توانید استفاده کنید. مواردی که تحت عنوان امنیت سوئیچ های سیسکو بیان شد تنها قسمتی را از بحث امنیت بیان میکند. در صورت نیاز به کسب دانش امنیت سیسکو پیشنهاد میشود دوره Cisco CCNA Security را بگذرانید. وب سایت نصیررضایی نژاد

۱۱ راهکار برای امنیت سوئیچ های سیسکو

سوئیچ های سیسکو قابلیت های بسیاری دارند که بسیار کاربردی هستند اما در مواقعی این قابلیت ها باعث به خطر افتادن امنیت سویئچ های سیسکو نیز میشوند.باید بدانید که اینترنت مملو از افرادی است که به دلایل مختلف می خواهند از شبکه شما بهره برداری کنند و یا در کارکرد سیستم شما اختلال ایجاد کنند. ما بهترین روش ها برای تأمین امنیت در لایه ۲ شبکه روی سوئیچ های سیسکو را به شما نشان خواهیم داد. بیایید شروع کنیم…

سیسکو ساناپرداز

۱.رمز عبور ایمن

در ابتدا بهتر است که enable secret را فعال کنید. همچنین enable password را نیز فعال نمایید. البته پیشنهاد میشود که برای احراز هویت کسانی که به سوئیچ دسترسی دارند از یک AAA سرور استفاده نمایید. Cisco ACS گزینه مناسبی است و امکانات بسیاری نیز در اختیار شما خواهد گذاشت در این شیوه دیگر اطلاعات اکانتها روی سوئیچ ذخیره نمیشوند. این امر به دلیل مدیریت متمرکز کاربران نیز بهتر است. همچنین با فعالسازی service password-encryption پسورد اکانتها نشان داده نمیشوند.

۲. تنظیم بنر سوئیچ

هنگامی اتصال افراد به سویئچ ها بهتر است که یک اعلان دریافت کنند تا در این اعلام دسترسی به افراد غیر مجاز و موارد مشابه اعلام شود.

۳.رابط وب را ایمن کنید

می دانید که می توانید از رابط وب برای مدیریت سویئچ با استفاده از پروتکل HTTP استفاده کنید. برخی از سرپرستان شبکه از رابط خط فرمان استفاده می کنند و نیازی به دسترسی HTTP ندارند. هر آنچه را که در دستگاه شبکه لازم ندارید باید غیرفعال کنید. این همچنین برای دسترسی HTTP به دستگاه معتبر است. دستور انجام این کار no ip http server است.

۴.از HTTPS استفاده کنید

اگر تصمیم به استفاده از رابط وب دارید که در سوئیچ پشتیبانی می شود ، از رابط HTTPS استفاده کنید. رابط وب HTTP استاندارد دارای نقاط ضعف جدی است زیرا هیچ آن رمزگذاری نشده است. رابط HTTPS را با دستور ip http secure server فعال کنید. نکته بعدی برای محدود کردن آدرسهای مبدأ دسترسی به رابط HTTPS است. شما این کار را با اضافه کردن لیست دسترسی انجام می دهید که فقط برخی از آدرس های منبع تعریف شده را مجاز می سازد و سپس با استفاده از ip http access-class ، لیست دسترسی را به رابط HTTPS اعمال می کنید.

۵.امنیت کنسول را فراموش نکنید!

سوئیچ ها معمولاً در رک های قفل دار نگهداری می شوند که تنها افراد مجاز قادر به دسترسی و اتصال به کنسول سوئیچ است. اگر محل نگهداری سوئیچ شما با دسترسی محدود نیست یا ممکن است افرادی به آن دسترسی داشته باشند. باید همیشه احراز هویت را در هر کنسول سوئیچ تنظیم کنید. معمولاً استفاده از همان پیکربندی احراز هویت در کنسول به عنوان برای (vty) نیز مناسب است.

سیسکو ساناپرداز

۶.دسترسی VTY

شما همیشه باید احراز هویت کاربر را در تمام خطوط vty روی یک سوئیچ تنظیم کنید. علاوه بر این ، شما باید از یک لیست دسترسی استفاده کنید تا آدرس های IP کاربران مجاز را که سعی در استفاده از Telnet یا Secure Shell – SSH دارند برای دسترسی به یک سوئیچ استفاده کنید. شما می توانید فقط از آدرس های منبع شناخته شده ، از یک IP access list ساده برای اینکار استفاده کنید.

۷.از SSH به جای telnet استفاده کنید

اگرچه دسترسی به Telnet برای پیکربندی و استفاده آسان است ، اما Telnet ایمن نیست زیرا ارتباطات فاقد رمزگذاری است. هر کاراکتری که در اتصال Telnet تایپ می کنید به صورت ClearText ارسال می شود. بنابراین در صورت شنود ترافیک تمام اطلاعات به راحتی قابل استفاده است.درعوض باید از SSH استفاده کنید. Secure Shell از رمزگذاری قوی برای برقراری اتصال استفاده می کند. نکته مهم دیگر استفاده از بالاترین نسخه SSH است که در سوئیچ موجود است. SSHv1 اولیه و SSHv1.5 ضعف و مشکلاتی دارند ، بنابراین باید در صورت امکان SSHv2 را انتخاب کنید.

۸.دسترسی SNMP ایمن

برای جلوگیری از ایجاد تغییرات غیرقانونی کاربران در تنظیمات سوئیچ ، باید دسترسی SNMP نوشتن را غیرفعال کنید. این دستورات به صورت snmp-server community string RW هستندکه برای حالت فقط خواندی باید RW به RO تغییر پیدا کند. همیشه باید در تنظیمات فقط دستورات فقط خواندنی داشته باشید. علاوه بر این ، شما باید از لیست های دسترسی استفاده کنید تا آدرس های منبع که دسترسی دارند را محدود کنید. نکته حائز اهمیت این است که برای امنیت بالاتر از SNMP v3 استفاده کنید.

۹.غیر فعال کردن پورتهای بدون استفاده

هر پورت بدون استفاده از سوئیچ باید غیرفعال شود تا کاربران غیر منتظره بدون اطلاع شما قادر به اتصال و استفاده از آنها نباشند. شما می توانید این کار را با دستور shutdown انجام دهید. علاوه بر این ، شما باید هر درگاه کاربر را به عنوان پورت دسترسی با دستور switchport mode access پیکربندی کنید. اگر این کار را نکنید ، برای مهاجم امکان پذیر کرده اید که حملات مختلف لایه ۲ را برای Trunk کردن پورت انجام دهند. همچنین باید توجه داشته باشید که هر درگاه دسترسی استفاده نشده را با یک VLAN جدا شده مرتبط کنید که در هیچ پورت مفیدی مورد استفاده قرار نمی گیرد. اگر یک کاربر غیر منتظره به پورت دسترسی پیدا کند ، فقط به یک VLAN دسترسی دارد که از منابع دیگر شبکه شما جدا شده باشد. روش هوشمندانه انجام این کار ، استفاده از دستور switchport host به عنوان راهی سریع برای مجبور کردن پورت برای پشتیبانی فقط از سیستم کاربر است.

۱۰.ایمن سازی STP

یک کاربر مخرب می تواند داده های مربوط به STP را به پورت های سوئیچ یا VLAN تزریق کند تا توپولوژی پایدار و بدون حلقه شبکه شما را را مختل کند. شما همیشه باید ویژگی BPDU guard را فعال کنید تا در صورت دریافت BPDU های غیر منتظره ، پورت های سوئیچ دسترسی به طور خودکار غیرفعال شوند.

۱۱.استفاده از CDP را ایمن کنید

CDP advertisements در برخی موارد هنگامی که از فناوری VoIP استفاده می کنید یا برخی از عیب یابی ها را انجام می دهید ، می تواند بسیار مفید و مفید باشد. باید بدانیم که تبلیغات CDP هر ۶۰ ثانیه در هر درگاه سوئیچ ارسال می شود. اگرچه CDP ابزاری بسیار مفید برای کشف دستگاه های همسایه سیسکو است ، اما نباید اجازه دهید CDP اطلاعات غیر ضروری درباره سوئیچ شما به مهاجمان ارسال کند. CDP فقط باید در درگاههای سوئیچ که به سایر دستگاههای قابل اعتماد سیسکو متصل می شوند فعال شود. برای غیر فعال سازی CDP از دستور no cdp enable می توانید استفاده کنید.

مواردی که تحت عنوان امنیت سوئیچ های سیسکو بیان شد تنها قسمتی را از بحث امنیت بیان میکند. در صورت نیاز به کسب دانش امنیت سیسکو پیشنهاد میشود دوره Cisco CCNA Security را بگذرانید.

وب سایت نصیررضایی نژاد