اگربه نکات بالا بردن امنیت سوئیچ سیسکو نیاز دارید با ما در این مطلب همراه شوید. امنیت در شبکه های سوئیچ سیسکو به عنوان یکی از مهمترین عوامل در امنیت شبکه ها مورد توجه قرار می گیرد. برای محافظت در برابر تهدیدات سایبری، باید از راهکارهای امنیتی مناسب کمک گرفت. در ادامه به بعضی از راهکارهای امنیتی در سوئیچ سیسکو و محافظت در برابر تهدیدات سایبری پرداخته خواهد شد.
چگونه سویچ سیسکو را امن کنیم؟ مراحل امن کردن سویچ سیسکو چیست؟ با اینکه می توانید ویژگی های امنیتی بسیاری را در روی سوئیچ ها فعال سازید، اما در این میان باید با نکات ضعف و قدرت هرکدام از این ویژگی ها هم آشنا باشید. به عبارتی دیگر، تصور نکنید که همه کلاینت های متصل به شبکه شما بر طبق قوانین عمل کرده و شرایط هم در همان وضعیت عادی پیش خواهد رفت.
بالا بردن امنیت سوئیچ سیسکو
سوییچ یا switch دستگاهی است که برای اتصال Node ها در شبکه مورد استفاده قرار میگیرد، یعنی زمانی که شما میخواهید کامپیوتر ها را به هم متصل کنید سوییچ یکی از راه حل های شماست، به این دلیل میگوییم یکی از راه حل های شماست چرا که شما میتوانید از هاب، روتر و یا حتی در شبکه های کوچک از مودم برای اتصال نودها در شبکه استفاده کنید.
سوییچ در واقع یکی از دستگاه های اکتیو شبکه محسوب میشود که هر چند با هاب hub شباهت زیادی دارد اما از هاب بسیار هوشمند تر است و بر اساس مدل OSI کار میکند، سوییچ ها معمولا در لایه2 شبکه یا همان لایه data link و با پروتکل اترنت کار میکنند.
بالا بردن امنیت سوئیچ سیسکو
روش های بالا بردن امنیت سوئیچ سیسکو
همواره و در همه حال به امنیت شبکه بدبین بوده و سعی در بستن تمام راه هایی داشته باشید که امکان دارد مورد سوء استفاده افراد خرابکار قرار گیرد. در ادامه به تشریح روشها و ارائه توصیه هایی می پردازیم که امنیت شبکه شما را افزایش خواهند داد. این توصیه ها عبارت هستند از : بالا بردن امنیت سوئیچ سیسکو
از بنرها کمک بگیرید
شما می توانید سوئیچ را به نحوی پیکربندی کنید که تا پیام مورد نظر شما را در اولی دسترسی کلاینت ها به دستگاه نمایش دهد. برای مثال می توانید متن این پیام را برای هشدار به کاربرانی تنظیم کنید که قصد دسترسی غیر مجاز به دستگاه را دارند.
همینطور این پیام می تواند در رابطه با سیاست های امنیتی شبکه بوده و اخطاری مبنی بر پیگردی قانونی برای کاربران غیر مجاز نشان دهد. برای ایجاد این بنر می توان از دستور banner mtod کمک گرفت. باید اشاره کنیم که از به کارگیری دیگر روش های نشان دادن پیام خودداری کرده و همینطور از بیان کردن اطلاعات حساس در این متن بپرهیزید. بالا بردن امنیت سوئیچ سیسکو
استفاده از پسوردهای امن
تا جای ممکن در روی همه سوئیچ ها و روترهای خود از دستور enable secret کمک گرفته و به این صورت پسورد قدرتمندی را به محیط privilege دستگاه اختصاص دهید. همینطور اگر می توانید از ویژگی AAA برای بررسی هویت کلاینت هایی که از سوئیچ ها و یا روترها استفاده می کنند کمک بگیرید.
بهره گیری از سرورهای خارجی برای نگهداری نام های کاربری و پسوردها بسیار مناسب تر از ذخیره آن ها در روی خود سوئیچ است. همینطور این روش دارای مقیاس پذیری بیشتری از نگهداری اطلاعات در روی خود دستگاه است. در انتها باید از دستور service password encryption کمک بگیرید تا همه پسوردهای نوشته شده در روی سوئیچ شبکه یا روتر از دید افراد مخفی شوند. البته الگوریتم مورد استفاده برای پنهان سازی اطلاعات در این روش زیاد قدرتمند نیست.
امنیت پورت کنسول دستگاه را آماده کنید
همیشه توجه داشته باشید که اولین قدم در تامین امنیت دستگاه، محافظت آن از دسترسی فیزیکی افراد است. پس سعی کنید تا پسورد قدرتمندی را بر روی پورت کنسول دستگاه اعمال کنید.
Switch (config)#line console 0
Switch (config)#password —
تامین امنیت سرویس وب
در صورتی که از محیط وب برای مشاهده و مدیریت دستگاه استفاده نمی کنید، اقدام به غیرفعال کردن سرویس وب کنید. بعضی از مدیران تنها از محیط CLI برای دسترسی به دستگاه و مدیریت آن بهره می گیرند که در این شرایط غیرفعال کردن سرویس وب باعث افزایش امنیت دستگاه خواهد شد. دستور مورد استفاده برای این کار no ip http server است. بالا بردن امنیت سوئیچ سیسکو
اما در شرایطی که تمایل و یا نیاز به استفاده از محیط وب داشته باشید، سعی در بهره گیری از سرویس امن تر آن، یعنی HTTPs کنید. پروتکل HTTP دارای نقاط ضعفی است که امکان سوء استفاده از آن را آماده ساخته است. بالا بردن امنیت سوئیچ سیسکو
برای مثال همه اطلاعاتی که توسط پروتکل HTTP منتقل می شوند را می توان با استفاده از نرم افزارهایی مانند WireShark و یا Nmap کشف کرده و از آن ها برای مقاصد خرابکارانه بهره گرفت. به منظور فعال کردن سرویس HTTPs از دستور ip http secure server کمک بگیرید. همینطور سعی در محدود کردن آدرس های IP داشته باشید که قادر به دسترسی به دستگاه از طریق پروتکل HTTPs می باشند. بالا بردن امنیت سوئیچ سیسکو
برای این کار در اول یک ACL ایجاد کرده و آدرس های IP موردنظر خود را مجاز کنید. سپس این ACL را با کمک دستور ip http access-class بر روی HTTPs interface اعمال نمایید. برای نمونه مثال زیر آدرس های حقیقت در رنج 10. 100. 50. 0/24 را برای دسترسی به دستگاه از طریق پروتکل HTTPs مجاز کرده.
Switch (config)# no ip http server
Switch (config)# ip http secure server
Switch (config)# access-list 1 permit 10. 100. 50. 0 0. 0. 0. 255
Switch (config)#ip http access-class 1
امنیت اتصالات telnet یا همون پورت های VTY را تامین کنید
برای دسترسی به طریق telnet هم باید پسوردی بر روی همه پورت های VTY دستگاه اعمال شود. همینطور باید آدرسهای IP افرادی که قادر به دسترسی به دستگاه از طریق telnet یا SSH می باشند را هم محدود کنید.
برای این کار می توان از یک ACL استفاده کرد. مثال زیر نمونه ای از پیکربندی آن را نشان داده. لازم به یادآوری دوباره است که این پسورد باید بر روی همه پورت های VTY اعمال شود. برای مشاهده اینکه یک دستگاه حداکثر از چند پورت VTY پشتیبانی می کند می توان از دستور show user all بهره گرفت. بالا بردن امنیت سوئیچ سیسکو
Switch (config)#access-list 10 permit 192. 168. 199. 10
Switch (config)#access-list 10 permit 192. 168. 20. 1. 100
Switch (config)#line vty 0 15
Switch (config)#access-class 10 in
تامین امنیت پروتکل SNMP
برای جلوگیری از ایجاد تغییرات غیرقانونی کاربران در تنظیمات سوئیچ، باید دسترسی SNMP نوشتن را غیرفعال کنید. این دستورات به صورت snmp-server community string RW می باشند که برای حالت فقط خواندی باید RW به RO تغییر پیدا کند. همواره باید در تنظیمات فقط دستورات فقط خواندنی داشته باشید. علاوه بر این، شما باید از لیست های دسترسی کمک بگیرید تا آدرس های منبع که دسترسی دارند را محدود کنید. نکته بسیار مهم این است که برای امنیت بالاتر از SNMP v3 کمک بگیرید. بالا بردن امنیت سوئیچ سیسکو
تا جای ممکن از SSH کمک بگیرید
اگرچه دسترسی به Telnet برای پیکربندی و استفاده آسان است، اما Telnet ایمن نیست چون ارتباطات فاقد رمزگذاری است. هر کاراکتری که در اتصال Telnet تایپ می کنید به صورت ClearText ارسال می شود. پس در صورت شنود ترافیک تمام اطلاعات به راحتی قابل استفاده. درعوض باید از SSH کمک بگیرید. Secure Shell از رمزگذاری قوی برای برقراری اتصال استفاده می کند.
نکته مهم دیگر استفاده از بالاترین نسخه SSH است که در سوئیچ موجود است. SSHv1 اولیه و SSHv1. 5 ضعف و مشکلاتی دارند، پس باید در صورت امکان SSHv2 را انتخاب کنید. بالا بردن امنیت سوئیچ سیسکو
تامین امنیت پورت های آزاد سوئیچ
همه پورت های آزاد سوئیچ را غیرفعال کنید تا هیچکس بدون آگاهی شما قادر به متصل کردن دستگاهی دیگر به شبکه نباشد. این کار با استفاده از دستور shutdown در محیط پیکربندی یک interface انجام می پذیرد. علاوه بر این همه پورت های آزاد سوئیچ را با استفاده از دستور switchport mode access در وضعیت access قرار دهید تا امکان ایجاد اتوماتیک اتصال trunk توسط افراد هکر در روی پورت های مزبور غیر ممکن باشد.
همینطور برای افزایش امنیت می توانید VLAN جدید ایجاد کرده و همه پورت های آزاد دستگاه را عضوی از این VLAN کنید. در این وضعیت حتی اگر فردی قادر به دسترسی به این پورت باشد هم تنها به همان VLAN دسترسی پیدا خواهد کرد. بالا بردن امنیت سوئیچ سیسکو
امنیت پروتکل CDP را آماده کنید
به صورت پیش فرض همه پورت های سوئیچ در هر 60 ثانیه یک بار اقدام به ارسال پیامهای Cisco Discovery Protocol) CDP) می کنند. با وجود آنکه این پروتکل می تواند در بسیاری از محقیقت مفید باشد، اما بعضی از افراد می توانند از اطلاعات منتشر شده توسط این پروتکل سوء کمک بگیرند. پس این پروتکل باید بر روی پورت هایی فعال باشد که به یک سوئیچ مطمئن دیگر متصل می باشند.
در این میان اگر پورتی از سوئیچ به تلفن های IP سیسکو متصل باشد، فعال بودن CDP در روی آن بسیار مفید خواهد بود. تلفن های IP سیسکو بعد از دریافت پیام های CDP آن ها را به سمت کامپیوتر متصل به خود هدایت نخواهند کرد. برای غیرفعال کردن CDP در روی پورت های مورد نظر خود از دستور no cdp enable کمک بگیرید. بالا بردن امنیت سوئیچ سیسکو
امنیت پروتکل STP را تامین کنید
یک کاربر مخرب می تواند داده های مربوط به STP را به پورت های سوئیچ یا VLAN تزریق کند تا توپولوژی پایدار و بدون حلقه شبکه شما را را مختل کند. شما همواره باید ویژگی BPDU guard را فعال کنید تا در صورت دریافت BPDU های غیر منتظره، پورت های سوئیچ دسترسی به طور خودکار غیرفعال شوند.
بالا بردن امنیت سوئیچ سیسکو
