 اساس نامه امنيتي براي مسيرياب ها | |
مسير ياب يكي از قسمت هاي مهم شبكه است و امنيت آن براي شبكه اي كه به آن سرويس مي دهد، از اهميت بالايي بر خوردار مي باشد.
معني امنيت براي مسيرياب چيست؟
يك تعريف ساده براي امنيت مسير ياب اين است كه آيا عملكرد، تنظيمات و مديريت آن مطابق اساس نامه امنيتي شما است؟
مفاهيم اوليه اساس نامه امنيتي براي مسير ياب:
شكل زير لايه هاي امنيتي براي مسيرياب را نشان مي دهد و امنيت هر لايه به امنيت لايه داخلي آن وابسته است.
داخلي ترين لايه، امنيت فيزيكي مسيرياب مي باشد. هر مسير ياب در صورتي كه دسترسي فيزيكي به آن موجود باشد براحتي مي توان كنترل آن را در دست گرفت. به همين دليل اين لايه در مركز تمام لايه ها قرار دارد و بايد مورد توجه قرار گيرد.
بيشتر مسيرياب ها داراي يك يا دو مسير مستقيم براي اعمال تنظيمات دارند كه به پورت كنسول معروف هستند.در سياست نامه امنيتي بايد قواعدي را براي نحوه دسترسي به اين پورت ها، تعريف كرد.
لايه بعدي، نرم افزار و تنظيمات خود مسيرياب مي باشد. هر گاه هكري بتواند كنترل هر كدام از اين قسمت ها را بدست آورد، مي تواند كنترل لايه هاي بيروني خود را نيز در دست گيرد. اطلاعات مربوط به نام كاربر، آدرس مربوط به Interface هاي مسيرياب، ليست هاي كنترلي و موارد مهم ديگر در اين لايه نگه داري مي شوند. اين اطلاعات در صورتي كه در دسترس نفوذ گر قرار گيرند، به راحتي ميتواند مسير گردش اطلاعات در شبكه داخلي را مختل نمايد. معمولا در سياست نامه امنيتي چگونگي دسترسي به اين لايه مشخص مي شود.
لايه بعدي، مشخصات مربوط به تنظيمات پوياي مسيرياب مي باشد. از مهمترين اين قسمت ها جدول مسير يابي مي باشد. اطلاعات ديگر كه شامل وضعيت Interface ها و جدول ARP و AuditLog ها هم از عناصر مهم اين لايه مي باشند. دسترسي به اين لايه نيز، مانند لايه هاي پايين تر، براي لايه هاي خارجي مشكل ساز خواهد بود.
خارجي ترين لايه، ترافيك مربوط به شبكه هايي است كه مسيرياب آنها را به هم متصل مي سازد. به دليل اينكه استفاده از پروتكل هاي نا امن ميتوانند امنيت اين لايه را با خطر مواجه سازند بنابراين در سياست نامه امنيتي كه براي مسيرياب تدوين خواهد شد، نوع سرويس ها و پروتكل هاي ارتباطي كه اجازه عبور دارند و يا غير مجاز هستند، مي بايست مشخص شوند.
تدوين سياست نامه امنيتي براي مسيرياب:
چند نكته مهم براي تدوين اين سياست نامه بايد رعايت شود:
مشخص كردن : تعريف رويه و روال ها بدون مشخص كردن دستورات Security Objectives
مشخص كردن سياست امنيتي مانند شكل قبل و تدوين چگونگي دسترسي به هركدام
غير فعال كردن سرويس هايي كه غير مجاز هستند
در بعضي موارد مشخص كردن اينكه چه سرويس هايي مجاز هستند، مفيد نخواهد بود، به طور مثال مسيريابي كه در بستر اصلي شبكه قرار دارد و ارتباط بين شبكه هاي مختلف را برقرار مي سازد مي بايست داراي سياست نامه امنيتي مناسبي در جهت سرويس دهي به اين شبكه ها باشد و حتي كنترل هاي سطحي براي ارتباطات داشته باشد زيرا ارتباط در بستر اصلي بايد از سرعت بالاتر برخوردار بوده و موارد اصلي را تحت پوشش قرار دهد.
سياست نامه امنيتي بايد يك سند زنده و در حال بروز رساني باشد. اين سياست نامه نيز بايد جزئي از سياست نامه كلي امنيتي باشد كه به طور كلي اجرا و بروز رساني شود.
اعمال تغييرات در سياست نامه امنيت مسيرياب نيز بايد پس از هر تغيير انجام شود. در واقع اين سياست نامه بايد در زمان هاي مشخص و يا در مواردي كه تغييراتي چون،
ايجاد يك ارتباط بين شبكه داخلي و خارج
تغييرات كلي در ساختار مديريت شبكه و يا رويه و روال ها
اصلاحات كلي در ساختار امنيتي شبكه
اضافه كردن عناصري به شبكه مانند ديواره آتش و يا VPN Connection
تشخيص حمله به شبكه و يا در كنترل گرفتن قسمتي از آن
بازنگري شود.
چك ليست سياست نامه امنيتي مسيرياب:
پس از تهيه نسخه اول سياست نامه امنيتي مسيرياب اين سياست نامه را مطابق ليست زير چك نماييد تا تمام اجزاي آن با سند امنيتي شما مطابق باشد.
امنيت فيزيكي:
مشخص كردن اينكه چه شخصي مسئول نصب و يا راه اندازي مجدد مسيرياب مي باشد.
معين كردن شخصي براي نگهداري سخت افزار مسيرياب و يا تغيير سخت افزاري آن.
تعيين فردي كه ميتواند ارتباط فيزيكي به مسيرياب داشته باشد.
تعريف كنترل ها براي دسترسي به مسيرياب و رابط هاي ديگر آن.
تعريف رويه روال براي برگشت به قبل از خرابي مسيرياب.
امنيت تنظيمات ثابت روي مسيرياب:
مشخص كردن فرد يا افرادي كه ميتوانند به مسيرياب از راههاي مختلف متصل شوند.
مشخص كردن فردي كه ميتواند حدود دسترسي مديريت مسيرياب را داشته باشد.
تعريف رويه روال براي نام ها و كلمه هاي عبور و يا كلمه هاي عبوري كه به دسترسي كامل منجر خواهد شد كه شامل زمان و يا شرايطي است كه بايد اين كلمات عوض شوند.
تعريف رويه و روال هاي براي برگشت به حالت قبل و مشخص كردن فرد يا افراد مورد نظر
امنيت تنظيمات متغير:
شناخت سرويس هايي كه در مسيرياب فعال مي باشند و شبكه هايي كه بايد به اين سرويس ها دسترسي داشته باشند.
مشخص كردن پروتكل هايي كه براي مسيريابي مورد استفاده قرار مي گيرند و قابليت هاي امنيتي كه روي هركدام بايد فعال شود.
تعريف رمزنگاري مناسب در ارتباطات VPN
سرويسهاي امنيتي شبكه:
مشخص كردن پروتكل ها، پورت ها، و سرويس هايي كه بايد توسط مسيرياب اجازه داده شوند و يا مسدود شوند.
تعريف رويه روال در جهت كنترل ارتباطات با شبكه سرويس دهنده اينترنت.
مشخص كردن اينكه هنگامي كه شبكه و يا مسيرياب هك شود، چه شخص يا اشخاصي بايد مطلع شده و چه روالي بايد انجام شود از ديگر اقدامات كنترل مسيرياب مي باشد كه در سند امنيتي بايد تعريف شود.
در بخش بعدي پياده سازي امنيت در مسير ياب را بررسي خواهيم كرد.
با تشکر از مهدی سعادت عزیز ... | 
]
