shabakesazan

در زمان اجراي شبكه ، best practices زير را به خاطر بسپاريد. هر يك از اين آيتم ها در زمان اجرا وضعيت امنيتي management plane را بهبود مي بخشند. به عبارت ديگر ، هر اقدام امنيتي كه در نظر گرفته شود باعث مي شود كه دستيابي مهاجم به دستگاه سخت تر شود. در ادامه ليستي از best practice در رابطه با management plane نشان داده شده است :

    Strong passwords : پسورد را به گونه اي انتخاب كنيد كه شكستن آن سخت باشد. سعي كنيد از پسوردهاي Complex استفاده كنيد و پسورد را به گونه اي انتخاب كنيد كه قابل حدس زدن نباشد. يك مهاجم مي تواند از طريق روش هاي مختلف اقدام به شكستن پسورد كند از جمله استفاده از ديكشنري و حمله brute-force را مي توان نام برد. در حمله با استفاده از ديكشنري مهاجم سعي مي كند با استفاده از ليستي از لغات كه ممكن است به عنوان پسورد انتخاب شده باشند اقدام به login شدن به سيستم مي كند. به اين صورت كه تمام اين لغات را براي ورود امتحان مي كند تا موفق به ورود به سيستم شود. در حمله brute-force از ديكشنري استفاده نمي شود اما هزاران رشته از كاراكترها را براي ورود امتحان مي كند. استفاده از پسورد پيچيده باعث مي شود كه شكستن آن نسبت به يك پسورد ساده سخت تر و وقتگيرتر باشد.
    User authentication and AAA : دسترسي به دستگاه را با استفاده از يوزر و پسورد تعيين كنيد. استفاده از يوزر و پسورد خيلي بهتر از استفاده از پسورد به تنهايي است چون مهاجم علاوه بر پيدا كردن پسورد نياز به دانستن يوزر نيز دارد. استفاده از يوزر و پسورد به دو صورت local و AAA قابل پيدا سازي است كه استفاده از AAA با متمركز كردن كنترل دسترسي مي تواند امكانات و مزايايي مانند اينكه چه كاربري مي تواند به چه دستگاهي متصل شود ، چه كاري انجام دهد و همچنين امكان ضبط وقايع را براي ما فراهم كند.
    Login Password Retry Lockout : ويژگي است كه توسط آن مي توانيم مشخص كنيم كه كاربر local بعد از چند بار تلاش ورود ناموفق ، براي مدت زمان مشخص نتواند به سيستم وارد شود يا به طور كلي يوزر مربوطه غيرفعال شود و بايد توسط مدير سيستم دوباره فعال گردد.
    (Role-based access control (RBAC : همه كاربران نياز به دسترسي كامل به همه دستگاه ها ندارند در نتيجه شما بايد با استفاده از AAA و custom privilege levels (يا استفاده از parser views) اين دسترسي را محدود كنيم. به طور مثال در صورتي كه كاربران تازه واردي وجود داشته باشند شايد شما بخواهيد يك گروه ايجاد كنيد و دسترسي اين گروه را محدود كنيد. سپس كاربران مورد نظر را به اين گروه اضافه مي كنيم و بر اين اساس ، دسترسي ها گروه به كاربر اعمال مي شود. يك مثال ديگر از RBAC ايجاد يك custom privilege level و اختصاص آن به كاربران مورد نظر است و به اين شكل دسترسي اين كاربران براساس اين custom privilege level خواهد بود.
    Encrypted management protocols : زماني كه از شبكه in-band براي ترافيكي مديريتي استفاده مي كنيم بايد از ارتباط رمز شده براي ارتباط با دستگاه مانند (Secure Shell (SSH يا (Hypertext Transfer Protocol Secure (HTTPS استفاده كنيم. (Out-of-band (OOB يك شبكه كاملا مجزا از ترافيك كاربران است كه فقط براي ترافيك هاي مديريتي مورد استفاده قرار مي گيرد اما در In-band شبكه به صورت مشترك توسط ترافيك كاربران و ترافيك مديريتي مورد استفاده قرار مي گيرد و نسبت به OOB از امنيت پايين تري برخوردار است. اگر پروتكل هاي plaintext مانند Telnet يا HTTP بايد مورد استفاده قرار گيرد اين ارتباط را در قالب تانل (virtual private network (اين نام مجاز نمي باشد برقرار كنيد تا با رمزنگاري از محتواي بسته ها محافظت كند.
    Logging and monitoring : يك روش براي ضبط وقايع است. Logging فقط شامل تغييرات و عمليات تعيين شده توسط مدير نيست بلكه شامل اتفاقات سيستمي كه توسط روتر و سوئيچ توليد مي شوند كه مي تواند نشان دهنده خطا ، شرايط خاص و ... باشد. تعيين اهميت اطلاعات log به صورت ساده با استفاده از سطح بندي انجام مي گيرد و با استفاده از اين سطوح مي توان log ها را مديريت كرد. Logging مي تواند از روش هاي مختلف انجام گيرد و اطلاعات مربوط به logging مي تواند از منابع مختلفي مانند روتر ، سوئيچ و ... توليد شود و به سرور Syslog ارسال شود. سرور Syslog دستگاهي است كه تنظيم شده است پيام هاي Syslog ارسالي توسط دستگاه هاي شبكه را دريافت و نگه داري كند. اگر SNMP استفاده مي شود ترجيحا از نسخه 3 استفاده كنيد كه قابليت رمزنگاري و احرازهويت را دارد. شما مي توانيد از SNMP براي تغييرات در روتر يا سوئيچ استفاده كنيد و همچنين مي توانيد از وضعيت دستگاه اطلاعات كسب كنيد. SNMP trap بسته اي است كه توسط دستگاه مانند روتر يا سوئيچ توليد مي شود و نشان دهنده يك اتفاق است.
    (Network Time Protocol (NTP : از NTP براي هماهنگي ساعت دستگاه هاي شبكه استفاده كنيد تا هر Log ي كه توليد شود و شامل زمان باشد راحت تر مي تواند جمع آوري و بررسي شود. ترجيحا از NTP ورژن 3 استفاده كنيد تا از ويژگي Authentication آن ، براي update ها بتوانيم استفاده كنيم. خيلي مهم است كه log هاي توليد شده توسط دستگاه ها را جمع آوري كنيم تا از اتفاقات شبكه باخبر شويد و براي اينكه بتوانيد اطلاعات اين log ها را بهتر و دقيق تر بررسي كنيم بايد زمان تمام دستگاه ها يكسان باشد.
    Secure system files : باعث سخت شدن پاك كردن فايل startup configuration و فايل هاي مرتبط با IOS مي شود اينكار مي تواند به صورت تصادفي يا از روي قصد باشد. شما مي توانيد اينكار را با استفاده از قابليت موجود در IOS انجام دهيد.