هاردنینگ Cisco؛ کنترل IP Options و کاهش فشار روی CPU

تاریخ انتشار: آخرین بروزرسانی:
هاردنینگ Cisco؛ کنترل IP Options و کاهش فشار روی CPU
۳

IP Options بخشی از header پروتکل IPv4 است که برای قابلیت‌هایی مثل مسیر‌دهی خاص، timestamp یا بعضی کاربردهای کنترلی طراحی شده بود. در عمل، در بیشتر شبکه‌های امروزی استفاده عادی و روزمره از IP Options بسیار کم است، اما رسیدن چنین بسته‌هایی به روترهای مرزی می‌تواند هم ریسک امنیتی داشته باشد و هم بار پردازشی ایجاد کند.

در تجهیزات Cisco، بسته‌هایی که IP Options دارند ممکن است از مسیر fast switching/CEF عادی عبور نکنند و به process switching کشیده شوند. یعنی به جای اینکه مثل ترافیک معمولی با مسیر بهینه پردازش شوند، CPU دستگاه درگیر می‌شود. اگر تعداد این بسته‌ها زیاد شود، همین موضوع می‌تواند روی پایداری تجهیز اثر بگذارد.

چرا IP Options از نظر امنیتی مهم است؟

بعضی optionها می‌توانند رفتار مسیر عبور packet را تغییر دهند یا اطلاعاتی درباره مسیر جمع کنند. در شبکه‌ای که قرار است مسیرها، فیلترینگ و کنترل‌ها مشخص باشند، چنین قابلیت‌هایی معمولاً مورد نیاز نیستند و می‌توانند برای شناسایی، دور زدن سیاست‌ها یا ایجاد بار اضافه استفاده شوند.

به همین دلیل در hardening روترهای مرزی، معمولاً توصیه می‌شود بسته‌های دارای IP Options یا drop شوند یا حداقل option آن‌ها نادیده گرفته شود. انتخاب بین drop و ignore باید بر اساس نیاز واقعی شبکه انجام شود.

دستور کنترل IP Options در Cisco

در IOS می‌توان از دستور زیر استفاده کرد:

ip options drop

یا در بعضی سناریوها:

ip options ignore

حالت drop بسته‌هایی را که IP Options دارند حذف می‌کند. حالت ignore option را نادیده می‌گیرد و اجازه می‌دهد packet ادامه پیدا کند. از نگاه امنیتی، در بیشتر روترهای مرزی که نیاز خاصی به IP Options ندارند، drop انتخاب تمیزتری است.

چه زمانی باید احتیاط کرد؟

قبل از فعال کردن drop باید مطمئن شوید در شبکه شما سرویس یا پروتکلی به IP Options وابسته نیست. بعضی کاربردهای قدیمی یا خاص، مثل سناریوهایی مرتبط با RSVP یا ابزارهای تست و تشخیص مسیر، ممکن است از این فیلدها استفاده کنند. در شبکه‌های معمول enterprise این وابستگی کم است، اما باید بررسی شود.

بهتر است قبل از اعمال نهایی، روی مرز شبکه لاگ و مانیتورینگ داشته باشید تا ببینید واقعاً چه مقدار ترافیک با IP Options وارد می‌شود و مبدأ آن کجاست. اگر چنین ترافیکی از اینترنت زیاد دیده می‌شود، معمولاً نشانه خوبی نیست و drop کردن آن منطقی است.

IP Options و مصرف CPU

یکی از دلایل مهم سخت‌گیری روی IP Options، حفاظت از control plane است. حتی اگر packetها به مقصد نهایی نرسند، پردازش غیرعادی آن‌ها می‌تواند CPU روتر را بالا ببرد. در روترهای مرزی، باید هر چیزی که control plane را بی‌دلیل درگیر می‌کند محدود شود؛ IP Options هم یکی از همین موارد است.

جمع‌بندی

اگر در شبکه شما نیاز مشخصی به IP Options وجود ندارد، بهتر است در روترهای مرزی آن را drop کنید و هم‌زمان وضعیت CPU و لاگ‌ها را زیر نظر داشته باشید. این یک کنترل کوچک است، اما در کنار ACL، کنترل fragmentها، محافظت از management plane و hardening کلی دستگاه، به کاهش سطح حمله کمک می‌کند.

مطالب مرتبط

  • علیرضا عربیان
  • هیچ
  • 2,611 views
  • 12 جولای 17
برچسبها
مطالب مرتبط
پیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سخت‌سازیپیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سخت‌سازی
2,769 views
تصویر پیدا نشد بک‌دور FIRESTARTER روی Cisco ASA/FTD؛ بعد از Patch هم تمام نمی‌شود
11 views
کنترل امنیت شماره ۲۰: تست نفوذ و Red Team؛ آزمون واقعی کنترل‌هاکنترل امنیت شماره ۲۰: تست نفوذ و Red Team؛ آزمون واقعی کنترل‌ها
12 views
محافظت از ایمیل و مرورگر وب؛ کنترل مسیرهای رایج فیشینگ و بدافزارمحافظت از ایمیل و مرورگر وب؛ کنترل مسیرهای رایج فیشینگ و بدافزار
2,607 views
جلوگیری از تغییرات همزمان در تجهیزات Cisco با Configuration Lockجلوگیری از تغییرات همزمان در تجهیزات Cisco با Configuration Lock
2,591 views
جلوگیری از حملات Brute-force روی تجهیزات Ciscoجلوگیری از حملات Brute-force روی تجهیزات Cisco
2,242 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.