وقتی روتر و فایروال تبدیل به نقطه نفوذ می‌شوند

در امنیت شبکه معمولاً همه حواس‌ها می‌رود سمت سرورها، آنتی‌ویروس، کاربران، ایمیل و حملات فیشینگ. این‌ها مهم‌اند، ولی یک بخش خیلی حساس گاهی کمتر از چیزی که باید دیده شود دیده می‌شود: تجهیزات Edge.

منظورم تجهیزاتی است که لبه شبکه قرار دارند؛ مثل روتر، فایروال، VPN Gateway، Load Balancer، WAF و هر چیزی که مستقیم یا غیرمستقیم با اینترنت درگیر است.

مشکل اینجاست که اگر یکی از این تجهیزات آسیب‌پذیر باشد یا درست مانیتور نشود، مهاجم ممکن است قبل از اینکه به سرور برسد، روی خود مسیر ورودی شبکه بنشیند.

چرا تجهیزات Edge برای مهاجم جذاب‌اند؟

چند دلیل ساده دارد:

• معمولاً همیشه روشن‌اند.
• مستقیم در مسیر ترافیک اینترنت قرار دارند.
• دسترسی سطح بالایی به شبکه دارند.
• لاگ و مانیتورینگ‌شان در بعضی سازمان‌ها ضعیف است.
• خیلی وقت‌ها دیرتر از سرورها Patch می‌شوند.
• بعضی مدل‌ها سال‌ها بدون بازبینی جدی کار می‌کنند.

از نگاه مهاجم، یک روتر یا فایروال قدیمی که مدیریت آن از اینترنت باز مانده، هدف خیلی جذابی است. چون با نفوذ به آن، لازم نیست مستقیم به سرور حمله کند؛ می‌تواند مسیر ترافیک، VPN، NAT، Route یا حتی Policyها را دستکاری کند.

فقط آسیب‌پذیری جدید مهم نیست

خیلی‌ها فقط وقتی خبر CVE جدید می‌آید نگران می‌شوند. ولی در عمل، مشکل همیشه CVE روز نیست.

گاهی ریسک از اینجا می‌آید:

• پنل مدیریت روی اینترنت باز است.
• رمز عبور ضعیف یا قدیمی استفاده شده.
• Firmware مدت‌ها آپدیت نشده.
• Backup کانفیگ وجود ندارد.
• لاگ‌ها به جایی ارسال نمی‌شوند.
• Ruleهای قدیمی هنوز فعال‌اند.
• دسترسی VPN کاربرانی که دیگر در سازمان نیستند حذف نشده.
• SNMP یا سرویس‌های مدیریتی اشتباه باز مانده‌اند.

یعنی حتی بدون Exploit پیچیده هم ممکن است راه نفوذ باز باشد.

روتر و فایروال را مثل سرور مهم ببینیم

در خیلی از شبکه‌ها برای سرورها مانیتورینگ، Backup، Patch Management و دسترسی کنترل‌شده داریم، ولی برای تجهیزات شبکه این نظم کمتر دیده می‌شود.

در حالی که فایروال، روتر، سوئیچ Core، VPN Gateway و WAF باید جزو دارایی‌های حساس حساب شوند.

حداقل باید مشخص باشد:

• چه کسی به آن‌ها دسترسی دارد؟
• آخرین Backup کانفیگ کی گرفته شده؟
• آخرین آپدیت Firmware کی انجام شده؟
• لاگ‌ها کجا ذخیره می‌شوند؟
• دسترسی مدیریتی از چه IPهایی مجاز است؟
• اگر تجهیز از کار بیفتد، سناریوی جایگزین چیست؟
• اگر کانفیگ تغییر کند، چه کسی متوجه می‌شود؟

چند کنترل ساده ولی مهم

برای کاهش ریسک، لازم نیست همیشه از کارهای پیچیده شروع کنیم. چند کنترل پایه خیلی اثرگذارند:

۱. بستن Management از اینترنت

پنل مدیریتی فایروال، روتر، WAF یا VPN نباید بی‌دلیل از اینترنت در دسترس باشد. اگر دسترسی بیرونی لازم است، بهتر است فقط از IPهای مشخص، VPN امن یا روش‌های کنترل‌شده انجام شود.

۲. فعال کردن MFA برای اکانت‌های مدیریتی

اگر تجهیز یا پلتفرم مدیریتی MFA دارد، برای اکانت‌های Admin باید فعال شود. رمز تنها برای دسترسی مدیریتی کافی نیست.

۳. آپدیت منظم Firmware

آپدیت کردن تجهیزات شبکه باید با احتیاط انجام شود، نه عجولانه. ولی آپدیت نکردن طولانی‌مدت هم خطرناک است. بهتر است Release Note بررسی شود، Backup گرفته شود، زمان مناسب انتخاب شود و بعد آپدیت انجام شود.

۴. Backup منظم از Config

قبل از هر تغییر و به‌صورت دوره‌ای باید Backup گرفته شود. Backup هم باید قابل بازیابی باشد، نه فقط یک فایل که معلوم نیست سالم است یا نه.

۵. ارسال لاگ به محل مرکزی

اگر لاگ فقط داخل خود تجهیز باشد، در زمان حمله یا خرابی ممکن است از دست برود. بهتر است لاگ‌های مهم به Syslog، SIEM یا حداقل یک محل مرکزی ارسال شوند.

۶. بازبینی Ruleها و دسترسی‌ها

Policyها، NATها، VPN Userها، Objectها و Routeهای قدیمی باید دوره‌ای بررسی شوند. خیلی وقت‌ها ریسک از Ruleهایی می‌آید که کسی یادش نیست چرا ساخته شده‌اند.

نشانه‌هایی که باید جدی گرفته شوند

اگر در تجهیزات Edge یکی از این موارد دیده شد، بهتر است سریع بررسی شود:

• Login ناموفق زیاد روی پنل مدیریت
• تغییر ناخواسته در Config
• افزایش غیرعادی ترافیک VPN
• اتصال از کشورها یا IPهای غیرمنتظره
• مصرف CPU یا Memory غیرعادی
• اضافه شدن Admin جدید
• تغییر در DNS، Route یا NAT
• خاموش شدن ناگهانی Logging
• ترافیک خروجی عجیب از خود تجهیز

این‌ها لزوماً نشانه قطعی نفوذ نیستند، ولی ارزش بررسی دارند.

فایروال هم خودش نیاز به امنیت دارد

گاهی یک تصور اشتباه وجود دارد: چون فایروال ابزار امنیتی است، پس خودش امن است. این نگاه خطرناک است.

فایروال هم مثل هر سیستم دیگری ممکن است:

• آسیب‌پذیری نرم‌افزاری داشته باشد،
• اشتباه کانفیگ شود،
• با رمز ضعیف مدیریت شود،
• یا سال‌ها بدون آپدیت بماند.

پس همان‌قدر که از فایروال انتظار حفاظت داریم، باید خود فایروال را هم محافظت کنیم.

مطالب مرتبط

• چرا به امنیت شبکه نیاز داریم؟
• روتر و سوئیچ؛ مفاهیم، پیکربندی و امنیت تجهیزات شبکه
• فورتیگیت FortiGate؛ آموزش، پیکربندی و امنیت فایروال Fortinet
• FortiWeb؛ آموزش وب اپلیکیشن فایروال Fortinet WAF
• امنیت سایبری؛ مفاهیم، مسیر یادگیری و کاربرد در زیرساخت شبکه

جمع‌بندی

در امنیت شبکه، تجهیزات Edge خط مقدم هستند. روتر، فایروال، VPN، WAF و Load Balancer فقط تجهیزات عبور ترافیک نیستند؛ این‌ها نقاط حساس امنیتی‌اند.

اگر این تجهیزات درست Patch، Backup، Monitor و محدود نشوند، ممکن است همان جایی باشند که مهاجم از آن وارد می‌شود.

به‌نظر من یک بازبینی ساده ولی منظم روی تجهیزات Edge، از خیلی ابزارهای گران‌قیمت مهم‌تر است. چون قبل از خرید ابزار جدید، باید مطمئن شویم در ورودی‌های اصلی شبکه، در باز و بدون نگهبان نمانده است.

سوالات متداول

تجهیزات Edge یعنی چه؟

تجهیزاتی که در لبه شبکه و نزدیک به اینترنت یا مسیرهای ورودی و خروجی قرار دارند؛ مثل روتر، فایروال، VPN Gateway، WAF و Load Balancer.

چرا امنیت فایروال خودش مهم است؟

چون فایروال هم یک سیستم قابل مدیریت است و اگر آسیب‌پذیر یا اشتباه کانفیگ شده باشد، می‌تواند خودش تبدیل به نقطه نفوذ شود.

هر چند وقت یک‌بار باید تجهیزات شبکه بررسی شوند؟

بسته به حساسیت شبکه، ولی حداقل ماهانه برای لاگ، دسترسی‌ها، Backup و Ruleهای مهم. برای آسیب‌پذیری‌ها و آپدیت‌ها بهتر است بررسی منظم هفتگی یا دوهفته‌ای انجام شود.

آیا آپدیت Firmware همیشه باید سریع انجام شود؟

نه همیشه. باید Release Note، ریسک، سازگاری و زمان مناسب بررسی شود. ولی عقب انداختن طولانی‌مدت آپدیت‌ها هم خطر جدی ایجاد می‌کند.