پیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سختسازی
پیکربندی امن تجهیزات شبکه فقط چند دستور پراکنده روی روتر، سوئیچ یا فایروال نیست. اگر تنظیمات پایه، دسترسی مدیریتی، لاگ، Backup و کنترل تغییرات درست طراحی نشود، بعد از مدتی هیچکس دقیق نمیداند کدام تغییر باعث مشکل شده و کدام سرویس واقعاً در معرض ریسک است.
در شبکههای سازمانی، یک تنظیم ساده مثل فعال بودن Telnet، استفاده از SNMP با Community عمومی، نبود AAA، یا ذخیرهنشدن لاگها میتواند مسیر نفوذ یا قطعی را باز کند. برای همین بهتر است پیکربندی تجهیزات شبکه با یک Baseline مشخص شروع شود و هر تغییر بعدی قابل پیگیری باشد.
Baseline امن برای تجهیزات شبکه یعنی چه؟
Baseline یعنی حداقل تنظیمات قابل قبول برای هر تجهیز قبل از اینکه وارد شبکه عملیاتی شود. این Baseline باید برای روتر، سوئیچ، فایروال، Load Balancer و تجهیزات امنیتی جداگانه تعریف شود، اما چند اصل در همه آنها مشترک است.
- غیرفعالکردن سرویسهای مدیریتی غیرضروری مثل Telnet، HTTP ناامن و پروتکلهای قدیمی.
- استفاده از SSH و HTTPS با نسخههای امن و محدودسازی دسترسی مدیریتی.
- تعریف AAA با TACACS+ یا RADIUS برای کنترل دسترسی کاربران ادمین.
- فعالسازی SNMPv3 و حذف SNMPv1/v2c یا Communityهای عمومی.
- تنظیم NTP، Syslog و ارسال لاگ به SIEM یا لاگسرور مرکزی.
- تنظیم Banner، Timeout نشستها و محدودسازی تلاشهای ناموفق ورود.
دسترسی مدیریتی را از ترافیک کاربران جدا کنید
یکی از اشتباهات رایج این است که مدیریت تجهیزات از همان مسیری انجام میشود که کاربران و سرویسهای عادی از آن عبور میکنند. بهتر است دسترسی مدیریتی از طریق شبکه Management، Jump Server یا VPN مدیریتی انجام شود. اگر امکان OOB وجود دارد، برای تجهیزات حساس ارزش زیادی دارد.
در فایروالها و تجهیزات مرزی، دسترسی مدیریتی از اینترنت باید تا حد امکان بسته باشد. اگر ناچار به دسترسی از بیرون هستید، حداقل باید محدود به IP مشخص، MFA، VPN و لاگ کامل باشد.
Backup تنظیمات؛ فقط گرفتن فایل کافی نیست
Backup از کانفیگ باید منظم، قابل بازیابی و نسخهبندیشده باشد. نگهداشتن یک فایل قدیمی روی سیستم شخصی ادمین کافی نیست. بهتر است هر تغییر مهم با Backup قبل و بعد از تغییر ثبت شود تا در زمان حادثه بتوان سریع برگشت.
- قبل از تغییرات مهم، Backup بگیرید.
- بعد از تغییر موفق، نسخه نهایی را ذخیره کنید.
- فایلها را با نام دستگاه، تاریخ و توضیح کوتاه نگهداری کنید.
- دسترسی به Backupها را محدود کنید؛ چون داخل آنها اطلاعات حساس وجود دارد.
کنترل تغییرات؛ مشکل اصلی خیلی وقتها همینجاست
بخش زیادی از قطعیهای شبکه از تغییرات بدون مستندات شروع میشود. تغییر کوچک در ACL، NAT، Route، VLAN یا Policy فایروال اگر بدون برنامه انجام شود، ممکن است چند ساعت بعد خودش را به شکل قطعی سرویس نشان دهد.
برای هر تغییر جدی، حداقل این موارد باید مشخص باشد:
- هدف تغییر چیست؟
- کدام سرویسها و کاربران تحت تأثیر هستند؟
- روش تست بعد از تغییر چیست؟
- اگر تغییر ناموفق بود، Rollback چطور انجام میشود؟
- چه کسی تغییر را انجام داده و چه زمانی؟
سختسازی تجهیزات را دورهای بازبینی کنید
پیکربندی امن یک کار یکبار مصرف نیست. Firmwareها تغییر میکنند، سرویسهای جدید اضافه میشوند، کاربران ادمین عوض میشوند و Ruleها بهمرور زیاد میشوند. بنابراین باید هر چند وقت یکبار وضعیت تجهیزات بازبینی شود.
در این بازبینی، دسترسیهای مدیریتی، Ruleهای قدیمی، نسخه سیستمعامل، Backupها، لاگها و سرویسهای فعال بررسی میشوند. همین بازبینی ساده میتواند قبل از حادثه، چند نقطه ضعف جدی را مشخص کند.
چکلیست کوتاه برای شروع
- Telnet و سرویسهای مدیریتی قدیمی را غیرفعال کنید.
- SSH/HTTPS را محدود به IPهای مدیریتی کنید.
- AAA و حسابهای شخصی ادمین را جایگزین حساب مشترک کنید.
- لاگها را به سرور مرکزی بفرستید.
- قبل و بعد از تغییرات مهم Backup بگیرید.
- Ruleها و دسترسیهای قدیمی را دورهای پاکسازی کنید.
اگر ساختار شبکه بزرگتر باشد، بهتر است این Baseline برای هر گروه تجهیز جدا نوشته شود: سوئیچهای Access، Core، فایروالها، تجهیزات VPN، Load Balancer و تجهیزات مانیتورینگ. این کار هم امنیت را بهتر میکند و هم عیبیابی را سادهتر.
بکدور FIRESTARTER روی Cisco ASA/FTD؛ بعد از Patch هم تمام نمیشود
لیست دستگاههای مجاز و غیرمجاز؛ پایه Inventory در امنیت شبکه
چرا به امنیت شبکه و فناوری اطلاعات نیاز داریم
راهاندازی FortiWeb بدون دردسر False Positive؛ از Monitor تا Block
کنترل امنیت شماره ۱۵: کنترل دسترسی بیسیم؛ وایفای را جدی بگیریم