پیکربندی امن تجهیزات شبکه؛ کنترل تغییرات، دسترسی و سخت‌سازی

پیکربندی امن تجهیزات شبکه فقط چند دستور پراکنده روی روتر، سوئیچ یا فایروال نیست. اگر تنظیمات پایه، دسترسی مدیریتی، لاگ، Backup و کنترل تغییرات درست طراحی نشود، بعد از مدتی هیچ‌کس دقیق نمی‌داند کدام تغییر باعث مشکل شده و کدام سرویس واقعاً در معرض ریسک است.

در شبکه‌های سازمانی، یک تنظیم ساده مثل فعال بودن Telnet، استفاده از SNMP با Community عمومی، نبود AAA، یا ذخیره‌نشدن لاگ‌ها می‌تواند مسیر نفوذ یا قطعی را باز کند. برای همین بهتر است پیکربندی تجهیزات شبکه با یک Baseline مشخص شروع شود و هر تغییر بعدی قابل پیگیری باشد.

Baseline امن برای تجهیزات شبکه یعنی چه؟

Baseline یعنی حداقل تنظیمات قابل قبول برای هر تجهیز قبل از اینکه وارد شبکه عملیاتی شود. این Baseline باید برای روتر، سوئیچ، فایروال، Load Balancer و تجهیزات امنیتی جداگانه تعریف شود، اما چند اصل در همه آن‌ها مشترک است.

• غیرفعال‌کردن سرویس‌های مدیریتی غیرضروری مثل Telnet، HTTP ناامن و پروتکل‌های قدیمی.
• استفاده از SSH و HTTPS با نسخه‌های امن و محدودسازی دسترسی مدیریتی.
• تعریف AAA با TACACS+ یا RADIUS برای کنترل دسترسی کاربران ادمین.
• فعال‌سازی SNMPv3 و حذف SNMPv1/v2c یا Communityهای عمومی.
• تنظیم NTP، Syslog و ارسال لاگ به SIEM یا لاگ‌سرور مرکزی.
• تنظیم Banner، Timeout نشست‌ها و محدودسازی تلاش‌های ناموفق ورود.

دسترسی مدیریتی را از ترافیک کاربران جدا کنید

یکی از اشتباهات رایج این است که مدیریت تجهیزات از همان مسیری انجام می‌شود که کاربران و سرویس‌های عادی از آن عبور می‌کنند. بهتر است دسترسی مدیریتی از طریق شبکه Management، Jump Server یا VPN مدیریتی انجام شود. اگر امکان OOB وجود دارد، برای تجهیزات حساس ارزش زیادی دارد.

در فایروال‌ها و تجهیزات مرزی، دسترسی مدیریتی از اینترنت باید تا حد امکان بسته باشد. اگر ناچار به دسترسی از بیرون هستید، حداقل باید محدود به IP مشخص، MFA، VPN و لاگ کامل باشد.

Backup تنظیمات؛ فقط گرفتن فایل کافی نیست

Backup از کانفیگ باید منظم، قابل بازیابی و نسخه‌بندی‌شده باشد. نگه‌داشتن یک فایل قدیمی روی سیستم شخصی ادمین کافی نیست. بهتر است هر تغییر مهم با Backup قبل و بعد از تغییر ثبت شود تا در زمان حادثه بتوان سریع برگشت.

• قبل از تغییرات مهم، Backup بگیرید.
• بعد از تغییر موفق، نسخه نهایی را ذخیره کنید.
• فایل‌ها را با نام دستگاه، تاریخ و توضیح کوتاه نگهداری کنید.
• دسترسی به Backupها را محدود کنید؛ چون داخل آن‌ها اطلاعات حساس وجود دارد.

کنترل تغییرات؛ مشکل اصلی خیلی وقت‌ها همین‌جاست

بخش زیادی از قطعی‌های شبکه از تغییرات بدون مستندات شروع می‌شود. تغییر کوچک در ACL، NAT، Route، VLAN یا Policy فایروال اگر بدون برنامه انجام شود، ممکن است چند ساعت بعد خودش را به شکل قطعی سرویس نشان دهد.

برای هر تغییر جدی، حداقل این موارد باید مشخص باشد:

• هدف تغییر چیست؟
• کدام سرویس‌ها و کاربران تحت تأثیر هستند؟
• روش تست بعد از تغییر چیست؟
• اگر تغییر ناموفق بود، Rollback چطور انجام می‌شود؟
• چه کسی تغییر را انجام داده و چه زمانی؟

سخت‌سازی تجهیزات را دوره‌ای بازبینی کنید

پیکربندی امن یک کار یک‌بار مصرف نیست. Firmwareها تغییر می‌کنند، سرویس‌های جدید اضافه می‌شوند، کاربران ادمین عوض می‌شوند و Ruleها به‌مرور زیاد می‌شوند. بنابراین باید هر چند وقت یک‌بار وضعیت تجهیزات بازبینی شود.

در این بازبینی، دسترسی‌های مدیریتی، Ruleهای قدیمی، نسخه سیستم‌عامل، Backupها، لاگ‌ها و سرویس‌های فعال بررسی می‌شوند. همین بازبینی ساده می‌تواند قبل از حادثه، چند نقطه ضعف جدی را مشخص کند.

چک‌لیست کوتاه برای شروع

• Telnet و سرویس‌های مدیریتی قدیمی را غیرفعال کنید.
• SSH/HTTPS را محدود به IPهای مدیریتی کنید.
• AAA و حساب‌های شخصی ادمین را جایگزین حساب مشترک کنید.
• لاگ‌ها را به سرور مرکزی بفرستید.
• قبل و بعد از تغییرات مهم Backup بگیرید.
• Ruleها و دسترسی‌های قدیمی را دوره‌ای پاک‌سازی کنید.

اگر ساختار شبکه بزرگ‌تر باشد، بهتر است این Baseline برای هر گروه تجهیز جدا نوشته شود: سوئیچ‌های Access، Core، فایروال‌ها، تجهیزات VPN، Load Balancer و تجهیزات مانیتورینگ. این کار هم امنیت را بهتر می‌کند و هم عیب‌یابی را ساده‌تر.