Posts

استفاده از (Network Foundation Protection (NFP برای امن کردن شبکه

اهمیت زیرساخت شبکه


شبکه از قطعات و بخش های مختلفی تشکیل شده است و اگر یک بخش کوچک آن درست عمل نکند می تواند در عملکرد کل شبکه اخلال ایجاد کند. اگر شبکه به درستی کار نکند روی درآمد و بهره وری تاثیر منفی می گذارد. به طور کلی ، اگر یک آسیب پذیری مانند پسورد ضعیف ، آسیب پذیری نرم افزاری یا تنظیم نادرست در دستگاه وجود داشته باشد باعث باز گذاشتن یک در ورود برای مهاجم می گردد. تاثیرات قطع شدن شبکه خیلی زیاد است و به طور معمول روی نیروی انسانی و دیگر سیستم ها و مشتریان که با شبکه در ارتباط هستند تاثیر می گذارد. NFP به این منظور طراحی شده است که به شما در گروه بندی منطقی توابع مختلف موجود در شبکه کمک کند و همچنین بر روی اقدامات امنیتی که شما می توانید برای هر یک از این توابع درنظر بگیرد متمرکز می شود.

(Network Foundation Protection (NFP


برای IOS روترها و سوئیچ های سیسکو (Network Foundation Protection (NFP به سه قسمت اصلی تقسیم می شود. این سه قسمت به شرح زیر می باشند :

  • Management plane : این بخش شامل پروتکل ها و ترافیک هایی می باشد که از آنها برای یک ارتباط مدیریتی با روتر یا سوئیچ استفاده می شود. یک نمونه آن استفاده از پروتکل های مدیریت از راه دور مانند (Secure Shell (SSH برای تنظیم روتر یا سوئیچ می باشد. اگر خطایی در Management plane رخ دهد نتیجه آن می تواند از دسترس خارج شدن و عدم توانایی در مدیریت دستگاه گردد.
  • Control plane : شامل پروتکل ها و ترافیک هایی می باشد که توسط دستگاه های شبکه و بدون دسترسی مستقیم مدیر مورد استفاده قرار می گیرد. نمونه آن ، پروتکل های مسیریابی می باشند. یک پروتکل مسیریابی می تواند به صورت خودکار اطلاعات مسیریابی را فرا گیرد و آنها را به اشتراک بگذارد و روتر از این اطلاعات برای بروزرسانی جدول مسیریابی خود استفاده کند. اگر خطایی در Control plane رخ دهد روتر توانایی خود را در فراگرفتن و به اشتراک گذاشتن صحیح اطلاعات مسیریابی از دست می دهد و در نتیجه نمی تواند به صورت هوشمندانه برای شبکه مسیریابی را انجام دهد.
  • Data plane : شامل ترافیکی می باشد که از طریق شبکه ارسال می شود. یک نمونه آن ترافیک ارسالی توسط یک کاربر از یک قسمت شبکه به سمت یک سرور در قسمت دیگری از شبکه است. Data plane نشان دهنده ترافیکی است که توسط دستگاه های شبکه در حال ارسال یا سوئیچ شدن بین کلاینت ها و سرورها می باشد. نتیجه خطا در بخش Data plane عدم ارسال ترافیک کاربر خواهد بود اما در زمانی هایی براساس سیاست های موجود شاید شما بخواهد جلوی عبور برخی از ترافیک های Data plane که در حال عبور را بگیرید.
Image

 

وابستگی


برخی وابستگی ها بین این سه بخش وجود دارد. به طور مثال ، اگر control plane دچار خطا شود و روتر ندادند که چگونه ترافیک را ارسال کند در این حالت روی data plane نیز تاثیر می گذارد چون ترافیک کاربران ارسال نخواهد شد. یک مثال دیگر خطا در management plane است که به یک مهاجم اجازه می دهد دستگاه را تنظیم کند که نتیجه آن می تواند خطا در هر دو بخش control plane و data plane رخ دهد.
همانطور که شما ممکن است متوجه شده باشید NFP یک ویژگی تنها نیست بلکه یک رویکرد جامع می باشد که سه بخش زیرساخت ارتباطی را پوشش می دهد و با استفاده از مجموعه از ویژگی ها که توصیه می شود در سرتاسر شبکه اجرا شود هر یک از این بخش ها را حفاظت می کند.

Device Functionality Planes چیست؟ و چرا در بحث امنیت از اهمیت ویژه ای برخوردار است؟

در معماری زیرساخت ارتباطی شبکه سه بخش اصلی وجود دارد هر بخش یک نقش حیاتی را بر عهده دارد که یک زیرساخت مطمئن برای شبکه داشته باشیم. هر کدام به نوبه خود باعث ارائه مستمر خدمات می شوند. این ارائه مستمر خدمات نیاز به یک زیر ساخت دارد که بتواند ترافیک را مسیردهی ، ارسال و مدیریت کند.
سه بخش اصلی به شرح زیر می باشند :

  • Control plane : با توابع و عملکرد خود امکان مسیردهی ترافیک را فراهم می کند.
  • Data plane : امکان ارسال ترافیک را فراهم می کند.
  • Management plane : به منظور مدیریت تجهیزات مورد استفاده قرار می گیرد.

نکته : control plane و management plane در واقع به data plane سرویس می دهند.

Image

محافظت از هر یک از این بخش ها برای داشتن یک زیرساخت ارتباطی مطمئن امری حیاتی است. هر سه بخش دارای اهمیت ویژه هستند و از امنیت و حافظت هیچ کدام از این بخش ها نباید غافل شد زیرا هر مشکلی که برای یک بخش به وجود آید سایر بخش ها را نیز تحت تاثیر می گذارد.

Control Plane :


Control Plane با پروتکل های سیگنالی سروکار دارد و در واقع برای جمع آوری و ایجاد اطلاعات مورد نیاز برای ارسال ترافیک مورد استفاده قرار می گیرد. جدول هایی مانند Routing Table ، MAC Table توسط این بخش ایجاد می گردد.
حفاظت از این بخش به دو دسته اصلی تقسیم می شود :

  • دسته اول شامل استفاده از پروتکل های استاندارد در راه نادرست است. این پروتکل های عمومی یا سیگنالی برای جمع آوری و ساخت اطلاعات مورد نیاز برای ارسال ترافیک مورد استفاده قرار می گیرد. که شامل پروتکل های مسیر یابی ، (Spanning Tree Protocol(STP) ، VLAN ، Trunking Protocol (VTP و … می شود. جدول زیر به شما در حفاظت از این بخش کمک شایانی می کند. به طور مثال استفاده از ماکنیزم های احراز هویت و فیلتر کردن route ها برای پروتکل های مسیریابی ، محافظت از STP با پیاده سازی مناسب آن و استفاده از ماکنیزم هایی مانند BPDU Guard
  • دسته دوم اساسا به حملات DoS که به Control Plane انجام می شود می پردازد. ارسال حجم انبوهی از بسته ها مرتبط با Control Plane می تواند باعث درگیر شدن CPU و عدم توانایی آن در اداره ترافیک نرمال شود و باید با روش هایی مانند استفاده از (Access Control List (ACL مانع این حملات شد.

جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را برای دو قسمت روتر و سوئیچ نمایش داده است :

Image

 

Data Plane :


Data plane بخشی از شبکه است که وظیفه حمل ترافیک کاربران را بر عهده دارد. data plane داده ها را قادر می سازد که از کلاینتی به کلاینت دیگر حمل شوند و اداره ارتباطات متعدد را به وسیله پروتکل های مختلف را بر عهده دارد. همیچنین قادر است سرویس مختلف مانند مباحث امنیتی ، QoS و … را روی ترافیک اعمال کند.
در این بخش همانند Control Plane راهکارهای مناسب و خاصی را می طلبد تا بتواند عملکرد مناسب و درستی ارائه دهد.
حملات این بخش نیز به دو دسته تقسیم می شوند:

  • دسته اول شامل حملاتی است که روی لینک ها با ارسال حجم انبوهی از ترافیک ایجاد می گردد و با روش هایی مانند ACL ، Qos و .. قابل پیشگیری است.
  • دسته دوم حملات Spoofing یا جعل می باشد که توسط روش هایی مانند Port Security ،DHCP Snooping و … قابل پیشگیری است.

جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را برای دو قسمت روتر و سوئیچ نمایش داده است :

Image

 

Management Plane :


Management Plane شامل پردازش هایی است که در سطح CPU انجام می گیرد. این پردازش ها به منظور مدیریت دستگاه و کنترل دسترسی به تجهیزات صورت می گیرد.
جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را نمایش داده است :

Image

حملات این بخش برای روترها و سویچ ها مشابه هم است. یکی از حملات این بخش به منظور دسترسی غیر مجاز به تجهیزات می باشد بدون استفاده از AAA ، شما یک مکانیزم مناسب ندارید که بفهمید چه کسی به تجهیزات متصل شده است و یا اینکه بتوانید عمکلرد یک کاربر را محدود کنید. از مرایای دیگر استفاده از AAA کنترل و ضبط گزارش عملکرد کاربر می باشد.
محافظت از دسترسی به تجهیزات شبکه به معنی محافظت از مسیر عبور ترافیک می باشد که این کنترل دسترسی به دو صورت local و remote باید انجام گیرد. پروتکل هایی دسترسی در تجهیزات سیسکو به شرح زیر می باشند :

  • (Secure Shell (SSH
  • Telnet
  • (Simple Network Management Protocol (SNMP
  • HTTP
  • HTTPS

هر یک از این دسترسی ها اگر مورد نیاز نیست آنها را غیر فعال کنید و یا اگر مسیر ارتباطی امن نیست از روش های رمز شده استفاده کنید و همچنین دسترسی به تجهیزات توسط این روش ها را محدود کنید.