Posts

استفاده از (Network Foundation Protection (NFP برای امن کردن شبکه

اهمیت زیرساخت شبکه


شبکه از قطعات و بخش های مختلفی تشکیل شده است و اگر یک بخش کوچک آن درست عمل نکند می تواند در عملکرد کل شبکه اخلال ایجاد کند. اگر شبکه به درستی کار نکند روی درآمد و بهره وری تاثیر منفی می گذارد. به طور کلی ، اگر یک آسیب پذیری مانند پسورد ضعیف ، آسیب پذیری نرم افزاری یا تنظیم نادرست در دستگاه وجود داشته باشد باعث باز گذاشتن یک در ورود برای مهاجم می گردد. تاثیرات قطع شدن شبکه خیلی زیاد است و به طور معمول روی نیروی انسانی و دیگر سیستم ها و مشتریان که با شبکه در ارتباط هستند تاثیر می گذارد. NFP به این منظور طراحی شده است که به شما در گروه بندی منطقی توابع مختلف موجود در شبکه کمک کند و همچنین بر روی اقدامات امنیتی که شما می توانید برای هر یک از این توابع درنظر بگیرد متمرکز می شود.

(Network Foundation Protection (NFP


برای IOS روترها و سوئیچ های سیسکو (Network Foundation Protection (NFP به سه قسمت اصلی تقسیم می شود. این سه قسمت به شرح زیر می باشند :

  • Management plane : این بخش شامل پروتکل ها و ترافیک هایی می باشد که از آنها برای یک ارتباط مدیریتی با روتر یا سوئیچ استفاده می شود. یک نمونه آن استفاده از پروتکل های مدیریت از راه دور مانند (Secure Shell (SSH برای تنظیم روتر یا سوئیچ می باشد. اگر خطایی در Management plane رخ دهد نتیجه آن می تواند از دسترس خارج شدن و عدم توانایی در مدیریت دستگاه گردد.
  • Control plane : شامل پروتکل ها و ترافیک هایی می باشد که توسط دستگاه های شبکه و بدون دسترسی مستقیم مدیر مورد استفاده قرار می گیرد. نمونه آن ، پروتکل های مسیریابی می باشند. یک پروتکل مسیریابی می تواند به صورت خودکار اطلاعات مسیریابی را فرا گیرد و آنها را به اشتراک بگذارد و روتر از این اطلاعات برای بروزرسانی جدول مسیریابی خود استفاده کند. اگر خطایی در Control plane رخ دهد روتر توانایی خود را در فراگرفتن و به اشتراک گذاشتن صحیح اطلاعات مسیریابی از دست می دهد و در نتیجه نمی تواند به صورت هوشمندانه برای شبکه مسیریابی را انجام دهد.
  • Data plane : شامل ترافیکی می باشد که از طریق شبکه ارسال می شود. یک نمونه آن ترافیک ارسالی توسط یک کاربر از یک قسمت شبکه به سمت یک سرور در قسمت دیگری از شبکه است. Data plane نشان دهنده ترافیکی است که توسط دستگاه های شبکه در حال ارسال یا سوئیچ شدن بین کلاینت ها و سرورها می باشد. نتیجه خطا در بخش Data plane عدم ارسال ترافیک کاربر خواهد بود اما در زمانی هایی براساس سیاست های موجود شاید شما بخواهد جلوی عبور برخی از ترافیک های Data plane که در حال عبور را بگیرید.
Image

 

وابستگی


برخی وابستگی ها بین این سه بخش وجود دارد. به طور مثال ، اگر control plane دچار خطا شود و روتر ندادند که چگونه ترافیک را ارسال کند در این حالت روی data plane نیز تاثیر می گذارد چون ترافیک کاربران ارسال نخواهد شد. یک مثال دیگر خطا در management plane است که به یک مهاجم اجازه می دهد دستگاه را تنظیم کند که نتیجه آن می تواند خطا در هر دو بخش control plane و data plane رخ دهد.
همانطور که شما ممکن است متوجه شده باشید NFP یک ویژگی تنها نیست بلکه یک رویکرد جامع می باشد که سه بخش زیرساخت ارتباطی را پوشش می دهد و با استفاده از مجموعه از ویژگی ها که توصیه می شود در سرتاسر شبکه اجرا شود هر یک از این بخش ها را حفاظت می کند.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش اول

استاندارد 802.1x توسط IEEE ارائه شده است و به عنوان یک پروتکل لایه data link (لایه دوم) برای کنترل دسترسی طراحی شده است. این پروتکل به صورت port-based عمل authentication(احراز هویت) را برای کابران و دستگاه ها انجام می دهد. به این سرویس port-level authentication نیز گفته می شود.

Image

در محیط شبکه های امروزی و بخصوص شبکه های بزرگ در محیط خود VLAN ، WLAN ، DHCPو سایر پروتکل های داینامیک را پیاده سازی کرده اند تا امکان دسترسی انعطاف پذیر را به کاربران متحرک و … را فراهم کنند. هرچند این ویژگی ها باعث می شود که به نظر کاربر شبکه دسترس پذیرتر و راحت تر شده است اما از سوی دیگر شبکه سازمان را در برابر دسترسی های غیر مجاز آسیب پذیر می کند. برای یک هکر کار کردن در یک محیط نا امن برای ایجاد حملاتی مانند denial of service (DoS)، hijack و … بسیار راحت تر از یک محیط ایمن شده است.
(Cisco Identity-Based Networking Services (IBNS تکنولوژی است که بر پایه 802.1x عمل می کند و باعث افزایش امنیت شبکه با استفاده از authentication کاربران براساس مشخصاتی مانند یوزر و پسورد و برای دستگاه ها از MAC Address و IP Address استفاده می کند. IBNS کنترل می کند که چه کسی و چه چیزی در شبکه وجود دارد ، کاربران خارجی را از طریق Authentication و Authorization بررسی می کند و با استفاده از Accounting عملکرد کاربرانی که وارد شبکه شده اند را نظاره می کند و به طور کلی نظارت بر شبکه افزایش پیدا می کند.
IBNS همچنین یک فریم ورک تعیین کرده است که در سه حالت زیر برای بخش های مختلف قابل اجرا است :

  • Monitor Mode : دسترسی به شبکه را قابل مشاهده می کند و محدودیتی برای دسترسی به شبکه وجود ندارد.
  • Low-Impact Mode : در این حالت در صورت عدم تایید هویت و یا عدم پاسخگویی توسط پروتکل در زمان تعیین شده امکان دسترسی محدود فراهم می شود که برای آن از (downloadable access control lists (dACL استفاده می شود.
  • High-Security Mode : بالاترین سطح امنیت برای دسترسی به شبکه را فراهم می کند به صورتی که تنها در صورت تایید هویت ، امکان دسترسی به شبکه وجود دارد.

 

توسعه ها و ویژگی های اضافه شده به 802.1x توسط IBNS :


چندین ویژگی و بهبود توسط IBNS برای پروتکل 802.1x استاندارد ارائه شده است که به شرح زیر هستند :

  • VLAN assignments : در 802.1x استاندارد کاربری که هویت او تایید شود در vlan که از قبل برای آن پورت در نظر گرفته شده است قرار می گیرد. اما در IBNS اختصاص VLAN براساس کاربر یا دستگاه انجام می گیرد و وابسته به پورت نیست. که اینکار با استفاده از تنظیمات از قبل انجام شده در Radius Server انجام می گیرد. زمانی که تایید هویت کاربر به درستی انجام گرفت Radius Server اطلاعات مربوط به VLAN را برای سوئیچ ارسال می کند و سوئیچ براساس اطلاعات دریافتی پورت را به صورت دینامیک به VLAN مورد نظر اختصاص می دهد.
  • 802.1x guest VLAN : یکی از نکته های مهم در محیط شبکه این است که برخی از کلاینت ها از پروتکل 802.1x پشتیبانی نمی کنند و باید بتوان از این کلاینت ها در کنار سایر دستگاه استفاده کرد. با استفاده از این ویژگی این امکان فراهم می شود که کاربران یا دستگاه هایی که از پروتکل 802.1x پشتیبانی نمی کنند توسط guest VLAN به منابع شبکه دسترسی پیدا کنند. یک guest VLAN به طور معمول یک دسترسی محدود به منابع عمومی شبکه ایجاد می کند به طور مثال دسترسی به اینترنت توسط آن فراهم می شود.
  • Restricted VLAN : این ویژگی این امکان را برای کلاینت هایی که از پروتکل 802.1x پشتیبانی می کنند فراهم می کند که حتی در صورت تایید نشدن هویت آنها یک دسترسی محدود داشته باشند. در صورتی که یک کلاینت سه بار هویت آن تایید نشوند بدون اینکه هویت آن تایید شود به صورت خودکار در Restricted VLAN قرار می گیرد و پورت مربوطه به عنوان Restricted VLAN شناخته می شود. بعد از اینکه کلاینت در Restricted VLAN قرار گرفت یک پیام جعلی مبنی بر اینکه تایید هویت آن به درستی انجام شده است به کلاینت ارسال می شود تا دست از تلاش برای تایید هویت بر دارد. سطح دسترسی که به این کاربر یا دستگاه داده می شود بستگی به سیاست های سازمان دارد و توسط آنها تنظیم می شود و احتمالا اینکه سطح دسترسی برای guest VLAN و Restricted VLAN یکسان در نظر گرفته شود وجود دارد.
  • Port security : در 802.1x امکان فعال کردن port security را در پورت های سوئیچ فراهم می کند. در صورت فعال شدن این قابلیت باعث می شود تنها MAC Address های خاص اجازه دسترسی به شبکه را داشته باشند.این قابلیت جهت جلوگیری از اتصال دستگاه های غیر مجاز و همچنین امکان مشخص کردن تعداد دستگاه قابل اتصال به پورت مفید است.
  • Voice VLAN ID : این قابلیت این امکان را به مدیر شبکه می دهد که برای (Voice over Internet Protocol (VoIP یک شماره VLAN در نظر بگیرد.