اذهب إلى المحتوى

إجراءات لتأمين الأجهزة الداخلية في شبكات Cisco


محمد أحمد العيل

سنتطرَّق في هذا المقال إلى مصادر قلق في ما يتعلّق بأمن الشبكة ككل، دون أن نقتصر على المبدّلات، ومالذي بإمكاننا فعله للتقليل من الأخطار التي قد تمثّل تهديدًا أمنيًّا للشبكة. سنتعلّم ميزات أمنية أساسية يمكننا تطبيقها لتأمين الشبكات التي تعتمد على أجهزة Cisco.

نظرة عامة على أمان المبدلات

تنصب الكثير من المنظّمات جدارًا ناريًّا وأجهزة متطوّرة على حواف الشبكة (Edges) لإيقاف الهجمات القادمة من الخارج. لا تُضبَط على المبدّلات والموجّهات سوى إجراءات أمنية دنيا نظرًا لكونها أجهزة داخلية معدّة أساسًا لتلبية الحاجة للاتصالات داخل شبكة المؤسسة.

تسمح الكثير من الشركات والمؤسسات الآن لموظّفيها باستخدام حواسيب محمولة يمكنهم التنقل بها بين المنزل ومقر العمل، إلا أن تلك الحرية في الحركة ومكان العمل لها ثمنها المتمثل في التهديد المحدق الذي تمثله، فمنزل الموظَّف ليس لديه في الغالب مستوى التأمين نفسه الذي توفّره المؤسسة داخل شبكتها. يمكن مثلًا أن يُصاب حاسوب الموظَّف بفيروس أو برنامج ضار آخر في المنزل، ثم ينقل الفيروس أو البرنامج الضار إلى مقر العمل عندما يذهب إليه، وفي هذه الحالة تكون الحماية التي توفّرها الأجهزة الأمنية على الحافة محدودة لأن التهديد يأتي من داخل الشبكة. لتلك الأسباب يجب أن نطبّق الإجراءات الأمنية المطلوبة على المبدّلات والموجّهات الداخلية للحماية ضد الهجمات ذات المصدر الداخلي.

الممارسات المنصوح بها أمنيا

في ما يلي نصائح لممارسات يجب اتباعها عند وضع أجهزة جديدة أو توفير خدمات إضافية

  • يجب التفكير في سياسات تنظيم أمنية، مثل تحديد إجراءات للتدقيق في أجهزة الشبكة، وكذلك تصميم إطار أمني يتحكّم في استخدام أجهزة الشبكة.
  • تأمين المبدّلات بتأمين النفاذ إلىها والبروتوكولات المستخدمة على المبدّل.
  • لتأمين النفاذ إلى المبدّل يجب تعيين كلمة سر للنظام، مثل استخدام الأمر enable secret الذي يجعل المبدّل يتأكد من ألّا يدخل وضع الضبط بصلاحيات واسعة إلا المستخدمون المسموح لهم بذلك.
  • يجب كذلك تأمين النفاذ إلى منفذ التحكم في المبدّل أو الموجّه (Console port) لأنه يسمح لمستخدم بتجاوز الإجراءات الأمنية عبر أمور من قبيل استرجاع كلمة السر. لذا يجب أن نتأكد من أن الوصول الفيزيائي إلى منفذ التحكم محدود. يمكن أن يكون ذلك بوضع المبدّلات في أماكن مغلقة مخصّصة لها أو في أماكن آمنة مثل مركز بيانات (Data center).
  • يجب التأكد من تأمين الاتصالات البعيدة عبر تأمين النفاذ إلى المبدّلات عن طريق Telnet لكي نمنع الولوج بدون إذن عن بعد. إلا أنّ من نقاط ضعف بروتوكول Telnet هو أن البيانات تُتبادل بدون تعمية، لذا يجب استبدال Telnet ببروتوكول SSH كل ما كان ذلك ممكنا.
  • تُفعّل Cisco خدمات HTTP على أجهزة الشبكة لتسهيل الإدارة، إلا أن المخاطر الأمنية تجعل من الأفضل تعطيلها على المبدّلات والموجّهات.
  • يجب كذلك ضبط رسائل التحذير اللازمة لردع المتسللين المحتملين من التجول داخل الأجهزة.
  • تعمل الكثير من الخدمات القديمة منذ سنوات في الخلفية على أجهزة الشبكة بوصفها الخيار الافتراضي، إلا أن الدوافع الأمنية تجعل من المطلوب تعطيل كل تلك الخدمات إنْ لم تكن مستخدمة عمليا.
  • يجب حفظ السجلّات للاستفادة منها في فحص المشاكل والتحقيقات الأمنية.
  • يجب تعطيل بروتوكول CDP على المنافذ التي لا تحتاجه.
  • يجب كذلك تأمين بروتوكول الشبكة الممتدة للتأكد من أنّ خصوصيته غير منتهكة من مبدّل يدّعي أنه هو المبدّل الجذر، لذا يجب أخذ الاحتياطات لتأمين الرابط الجذر.
  • تتفاوض مبدّلات Cisco تلقائيًّا حول إمكانيا الرابط الجذع، إلّا أنّ بإمكان المتسللين تزوير ذلك التفاوض ليقرّروا الرابط الجذع، وبالتالي الحصول على إمكانية الوصول إلى شبكات VLAN جميعها. لهذا السبب يجب تعطيل التفاوض التلقائي حول اختيار الرابط الجذع وتفعيل الرابط الجذع يدويًّا حسب الحاجة.
  • يجب إغلاق المنافذ غير المستعملة للتقليل من إمكانية الوصول الفيزيائي إلى المنفذ. علاوة على ذلك يجب إسناد شبكة VLAN غير مستعملة إلى المنافذ غير المستعملة، وبالتالي حتى لو استطاع المتسلّل تفعيل المنفذ يجده في شبكة VLAN معزولة لا تحوي أي جهاز. بالنسبة للمنافذ المستخدمة، يجب تطبيق ميزات مثل أمن المنفذ (Port security) للتأكد من أنّ الأجهزة المسموح لها هي فقط ما يمكنه النفاذ عبر المنفذ.

أمن المنفذ

تقيّد ميزة أمن المنفذ الوصول إلى المنفذ بتعريف عناوين MAC الخاصة بالمستخدمين المسموح لهم بالاتصال به. يمكن كذلك تحديد عدد عناوين MAC التي يمكنها الدخول عبر المنفذ.

معيار 802.1X للاستيثاق المعتمد على المنفذ

إحدى الميزات الأمنية المتقدّمة التي تدعمها مبدّلات Cisco هي المعيار 802.1X للاستيثاق المعتمد على المنفذ (Port-Based Authentication). تطلب هذه الميزة من المستخدمين إدخال بيانات دخول، ثم يطلب المبدّل من خادوم استيثاق، مثل RADIUS، التحقق منها. يكون خادوم الاستيثاق غالبًا منفصلًا عن المبدّل ولكنّه قد يكون برنامجًا يعمل على عتاد المبدّل.

ترجمة – وبتصرّف – للمقال Securing the Expanded Network


تفاعل الأعضاء

أفضل التعليقات

لا توجد أية تعليقات بعد



انضم إلى النقاش

يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.

زائر
أضف تعليق

×   لقد أضفت محتوى بخط أو تنسيق مختلف.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   جرى استعادة المحتوى السابق..   امسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • أضف...