رجوع
Cisco إجراءات لتأمين الأجهزة الداخلية في شبكات
- يجب التفكير في سياسات تنظيم أمنية، مثل تحديد إجراءات للتدقيق في أجهزة الشبكة، وكذلك تصميم إطار أمني يتحكّم في استخدام أجهزة الشبكة.
- تأمين المبدّلات بتأمين النفاذ إلىها والبروتوكولات المستخدمة على المبدّل.
- لتأمين النفاذ إلى المبدّل يجب تعيين كلمة سر للنظام، مثل استخدام الأمر
enable secret
الذي يجعل المبدّل يتأكد من ألّا يدخل وضع الضبط بصلاحيات واسعة إلا المستخدمون المسموح لهم بذلك.
- يجب كذلك تأمين النفاذ إلى منفذ التحكم في المبدّل أو الموجّه (Console port) لأنه يسمح لمستخدم بتجاوز الإجراءات الأمنية عبر أمور من قبيل استرجاع كلمة السر. لذا يجب أن نتأكد من أن الوصول الفيزيائي إلى منفذ التحكم محدود. يمكن أن يكون ذلك بوضع المبدّلات في أماكن مغلقة مخصّصة لها أو في أماكن آمنة مثل مركز بيانات (Data center).
- يجب التأكد من تأمين الاتصالات البعيدة عبر تأمين النفاذ إلى المبدّلات عن طريق Telnet لكي نمنع الولوج بدون إذن عن بعد. إلا أنّ من نقاط ضعف بروتوكول Telnet هو أن البيانات تُتبادل بدون تعمية، لذا يجب استبدال Telnet ببروتوكول SSH كل ما كان ذلك ممكنا.
- تُفعّل Cisco خدمات HTTP على أجهزة الشبكة لتسهيل الإدارة، إلا أن المخاطر الأمنية تجعل من الأفضل تعطيلها على المبدّلات والموجّهات.
- يجب كذلك ضبط رسائل التحذير اللازمة لردع المتسللين المحتملين من التجول داخل الأجهزة.
- تعمل الكثير من الخدمات القديمة منذ سنوات في الخلفية على أجهزة الشبكة بوصفها الخيار الافتراضي، إلا أن الدوافع الأمنية تجعل من المطلوب تعطيل كل تلك الخدمات إنْ لم تكن مستخدمة عمليا.
- يجب حفظ السجلّات للاستفادة منها في فحص المشاكل والتحقيقات الأمنية.
- يجب تعطيل بروتوكول CDP على المنافذ التي لا تحتاجه.
- يجب كذلك تأمين بروتوكول الشبكة الممتدة للتأكد من أنّ خصوصيته غير منتهكة من مبدّل يدّعي أنه هو المبدّل الجذر، لذا يجب أخذ الاحتياطات لتأمين الرابط الجذر.
- تتفاوض مبدّلات Cisco تلقائيًّا حول إمكانيا الرابط الجذع، إلّا أنّ بإمكان المتسللين تزوير ذلك التفاوض ليقرّروا الرابط الجذع، وبالتالي الحصول على إمكانية الوصول إلى شبكات VLAN جميعها. لهذا السبب يجب تعطيل التفاوض التلقائي حول اختيار الرابط الجذع وتفعيل الرابط الجذع يدويًّا حسب الحاجة.
- يجب إغلاق المنافذ غير المستعملة للتقليل من إمكانية الوصول الفيزيائي إلى المنفذ. علاوة على ذلك يجب إسناد شبكة VLAN غير مستعملة إلى المنافذ غير المستعملة، وبالتالي حتى لو استطاع المتسلّل تفعيل المنفذ يجده في شبكة VLAN معزولة لا تحوي أي جهاز. بالنسبة للمنافذ المستخدمة، يجب تطبيق ميزات مثل أمن المنفذ (Port security) للتأكد من أنّ الأجهزة المسموح لها هي فقط ما يمكنه النفاذ عبر المنفذ