در ادامه مبحث NFP به امن کردن data plane می رسیم که در اینجا Best Practices برای امن کردن آن را برای شما عزیزان فراهم کرده ایم. با ما همراه باشید.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
Best Practices برای محافظت از Data Plane
برای امن کردن data plane موارد زیر را دنبال کنید :
- جلوی ترافیک ناخواسته روی روتر را بگیرد. اگر سیاست های سازمان اجازه استفاده از پروتکل خاصی را نمی دهد می توانید با استفاده از ACLs جلوی ترافیک مربوط به آن پروتکل را بگیرید. شما می توانید ACL ها را در جهت inbound یا outbound هر اینترفیس روتر فعال کنید. با استفاده از extended ACLs می توانید براساس آدرس source و destination فیلترینگ را انجام دهید در نتیجه می توانید فیلترینگ در نزدیکترین محل به مبدا اعمال کنید و به این شکل از هدر رفتن پهنای باند و منابع تجهیزات در طول مسیر جلوگیری می شود. فیلترینگ براساس پروتکل یا ترافیکی که می تواند به عنوان ترافیک مخرب شناخته شود ، مفید می باشد.
- کاهش احتمال حمله DoS با استفاده از تکنیک هایی مانند TCP Intercept و سرویس های firewall می توان ریسک حمله SYN-flood را کاهش داد.
- کاهش حملات مربوط به جعل ، به طور مثال شما می توانید بسته های که قصد ورود به شبکه شما را دارند (از خارج شبکه) و ادعا دارند که آدرس مبدا آنها از شبکه داخلی را فیلتر کنید.
- مدیریت پهنای باند ، اعمال rate-limiting برای انواع مشخص از ترافیک می تواند باعث کاهش خطر حملات شود به طور مثال (Internet Control Message Protocol (ICMP باید به صورت نرمال و با مقدار کم مورد استفاده قرار گیرد.
- در صورت امکان از یک IPS استفاده کنید تا بتواند با کنترل دقیق تر از ورود ترافیک مخرب به شبکه جلوگیری کند.
مکانیزم های تکمیلی برای محافظت از Data Plane
به طور معمول ، برای محافظت از data plane ما به لایه 3 و روتر فکر می کنم. بدیهی است که اگر ترافیک از طریق سوئیچ هدایت شود عملکرد لایه دو را شامل خواهد شد در نتیجه استفاده از مکانیزم های لایه 2 برای کمک به محافظت از data plane می تواند مفید باشد. این مکانیزم ها به شرح زیر است :
- Port security : براساس کنترل MAC آدرس می توانید از برخی از حملات لایه دو مانند MAC address flooding جلوگیری کنید. در صورتی که جدول MAC سوئیچ پر شود و دیگر نتواند رکوردی جدیدی را در این جدول قرار دهد سپس بسته های دریافتی که مقصد آنها را در جدول MAC نداشته باشد روی تمام اینترفیس های خود در آن VLAN ارسال خواهد کرد و به این شکل امکان استراق سمع برای مهاجم فراهم می شود.
- Dynamic Host Configuration Protocol (DHCP) snooping : از جعل DHCP سرور در شبکه جلوگیری می کند و همچنین از حمله DHCP starvation که باعث خالی شدن DHCP pool می شود جلوگیری می کند و به این شکل از اقدامات بعدی مهاجم جلوگیری می شود.
- (Dynamic ARP inspection (DAI : از حملات Address Resolution Protocol (ARP) spoofing و ARP poisoning که منجر به حملات man-in-the-middle می شود جلوگیری می کند.
- IP Source Guard : زمانی که در سوئیچ فعال شود بررسی می کند که توسط دستگاه های متصل به سوئیچ جعل IP رخ ندهد.
- 802.1x : با استفاده از این قابلیت می توانید دسترسی کلاینت ها به شبکه را در لایه کنترل کنید.
- Private VLAN : با این مکانیزم می توانیم ارتباط بین پورت های سوئیچ را محدود و مشخص کنیم.
اگر در یادگیری
سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های
آموزش سیسکو حرفه ای سایت توسینسو و با دوره
آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های
آموزش شبکه ، دوره
آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه
آموزش فناوری اطلاعات فارسی است.