‫ امنيت مسيرياب‌ خانگي يا ادارات كوچك – قسمت دوم

IRCAR201405213
تاريخ: 13/02/93
در قسمت اول اين مقاله برخي از مراحل مقابله با حملات بر روي مسيرياب هاي خانگي توضيح داده شد. در اين قسمت، به ساير مراحل مقابله اشاره خواهد شد.
 
-          غير فعال كردن UPnP: Universal Plug and Play ويژگي مفيدي است كه به دستگاه‌هاي شبكه امكان كشف و برقراري ارتباط يكپارچه با هم را مي‌دهد. اگرچه ويژگي UPnP، پيكربندي اوليه شبكه را تسهيل مي‌كند، اما داراي مخاطره امنيتي است. به طور مثال، نرم افزارهاي مخرب درون شبكه مي‌توانند از UPnP براي باز كردن حفرهاي در ديوار آتش مسيرياب جهت ورود نفوذگران استفاده كنند. بنابراين، UPnP را در مواقع غيرلزوم غيرفعال كنيد.
 
-          ارتقاء سفت افزار: مانند نرم افزارهاي رايانه، سفت افزار مسيرياب (نرم افزاري كه مسيرياب را اداره مي‌كند) بايد آخرين به روز رساني‌ها و وصله‌ها را داشته باشد. بسياري از اين به روز رساني‌ها، آسيب پذيري‌هاي امنيتي كه مي‌تواند شبكه را تحت تاثير قرار دهد برطرف ميكند.
 
-          استفاده از آدرس‌هاي IP استاتيك يا محدود سازي آدرسهاي رزرو شده DHCP: بيشتر مسيرياب‌هاي خانگي به عنوان سرورهاي DHCP پيكربندي شده‌اند. DHCP بواسطه پيكربندي خودكار تنظيمات شبكه (آدرس IP، آدرس دروازه ورودي، اطلاعات DNS)، پيكربندي دستگاه‌هاي كلاينت را ساده مي‌كند؛ اما در عين حال منجر به گرفتن آدرس IP توسط كاربران غيرمجاز در شبكه مي‌شود. غيرفعال كردن DHCP و پيكربندي كلاينت‌ها به صورت دستي ايمن ترين گزينه است، اما ممكن است براساس اندازه شبكه و پشتيباني از كاربران اين كار شدني نباشد. اگر از DHCP استفاده مي‌كنيد، تعداد آدرس‌هاي IP را كه DHCP ميتواند اختصاص دهد محدود كنيد. اين كار ممكن است تعداد كاربران غيرمجازي را كه مي‌توانند به شبكه شما متصل شوند محدود نمايد.
 
-          غيرفعال كردن مديريت از راه دور: مديريت از راه دور را غيرفعال كنيد تا نفوذگران امكان برقراري ارتباط با مسيرياب و پيكربندي آن از طريق واسط WAN را نداشته باشند.
 
-          غيرفعال كردن ارتقاء از راه دور: ويژگي ارتقاء از راه دور، در صورتي كه در دسترس باشد، به مسيرياب امكان گوش دادن به واسط WAN براي ترافيك TFTP را مي‌دهد. اين كار مي‌تواند سفت افزار مسيرياب را مورد حمله قرار دهد. بنابراين، اين امكان بايد غيرفعال شود.
 
-          غيرفعال كردن DMZ:DMZ مسيرياب براي ميزبان‌هايي كه نيازمند دسترسي به اينترنت هستند شبكه جدايي را ايجاد مي‌كند. اين ويژگي را در صورت عدم نياز به آن غيرفعال كنيد. كاربران يا مديران گاهي اوقات اين ويژگي را براي عيب يابي فعال كرده و سپس غيرفعال كردن آنرا فراموش مي‌كنند؛ در نتيجه هر سيستمي كه سهواً در آن قرار مي‌گيرد، در معرض خطر خواهد بود. در صورت استفاده از اين ويژگي استفاده از ديوار آتش پيشنهاد مي‌شود.
 
-          غيرفعال كردن سرويس‌هاي غيرضروري: مانند هر سيستم رايانه‌اي، تمام سرويس‌هاي غيرضروري را غيرفعال كنيد تا مسيرياب‌ها كمتر در معرض خطر باشند.
 
-          غيرفعال كردن پاسخ ping: تنظيمات پاسخ ping معمولاً به صورت پيش فرض غيرفعال هستند. با فعال كردن اين ويژگي، عمليات شناسايي در مسيرياب ساده‌تر از زمان غيرفعال بودن اين ويژگي است. اين ويژگي به مسيرياب امكان پاسخ دهي به فرمان‌هاي ping را كه از سمت اينترنت مي‌آيد مي‌دهد و مي‌تواند منجر به افشاي شبكه براي نفوذگران شود. اگرچه غيرفعال كردن اين ويژگي، حفاظي براي عدم افشاي شبكه نخواهد بود اما حداقل، پيچيدگي افشاي شبكه را افزايش خواهد داد. بررسي كنيد كه اين سرويس غيرفعال باشد.
 
-          فعال كردن ديوار آتش مسيرياب: بيشتر مسيرياب‌هاي خانگي، حاوي ديوار آتش هستند. مطمئن شويد كه اين ويژگي فعال و با دقت پيكربندي شده است به طوريكه فقط كاربران و سرويس‌هاي مجاز قادر به دسترسي به شبكه هستند. ويژگي «بازرسي جزئيات حالت بسته (SPI)» ديوار آتش را در صورت در دسترس بودن فعال كنيد. SPI به ديوار آتش امكان بازرسي بسته‌ها جهت شناسايي ترافيك قانوني از ترافيك ناخواسته را مي‌دهد. ويژگي ديگري كه برخي از مسيرياب‌هاي خانگي دارند امكان ايجاد ليست سفيد و سياهي از وب سايت‌ها، سرويس‌ها، پورتها و غيره است. از اين ويژگي نيز در صورت وجود مي‌توان استفاده كرد. به خاطر داشته باشيد كه ديوار آتشي كه درون مسيرياب‌ها وجود دارد از اتصال كاربران بي‌سيم درون محدوده شبكه بي‌سيم شما به مسيرياب جلوگيري نمي‌كند.
 
-          ثبت وقايع: ثبت وقايع مسيرياب را فعال كنيد و لاگ‌ها را در فواصل معين جهت يافتن نفوذها، جستجوها، حملات و امثالهم بازبيني كنيد.
 
-          مانيتور كردن ترافيك بيسيم: ترافيك بي‌سيم را با انجام بازبيني لاگ دستگاه‌هايي كه به مسيرياب دسترسي دارند مانيتور نماييد تا بتوانيد هر استفاده غيرمجازي از شبكه خود را شناسايي كنيد. در صورت شناسايي دستگاهي غيرمجاز، از قوانين فيلتر MAC يا ديوار آتش استفاده كنيد. براي چگونگي استفاده از اين قوانين، مستندات يا سايت سازنده مسيرياب را مشاهده فرماييد.
 
-          ايستگاه‌هاي كاري مديريتي: مطمئن باشيد كه هر ايستگاه كاري مديريتي كه براي مديريت مسيرياب استفاده مي‌شود در بخش معتمد شبكه قرار دارد؛ اين كار با شنود داده‌هاي مديريتي و اطلاعات جمع آوري شده درباره شبكه توسط افراد بيروني مقابله مي‌شود.
 
-          عدم استفاده از بازه‌هاي پيش فرض IP: آدرس‌هاي قابل پيش بيني، حملات CSRF را سادهتر مي‌كند. به جاي استفاده از بازه‌ 192.168.1.1 از بازه ديگري كه كمتر معمول است استفاده كنيد. اين كار، روشي براي كاهش احتمال حمله CSRF موفق است.
 
-          غيرفعال كردن پل زدن (bridging) و استفاده از NAT: مسيرياب‌هاي خانگي، شبكه داخلي را با استفاده از NAT از اينترنت جدا مي‌كنند. NAT، آدرس‌هاي IP خصوصي را براي تمام دستگاه‌هاي روي شبكه فراهم مي‌كند. اين دستگاه‌ها مستقيماً از طريق اينترنت در دسترس نيستند و كشف آدرس‌هاي داخلي شبكه هم به راحتي امكان پذير نخواهد بود. آدرس IP واسط خارجي مسيرياب، دستگاه‌هاي درون شبكه را پنهان مي‌كند. اين كار يك لايه بيشتري از امنيت را فراهم مي‌كند.
 
-          خارج شدن از مسيرياب بعد از پيكربندي آن: برخي از مسيرياب‌ها، موقعي كه از آن استفاده نمي‌شود، به طور خودكار log out نمي‌شوند. اين كار ممكن است منجر به استفاده از مرورگر وب براي باقي ماندن مسيرياب به صورت احراز هويت شده و باز كردن دري براي حملات CSRF باشد. اگرچه برخي از حملات CSRF بدون احرازهويت هم موفق خواهند بود، اما خارج شدن از مسيرياب بعد از استفاده از صفحه پيكربندي آن، روشي براي مقابله با حملات CSRF قديمي است كه مبتي بر نشست مرورگر احرازهويت شده است. پس از ورود به تنظيمات مسيرياب، بعد از اتمام كار حتماً از آن خارج شويد.
 
-          برخي مسيرياب‌ها داراي ويژگي هستند كه به آنها امكان رفتار به عنوان پل بين دو شبكه را مي‌دهد. با استفاده از آدرس IP قابل مسيريابي مسيرياب‌ها، مي‌توان براي اتصال سگمنت‌ها يا دستگاه‌هاي در اينترانت يكسان به اينترنت استفاده كرد. اين ويژگي را در صورت عدم نياز به آن غيرفعال كنيد تا سطح حمله مسيرياب را كاهش دهيد.
 
در نظر داشته باشيد كه موارد فوق فقط ليستي از مراحل پبشنهادي است كه بالقوه مي‌تواند كمكي به امن شدن مسيرياب‌هاي ادارات كوچك و خانگي كند. استفاده از برخي از اين مراحل پيشنهادي ممكن است در شبكه يا محيط شما شدني نباشد.
مطالب مرتبط:
امنيت مسيرياب‌ خانگي يا ادارات كوچك – قسمت اول

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0