X
تبلیغات
زولا

امن سازی پایه زیر ساخت شبکه بخش دوم: مدیریت دسترسی « آموزش و انجمن تخصصی شبکه

یکشنبه 4 مهر 1395 ساعت 08:47
 امن سازی پایه زیر ساخت شبکه بخش دوم: مدیریت دسترسی

همگان ب...  ر این باورند که امن سازی تجهیزات زیرساخت شبکه شامل مسیریابها، سوییچهـا، سـرورها و دیگـر تجهیزات زیرساخت یکی از مؤلفه های کلیدی برای تامین امنیت کل شبکه محسوب میشود. یکی از مهمتـرین بخشهای تامین چنین امنیتی، امنیت مدیریت دسترسی به این تجهیزات میباشد. اگر دسترسی بـه تجهیـزات
زیرساخت از کنترل خارج شود به و خطر بیافتد، دراین صورت مدیریت کل شبکه می تواند در خطر افتـد. در نتیجه برقراری کنترلهای مناسب برای جلوگیری از دسترسیهای غیر مجاز بـه تجهیـزات زیرسـاخت شـبکه بسیار حساس میباشد.


برای دسترسی به تجهیزات زیرساخت شبکه مـیتـوان از روشهـای مختلفـی از جملـه اسـتفاده از کنسـول و ارتباطات غیر سنکرون و همچنین دسترسی از راه از دور طریق
http ،rlogin ،telnetو ssh استفاده کرد. برای برخی مکانیزمهای دسترسی به که طور پیشفرض فعال هستند، حداقل امنیت در نظر گرفته شده است. برای مثال در پلتفرمهای مبتنی بر نرمافزار IOS سیسکو، دسترسی از طریق کنسول و مودم به طور پیشفرض فعال است به. همین دلیل هر تجهیز موجود در زیرساخت باید به طور دقیـق ا راه نـدازی و پیکربنـدی شـود و فقط مکانیزمهای دسترسی پشتیبانیشده روی آنها فعال به و طور کامل امنسازی شده باشد.

گامهای کلیدی به منظور تامین امنیت دسترسیهای تعاملی و مدیریتی به یک تجهیز زیرساخت به صورت زیر قابل بیان است:

  • محدود کردن دسترسی به تجهیز: محدود کردن دسترسی به پورت ها، منحصر کردن افـراد مجـاز و محدود ساختن روشهای دسترسی مجاز
  • ارائه اخطارهای مناسب
  • اعتبارسنجی دسترسی: اطمینان از اینکه دسترسی به افراد، گروه و ها سرویسهای احراز اصـالت شـده اعطا شود.
  • فعالیت های مجاز : محدود کردن فعالیتهای مجاز قابل انجام توسط کاربران، گروه و ها سرویسهـای مشخص
  • اطمینان از حفظ محرمانگی داده : ها حفاظت از داده های حساس به که صورت محلی ذخیره شـدهانـد (عدم توانایی مشاهده و کپی آن ). ها این داده های حساس در حـین تبـادل از طریـق کانـال ارتبـاطی ممکن است در معرض حملاتی همچون session hijacking ،sniffingو MITM1 قرار گیرند.
  • ثبت وقایع و حسابها برای همه دسترسی : ها ثبت این که چه کسی، چه موقـع بـه تجهیـز دسترسـی داشته و چه فعالیتی انجام داده است.
توجه: به منظور بررسی دسترسی و ها تعیین هرگونه دسترسی غیرمجاز، بایستی وقایع ثبت شده به طور مرتب بازبینی شوند

مدیریت دسترسی از دید متودلوژی CSF

خلاصه نتایج به دست آمده از اعمال CSFدر حوزه امنیت دسترسی به تجهیزات زیرساخت شبکه در جـدول زیر نمایش داده شده است.

the-second-part-of-the-base-secure-network-infrastructure-access-management-1

محدودکردن امکان مدیریت تجهیزات موجود در زیرساخت

اولین قدم برای امنسازی دسترسی به تجهیزات موجود در زیرساخت، محدود کردن امکان دسترسی بـه آن  هاست. موارد قابل توجه در این زمینه در ادامه بیان شده اند:

  • محدودکردن دسترسی تنها به ترمینال و پورت های مدیریتی مجاز
  • محدودکردن دسترسی تنها به و ها سرویس پروتکلهای دارای مجوز
  • محدودکردن دسترسی تنها به سرویس و ها پروتکلهای مجاز
  • محدودکردن تعداد دفعات دسترسی به سرویسهای مجاز توسط کاربران مجاز
  • اعطای مجوز دسترسی تنها به کاربران احراز اصالت شده
  • اعطای کمترین سطح دسترسی کاربران مجاز
  • اجبار مدیریت نشست
  • محدودکردن آسیب به ها پذیری حملات دیکشنری و DOS

ایده کلی برای مدیریت دسترسی آن است که امکان دسترسی به تجهیزات به صورت پیش فرض نباید فراهم شود، مگر برای آن دسته از کاربران و ها سرویس که نیاز آنها کاملاً ضروری است.

توجه: اکثر تجهیزات موجود در زیرساخت، از طریق چندین ترمینـال و پـورت مـدیریتی، و چنـدین سـرویس پروتکل گوناگون )که برخی از ها آن بصورت پیش فرض فعال هستند( قابلیت دسترسی دارند. بنـابراین همـه مکانیزمهای مدیریت دسترسی ممکن باید بررسی و امنسازی شوند.

پایانه خطوط دسترسی تجهیزات سیسکو

تجهیزات سیسکو معمولاً از طریق خطوط و پورتهای زیر قابل دسترسی هستند:

خطوط  :TTYیها پورت غیر سنکرون شامل:

  • AUX
  • کنسول

خطوط  :VTYخطوط  TTYمجازی برای دسترسی از راه دور استفاده میشوند مانند :

  • Telnet
  • SSH
  • rlogin

توجه: دسترسی گرافیکی از طریق وب و دسترسی SNMP در بخشهای بعدی توضیح داده خواهد شد.

پورت AUX

این پورت برای اتصال به یک مودم خارجی استفاده میشود. دسترسی از طریق پورت AUXبـه طـور عـادی برای دسترسی dialinوdialoutبه دستگاه مورد استفاده قرار می گیرد. در صورتی که این پورت نیاز نباشـد، باید غیرفعال گردد تا احتمال دسترسیهای غیرمجاز کاهش یابد.

پورت کنسول

دسترسی از طریق پورت کنسول به طور مستقیم برای کاربران محلی قابل دسترسـی اسـت و دسترسـی از راه از دور طریق استفاده از ترمینال و سرور کنسول قابل انجـام اسـت. اگـر دسترسـی از طریـق پـورت کنسـول درخواست شده باشد، خط ارتباطی باید به منظور محافظت در برابر دسترسیهای غیر مجاز ایمن شود.

خط VTY

دسترسی از طریق خط VTYمعمولترین روش برای مدیریت از راه دور یـک تجهیـز اسـت. اگـر دسترسـی VTYنیاز باشد، خطوط باید به طور مناسب برای جلوگیری از دسترسی غیر مجاز امن شوند.

توجه: هر مسیریاب به طور معمول شامل ) 5خط از 0تا ( 4است. البته ممکن است تعـداد بیشـتری را نیـز پشتیبانی نماید. نکته قابل توجه این است که تمامی این خطوط باید به طور دقیق امنسازی شده باشند.

غیر فعالکردن و ها پورت ترمینالهای دسترسی غیرضروری تجهیزات

برخی از پورت و ها ترمینال های تجهیزات زیرساخت شبکه به صورت پیش فرض فعال در نظر گرفته شدهاند. این مسئله یک تهدید امنیتی محسوب میشود. بدین منظور پیشنهاد میگردد تمامی ترمینـالهـا، پـورت و هـا اینترفیسهایی که مورد نیاز نیستند، غیرفعال شوند. در تجهیزات Cisco ترمینال و پورتهای مدیریتی به طور معمول شامل خطوط TTYو VTY هستند. این ها پورت همانطور که در زیر نشان داده شده است، با استفاده از دستور no exec غیر فعال میشود .

! Disable access to VTY
line vty 1
login
no exec
!
! Disable access to Console
line con 0
no exec

محدود ساختن دسترسی تجهیزات، تنها به و ها سرویس پروتکلهای مجاز

در برخی از تجهیزات زیرساخت شبکه، سرویس و ها پروتکلهایی برای دسترسی به مدیریت تجهیز به صورت پیشفرض فعال است. در این حالت شبکه با ریسکهای امنیتی مختلفی مواجه میباشد. بدین منظـور توصـیه میشود و ها سرویس پروتکلهایی که مورد نیاز نیستند، غیرفعال گردند.

سرویس پروتکلهای دسترسی در تجهیزات  Ciscoعبارتند از:

  •  Telnet , SSH 
  • HTTP , HTTPS 
  • SNMP

دسترسی تعاملی از طریق خطوط TTYو VTYدر تجهیزات Ciscoباید تنها برای سرویس و ها پروتکلهـای مورد نیاز و دارای مجوز فراهم شده باشد. این محدودیت باید بر روی هر دو نوع ارتباطات درونـی و بیرونـی لحاظ گردد. این بر کار روی خطوط TTYو VTYبا استفاده از دستور transport اجرا میگردد. در جـدول زیـر چند مثال در این مورد ارائه شده است.

the-second-part-of-the-base-secure-network-infrastructure-access-management-2

در بین پروتکلهای دسترسی، توصیه میشود از پروتکلهای دسترسی رمزشده مانند SSHاستفاده شود.

محدود کردن دسترسی به سرویسها تنها توسط افراد مجاز

تنها افراد مجاز باید توانایی دسترسی به تجهیزات و سـرویسهـایی کـه اسـتفاده از آنهـا برایشـان مجـاز در نظرگرفته شده است را داشته باشند. در این صورت میتوان اطمینان داشت که درخواستهای دسترسی تنهـا به سرویسهای دارای مجوز صورت میگیرد و توسط منـابع بـا آدرس IPمعتبـر امکـان دسترسـی خواهنـد داشت. در این صورت ریسک دسترسی غیرمجاز و حملات مرتبط با آن بسیار کاهش مییابد. نمونـههـایی از این حملات میتواند شامل حملات DOS ،brute forceو dictionary باشد.

در تجهیزات سیسکو، از ACL های نوع استاندارد میتوان برای محدود کردن دسترسی به تجهیزات مـدیریتی استفاده کرد و در این حالت دسترسی تنها برای افـراد مجـاز امکـان پـذیر اسـت. همچنـین ACLهـای نـوع extended برای محدود کردن دسترسی به سرویسهای مجاز میتواند استفاده شود. بدیهی است که هرچه محدودیت بیشتری توسط ACLها ایجاد شود، در این حالت محدودیتهـای بیشـتری برای دسترسی به صورت غیرمجاز خواهد بود با. این وجود هرچه محدودیتهـای تعیـین شـده توسـط ACL بیشتر باشد، باعث ایجاد سربار در شبکه میشود و میتواند دسترسی به شبکه را تحتالشعاع قـرار دهـد. بـه عنوان نمونه اگر یک محدودیت خاص برای یک سیستم تعریف شده باشد، مـثلاً بـرای یکـی از سیسـتمهـای NOC و ، ارتباط شبکه برای آن محدوده خاص قطع شده باشد، نای امر میتواند قابلیت دسترسی مـدیر شـبکه به آن سیستم به منظور عیبیابی را کاهش دهد. به همین دلیل باید یک تعادل بین تعریـف محـدودیت و هـا دسترسیپذیری به شبکه در نظر گرفته شود. یکی از مواردی که باید تعریف شود اعمال محدودیت دسترسـی تنها به آدرس IPهای داخلی است.

ACLهای نوع استاندارد

ACLهای نوع استاندارد میتوانند براساس آدرس IPمبدأ (ویا یک رنج از آدرس IPهای مبدأ) محـدودیت ایجاد کنند.

access-list 10 permit <NOCsubnet> <inverse-mask>
access-list 10 deny any any

extended های نوعACL

این ACLها توانایی ایجاد محدودیت بر اساس آدرسهای IPمبدأ وپروتکل مورد نظر را دارا میباشند:


access-list <xACL#> permit tcp <NOCsubnet1> <inverse-mask> any eq <TCP port>
access-list <xACL#> permit tcp <NOCsubnet2> <inverse-mask> any eq <TCP port>
access-list <xACL#> deny ip any any log-input

البته رعایت ترتیب تنظیمات موجود در ACL الزامی است. چون تنظیمات نوشته شده در ACL خط به خط و به همان ترتیب اجرا میشوند. در مثال زیر، چگونگی اعمال یک ACLبر روی خطوط VTY بیان شده است:

line vty 0 4
access-class <ACL#> in


توجه: می توان از ACLبرای خطوط VTY استفاده کرد که در این صورت میتوانـد از دسترسـی بـه خطـوط VTY در حین حمله DOS جلوگیری کند.


احراز اصالت با استفاده از AAA

دسترسی به تمام پورتهای تجهیزات موجود در زیرساخت بایـد احـراز اصـالت شـوند. ایـن کـار منجـر بـه محدودیت دسترسی تنها برای کاربران مجاز خواهد شد. توصیه مـیشـود کـه یـک سـرور AAA بـه منظـور احرازاصالت کلیه کاربران به صورت مجزا درنظر گرفته شود. این عمل بر روی تمام پورتها و ترمینـالهـای تجهیزات قابل اعمال است.
در سیستمعامل نرمافزاری سیسکو، دسترسی با سطح مدیر شبکه به تجهیزات به عنوان نشست
EXECعنـوان میشود و از طریق خطوط VTYیا TTYانجام میشود. احراز اصالت این نشستها 4بر مبنای AAAو با اعمال تنظیمات مشخص بر روی خطوط TTYو VTYانجام میشود. در زیر نمونهای از اعمال تنظیمات احراز اصالت AAAبرای نشست EXECبـر روی خطـوط کنسـول و VTY نشان داده شده است:

aaa authentication login adminAuthen-list group adminAAAgroup local-case
!
line con 0
login authentication adminAuthen-list
!
line vty 0 4
login authentication adminAuthen-list

اجرای بررسی مجوزهای ورود به دستگاه با استفاده از AAA

در ابتدای کار بایستی کمترین سطح دسترسی برای کاربران احراز اصالت شده با توجه به نیازمندیهای آنهـا در نظر گرفته شود. در تجهیزات سیسکو قابلیت کنترل دسترسی کاربران احراز اصالت شده به محیط CLI بـا استفاده از دستور aaa authorization exec قابل انجام است. با استفاده از AAAمیتوان برای گروههـای مختلـف
از کاربران، سطح دسترسیهای گوناگونی تعریف کرد. در زیر نمونهای از تنظیمات مربوط به تعیین سطح دسترسی بر اسـاس
AAAبـر روی خـط VTY نشـان داده شده است. سطح دسترسی متناسب با کاربر در صورتی به آن داده میشود که قبل از آن احراز اصـالت شـده باشد.

aaa authorization exec adminAuthor-list group adminAAAgroup if-authenticated
line vty 0 4
authorization exec adminAuthor-list


نکته: برای اینکه بتوان سطح دسترسی نشست EXECرا به کاربر مورد نظر داد، باید در تنظیمات مربـوط بـه سرور ، AAAویژگی ServiceTypeدر حالت EXECقرار داده شده باشد.

اجرای بررسی مجوزها بر اساس سطح دسترسی

نکته مهم در تنظیمات AAA این است که کاربری که قرار است سطح دسترسی مدیر به آن داده شـود، بایـد به خوبی احراز اصالت شده باشد. دسترسی بر اساس سطوح مشخص بدین معنی است که هر سطح دسترسـی توانایی انجام چه تنظیماتی بر روی تجهیزات زیر ساخت را دارد. سطح دسترسـی Privilege ایـن امکـان را بـه
کاربر میدهد که بتواند بر روی تجهیز سیسکو تنظیمات مورد نظرش را انجام دهد. کسب سطح دسترسی
EXEC بر روی تجهیزات سیسکو با استفاده از دستور enable قابل حصول است، یا مـی تواند به صورت اتوماتیک به عنوان نتیجه بررسی مجوز توسط RADIUS یا + TACACSداده شود.

برای اینکه دسترسی enableبا استفاده از عملیات احراز اصالت توسط سرور AAAو با توجه بـه enable secret تعریف شده از قبل داده شود، باید لیست پیشفرض AAAبرای احراز اصالت دسترسی enable تعیین شود .

aaa authentication enable default group adminAAAgroup enable

توصیه میشود که بهجای استفاده از enable passwordاز enable secretاستفاده شود. به ایـن خـاطر کـه enable secretاز رمزنگاری type 5که غیرقابل رمزگشایی است، استفاده میکند.


اجرای مدیریت نشستها

نشستهای دسترسی به تجهیزات با توجه به نکات زیر باید مدیریت شوند:

  • نشستهای معطل (آماده به کار)
  • نشستهای معلق

نشستهای معطل

نشستهای معطل نباید اجازه استفاده از ترمینال یا پورتهای مدیریتی برای زمان نامحدود و طولانی را داشته باشند. این کار به افزایش دسترسیپذیری ترمینالها و پورتها و کاهش دزدیده شدن نشستها کمک میکند. در سیستم عامل نرمافزاری سیسکو میتوان یک وقفه خالی از طریق دستور session-timeoutبر روی خطوط VTYیا TTYتعریف کرد. به طور پیش فرض یک نشست VTYیک وقفه 10دقیقهای دارد:

[seconds] Router(config-line)# session-timeout <minutes>

اعمال دستور session-timeoutبر روی VTYاندکی با اعمال آن بر روی پورت کنسول، AUXو TTYتفاوت دارد. هنگامی که روی VTYوقفه اتفاق میافتد، کاربر به محیط EXECباز میگردد . این درحالی است که وقتی وقفهای در خطوط فیزیکی اتفاق میافتد، کاربر از سیستم خارج میشود و به خط حالت معطل در میآید.میتوان از ترکیبی از دستورات exec-timeoutو session-timeoutو قرار دادن مقادیر تقریباً یکسان برای آنها استفاده نمود و درنتیجه رفتار خطوط مجازی و فیزیکی هنگامی که session-timeoutاتفاق میافتد مشابه هم خواهد بود.

در IOSسیسکو به طور پیش فرض یک نشست VTYدارای وقفه 10دقیقهای است:

Router(config-line)# session-timeout <minutes>


نشستهای معلق

اگر با استفاده از یک سیستم از راه دور با یک تجهیز ارتباط برقرار شده باشد و در این حال سیستم دچار اشکال شود و ارتباط قطع گردد، نشستی که از آن استفاده میشد ممکن است همچنان باز باقی بماند و در برابر حملات آسیبپذیر باشد. بنابراین تشخیص نشستهای معلق و بستن آنها امری ضروری است. این کار به افزایش دسترسی پذیری ترمینالها و پورتها و کاهش دزدیده شدن نشستها کمک میکند. در  IOSسیسکو میتوان نشستهای معطل روی خطوط VTYرا از طریق دستور service tcp-keepalives-in تشخیص داد و مسدود نمود. با استفاده از این دستور پیغامهایی برای connectionهای فعلی ارسال میشود و اگر پاسخی بازگردانده نشود، نشست بسته میشود:

Router(config)# service tcp-keepalives-in


محدودکردن آسیبپذیری تجهیزات در برابر حملات Dictionaryو DoS

آسیبپذیری تجهیزات موجود در شبکه هنگام دسترسی به آنها نسبت به حملات DoSو Dictionaryمی تواند با اعمال نکات زیر کاهش یابد:

  • اجبار به استفاده از رمزهای عبور قوی
  • محدودکردن تعداد تلاشها برای ورود به تجهیزات
  • محدودکردن تلاش مجدد برای وارد شدن به دستگاه بعد از تلاشهای ناموفق با اعمال یک تاخیر زمانی
  • رزرو یک ترمینال یا و پورت

اجبار به استفاده از رمزهای عبور قوی

در مورد حمله Dictionary استفاده از رمز عبور قوی میتواند در کاهش موفقیت این حمله بسیار مؤثر باشد، در صورتی که رمز عبور انتخاب شده به صورت ساده و یکی از کلمات دیکشنری نباشد. اگر از یک سرور AAAبرای احراز اصالت استفاده شده باشد، این سرور میتواند بر اساس سیاستهای امنیتی تعریف شده، dکاربران را مجبور به استفاده از رمزهای عبور قوی کند. اگر یک سرور AAAبرای اجبار به استفاده از رمزهای قوی موجود نباشد، باید با استفاده از ویژگیهای تجهیزات موجود و اعمال آنها تأثیر حملات مذکور را کاهش داد. اگر هیچ ویژگی و قابلیتی برای کاهش اثر حمله دیکشنری وجود نداشته باشد، اجبار به استفاده از رمزهای عبور با طول حداقل به عنوان یک ویژگی پایه قابل اعمال است. البته این ویژگی باعث جلوگیری مستقیم از حمله دیکشنری نمیشود بلکه میتواند از حدس زدن رمزهای عبور ساده که به طور معمول استفاده میشوند، مانند ciscoیا ، labجلوگیری کند.

ویژگی کمترین طول پسورد در IOS سیسکو

IOSسیسکو توانایی اجبار به استفاده از رمزهای عبور با حداقل طول برای کاربران را دارد. این سیاست قابل اعمال به رمزهای عبور زیر میباشد:

  • user password
  • enable password
  • enable secret
  • line password

این ویژگی از طریق دستور زیر یم تواند به کار گرفته شود:

Router(config)# security passwords min-length length

وقتی این دستور اجرا شود، هر پسوردی با طول کمتر از مقداری که در این دستور در نظرگرفته شده، مردود میباشد.

توجه: این ویژگی نمیتواند هیچ محافظتی در برابر حمله دیکشنری انجام دهد.

محدود کردن تعداد دفعات ورود

برای مقابله با حمله دیکشنری میتوان یک تأخیر بین هر دو درخواست ورود تعریف کرد. این کار باعث کاهش سرعت حمله، افزایش زمان مورد نیاز برای موفقیت حمله و افزایش بازه زمانی برای تشخیص رفتارهای غیرعادی میشود. در IOSسیسکو برای اعمال تاخیر بین درخواستهای ورود پی در پی میتوان از دستور login delayاستفاده
کرد. به طور پیشفرض یک ثانیه تأخیر برای این منظور در نظر گرفته شده است:

Router(config)# login delay <seconds>


محدود کردن تعداد دفعات ورود ناموفق در یک بازه زمانی مشخص

برای مقابله با حمله دیکشنری میتوان تعداد دفعات درخواستهای ورود ناموفق به تجهیز را در یک بازه زمانی معین، محدود کرد. این کار باعث کاهش سرعت حمله، افزایش زمان مورد نیاز برای موفقیت حمله و افزایش بازه زمانی برای تشخیص رفتارهای غیرعادی میشود. اگر از سرور AAA برای احراز اصالت درخواستهای ورود به سیستم استفاده شده باشد، این سرور به طور معمول دارای این ویژگی است که اگر تعداد مشخصی درخواست ورود ناموفق انجام شده باشد، سیستم برای
یک بازه زمانی مشخص قفل میشود و در این بازه امکان ورود به سیستم وجود نخواهد داشت. اگر از سرور
AAAاستفاده نشده باشد، باید از ویژگیهای سیستم عامل نرمافزاری سیسکو بهره برد.

در IOSسیسکو برای تعریف حداکثر تعداد دفعات تلاش برای ورود به دستگاه در یک بازه زمانی مشخص، به طوری که بعد از آن دستگاه برای یک زمان معین اجازه وارد شدن را ندهد، از دستور زیر میتوان استفاده کرد:


Router(config)# login block-for seconds attempts tries within seconds

همچنین در سیستم عامل نرم افزاری سیسکو میتوان یک ACLاستثناء برای سیستمها و شبکههای مورد اعتماد و مجاز، با استفاده از دستور زیر تعیین کرد:

Router (config)# login quiet-mode access-class

در مثال زیر روتر به گونهای پیکربندی شده است که اگر در بازه زمانی 100ثانیه تعداد دفعات تلاش برای وارد شدن به تجهیز از 15مرتبه تجاوز کند، دستگاه برای یک بازه زمانی 100ثانیهای اجازه هیچگونه وارد شدن به دستگاه مگر برای سیستمهایی که در ACL 10تعریف شدهاند را نمیدهد:


Router(config)# access-list 10 permit host 172.26.150.206
Router(config)# login block-for 100 attempts 15 within 100
Router(config)# login quiet-mode access-class 10

رزرو یک ترمینال یا و پورت

هدف یک حمله DoS به تجهیزات موجود در زیر ساخت میتواند ترمینال یا و پورتها باشد. این نوع از حمله به این حقیقت اشاره دارد که تعداد محدودی از ترمینال یا وها پورتها در دسترس هستند و اگر تمام پورت ها مورد استفاده قرار گیرند، حتی اگر ارتباطی احراز اصالت نشده باشد، امکان ایجاد هیچ ارتباط جدیدی وجود ندارد. تجهیزات سیسکو )مبتنی بر سیستم عامل (IOSدارای تعداد محدودی خطوط VTYهستند که به طور معمول این تعداد 5خط میباشد. زمانی که تمام این خطوط VTYمورد استفاده قرار میگیرند، هیچ ارتباط از راه دوری نمیتواند برقرار گردد. با توجه به این موضوع شرایط برای انجام یک حمله DOS میتواند فراهم شود. اگر حملهکننده بتواند تمامی خطوط VTYرا از راه دور اشغال کند، دیگر کاربران مجاز نمیتوانند به سیستم دسترسی داشته باشند. حمله کننده نیازی به وارد شدن به تجهیز برای عملی کردن حمله خود ندارد و پس از وارد شدن به صفحه ، loginنشست را رها میکند. استفاده از AAAنمیتواند از وقوع این حمله جلوگیری کند چون حملهکننده اصلاً نیازی به تلاش برای وارد شدن به تجهیز ندارد و تنها کاری که برای انجام حمله باید انجام دهد این است که یک ارتباط با پورت مورد نظر برقرار نماید، بنابراین این پورت برای دیگر کاربران قابل استفاده نخواهد بود.


یکی از روشهای مقابله با این نوع حمله، اعمال محدودیت دسترسی قوی برای یک ترمینال یا پورت مشخص میباشد، به طور مثال برای یک پورت میتوان اینگونه تعریف کرد که فقط از یکی از سیستمهای
NoCقابل دسترسی باشد. در IOSسیسکو این موضوع با استفاده از اعمال ACLهای محدودکننده قوی بر روی آخرین VTYصورت میگیرد. آخرین VTYکه معمولاً VTY4میباشد، میتواند تنها به برقراری ارتباط از سوی یک سیستم معین و مشخص محدود شود و بقیه VTYها بتوانند به درخواستهای ارتباط از سوی هر آدرسی پاسخ دهند:

access-list 10 permit <NOCsubnet> <inverse-mask>
access-list 20 permit host <NOC-Host>
line vty 0 3
access-class 10 in
line vty 4
access-class 20 in

بنرهای مجاز اطلاع رسانی

توصیه میشود که بر روی تمام sessionهای ارتباطی، یک بنر به منظور اطلاعرسانی سیاستهای امنیتی که کاربر ملزم به رعایت آنها میباشد، ایجاد شود. این اطلاعات شامل مواردی همچون تعیین کاربران مجاز و دسترسی آنها و یا اخطار به کاربران غیر مجاز و عواقب دسترسی غیرمجاز آنها میتواند باشد. اگر از دیدگاه امنیتی به قضیه نگاه شود، دراین صورت در بنرها نباید هیچگونه اطلاعات خاصی درباره تجهیز از جمله نام، مدل، نرم افزار، محل قرارگیری، اپراتور یا و صاحب آن ذکر شود، به این دلیل که این نوع اطلاعات ممکن است برای حمله کننده مفید واقع شود در IOSسیسکو تنظیمات معینی برای نمایش این هشدارها در دسترس است. این موارد شاملbanner motd . میباشندbanner exec وbanner incoming ، banner login ، زمانی که یک کاربر به یک تجهیز سیسکو مبتنی بر IOSمتصل میشود، یک پیغام ، MOTD5 اگر تنظیم شده باشد، ظاهر میشود. پس از آن بنر مربوط به ( loginدر صورت تنظیم بودن) نشان داده خواهد. پس از ورود موفق کاربر به تجهیز، اگر این ورود با استفاده از telnetصورت گرفته باشد، بنر ورودی و اگر به روشهای دیگری به تجهیز متصل شده باشد بنر EXECنشان داده خواهد شد. توصیه میشود که یکی از دو بنر MOTDو یا Loginدر تجهیز فعال شود. در این صورت بر روی تمام sessionها هنگام برقراری ارتباط با تجهیز و قبل از نمایش login promtاطلاعات مربوط به بنر نشان داده خواهد شد.

سرویسهای AAA

مروری بر :AAAدر واقع AAAیک چارچوب معماری برای پیکربندی سه اصل امنیتی مجزا از هم در کنار یکدیگر به روش ماژولار میباشد. این اصول در زیر آورده شدهاند:

  • Authenticationاحراز اصالت کاربر قبل از اینکه بتواند به شبکه و یا سرویسهای آن دسترسی داشته باشد.
  • Authorizationتعیین سطح دسترسی برای کاربری که احراز اصالت شده است.
  • Accountingتوانایی پیگیری دسترسیهای کاربر که میتواند شامل مشخصات، زمان شروع و پایان اتصال، دستورات اجرا شده، تعداد بستهها و یا بایتهای ارسالی و دریافتی توسط وی باشد.

AAAروش توصیه شده برای کنترل دسترسی است. IOSسیسکو برای تسهیل کنترل دسترسی ویژگیهایی از جمله احراز اصالت محلی نام کاربری 6و احراز اصالت رمز عبور خطوط 7در اختیار میگذارد. در هر صورت این ویژگیها قابل مقایسه با سطح کنترل دسترسی که AAAدر اختیار میگذارد نیست و استفاده از آنها توصیه نمیشود. اگر یک سرور مجزا برای تنظیمات AAAدر دسترس نباشد، باید آن را بر روی دیتابیس محلی خود دستگاه پیکربندی کرد. سه متد مربوط به AAAبا اعمال آنها بر روی اینترفیسها فعال میشود. AAAاز پروتکلهایی از جمله + RADIUS, TACACSیا و Kerbrosبرای تامین امنیت استفاده میکند.

متمرکزسازی AAA

روش پیشنهادی برای پیادهسازی ، AAAمتمرکزسازی آن بر روی یک سرور به همراه یک رمزعبور برای حالت جایگزین میباشد. از این رمز عبور مواقعی استفاده میشود که عملیات احراز اصالت توسط سرور AAA امکانپذیر نباشد. مهمترین مزایای متمرکزسازی سرور AAAشامل موارد زیر است:

  • مدیریت : نام کاربری و رمز ورود به طور جداگانه در یک محل مرکزی ذخیره میشوند که میتوانند به صورت مستقل توسط تجهیزات مختلف استفاده شوند.
  • مقیاسپذیری: مقیاس سرورهای AAAمیتوانند به طور مستقل بر حسب اندازه دیتابیس مربوط به کاربران و تعداد تراکنشهای انجام شده در ثانیه تغییر یابد.
  • امنیت : رمزهای عبور میتوانند در یک روتر به صورت رمزشده و با در یک دیتابیس ذخیره شوند. ولی حتی اگر آنها رمزشده هم باشند، باز هم قابل رمزگشایی هستند.
  • توانایی حسابرسی : از تمامی دسترسیها و sessionهای مجازبه طور مستقل گزارشگیری میشود.

پیشنهاد میشود بهجای استفاده از مکانیزمهای موجود در سیستمعامل نرمافزاری سیسکو برای احراز اصالت، از AAAاستفاده شود. در این صورت میتوان بهجای استفاده از یک نام کاربری و رمزعبور برای همه کاربران، برای هر کدام از آنها رمزعبور جداگانه در نظر گرفت.

گروههای سرور AAA

در IOS سیسکو یک گروه سرور AAAدر واقع یک لیست از سرورهای AAAهمنوع است، مثلاً RADIUS یا + TACACSکه برای اجرای AAAمورد نیاز است. استفاده از گروه سرور AAAبهجای استفاده از سرورهای AAAبرای هر هدف مشخص، قابلیت انعطافپذیری بیشتری را فراهم میکند. برای مثال میتوان از سرورهای AAAمختلف برای سرویسهای گوناگون AAAبه منظور جداسازی دسترسی کاربران به تجهیزات استفاده کرد. مثلاً احرازاصالت برای دسترسی به تجهیزات زیرساخت از طریق سرور + TACACSو احراز اصالت کاربران عادی از طریق سرور RADIUSانجام شود:

aaa group server tacacs+ adminAAAgroup
server TAC+server1
server TAC+server2
!
aaa group server radius enduserAAAgroup
server RADserver1
server RADserver2

لیست روشهای AAA

AAA از طریق اعمال لیستهای تعیین شده بر روی اینترفیسهای مشخص اجرا میشود. این لیستها شـامل روشهای احراز اصالت و تعیین سطح دسترسی مشخصی میباشند که باید بر روی اینترفیسها اعمـال شـوند. این لیستها میتوانند بر اساس یک یا چندین پروتکل امنیتی برای عملیات احراز اصـالت و یـا تعیـین سـطح دسترسی عمل کنند. IOSسیسکو به این ترتیب عمل میکند که ابتدا اولین خط لیست مربوط بـه AAAرا بررسـی مـیکنـد، اگـر ارتباط با بررسی این خط ایجاد نشود، خط دوم از لیست بررسی میشود. این کار ادامه پیدا میکند تا اینکه بـا بررسی یکی از خطوط لیست ارتباط برقرار شود و یا اینکه لیست تمام شود، که در این صورت هـیج ارتبـاطی
شکل نمیگیرد.


یک نمونه از این لیستها که با نام
adminAuthen-list مشخص شده است، در زیر نشـان داده شـده اسـت. اولین متد از این لیست سعی در انجام احراز اصالت از طریـق سـرور + TACACSدراد کـه در گـروه سـرور adminAAAgroup است. اگر احراز اصالت از طریق این متد انجام نشود، احراز اصالت به صورت محلی انجام
میگیرد.

aaa authentication login adminAuthen-list group adminAAAgroup local-case
aaa group server tacacs+ adminAAAgroup
server TAC+server1

server TAC+server2

این لیستها برای اجرا شدن باید بر روی یک اینترفیس اعمال شوند. تنها استثنا در این حالت، لیست پیش فرض AAAبا نام defaultمیباشد. این لیستها به صورت خودکار بر روی تمام اینترفیسها فعال میشوند، البته اگر لیستی قبلاً اعمال نشده باشد. همچنین با اعمال یک لیست روی اینترفیس، این لیست بر روی لیست پیشفرض بازنویسی میشود.

aaa authentication login default group enduserAAAgroup local-case
aaa group server radius enduserAAAgroup
server RADserver1

برقراری امنیت ارتباط سرور AAA

ارتباط بین احراز اصالت کننده ( 8یا همان ) NAS9و سرور AAAبه طور معمول از طریق RADIUSیا + TACACSانجام میگیرد. امنیت این ارتباط به طور خلاصه در زیر آورده شده است:

  • تراکنشها و تعاملات RADIUSو + TACACSاز طریق یک کلید ثابت و مشترک احراز اصالت میشوند. این کلید بر اساس نام تجهیز یا آدرس IPآن میباشد و هرگز بر روی بستر شبکه ارسال نمیشود.
  • RADIUSطبق استاندارد تنها قسمت رمزعبور کاربر را رمزنگاری می .کند بقیه قسمتهای بسته به صورت فاش ارسال میشود که در این صورت در برابر شنود آسیبپذیر میباشد. 
  • + TACACSکل محتوای بسته را رمز میکند. در این روش اگر چه محرمانگی اطلاعات حفظ می شود ولی الگوریتم رمزنگاری استفاده شده در آن خیلی قوی نمیباشد.

راهنمای کلی برای امن کردن ارتباط AAAبه صورت زیر است:

نظرات (0)
امکان ثبت نظر جدید برای این مطلب وجود ندارد.