مقدمهای بر امنیت شبکه داخلی سازمان
در مقالات گذشته بیان کردیم که یکی از مهمترین مسئولیتهای مدیران شبکه سازمانها برقراری امنیت شبکه داخلی از تهدیدات خارجی و داخلی میباشد. چراکه حملات در برابر امنیت شبکه سازمان میتواند خسارتهای جبرانناپذیری به سازمانها وارد کنند. بهعنوان نمونه درز اطلاعات به خارج از سازمان یا ورود باج افزارها و رمزنگاری اطلاعات حساس سازمان ازجمله این خطرات امنیتی میباشد. با توجه به این خطرات بنابراین تأمین امنیت شبکه سازمان امری حیاتی میباشد. در مقالات گذشته با برخی از حملات شبکه داخلی چون Rouge DHCP و همچنین VLAN Hopping آشنا شدیم. در این مقاله نیز قصد داریم تا به بررسی دقیقتر حمله VLAN Hopping به امنیت شبکه داخلی بپردازیم.
VLAN بندی یکی از راهکارهای افزایش امنیت شبکه داخلی
سازمانها بهمنظور افزایش امنیت شبکه داخلی اقدام به ایجاد VLAN های مختلف برای هر یک از دپارتمانها میکنند. ازجمله پرکاربردترین این بخشبندیها نیز ایجاد یک VLAN جدا برای دپارتمان مالی و دپارتمان حراست میباشد. بنابراین کاربران بخشهای دیگر نمیتوانند به ترافیک عبوری از این VLAN ها دست یابند. مسئله آنجا مهم میشود که در صورت عدم تأمین امنیت روترها (Routers) و سوئیچها (Switches) سیسکو که تجهیزاتی میباشند که بسیار در سازمانهای بزرگ و Enterprise کاربران عادی با نیات مخرب میتوانند به ترافیک دیگر VLAN ها دستیافته و به بررسی این ترافیکها بپردازند.
در این حالت است که میگوییم حمله VLAN Hopping واقعشده و امنیت شبکه داخلی سازمان به خطر افتاده است. بهطورکلی دو نوع حمله VLAN Hopping وجود دارد که با استفاده از این دو نوع خرابکاران به امنیت شبکه داخلی سازمان ضربه میزنند. نوع اول حملات Switch spoofing و نوع دوم Double tagging در این مقاله به هر دو این حملات خواهیم پرداخت.
حمله Switch Spoofing در برابر امنیت شبکه داخلی
پروتکل DTP جهت ایجاد خودکار لینکهای Trunk بین دو سوئیچ (Switch) استفاده میشود. جهت پیکرهبندی آن نیز از حالتهای مختلف dynamic desirable, dynamic auto و Trunk استفاده میشود. Switch Spoofing یکی از انواع حملات امنیتی VLAN Hopping میباشد.
هر Interface در سوئیچ که به دستگاه کاربران متصل میباشد در حالت Access قرار دارند و دستگاه کاربران نیز تنها به VLAN مخصوص خود دسترسی دارند. بنابراین ترافیک دیگر VLAN ها از طریق Interface مذکور Forward نخواهند شد. موقعیتی را در نظر بگیرید که حملهکننده به یکی از Interface های سوئیچی متصل است که روی یکی از حالتهای dynamic desirable, dynamic auto و یا Trunk تنظیمشده است.درصورتیکه این کاربر مخرب یا حملهکننده به نحوی با ابزارهای گوناگون موجود در اینترنت بتواند یک پیام DTP ایجاد کند، بین کامپیوتر و سوئیچ یک لینک Trunk ایجاد خواهد شد. راه دیگری که حملهکنندگان میتوانند از آن در حملات Switch Spoofing استفاده کنند اتصال یک Rouge Switch به Interface که بر روی یکی از حالتهای dynamic desirable, dynamic auto و یا Trunk تنظیمشده میباشد.
زمانی که لینک Trunk شکل گرفت، حملهکننده میتواند بهراحتی به ترافیک تمامی VLAN ها دست یابد و تمامی ترافیکها را شنود کند.
جلوگیری از حمله Switch Spoofing در برابر امنیت شبکه داخلی
برای جلوگیری از حمله VLAN Hopping به امنیت شبکه داخلی سازمان با روش Switch Spoofing اقدامات زیر را انجام دهید.
پورتهایی که به دستگاه کاربران متصل میشوند باید فقط در حالت Access باشند (هیچگاه یک Access Port را در حالتهای dynamic desirable, dynamic auto و یا Trunk تنظیم نکنید).
بهترین تنظیم در سوئیچهای (Switches) سیسکو نیز این است که تمامی پورتها را بهمحض از کارتن درآوردن سوئیچ در حالت Access تنظیم کرده و درنهایت تنها پورتهای لازم را تغییر حالت دهید.
هنگام تغییر حالت نیز تنها به یک حالت خاص تغییر حالت دهید و از DTP استفاده نکنید.
درنهایت پورتهایی که استفاده نمیشوند را خاموشکنید.
حمله Double Tagging در برابر امنیت شبکه داخلی
نوع دیگر حملات VLAN Hopping حمله Double tagging میباشد. در این حمله که تنها در صورتی اتفاق میافتد که حملهکننده به پورتی متصل باشد که متعلق به Native VLAN میباشد میتواند بهراحتی ترافیک VLAN قربانی را بررسی کند. باید خاطرنشان کرد که Double tagging یک حمله یکطرفه میباشد. این نوع از حمله از فرایند حذف تگها در سوئیچها استفاده میکنند.
جلوگیری از حمله Double Tagging در برابر امنیت شبکه داخلی
بهمنظور جلوگیری از وقوع حمله VLAN Hopping از نوع Double Tagging هیچیک از پورتها را در Native VLAN قرار ندهید.
امید است مطالب گروه چشم انداز نو برای شما مفید بوده باشد.
ما در چشم انداز نو با نظرات شما اقدام به برطرف کردن مشکلات و کمبودها میکنیم.
با امتیاز خود به این مطلب به بهبود مطالب کمک کنید!
[ratings]
گروه چشم انداز نو با دارا بودن کارشناسان متخصص اماده ارائه خدمات و اموزش شبکه، دیتاسنتر،طراحی،نصب، آموزش پیاده
سازی و راه اندازی میل سرور، ارتباط یکپارچه VoIP، سیستم های مدیریت و مانیتورینگ کاربران، مجازی سازی سرور، ویندوز سرور، مایکروسافت، Vmware، مجازی سازی دسکتاپ، Desktop، سیستم سنتر، میل سرور سازمانی Outlook، System Center خدمات شبکه خدمات مجازی سازی
0 پاسخ به "تأمین امنیت روترها (Routers) و سوئیچها (Switches) سیسکو: انواع حمله VLAN Hopping"