برگرفته از مجله علم الكترونيك و كامپيوتر-اسفند ماه 87-نوشته وحيد گودرزي

در اين  مقاله  تنها  سعي شده مديران و راهبران  شبكه را وادارد  تا اهميت  حفاظت از مسير يابها را  همواره  در نظر داشته  باشند .


مباحث مطرح شده در اين مقاله :

-           مقدمه اي در رابطه با امنيت شبكه در لايه هاي مختلف

-           ابزارهاي ارتباطي براي اتصال شبكه ها

-           پروتكل protocol)) مرتبط با مسير ياب

-           سخت افزار Router

-           لزوم ايجاد امنيت براي Router

-           سياستهاي امنيتي براي حفاظت از Router

 

مقدمه اي در رابطه با امنيت شبكه

امروزه مديران شبكه با استفاده از نرم افزار ها و سخت افزارهاي مناسب، شبكه¬هاي تحت كنترل خود را monitor و مديريت مي نمايند. ولي آيا امنيت شبكه به همين جا ختم مي شود، متاسفانه¬هم اكنون بحث امنيت (security) بيشتر به سمت حفاظت از لايه application حركت نموده است و اين در حالي است كه اگر تصميم به ايجاد لايه هاي دفاعي پيچيده تري در مقابل نفوذگران داريم بهتر است به لايه هاي اصلي و بنيادي شبكه در مدل OSI توجهي خاص داشته باشيم. لايه هايي مثل Data link و physical كه بيشتر سخت افزارهاي ارتباطي شبكه در آن فعاليت مي كنند  از جمله  اساسي ترين لايه ها در شبكه  به شمار مي آيند.

ابزارهاي ارتباطي براي اتصال شبكه ها

همانطور كه مي دانيد  شبكه هاي گسترده  (WAN) از شبكه هاي كوچكتري تشكيل شده اند كه براي اتصال آنها به يكديگر از ابزارهاي گوناگوني استفاده  مي شود. از قديم تا كنون  بنا به موقعيت  ، ابزارهاي متفاوتي به عنوان اتصال دو شبكه  مورد استفاده قرار گرفته اند كه مهمترين  آنها پل (Bridge)دروازه(Gateway)و مسير ياب (Router) هستند.

 Bridge( پل ) :

يكي از قديمي ترين  ابزار ها مي باشد  كه  در لايه  Data Link  فعاليت  مي كند Bridge ميان  دو شبكه  محلي (LAN) قرار مي گيرد  و اطلاعات  را  در لايه  دو شبكه  مجاور Copy مي كند.  به دليل هوشمند  نبودن  Bridge، استفاده از پل  براي شبكه هاي گسترده  به  صرفه  نيست . از مزيتهاي Bridge ،فعاليت  در لايه  Data link مي باشد.  زيرا اين  لايه  مربوط به  سخت  افزار بوده  و مبتني بر نرم افزار نيست و همين  موضوع  باعث مي شود  تا  Bridgeپروتكل (Protocol) هاي متفاوتي را  پشتيباني كند.

Gateway :

به هر ابزاري كه ارتباط ميان  چند شبكه  محلي (LAN) و يك  شبكه  گسترده (WAN) را فراهم  آورد در اصطلاح Gateway گفته  مي شود.  براي مثال  گاه  يك  Proxy server اين  مهم را  فراهم  مي آورد  كه  در چنين  مواقعي اين  Proxy sever مفهوم  كلي يك دروازه  (Gateway)  را  تداعي مي نمايد .  آنچه بيش از همه مهم است محل فعاليت    Gatewayمي باشد كه در لايه  دوم  شبكه (Data link layer) فعاليت دارد  . همانطور كه  گفته  شد  در اين  لايه  دستگاهها با  سخت  افزار كار مي كنند  . در شبكه ها  از Gateway به  عنوان  مفسر يا كلمپايلر پروتكل (protocol) استفاده مي شود. بايد  توجه  داشت  كه  استفاده از ابزارهاي ارتباطي هميشه  براي گسترش و ايجاد  WAN نيست  گاهاً مديران  و طراحان  شبكه  با بكار گيري اين ابزارها قصد تبديل پروتكل (Protocol) هاي شبكه  را به  يكديگر دارند.   به عنوان نمونه  براي اتصال  دو شبكه  با  پروتكل هاي متفاوت مثل IPX Netwar شبكه اي با  منابع  IP مي توان از gateway بهره  برد  .

Router

مسير يابها  همانگونه  كه  از نامشان  مشخص است  وظيفه  مسير دهي پاكتهاي اطلاعات  از مبدا به  مقصد  را  به عهده  دارند . روتر در لايه  سه شبكه  (Network ) فعاليت  مي كنند . لايه  Network  قلب يك  شبكه  را  تشكيل مي دهد. از مزيتهاي Router مي توان  به  هوشمند بودن  آن  اشاره  نمود  . مسيريابها انواع متفاوتي دارند  كه  بنا  به  محل استقرار آن مي توان از مدل خاص خود استفاده  نمود . گاهي روتر دو شبكه¬محلي را به هم  مرتبط مي كند (LAN 2 LAN) و گاه ميان  يك  شبكه  گسترده  و شبكه محلي قرار مي گيرد  (LAN 2 WAN) بعضي از كارشناسان شبكه  ترجيح  مي دهند كه  از مسير ياب به  عنوانBack Bone ( ستون  فقرات) شبكه  استفاده  كنند  .

پروتكل هاي مرتبط با  مسير ياب

پروتكل هاي روتر را  مي توان  به  دو بخش كلي تقسيم كرد.پروتكل هاي داخلي و خارجي.

 پروتكل هاي داخلي عبارتند از :

   Open Shortest Path First (OSPF) و Routing Information Protocol(RIP)  اين دو پروتكل  دائماً در حال  انتقال  اطلاعات  با  يكديگر هستند  و نتيجه  برآورد  خود از ترافيك  شبكه  را  به جداول مسير دهي (Routing table) منتقل  مي كنند  تا در هنگام  ارسال  اطلاعات  مسيرياب با  يك نگاه كلي به جداول مسير دهي بهترين  مسير ( كوتاهترين   و كم  ترافيك  ترين  مسير ) را  براي انتقال  اطلاعات  انتخاب نمايد.  از وظايف ديگر RIP مي توان  به  بررسي تعدادHOP  اشاره  نمود. به  هر بار ارسال  داده  به  ايستگاه  بعدي عمل Forwarding  گفته  مي شود  كه  روتر به هر يك  از اين  پرشها  يك  HOP  مي گويد  .در صورتي كه پس از درخواست  ، روتر به هر دليل نتوانست  پيش بيني RIP را در تعداد HOP ها برآورده  كند.عمليات مسير دهي از سر گرفته  مي شود.

پروتكل هاي خارجي مسير ياب عبارتند از :

 Border Gateway Protocol (BGP) و Exterior Gateway protocol( EGP) . اين پروتكل ها  مسير دهي اطلاعات  در داخل شبكه  را كنترل  و بررسي مي كنند  .

سخت  افزار Router

روتر ها داراي 4 نوع  حافظه مي باشند  :

 (Flash Memory, NVRAM,RAM,ROM) در حافظه  پايدار ROM برنامه  اي موسوم  به  Power on self test را در خود جاي داده  است  تا هنگام  روشن شدن  Router تمامي قطعات  را  چك  نمايد  . حافظه  RAM در مسيريابها درست  همانند  حافظه RAM در رايانه هاي شخصي مي باشد، يعني با  هر  بار خاموش و روشن شدن  كاملاً پاك مي شود . اين  حافظه  محل استقرار جداول مسيريابي بوده و بعد از بالا آمدن  روتر ، سيستم  عامل روتر به  اين  حافظه  منتقل  مي شود. حافظه   (Non volatile RAM) NVRAMمحل نگهداري فايلStartup configure مسيرياب مي باشد  . اين  حافظه  اطلاعات  خود را  با  قطع برق از دست  نخواهد  داد.  حافظه  flash  memory حامل سيستم  عامل مسيرياب مي باشد . لازم  به  ذكر است  كه  اين حافظه همانند  Nvram با قطع  برق اطلاعات  خود را  از دست  نخواهد  داد و در عين  حال  مي توان  آن را  برنامه  ريزي كرد .

از بخش هاي ديگر Router مي توان  inter face ها  را  نام  برد  . يك  مسيرياب داراي درگاه هاي متفاوتي براي اتصال  به  شبكه هاي محلي و گسترده  مي باشد.  درگاه  اتصال  به  شبكه  WAN معمولاً از نوع  سريال مي باشد  و تعدادي  درگاه  براي اتصال  به  شبكه  محلي نيز وجود دارد  كه  بنا  به  نوع  تكنولوژي استفاده شده  از Interface متناسب استفاده  خواهد  شد .

لزوم  ايجاد امنيت  براي Router

شايد  در ظاهر ارتباط با يك  Router اهميت  چنداني  نداشته  باشد  ولي بسياري از نفوذگران آرزو  دارند  تنها  چند  دقيقه  با  اين  دستگاه  بازي كنند .  حفاظت  فيزيكي Router يكي از اولويتهاي مديران  امنيتي مي باشد  اما چه چيز باعث شده  تا  نفوذگران  تلاشهاي خود را  براي نفوذ  به  مسيريابها فزوني بخشند  ؟

همانگونه  كه  مي دانيد  تمامي اطلاعات  شبكه  اعم  از مشخصات كارتهاي اعتباري مجوزهاي دسترسي به  حسابهاي كاربري ، صندوقهاي پستي و خيلي چيزهاي با ارزش ديگر موظف به عبور از مسير ياب هستند .  اگر شما  موفق به  بدست آوردن  كنترل  يك روتر شويد و بتوانيد آن را  به  نحو دلخواه  خود  پيكربندي (Config) كنيد،  به راحتي تمامي اين  اطلاعات  مهم  را در اختيار خواهيد  داشت .  حتي در اغلب  موارد  پس از monitor كردن  يك  Router متوجه  خواهيد  شد  كه  بسياري از اطلاعات  بدون  نياز به  Decode كردن ، براي شما  قابل فهم است  و شما  فقط بايد  زحمت  مشاهده  و ياداشت برداري را  به  خود  بدهيد .

سياستهاي امنيتي براي حفاظت  از Router

متخصصان امنيت  شبكه  به  طور كلي چهارحوزه  را  از لحاظ امنيتي براي مسير  يابها در نظر گرفته اند. توجه  داشته  باشيد  كه اگر نفوذگري به حوزه هاي بالاتر دسترسي پيدا كرد  اين  امكان  را دارد  تا  با  كمي تلاش ديگر حوزه ها را فتح نمايد.

1. امنيت  فيزيكي مسير يابها

داخلي ترين  و مهمترين  حوزه  امنيت  براي يك  روتر دستيابي فيزيكي به  آن  مي باشد  همانطوريكه  گفته  شد  با در اختيار داشتن  سخت افزار مسيرياب و كمي تغييرات  در آن  مي توان  شبكه  را  به  راحتي monitor نمود از اين  جهت  توصيه  مي شود  موارد  امنيتي زير در اين حوزه  بكار گرفته  شود.

الف.  مشخص نمودن  افراد مرتبط با تعمير و يا  تنظيمات  مسير ياب .

ب .  ايجاد رويه  هايي براي ثبت  هر گونه  دستكاري بر روي مسير ياب .

ج . مشخص نمودن  تمامي دستريهاي مجاز براي مسير ياب .

2. امنيت  نرم  افزاري مسير يابها

اگر نفوذ گر موفق به  پيكربندي (Config) يك روتر شود  تمامي اطلاعات  رابط و  كاربران  را در اختيار خواهد  گرفت  .  از اين  رو موارد  امنيتي زير براي تامين امنيت  اين  حوزه  پيشنهاد مي گردد .

الف. مشخص نمودن  افرادي كه  حق اتصال  مستقيم به  مسيرياب و درگاههاي ارتباطي دارند .

ب.  تمامي سرويسهايي كه  به  آن  نياز نداريد خاموش كنيد  .

ج.  روشهاي مديريت  خود  كار و كنترل  از راه  دور را  بررسي و كنترل نمايئد  .

د.  سياستهاي بروزرساني پروتكل ها  و... را  تعيين نمائيد .

3. امنيت  اطلاعات  پويايي (Dynamic) مسيرياب

اين  حوزه  مربوط به  امنيت  جداول مسيردهي و  اطلاعات  كاربران  بر روي Log file ها  مي باشد  .  به  منظور ايجاد  امنيت نسبي در اين حوزه  موارد  ذيل  پيشنهاد  مي گردد .

الف.  Protocol    هاي مورد  استفاده  براي مسير دهي اطلاعات  را  تعريف نمائيد .

ب . كليدهاي توافقي رمز نگاري الگوريتمهاي حفاظت  شده  براي شناسايي در تونل هاي VPN با  ديگر شبكه ها  را  تعريف  كنيد .

ج.  تنظيمات  دسترسي به  سايتهاي نگهدارنده  خودكار و بروزرساني را انجام  دهيد .

4.  امنيت  مسير ياب در ترافيك  شبكه

آخرين  حوزه  امنيتي يك مسيرياب مربوط به  امنيت  آن در ارتباط شبكه هاي گسترده  و محلي مرتبط با  آن  مي باشد .  براي بالا بردن  درجه  امنيت  در اين  حوزه  موارد  ذيل  پيشنهاد مي شود .

الف.  پروتكل ها  و پورتهايي كه  دوست  نداريد  در شبكه باز باشد  را از سرويس خارج  كنيد .در حال¬حاضر مديران امنيتي (Security manager) ترجيح  مي دهند  تا روتر را به  گونه  اي تنظيم  كنند  تا مثلاً ارتباط Telnet از روي port شماره  21 برقرار نشود  . با  اين  كار عمليات  telnetقبل  از اينكه  به  ديوار آتش (Fire wall) برخورد  كند  فيلتر خواهد  شد.

ب . تهيه  واجراي رويه هاي براي نگهداري شبكه.