IRCAR201405213
تاريخ: 13/02/93
در قسمت اول اين مقاله برخي از مراحل مقابله با حملات بر روي مسيرياب هاي خانگي توضيح داده شد. در اين قسمت، به ساير مراحل مقابله اشاره خواهد شد.
- غير فعال كردن UPnP در شبکه : Universal Plug and Play ويژگي مفيدي است كه به دستگاههاي شبكه امكان كشف و برقراري ارتباط يكپارچه با هم را ميدهد. اگرچه ويژگي UPnP، پيكربندي اوليه شبكه را تسهيل ميكند، اما داراي مخاطره امنيتي است. به طور مثال، نرم افزارهاي مخرب درون شبكه ميتوانند از UPnP براي باز كردن حفرهاي در ديوار آتش مسيرياب جهت ورود نفوذگران استفاده كنند. بنابراين، UPnP را در مواقع غيرلزوم غيرفعال كنيد.
- ارتقاء سفت افزار: مانند نرم افزارهاي رايانه، سفت افزار مسيرياب (نرم افزاري كه مسيرياب را اداره ميكند) بايد آخرين به روز رسانيها و وصلهها را داشته باشد. بسياري از اين به روز رسانيها، آسيب پذيريهاي امنيتي كه ميتواند شبكه را تحت تاثير قرار دهد برطرف ميكند.
- استفاده از آدرسهاي IP استاتيك يا محدود سازي آدرسهاي رزرو شده DHCP: بيشتر مسيريابهاي خانگي به عنوان سرورهاي DHCP پيكربندي شدهاند. DHCP بواسطه پيكربندي خودكار تنظيمات شبكه (آدرس IP، آدرس دروازه ورودي، اطلاعات DNS)، پيكربندي دستگاههاي كلاينت را ساده ميكند؛ اما در عين حال منجر به گرفتن آدرس IP توسط كاربران غيرمجاز در شبكه ميشود. غيرفعال كردن DHCP و پيكربندي كلاينتها به صورت دستي ايمن ترين گزينه است، اما ممكن است براساس اندازه شبكه و پشتيباني از كاربران اين كار شدني نباشد. اگر از DHCP استفاده ميكنيد، تعداد آدرسهاي IP را كه DHCP ميتواند اختصاص دهد محدود كنيد. اين كار ممكن است تعداد كاربران غيرمجازي را كه ميتوانند به شبكه شما متصل شوند محدود نمايد.
- غيرفعال كردن مديريت از راه دور: مديريت از راه دور را غيرفعال كنيد تا نفوذگران امكان برقراري ارتباط با مسيرياب و پيكربندي آن از طريق واسط WAN را نداشته باشند.
- غيرفعال كردن ارتقاء از راه دور: ويژگي ارتقاء از راه دور، در صورتي كه در دسترس باشد، به مسيرياب امكان گوش دادن به واسط WAN براي ترافيك TFTP را ميدهد. اين كار ميتواند سفت افزار مسيرياب را مورد حمله قرار دهد. بنابراين، اين امكان بايد غيرفعال شود.
- غيرفعال كردن DMZ :DMZ مسيرياب براي ميزبانهايي كه نيازمند دسترسي به اينترنت هستند شبكه جدايي را ايجاد ميكند. اين ويژگي را در صورت عدم نياز به آن غيرفعال كنيد. كاربران يا مديران گاهي اوقات اين ويژگي را براي عيب يابي فعال كرده و سپس غيرفعال كردن آنرا فراموش ميكنند؛ در نتيجه هر سيستمي كه سهواً در آن قرار ميگيرد، در معرض خطر خواهد بود. در صورت استفاده از اين ويژگي استفاده از ديوار آتش پيشنهاد ميشود.
- غيرفعال كردن سرويسهاي غيرضروري: مانند هر سيستم رايانهاي، تمام سرويسهاي غيرضروري را غيرفعال كنيد تا مسيريابها كمتر در معرض خطر باشند.
- غيرفعال كردن پاسخ ping: تنظيمات پاسخ ping معمولاً به صورت پيش فرض غيرفعال هستند. با فعال كردن اين ويژگي، عمليات شناسايي در مسيرياب سادهتر از زمان غيرفعال بودن اين ويژگي است. اين ويژگي به مسيرياب امكان پاسخ دهي به فرمانهاي ping را كه از سمت اينترنت ميآيد ميدهد و ميتواند منجر به افشاي شبكه براي نفوذگران شود. اگرچه غيرفعال كردن اين ويژگي، حفاظي براي عدم افشاي شبكه نخواهد بود اما حداقل، پيچيدگي افشاي شبكه را افزايش خواهد داد. بررسي كنيد كه اين سرويس غيرفعال باشد.
- فعال كردن ديوار آتش مسيرياب: بيشتر مسيريابهاي خانگي، حاوي ديوار آتش هستند. مطمئن شويد كه اين ويژگي فعال و با دقت پيكربندي شده است به طوريكه فقط كاربران و سرويسهاي مجاز قادر به دسترسي به شبكه هستند. ويژگي «بازرسي جزئيات حالت بسته (SPI)» ديوار آتش را در صورت در دسترس بودن فعال كنيد. SPI به ديوار آتش امكان بازرسي بستهها جهت شناسايي ترافيك قانوني از ترافيك ناخواسته را ميدهد. ويژگي ديگري كه برخي از مسيريابهاي خانگي دارند امكان ايجاد ليست سفيد و سياهي از وب سايتها، سرويسها، پورتها و غيره است. از اين ويژگي نيز در صورت وجود ميتوان استفاده كرد. به خاطر داشته باشيد كه ديوار آتشي كه درون مسيريابها وجود دارد از اتصال كاربران بيسيم درون محدوده شبكه بيسيم شما به مسيرياب جلوگيري نميكند.
- ثبت وقايع: ثبت وقايع مسيرياب را فعال كنيد و لاگها را در فواصل معين جهت يافتن نفوذها، جستجوها، حملات و امثالهم بازبيني كنيد.
- مانيتور كردن ترافيك بيسيم: ترافيك بيسيم را با انجام بازبيني لاگ دستگاههايي كه به مسيرياب دسترسي دارند مانيتور نماييد تا بتوانيد هر استفاده غيرمجازي از شبكه خود را شناسايي كنيد. در صورت شناسايي دستگاهي غيرمجاز، از قوانين فيلتر MAC يا ديوار آتش استفاده كنيد. براي چگونگي استفاده از اين قوانين، مستندات يا سايت سازنده مسيرياب را مشاهده فرماييد.
- ايستگاههاي كاري مديريتي: مطمئن باشيد كه هر ايستگاه كاري مديريتي كه براي مديريت مسيرياب استفاده ميشود در بخش معتمد شبكه قرار دارد؛ اين كار با شنود دادههاي مديريتي و اطلاعات جمع آوري شده درباره شبكه توسط افراد بيروني مقابله ميشود.
- عدم استفاده از بازههاي پيش فرض IP: آدرسهاي قابل پيش بيني، حملات CSRF را سادهتر ميكند. به جاي استفاده از بازه 192.168.1.1 از بازه ديگري كه كمتر معمول است استفاده كنيد. اين كار، روشي براي كاهش احتمال حمله CSRF موفق است.
- غيرفعال كردن پل زدن (bridging) و استفاده از NAT: مسيريابهاي خانگي، شبكه داخلي را با استفاده از NAT از اينترنت جدا ميكنند. NAT، آدرسهاي IP خصوصي را براي تمام دستگاههاي روي شبكه فراهم ميكند. اين دستگاهها مستقيماً از طريق اينترنت در دسترس نيستند و كشف آدرسهاي داخلي شبكه هم به راحتي امكان پذير نخواهد بود. آدرس IP واسط خارجي مسيرياب، دستگاههاي درون شبكه را پنهان ميكند. اين كار يك لايه بيشتري از امنيت را فراهم ميكند.
- خارج شدن از مسيرياب بعد از پيكربندي آن: برخي از مسيريابها، موقعي كه از آن استفاده نميشود، به طور خودكار log out نميشوند. اين كار ممكن است منجر به استفاده از مرورگر وب براي باقي ماندن مسيرياب به صورت احراز هويت شده و باز كردن دري براي حملات CSRF باشد. اگرچه برخي از حملات CSRF بدون احرازهويت هم موفق خواهند بود، اما خارج شدن از مسيرياب بعد از استفاده از صفحه پيكربندي آن، روشي براي مقابله با حملات CSRF قديمي است كه مبتي بر نشست مرورگر احرازهويت شده است. پس از ورود به تنظيمات مسيرياب، بعد از اتمام كار حتماً از آن خارج شويد.
- برخي مسيريابها داراي ويژگي هستند كه به آنها امكان رفتار به عنوان پل بين دو شبكه را ميدهد. با استفاده از آدرس IP قابل مسيريابي مسيريابها، ميتوان براي اتصال سگمنتها يا دستگاههاي در اينترانت يكسان به اينترنت استفاده كرد. اين ويژگي را در صورت عدم نياز به آن غيرفعال كنيد تا سطح حمله مسيرياب را كاهش دهيد.
در نظر داشته باشيد كه موارد فوق فقط ليستي از مراحل پبشنهادي است كه بالقوه ميتواند كمكي به امن شدن مسيريابهاي ادارات كوچك و خانگي كند. استفاده از برخي از اين مراحل پيشنهادي ممكن است در شبكه يا محيط شما شدني نباشد.
مطالب مرتبط:
امنيت مسيرياب خانگي يا ادارات كوچك – قسمت اول
- 2