OSI məlumat əlaqəsini təmin etmək üçün müəyyən edilmiş standart modeldir. Bu iyerarxik şəbəkə modeli kompüter şəbəkəsinin dizaynını və idarə olunmasını asanlaşdırır. OSI modelinə görə məlumatlar bütün bu təbəqələr vasitəsilə ötürülür. İkinci səviyyədə (qat) rabitə lokal şəbəkə üzərindən cihazlar vasitəsilə həyata keçirilir. Birinci səviyyədən (fiziki təbəqə) bit kimi gələn məlumatlar bu təbəqədə frame bölünür və növbəti laya ötürülür.
Bu təbəqədə frame-lərin ötürülməsi zamanı müxtəlif növ məlumat manipulyasiyası baş verə bilər. Bu hücumları aşağıdakı kimi ümumiləşdirə bilərik:
-Frame Spoofing
-Spanning Tree Injection
-Mac Flooding
-Mac Spoofing
-VLAN Hopping
-Cam Attack
-Dhcp Starvation Attack
-Rogue Dhcp Server Attack
-Arp Attack
Bu hücumlara cavab olaraq marşrutlaşdırıcı qurğular üçün təhlükəsiz rabitə mühitinin yaradılması üçün müxtəlif tədbirlər görülür. Bunlar müvafiq olaraq;
1. İdarəetmə interfeyslərindən və protokollarından istifadə edərək etibarsız şəbəkələrə girişi məhdudlaşdırmaq, onların zəiflik yaratmasının qarşısını almaq,
2. Trafikə nəzarət etmək üçün VLAN yaratmaq,
3. Bütün trunk bağlantılardan istifadə etmək VLAN ID
4. DTP -yi truck bağlantısının olmadığı yerlərdə söndürmək
5. Port Təhlükəsizliyinin tətbiqi (port təhlükəsizliyi xüsusiyyəti)
6. İstifadə olunmayan xidmət və protokolları həmişə bağlı saxlamaq
7. İstifadə olunmayan portları bağlı və aktiv istifadə olunmayan VLAN-larda saxlamaq
8. DHCP Snooping istifadə etmək
9. Arp table təhlükəsizliyini təmin etmək
10. IP Axtarış Guard funksiyasından istifadə edərək
11. STP funksiyasından istifadə edərək
Şəbəkədə interfeys və protokol idarəçiliyində və giriş icazəsi təriflərində etibarlı olmayan şəbəkələrin icazələri məhdudlaşdırılmalıdır. Şəbəkə təhlükəsizliyini təmin etmək məqsədilə şəbəkədə istifadə olunan protokollara qoşulmuş cihazların etibarlı olmayan şəbəkələrdən idarə edilməsi digər cihazların lokal və qlobal əlaqələrində zəifliklər yaradır. Misal üçün; SNMP protokolu şəbəkə axını və idarə olunmasını təmin etsə də, təhlükəsiz olmayan qurğular tərəfindən giriş şəbəkəyə təhlükə yarada bilər. Eynilə, şəbəkə cihazlarının (Switch, Router və s.) idarəetmə səlahiyyəti etibarlıdır.
Lokal şəbəkələrdə idarəetmə cihazları eyni lokal şəbəkədə müxtəlif VLAN-ları təyin etməlidir, çünki qoşulmuş cihazların iyerarxiyasının müəyyən edilməməsi daxil olan şəxslər arasında səlahiyyət çaşqınlığına səbəb olacaqdır. VLAN-lar inzibati olaraq ümumi yayım kanalı kimi şəbəkə tərəfindən istifadə edilən mesajların sayını azaldır və qrup iyerarxiyasında (çox yayım) ümumi yayımlar vasitəsilə təhlükəsizliyi təmin edir. Şəbəkədə birgə yayımlar kanalı zəiflədə və cihazların kritik məlumatlara daxil olmasına səbəb ola bilər.
VLAN-lardan istifadə edərkən riayət edilməli olan bəzi qaydalar var. VLAN ID xüsusiyyəti konfiqurasiya zamanı hər bir VLAN-da (VLAN 1-dən başqa) aktiv şəkildə istifadə edilməlidir. Bundan əlavə, VLAN 1 üzərindən şəbəkə trafikinin həm sürətin azalmasına, həm də zəifliyə səbəb olmasının qarşısını almaq üçün konfiqurasiya zamanı qurğular bu bölməyə daxil edilməlidir. VLAN-lar arasında əlaqə Trunks tərəfindən təmin edilir. Magistralların istifadə edilmədiyi yerlərdə DTP (Dinamik Magistral Protokolu) istifadəsi zəiflik yaradır. Çünki şəbəkədə müəyyən edilmiş VLAN-ların boş portları üzərində dinamik konfiqurasiya seçimindən istifadə VLAN məlumatının sızmasına səbəb ola bilər.
VLAN-ların konfiqurasiyası zamanı başqa bir nöqtədən zəifliyi yaradan port təhlükəsizliyini təmin etməlisiniz. Şəbəkə avadanlıqlarında Port security funksiyasının konfiqurasiyası yerli portlardan istifadə edə bilən cihazların sayını təyin etməyə və onların MAC (Media Accses Control) ünvanlarını təyin etməyə imkan verir. Beləliklə, şəbəkəyə icazəsiz giriş aradan qaldırıla bilər.
Ehtiyac olmayan yerdə DTP istifadə edilməməli olduğu kimi, şəbəkədə şəbəkə çaşqınlığının qarşısını almaq və məlumatların təhlükəsizliyini təmin etmək üçün digər protokolları icazəsiz şəxslərdən bloklamaq və istifadə edilmədikdə isə söndürmək lazımdır.
Switch-lərdəistifadə olunmamış portların əlçatan olması digər təhlükəsizlik addımlarına baxmayaraq zəiflik yaradır. Konfiqurasiyalar tamamlandıqdan sonra ayrıca VLAN yaradaraq istifadə olunmamış portları bağlı saxlamaq digər icazəsiz girişlərin qarşısını alır.
2-ci layer cihazların şəbəkənin idarə edilməsi üçün şəbəkədəki cihazların şəxsiyyət məlumatlarını və İP məlumatlarını qeyd etdiyi cədvəl ARP cədvəli adlanır. DHCP Snooping, cədvəldəki məlumatların bir aspektinin strukturlaşdırılmasında DHCP protokolundan isteğe bağlı olaraq istifadə etmək və cihazlara təyin edilmiş IP-lərin (İnternet Protokolu) təhlükəsizliyini təmin etmək, yəni cihazlar arasında əlaqə kanalının düzgünlüyünü təmin etmək üçün tələb olunur. tərəfin və açarların təyin edilməsi. Bu yolla DHCP (Dinamik Host Konfiqurasiya Protokolu) tərifləri müəyyən edilmiş resurs tərəfindən təyin edilir.
Şəbəkə cihazlarında bütün daxil olan cihazların şəxsiyyət məlumatlarını qeyd etdiyi cədvəllərin aktual və dəqiq olmasını təmin etmək də böyük əhəmiyyət kəsb edir. Bu məlumat düzgün saxlanılır və trafikin davam etməsini təmin etmək üçün IP təyinatlarını və Port istifadəsini dəyişir. Rabitə üçün şəbəkədə müəyyən edilmiş cihazlar tərəfindən yaradılan paketlər, cədvəl düzgün deyilsə, əlaqəni poza və ya səhv trafik yarada bilər. Bunun üçün Dinamik ARP Təftiş funksiyasından istifadə edilməlidir. Cədvəldə qeyd olunmayan cihazların IP təyinetmə sorğuları rədd ediləcək.
IP Axtarış Guard konfiqurasiyası 2-ci layer cihazlarının DHCP parametrlərinə və IP giriş qaydalarına nəzarət edir. Qonşu İP məlumatlarına və VLAN məlumatlarına daxil olaraq, şəbəkədə işləyən MAC və IP məlumatlarına (ARP cədvəli vasitəsilə) daxil ola bilər. Dynamic ARP Inspection və DHCP Snooping protokolları sayəsində təmin edir. Bu protokolların yaratdığı cədvəllər sayəsində auditor protokol kimi işləyir.
Şəbəkə avadanlıqlarında şəbəkədə yerləşdirilməsindən asılı olaraq yaradılan lazımsız kanallar düzgün konfiqurasiya edilmədikdə paketlərin hücumuna səbəb olsa da, hücum zamanı da oxşar vəziyyət yarana bilər. Bu hücumun qarşısını almaq üçün STP (Spanning Tree Protocol) aktiv şəkildə istifadə edilməlidir. Paketlərin təkrarlanmasının qarşısını almaq üçün o, kök qurğunu müəyyənləşdirir və prioritet cihazın və onun rabitə kanallarının aktiv istifadəsini təmin edir. Bu kanallardan biri qeyri-aktiv olarsa, digər ehtiyat kanal aktivləşir və kök cihaz parametrləri yenilənir.
Məlumatların kommunikasiya infrastrukturunun təhlükəsizliyi üçün paketlərin ötürülməsi zamanı məlumatların kriptoda göndərilməsi və bu qaydalar çərçivəsində rabitə cihazları arasında əlaqə yaradılması təhlükəsizliyin təmin olunmasına kömək edəcək.
Hər bir layer-də məlumatların təhlükəsizliyi həm cihazdakı trafik axınını təmin etməklə, həm də ona nəzarət etməklə təmin edilməlidir. Məlumat keçidi səviyyəsində idarəetmə cihazlarını konfiqurasiya etmək üçün tələb olunan konfiqurasiyalar; Cihazdakı lazımsız portların bağlanması və ayrıca VLAN-da saxlanması, VLAN1-dən istifadə edilməməsi, DTP və oxşar protokolların istifadə üsullarının müəyyən edilməsi, Port təhlükəsizliyi, DHCP Snooping, Dynamic ARP Inspection, IP Search Guard, STP və kripto alqoritmləri ilə məlumatların daşınması.
Hiç yorum yok:
Yorum Gönder