همه آموزش ها با 50 درصد تخفیف تو جشنواره بهاره توسینسو
50 درصد تخفیف
مانده تا پایان تخفیف ها
مانده تا پایان تخفیف ها
جعفر قنبری شوهانی
جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

معرفی 3 نکته مهم در امن کردن Control Plane سیسکو به زبان ساده

در ادامه مبحث NFP در خدمتون هستم و می خوام توی این آموزش یک Best Practices برای امن کردن Control Plane را به شما معرفی کنم که در هنگام پیدا سازی شبکه ازش استفاده کنید و بتونه توی امن سازی شبکه کمک کوچکی به شما بکنه.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید
سرفصل های این مطلب
  1. Best Practices برای امن کردن Control Plane

Best Practices برای امن کردن Control Plane

برای امن کردن Control Plane سه آیتم زیر را در نظر بگیرد :

  1. Control plane policing : CoPP ، شما می توانید این فیلتر برای هر ترافیکی که مقصد آن یک IP آدرس از روتر است تنظیم کنید. به طور مثال ، شما می توانید ترافیک های مدیریتی مثل SSHHTTPSSSL و ... مشخص کنید یا برای برای آن rate-limited مشخص کنید یا به طور کامل بسته مربوط به آن را drop کنید. با این روش اگر یک حمله رخ دهد که شامل ترافیکی بیش از حد تعیین شده باشد ترافیکی که بیشتر از حد تعیین شده است در نظر گرفته نمی شود و دیگر توسط CPU پردازش نخواهد شد.
  2. CPPr : Control plane protection ، اجازه می دهد ترافیکی که قرار است توسط CPU پردازش شود را به صورت دقیق تر (نسبت به CoPP) دسته بندی کنیم. سه subinterface خاص وجود دارد که برای طبقه بندی می توان از آن استفاده کرد.
    1. Host subinterface : ترافیک به یک اینترفیس فیزیکی یا منطقی روتر را اداره می کند.
    2. Transit subinterface : ترافیک data plane معین که قبل از ارسال نیاز به دخالت CPU دارد. مانند IP option
    3. (Cisco Express Forwarding (CEF : ترافیک استثناء که شامل CPU می شود. مرتبط با عملکرد شبکه مانند مکانیزم keepalives

مزیت CPPr این است که شما می توانید rate-limit و filter را نسبت به CoPP را با دقیق بیشتری انجام دهید. این قابلیت به اینترفیس منطقی Control plane اعمال می شود. بنابراین بدون در نظر گرفتن اینکه بسته روی چه اینترفیس فیزیکی یا منطقی دریافت شده است می توان از CPU روتر محافظت کرد.

وب سایت توسینسو

Routing protocol authentication : اکثر پروتکل های مسیریابی از احراز هویت پشتیبانی می کنند. اگر احراز هویت استفاده شود یک روتر غیرمجاز در شبکه توسط تجهیزات شبکه به عنوان یک دستگاه مجاز مورد قبول واقع نخواهد شد. ممکن است که مهاجم بخواهد به شکلی کل ترافیک شبکه را از طریق دستگاه خود عبور دهد یا حداقل بخواهد به اطلاعات مسیریابی شبکه دست پیدا کند.

0 4
جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات