در ادامه مبحث NFP در خدمتون هستم و می خوام توی این آموزش یک Best Practices برای امن کردن Control Plane را به شما معرفی کنم که در هنگام پیدا سازی شبکه ازش استفاده کنید و بتونه توی امن سازی شبکه کمک کوچکی به شما بکنه.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
Best Practices برای امن کردن Control Plane
برای امن کردن Control Plane سه آیتم زیر را در نظر بگیرد :
- Control plane policing : CoPP ، شما می توانید این فیلتر برای هر ترافیکی که مقصد آن یک IP آدرس از روتر است تنظیم کنید. به طور مثال ، شما می توانید ترافیک های مدیریتی مثل SSHHTTPSSSL و ... مشخص کنید یا برای برای آن rate-limited مشخص کنید یا به طور کامل بسته مربوط به آن را drop کنید. با این روش اگر یک حمله رخ دهد که شامل ترافیکی بیش از حد تعیین شده باشد ترافیکی که بیشتر از حد تعیین شده است در نظر گرفته نمی شود و دیگر توسط CPU پردازش نخواهد شد.
- CPPr : Control plane protection ، اجازه می دهد ترافیکی که قرار است توسط CPU پردازش شود را به صورت دقیق تر (نسبت به CoPP) دسته بندی کنیم. سه subinterface خاص وجود دارد که برای طبقه بندی می توان از آن استفاده کرد.
- Host subinterface : ترافیک به یک اینترفیس فیزیکی یا منطقی روتر را اداره می کند.
- Transit subinterface : ترافیک data plane معین که قبل از ارسال نیاز به دخالت CPU دارد. مانند IP option
- (Cisco Express Forwarding (CEF : ترافیک استثناء که شامل CPU می شود. مرتبط با عملکرد شبکه مانند مکانیزم keepalives
مزیت CPPr این است که شما می توانید rate-limit و filter را نسبت به CoPP را با دقیق بیشتری انجام دهید. این قابلیت به اینترفیس منطقی Control plane اعمال می شود. بنابراین بدون در نظر گرفتن اینکه بسته روی چه اینترفیس فیزیکی یا منطقی دریافت شده است می توان از CPU روتر محافظت کرد.
Routing protocol authentication : اکثر پروتکل های مسیریابی از احراز هویت پشتیبانی می کنند. اگر احراز هویت استفاده شود یک روتر غیرمجاز در شبکه توسط تجهیزات شبکه به عنوان یک دستگاه مجاز مورد قبول واقع نخواهد شد. ممکن است که مهاجم بخواهد به شکلی کل ترافیک شبکه را از طریق دستگاه خود عبور دهد یا حداقل بخواهد به اطلاعات مسیریابی شبکه دست پیدا کند.