کنترل شماره یازده از سری کنترل های بنیادین

CIS logo
پیکربندی امن برای ابزارهای شبکه ای مانند فایروال ها، روترها و سوئیچ ها

چرا این کنترل حیاتی است؟

براساس آنچه تولیدکنندگان و فروشندگان ارائه می دهند، پیکربندی های پیش فرض برای دستگاههای زیرساخت شبکه در راستای سهولت استقرار و استفاده آسان تهیه شده اند و نه امنیت. کنترل های مقدماتی، سرویس ها و پورت های باز، حساب های کاربری یا رمزهای عبور پیش فرض، پروتکل های قدیمی (آسیب پذیر) و نرم افزارهای غیرضروری نصب شده همگی زمینه هایی برای نفوذ هستند. مدیریت پیکربندی های ایمن برای دستگاه های شبکه ای یک رخداد آنی نیست بلکه فرآیندی است که شامل ارزیابی مجدد و پیوسته ی موارد پیکربندی و جریان مجاز ترافیک می شود. همچنین مهاجمان در طول زمان از مزایای پیکربندی ضعیف تجهیزاتی استفاده می‌ کنند که توسط کاربران برای مقاصد ویژه تجاری یا استفاده موقت، استثنا شده اند. گاهی اوقات استثنائاتی به کارگرفته می شوند اما به دلیل برطرف شدن نیاز سازمان بلااستفاده باقی می مانند. در پاره ای از مواقع، ریسک امنیتی استثنائات به درستی درمقابل نیاز تجاری مرتبط با آن، مورد تحلیل و سنجش قرار نمی گیرند و می توانند با گذشت زمان تغییر کنند.

مهاجمان در جستجوی تنظیمات پیش فرض آسیب پذیر، شکاف ها و ناسازگاری ها در مجموعه قوانین فایروال ها، روترها و سوئیچ ها هستند و از این حفـره ها برای نفـوذ به سیـستم های دفاعی استفاده می کنند. با سوءاستفاده از معایب و کاستی های موجود در این دستگاه ها، مهاجمان امکان دسترسی به شبکه ها، هدایت مجدد ترافیک در یک شبکه و سرقت اطلاعات هنگام انتقال را پیدا می کنند. از طریق چنین اقداماتی، یک مهاجم به داده های حساس دسترسی پیدا کرده، اطلاعات مهم را تغییر داده و یا حتی از یک دستگاه قربانی استفاده می کند تا به عنوان یک سیستم قابل اعتماد در شبکه مطرح شود.

CIS logo

نکات اصلی


  • تمام پیکربندی دستگاههای شبکه را با پیکربندی های امنیتی مصوب مقایسه کنید و برای هر دستگاهی که دارای انحراف از معیارهای تعریف شده می باشد، هشدار دهید.
  • برای تمام دستگاه های شبکه از احراز هویت multi-factor و ارتباطات رمزگذاری شده استفاده کنید.
CIS logo

سامانه های مرتبط برای پیاده سازی این کنترل

CIS logo CIS logo

صفحه قبل