در ادامه بحث مقاله قبلی، می خواهیم به موضوع مهمی که نتنها در شبکه های عمومی بلکه بخصوص در شبکه های امنیتی و سیستمهای نظارت تصوری می تواند تبدیل به یک راه نفوذ آسان شود صحبت کنیم. در ادامه با ما همراه شوید.
VLAN ها
عبارت VLAN بمعنی LAN های مجازی که برای بهبود امنیت شبکه، ترافیک را به چندین شبکه مجازی کوچکتر تقسیم و ارسال می نمایند. یعنی وقتی تجهیزات سیستم نظارت تصویری تحت شبکه و یا شبکه دفاتر کاری بر روی یک سوئیچ فیزیکی مشترک قرار داشته باشند می توان با تشکیل شبکه های مجازی کار هر کدام از تجهیزات را از هم جدا کرده و دسترسی را جدا از پوشش فیزیکی بروشی که می خواهیم برنامه ریزی نماییم.
برای مثال تصویر زیر نشان می دهد که دوربین مداربسته و NVR که بر روی VLAN1 قرار دارد ممکن است بوسیله PC موجود در VLAN مجزا دیده نشود و یا حتی کاربر NVR روی VLAN1 بتواند ترافیک روی PC در VLAN 2 را ببیند.
VLAN ها اکثرا بوسیله تک گذاری 802.1Q تنظیم می شوند. بدین صورت که با افزودن یک Header(برچسب عنوان) به هر فریم از اطلاعات VLAN این بسته های ترافیک بر روی شبکه مجازی LAN منتقل و شناسایی می شوند.
این نکته را در نظر بگیرید که ترافیک ممکن است در بین VLAN ها پذیرفته نشود اما پهنای باند همچنان در روی شبکه ها وجود خواهد داشت. اگر چه جابجایی فایلهای بزرگ می تواند روی شبکه های سیستم نظارت تصویری تاثیر بگذارد اما جریان تصویری با حجم داده بالا ممکن است بر روی عملکرد VOIP و نرم افزار اداری تاثیر منفی بیشتری بگذارد. بهمین خاطر VLAN ها معمولا همراه با تکنیک QoS یا کیفیت سرویس مورد استفاده قرار می گیرند، تا بوسیله آن بتوانند ترافیک شبکه را اولویت بندی کنید و پکیجهای تصویری را در اولویت اول نسبت به فایلها ارسال نموده و با اینکار شاید کیفیت تصاویر بیشتر حفظ شود.
غیر فعالسازی پورتهای بی استفاده سوئیچ
یکی از روشهای ساده ولی نادیده گرفته شده برای افزایش امنیت شبکه این خواهد بود که با غیر فعال کردن تمام پورتهای بی استفاده سوئیچ دسترسی غیرمجاز به شبکه را محدودتر نماییم.
این مرحله میتواند ریسک نفوذ افراد به یک زیرشبکه امنیتی را مثلا از طریق برقراری اتصال فیزیکی یک کابل به پنل سوئیچ کاهش دهد. یعنی عملا پورتهای سوئیچ که در راه اندازی اولیه بی استفاده بوده است را بصورت کامل غیر فعال نمایید و در صورت برقراری اتصال فیزیکی از طرف کاربر غیرمجاز بازهم تهدیدی زیرشبکه را در معرض خطر قرار ندهد. برای غیر فعالسازی پورتهای مورد نظر می توانید وارد پنل مدیریت سوئیچ شوید. این پنل برای هر سوئیچ با هر برندی وجود خواهد داشت :
البته با کاهش نقاط بالقوه نفوذپذیری به یک سیستم، صرفا نمی شود بطور کامل انتظار داشت از دسترسی غیرمجاز به شبکه جلوگیری شده باشد. زیرا کافی است درصورت عدم وجود فیلترهایی مثل MAC filtering یا 802.1X، شخصی یک دستگاه فعال و متصل به پورتهای شبکه را از شبکه خارج و کابل مورد نظرش را جایگزین پورت خالی نماید! و این یعنی هیچ یک از روشها به تنهایی کاربرد کاملی نخواهد داشت.
غیر فعالسازی پورتهای بی استفاده شبکه
استفاده از دوربینهای مداربسته و بازبودن پورتهای شبکه بی استفاده مثل Telnet، SSH، FTP و ... باعث می شود این پورتها به اهداف دلچسبی برای هکرها تبدیل شوند.
با یک اسکن 30 ثانیه ای دوربین مداربسته تحت شبکه چندین پورت باز فراتر از آنچه برای دسترسی تحت وب یا موبایل نیاز است را خواهید یافت:
بنابراین این پورتها باید غیرفعال شوند تا بتواند از هر نفوذ و حمله ممکنی جلوگیری شود.
غیرفعالسازی سرویسهای بی استفاده
سرویسهای غیر ضروری برای سرورها و مراکز کنترل، عملا باید غیرفعال شوند. این سرویسها می توانند شامل نرم افزارهای بروزرسانی خاص شرکتها، سرویسهای بروزرسانی مایکروسافت و سرویسهای تحت وب و ... باشند. سرویسهایی که موردنیاز نیستند ممکن است به صورت یک راه نفوذ(Backdoor) برای هکرها یا ویروسها به شمار بیاید و علاوه بر آن با مصرف بیشتر فضای پردازش و حافظه نیز می تواند زمان بالا آمدن سیستمها را افزایش دهد. بنابراین این سرویسها باید یا غیرفعال شوند و یا تنها در صورت نیاز بصورت دستی در زمان مورد نیاز فعال شوند. نمونه غیرفعالسازی یکی از این سرویسها را بر روی ویندوز می توانید در زیر مشاهده نمایید:
در قسمت بعدی می توانید در مورد "بروزرسانی فرم ور – فیلترینک MAC Address – 802.1X و قفلهای فیزیکی" ادامه مقاله را مطالعه نمایید.