قابلیت 802.1x

احراز هویت ۸۰۲.۱X  به کاهش بسیاری از خطرات ناشی از استفاده از WEP کمک می‌کند. به عنوان مثال، یکی از بزرگترین مشکلات WEP ، عمر طولانی کلیدها و واقعیت عدم اشتراک آن‌ها در بسیاری از کاربران است و به خوبی شناخته شده است. با ۸۰۲.۱X   هر ایستگاه می‌تواند یک کلید WEP منحصر به فرد برای هر جلسه داشته باشد همچنین می‌تواند خیلی سریع کلید WEP را تغییر دهد، مانند یک بار در هر ۱۰ دقیقه یا هر ۱۰۰۰ فریم یکبار.

به عنوان مثال، یک authenticator ممکن است هیچگاه کلید دستی را برای هر متقاضی تغییر ندهد. یا ممکن است مدیر شبکه یک روش تأیید اعتبار را انتخاب کند که امکان توزیع کلیدهای WEP را ندارد. ۸۰۲.۱X ، با این وجود، به مدیر شبکه آگاه امکان طراحی و پیاده سازی WLAN امن تر را می‌دهد.

سرویس Port Security

این سرویس امنیتی موجب می‌شود که یک یا چند mac آدرس مشخص به یک پورت سوئیچ دسترسی داشته باشند.

روش های مختلفی برای معرفی آدرس های MAC  به سویچ وجود دارد که هم بصورت دستی و هم بصورت خودکار انجام می‌شود. با پیاده سازی این مکانیزم امنیتی دیگر هیچ کامپیوتر عادی که به پورت های شبکه شما متصل می‌شود نمی‎تواند از منابع شبکه شما استفاده کند، نوع برخورد با پورت های متفاوت نیز در این مکانیزم امنیتی قابل تعیین است.

DHCP Snooping

یکی از حملاتی که در شبکه و بر روی سویچ ها انجام می‌شود به نام DHCP Spoofing یا جعل DHCP  معروف است که در آن هکر کامپیوتر خود را به عنوان DHCP  سرور معتبر در شبکه معرفی می‌کند و با این روش می‌تواند آدرس DNS و Gateway  کلاینت ها را آدرس مد نظر خود قرار دهد و ترافیک عبوری از این آدرس ها را شنود کند. با استفاده از قابلیت DHCP Snooping سویچ های شما در شبکه صرفا به DHCP سروری اجازه فعالیت می‌دهند که برای آنها به عنوان سرور معتبر در نظر گرفته شده است و به سایر DHCP سرورها اجازه فعالیت نمی‌دهند. به این نوع فعالیت غیرمجاز DHCP ها در شبکه Rogue DHCP نیز می‌گویند.

IP Source Guard :

يکي از رايج ترين انواع حمله جعل نمودن آدرس IP مي‌باشد. حمله کننده مي تواند از آدرس هاي جعلي کاربران ديگر و يا آدرس هاي موجود در شبکه استفاده نمايد. اين نوع حملات معمولا براي حملات Denial-of-Service مورد استفاده قرار مي‌گيرند. با استفاده از اين مکانيزم، روترها و تجهيزات لايه 3 مي‌توانند با استفاده از برخي تست‌هاي ساده آدرس‌هاي IP جعلي را شناسايي نمايند. این مکانیزم امنیتی به همراه مکانیزم DHCP Snooping و به همکاری سرویس DHCP در شبکه کار می‌کند.

Dynamic ARP Inspection :

پروتکل ARP به هیچ عنوان با دید امنیتی طراحی و ایجاد نشده است و می‌توان آن را با استفاده از حمله ای به نام ARP Spoofing یا ARP Cache Poisoning مورد حمله قرار داد و سوء استفاده کرد. با استفاده از قابلیت Dynamic ARP Inspection دیگر امکان بروز حملاتی از این قبلی وجود نخواهد داشت، در ARP Spoofing هکر می‌تواند خود را در وسط مسیر تبادل اطلاعات قرار داده و خود را با استفاده از جعل ARP به عنوان یکی از طرفین ارتباط معرفی کند.

امن سازي عمليات STP :

به منظور جلوگيری از قرار دادن بسته های (BPDU) STP bridge protocol درون شبکه توسط حمله-کننده، لازم است قابليت BPDU Guard درون سوئيچ ها فعال گردد تا در صورت دريافت بسته BPDU مشکوک پورت سوئيچ به صورت اتوماتيک غيرفعال گردد.

به غیر از امکانات امنیتی ذکر شده در بالا، موارد امنيتی ديگری نيز وجود دارد که در جلوگيري از دسترسي غيرمجاز به تجهيزات و در نهايت شبکه داخلي سازمان بسيار مفيد مي‌باشند. اين موارد به شرح ذيل مي‌باشند:

Enable secret password –

استفاده از enable secret به جاي enable password، در حالت enable password رمز عبور Privileged Mode شما در حالت Clear text نمایش داده می‌شود اما اگر آن را به حالت Enable Secret در بیاورید با استفاده از الگوریتم Hashing ای به نام MD5 این رمز عبور بصورت رمزنگاری شده نگهداری و نمایش داده می‌شود.

service password-encryption –

با فعال نمودن اين سرويس تمامي password هاي ذخيره شده بر روي سوئيچ به صورت رمزگزاري شده ذخيره مي‌گردد.

امن سازي رابط تحت وب –

بسياري از مديران شبکه از دستورات سوئيچ براي مديريت شبکه استفاده مي‌نمايند. در اين حالت بايد اينترفيس تحت وب سوئيچ با دستور no ip http server غيرفعال گردد. چه لزومی دارد زمانیکه شما از یک سرویس استفاده نمی‌کنید آن سرویس فعال باشد؟ به این فرآیند Switch Hardening نیز می‌گویند.

امن سازي پورت console سوئيچ –

به منظور افزايش امنيت بهتر است Authentication بر روي تمامي پورت هاي کنسول سوئيچ ها فعال گردد.

استفاده از SSH–

استفاده از telnet آسان مي‌باشد ولي به دليل عدم رمزگذاري شدن اطلاعات ارتباط ناامن بوده و امکان استراق سمع username و password زياد مي‌باشد. در شرايطي که امکان برقراري ارتباط از طريق SSH مي‌باشد، بهتر است که از اين پروتکل استفاده شود.

کنترل دسترسي به تجهيزات با استفاده از SNMP –

به منظور جلوگيري از دسترسي غيرمجاز به تجهيزات يا استفاده از SNMP بايد دسترسي Read و Write توسط اين پروتکل تنها به تعداد معدودي آدرس IP مشخص محدود گردد.

غيرفعال نمودن پورت‌هاي بدون استفاده –

لازم است تا تمامي پورت‌هايي که مورد استفاده قرار نگرفتند غيرفعال گردند تا در دسترس کاربران غيرمجاز قرار نگيرند. این نیز جزوی از موارد Switch Hardening می‌باشد.