اصول امنيت برنامه های وب (بخش پنجم)
آنچه تاكنون گفته شده است :

در اين بخش به بررسی سوئيچ ، نكات ايمنی بكارگيری آن و جمع بندی لايه شبكه خواهيم پرداخت .

سوئيچ و نكات ايمنی در ارتباط با آن
سوئيچ مسئول فورواردينگ بسته های اطلاعاتی به يك هاست و يا سگمنت شبكه است ( در مقابل اشتراك داده در تمامی شبكه ) . بنابراين سوئيچ ، ترافيك بين سگمنت های متفاوت شبكه را به اشتراك نمی گذارد . رويكرد فوق باعث پيشگيری packet sniffing  بين  شبكه های مختلف می گردد .
يك مهاجم با دستيابی به اينترفيس های مديريتی سوئيچ ،  استفاده از اسامی شناخته شده  نام و رمز عبور ، بسته های اطلاعاتی SNMP ( برگرفته شده از  Simple Network Management Protocol ) ،  قادر به پيكربندی مجدد  سوئيچ و تغيير قوانين تعريف شده می باشد.
برای نصب و  پيكربندی سوئيچ با رعايت نكات ايمنی می بايست اقدامات متعددی را در هر يك از گروه های زير انجام داد : 

• بهنگام سازی و نصب patches
• شبكه های محلی مجازی ( VLAN )
• پيش فرض های غيرايمن
• سرويس ها
• رمزنگاری

 بهنگام سازی و نصب patches
با عضويت در خبرنامه شركت هائی كه از محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری اطلاعات استفاده شده است ،‌ می توان به سرعت از توصيه های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد ، اقدام به نصب نهائی آنها در محيط واقعی نمائيد . 

شبكه های محلی مجازی ( VLAN )
با استفاده از شبكه های محلی مجازی می توان سگمنت های شبكه را از يكديگر تفكيك و برای هر يك از آنها قوانين دستيابی بر اساس سياست های امنيتی مختص به خود را تعريف كرد . توجه داشته باشيد كه يك VLAN كارآئی شبكه را بهبود می بخشد ولی الزاما" امنيت را ارائه نخواهد كرد . با محدود سازی استفاده از VLANs برای شبكه perimeter ( پشت فايروال ) ، امكان استفاده تعداد زيادی از اينترفيس های غيرايمن موجود توسط مهاجمان سلب می گردد . 

پيش فرض های غيرايمن
برای اطمينان از اين موضوع كه پيش فرض های غيرايمن ، ايمن می باشند می بايست تمامی رمز های عبور و رشته های SNMP Community كه در شركت توليد كننده تعريف  و مقداردهی شده اند را در اولين فرصت تغيير داد . همچنين لازم است كه تمامی اسامی و رمز عبور مستند نشده را شناسائی و نسبت به تغيير آنها اقدام نمود . اين نوع اسامی و رمز عبور ، اغلب بر روی سوئيچ های معروف و شناخته شده تعريف و تنظيم می گردند و مهاجمان از وجود آنها به خوبی آگاه هستند .

سرويس ها
تمامی سرويس های غيرضروری را می بايست غيرفعال كرد . همچنين لازم است از غيرفعال بودن پروتكل TFTP ( برگرفته شده از Trivial File Transfer Protocol  ) ، پيكربندی ليست های دستيابی برای اعمال محدوديت در پيكربندی ، اطمينان حاصل كرد .

رمز نگاری
با اين كه بطور سنتی رمزنگاری در سوئيچ پيش بينی نشده است ولی با رمزنگاری داده ئی‌ كه بر روی محيط انتقال حركت می نمايد ، اين اطمينان ايجاد می گردد كه امكان كاوش و استخراج داده موجود در هر يك از بسته های اطلاعاتی توسط مهاجمان وجود نخواهد داشت .

 خلاصه
در اين مطلب به مسائل امنيتی مرتبط با سوئيچ اشاره گرديد . برای پيكربندی ايمن سوئيچ ، اقدامات متعددی را می بايست انجام داد .

• نصب آخرين patch و نسخه های بهنگام شده 

• عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

• ايمن سازی اينترفيس های مديريتی

• غيرفعال كردن اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .

• غيرفعال كردن سرويس هائی كه از آنها استفاده نمی گردد .

جمع بندی ايمن سازی شبكه
امنيت شبكه ، شامل حفاظت دستگاه های شبكه ای و داده ئی است كه توسط هر يك از دستگاه های فوق در شبكه ارسال می گردد ، با اين هدف  كه امنيت سرويس دهندگان در شبكه افزايش يابد .  روتر ،‌سوئيچ و فايروال مهمترين عناصر موجود در زير ساخت يك شبكه می باشند كه می بايست نصب و پيكربندی آنها با رعايت نكات ايمنی انجام شود . 
در طی پنج مقاله به مهمترين تهديدات موجود در زيرساخت شبكه اشاره و به برخی از  توصيه ها در خصوص بكارگيری ايمن روتر ،‌ سوئيچ و فايروال اشاره گرديد .
جدول 1 خلاصه اقدامات لازم جهت ايمن سازی شبكه را نشان می دهد .