تکنیک‌های کلیدی سخت‌سازی امنیت شبکه

۱. ایمن‌سازی پروتکل SNMP

• فقط از SNMPv3 استفاده کنید (نسخه‌های قدیمی قابل شنود و دستکاری هستند)
• احراز هویت و رمزنگاری با مدل‌های TSM یا USM فعال گردد

۲. محافظت IPv6 با RA Guard

• برای جلوگیری از پیام‌های جعلی Router Advertisement (RA) از RA Guard استفاده کنید
• فقط پیام‌های معتبر RA عبور داده شوند

۳. امنیت پورت

• اتصال فقط به MAC Address های مجاز محدود شود
• پورت‌های غیرفعال را ببندید تا از اتصال دستگاه‌های ناشناس جلوگیری شود

۴. شناسایی ARP جعلی با DAI

• با فعال‌سازی DHCP Snooping و Dynamic ARP Inspection، نگاشت IP به MAC اعتبارسنجی شده و فریم‌های جعلی حذف می‌شوند

۵. استفاده از VLANهای خصوصی

• با استفاده از VLANهای Community و Isolated، جداسازی منطقی بین دستگاه‌ها ایجاد کنید
• کنترل ترافیک بین کلاینت‌ها در همان Subnet امکان‌پذیر می‌شود

۶. غیر فعال‌سازی سرویس‌ها و پورت‌های غیر ضروری

• سرویس‌های قدیمی مثل Telnet یا SNMPv1/v2 را ببندید
• سطح حمله و احتمال سوء‌استفاده کاهش می‌یابد

۷. مدیریت رمز عبور و حساب‌های پیش‌فرض

• حساب‌های پیش‌فرض را غیرفعال یا نام‌گذاری مجدد کنید
• سیاست رمز قوی با حداقل ۸ کاراکتر و ترکیبی از حروف، عدد و نماد اعمال شود

۸. ممیزی امنیتی

• بررسی فیزیکی محیط، آموزش کاربران و بررسی سیاست‌ها انجام شود
• انحراف‌ها شناسایی و اصلاح شوند

۹. فعال‌سازی DHCP Snooping

• سرورهای جعلی DHCP شناسایی و مسدود شوند
• پورت‌های قابل‌اعتماد مشخص و جدول Binding ساخته شود

۱۰. تغییر VLAN پیش‌فرض

• پورت‌ها به VLAN غیر‌پیش‌فرض منتقل شوند (مثلاً VLAN10)
• از سوء‌استفاده از VLAN1 جلوگیری گردد

۱۱. به‌روزرسانی فریمور و درایورها

• آپدیت‌ها به‌صورت منظم نصب شوند
• ابتدا در محیط آزمایشی تست شوند

۱۲. تنظیم ACL و RBAC

• لیست‌های کنترل دسترسی بر اساس IP برای ترافیک ورودی و خروجی تعریف شود
• دسترسی‌ها بر اساس نقش‌های سازمانی محدود شود

۱۳. تنظیم قوانین فایروال

• فقط ترافیک مجاز اجازه عبور داشته باشد (deny ضمنی)
• قوانین دقیق و به‌روزرسانی‌شده اعمال شوند

۱۴. امنیت شبکه بی‌سیم

• فیلتر MAC برای شبکه‌های کوچک
• ایزوله‌سازی کلاینت‌ها و کاربران مهمان
• کاهش توان انتشار و استفاده از آنتن جهت‌دار
• استفاده از PSK قوی یا EAP-TLS با گواهی دیجیتال و RADIUS Server

۱۵. ملاحظات امنیتی IoT

• دستگاه‌های IoT در VLAN مجزا قرار گیرند
• نظارت با IDS/IPS برای تشخیص و پیشگیری از بات‌نت‌ها و حملات IoT

📋 جدول مرور سریع سخت‌سازی

تکنیک	هدف اصلی	اقدام پیشنهادی
SNMPv3	رمزنگاری ارتباط مدیریتی	فعال‌سازی TSM/USM
RA Guard	جلوگیری از تبلیغات IPv6 جعلی	فیلتر پیام‌های RA
امنیت پورت	محدودیت دسترسی پورت	قفل MAC، غیرفعال‌سازی پورت‌ها
ARP Inspection	جلوگیری از حملات ARP جعلی	فعال‌سازی DHCP Snooping و DAI
VLANهای خصوصی	جداسازی منطقی دستگاه‌ها	تنظیم VLAN Community/Isolated
DHCP Snooping	جلوگیری از DHCP جعلی	پورت‌های قابل‌اعتماد + جدول Binding
ACL / RBAC	کنترل ترافیک و دسترسی‌ها	قوانین IP و نقش‌های محدود
امنیت بی‌سیم	ایمن‌سازی اتصال وای‌فای	PSK قوی، EAP، MAC و ایزوله‌سازی
امنیت IoT	جداسازی و نظارت بر IoT	VLAN اختصاصی + IDS/IPS