LogoENEnglish

بخشی از مجموعه

مفاهیم، انواع و معماری‌های شبکه‌های کامپیوتری

~2 دقیقه مطالعه • بروزرسانی ۱۳ مرداد ۱۴۰۴

۱. ایمن‌سازی پروتکل SNMP


  • فقط از SNMPv3 استفاده کنید (نسخه‌های قدیمی قابل شنود و دستکاری هستند)
  • احراز هویت و رمزنگاری با مدل‌های TSM یا USM فعال گردد

۲. محافظت IPv6 با RA Guard


  • برای جلوگیری از پیام‌های جعلی Router Advertisement (RA) از RA Guard استفاده کنید
  • فقط پیام‌های معتبر RA عبور داده شوند

۳. امنیت پورت


  • اتصال فقط به MAC Address های مجاز محدود شود
  • پورت‌های غیرفعال را ببندید تا از اتصال دستگاه‌های ناشناس جلوگیری شود

۴. شناسایی ARP جعلی با DAI


  • با فعال‌سازی DHCP Snooping و Dynamic ARP Inspection، نگاشت IP به MAC اعتبارسنجی شده و فریم‌های جعلی حذف می‌شوند

۵. استفاده از VLANهای خصوصی


  • با استفاده از VLANهای Community و Isolated، جداسازی منطقی بین دستگاه‌ها ایجاد کنید
  • کنترل ترافیک بین کلاینت‌ها در همان Subnet امکان‌پذیر می‌شود

۶. غیر فعال‌سازی سرویس‌ها و پورت‌های غیر ضروری


  • سرویس‌های قدیمی مثل Telnet یا SNMPv1/v2 را ببندید
  • سطح حمله و احتمال سوء‌استفاده کاهش می‌یابد

۷. مدیریت رمز عبور و حساب‌های پیش‌فرض


  • حساب‌های پیش‌فرض را غیرفعال یا نام‌گذاری مجدد کنید
  • سیاست رمز قوی با حداقل ۸ کاراکتر و ترکیبی از حروف، عدد و نماد اعمال شود

۸. ممیزی امنیتی


  • بررسی فیزیکی محیط، آموزش کاربران و بررسی سیاست‌ها انجام شود
  • انحراف‌ها شناسایی و اصلاح شوند

۹. فعال‌سازی DHCP Snooping


  • سرورهای جعلی DHCP شناسایی و مسدود شوند
  • پورت‌های قابل‌اعتماد مشخص و جدول Binding ساخته شود

۱۰. تغییر VLAN پیش‌فرض


  • پورت‌ها به VLAN غیر‌پیش‌فرض منتقل شوند (مثلاً VLAN10)
  • از سوء‌استفاده از VLAN1 جلوگیری گردد

۱۱. به‌روزرسانی فریمور و درایورها


  • آپدیت‌ها به‌صورت منظم نصب شوند
  • ابتدا در محیط آزمایشی تست شوند

۱۲. تنظیم ACL و RBAC


  • لیست‌های کنترل دسترسی بر اساس IP برای ترافیک ورودی و خروجی تعریف شود
  • دسترسی‌ها بر اساس نقش‌های سازمانی محدود شود

۱۳. تنظیم قوانین فایروال


  • فقط ترافیک مجاز اجازه عبور داشته باشد (deny ضمنی)
  • قوانین دقیق و به‌روزرسانی‌شده اعمال شوند

۱۴. امنیت شبکه بی‌سیم


  • فیلتر MAC برای شبکه‌های کوچک
  • ایزوله‌سازی کلاینت‌ها و کاربران مهمان
  • کاهش توان انتشار و استفاده از آنتن جهت‌دار
  • استفاده از PSK قوی یا EAP-TLS با گواهی دیجیتال و RADIUS Server

۱۵. ملاحظات امنیتی IoT


  • دستگاه‌های IoT در VLAN مجزا قرار گیرند
  • نظارت با IDS/IPS برای تشخیص و پیشگیری از بات‌نت‌ها و حملات IoT

📋 جدول مرور سریع سخت‌سازی


تکنیکهدف اصلیاقدام پیشنهادی
SNMPv3رمزنگاری ارتباط مدیریتیفعال‌سازی TSM/USM
RA Guardجلوگیری از تبلیغات IPv6 جعلیفیلتر پیام‌های RA
امنیت پورتمحدودیت دسترسی پورتقفل MAC، غیرفعال‌سازی پورت‌ها
ARP Inspectionجلوگیری از حملات ARP جعلیفعال‌سازی DHCP Snooping و DAI
VLANهای خصوصیجداسازی منطقی دستگاه‌هاتنظیم VLAN Community/Isolated
DHCP Snoopingجلوگیری از DHCP جعلیپورت‌های قابل‌اعتماد + جدول Binding
ACL / RBACکنترل ترافیک و دسترسی‌هاقوانین IP و نقش‌های محدود
امنیت بی‌سیمایمن‌سازی اتصال وای‌فایPSK قوی، EAP، MAC و ایزوله‌سازی
امنیت IoTجداسازی و نظارت بر IoTVLAN اختصاصی + IDS/IPS

نوشته و پژوهش شده توسط دکتر شاهین صیامی

مقاله بعدی