NFP یا Network Foundation Protection چارچوبی امنیتی است که توسط سیسکو طراحی شده است تا به طور منطقی کارکردهایی که در شبکه اتفاق میافتد را گروهبندی کند، در این چارچوب تعدادی از تکنیکها و روشهای ایمنسازی روترها و سوئیچ را با هم ترکیب کرده تا از حملات جلوگیری کنیم.
NFP شامل سه قسمت مجزا است که در زیر آنها را بررسی میکنیم:
Management plane
به پروتکلها و ترافیکهایی که مدیر شبکه برای متصل شدن به دستگاههای شبکه ایجاد میکند را Management Plane گفته میشود که این ترافیک میتواند SSH یا Telnet باشد که مدیر شبکه میخواهد از راه دور به دستگاههای شبکه متصل شود، البته یک خرابی در Management Plane باعث میشود دیگر نتوانیم از راه دور به دستگاهها دسترسیی داشته باشیم، به خاطر همین حفظ امنیت آن بسیار مهم است.
Control plane
در این قسمت پروتکلهای که بین دستگاههای شبکه ردو بدل میشود مورد بررسی قرار میگیرد مانند پیامهای ARP یا ارسال لیست همسایگی در روترها که برای بروزرسانی روترهای مسیریابی استفاده میشود اگر خطا یا اتفاقی در این گروه اتفاق بیفتد دستگاهها توانایی به اشتراک گذاشتن و یادگیری را از دست خواهند داد.
Data plane
به ترافیکی اشاره دارد که توسط کاربر نهایی ایجاد شده است، مثلاً ترافیکی کاربری که یک صفحه را در حال مشاهده است.
وابستگی متقابل
توجه داشته باشید که این سه قسمت با هم در ارتباط هستند، مثلاً اگر در قسمت Control plane خرابی ایجاد شود و ارتباط بین روترها قطع شود مطمئناً در قسمت Data plane ارتباط کاربر با سرور یا وب سایت مورد نظر قطع خواهد شد.
در جدول زیر اقدامات امنیتی را که میتوانیم در هر سه گروه انجام دهیم را مشاهده میکنید:
نام Plane | تمهیدات امنیتی | اهداف حفاظت |
Management plane | Authentication, authorization, accounting (AAA) | محافظت از پروتکل NTP با استفاده از Authentication، استفاده از پروتکلهای رمز نگاری شده SSH / TLS برای ارتباط از راه دور و … |
Authenticated Network Time Protocol (NTP) | ||
Secure Shell (SSH) | ||
Secure Sockets Layer/Transport Layer Security (SSL/TLS) | ||
Protected syslog | ||
Simple Network Management Protocol Version 3 (SNMPv3) | ||
Parser views | ||
Control Plane | Control Plane Policing (CoPP) | به روزرسانی پروتکلهای مسیریابی و استفاده از Authentication در آن، که این کار باعث میشود مهاجم نتواند جدول مسیریابی را دستیابی کند |
Control Plane Protection (CPPr) | ||
Authenticated routing protocol updates | ||
Data plane | Access control lists (ACL) | استفاده از Access List برای محدود کردن ترافیک به ترافیکهای خاص، استفاده از سیستمهای شناسایی IPS و به کارگیری zone-base Firewall و ایجاد امنیت در پروتکل STP |
IOS IPS, zone-based firewall | ||
Layer 2 controls, such as private VLANs, Spanning Tree Protocol (STP) guards |
در ادامه کار هر سه قسمت DATA plane، Management Plane و Control plane را به طور کامل با هم بررسی میکنیم تا دقیقاً اجزا و نحوه کانفیگ انها مشخص شود.