امنیت شبکه
وقتی از امنیت شبکه صحبت میکنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی میتوانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان میآید، قضیه تا حدودی پیچیده میشود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که “حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟” به این ترتیب انبوهی از این قبیل سوالات فکر شما را مشغول میکند و کمکم حس میکنید که تجربه کافی را ندارید.
پس اگر شما نیز چنین احساسی دارید و میخواهید یک استراتژی علمی – کاربردی داشته باشید، تا انتهای این مقاله نوکارتو را همراهی کنید.
همیشه در امنیت شبکه موضوع لایههای دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عدهای فایروال را اولین لایه دفاعی میدانند، بعضیها هم Access List را اولین لایه دفاعی میدانند، اما واقعیت این است که هیچکدام از اینها، اولین لایه دفاعی محسوب نمیشوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی میشود و اگر بدون policy شروع به ایمنسازی شبکه کنید، محصول وحشتناکی از کار در میآید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا میدانید که چه میخواهید و چه نمیخواهید، کار شروع میشود. حال باید پنج مرحله را پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارتاند از:
- Inspection (بازرسی)
- Protection (حفاظت)
- Detection (ردیابی)
- Reaction (واکنش)
- Reflection (بازتاب)
در طول مسیر ایمنسازی شبکه از این پنج مرحله عبور میکنیم، ضمن آن که این مسیر، احتیاج به یک تیم امنیتی دارد و یک نفر به تنهایی نمیتواند این پروسه را طیکند.
مهمترین مراحل ایمنسازی
۱- اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیتهای (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است. مهمترین قسمتهایی که باید authentication را ایمن و محکم کرد عبارتند از:
- کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
- کلمات عبور سوییچ و روترها (در این خصوص روی سوییچ تاکید بیشتری میشود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار میکند، اکثر مدیرهای شبکه از config کردن آن غافل میشوند. در حالیکه توجه به این مهم می تواند امنیت شبکه را ارتقا دهد. لذا به مدیران امنیتی توصیه میشود که حتما سوییچ و روترها را کنترل کنند).
- کلمات عبور مربوط به SNMP.
- کلمات عبور مربوط به پرینت سرور.
- کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security آموختهاید اینجاست که به کارتان میآید.
۲- گام دوم، نصب و بهروزرسانی آنتی ویروسها روی همه کامپیوترها، سرورها و میل سرورها است. ضمن اینکه آنتی ویروسهای مربوط به کاربران باید به صورت خودکار بهروزرسانی شود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیلها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.
۳ – گام سوم، شامل نصب آخرین وصلههای امنیتی و بهروزرسانیهای امنیتی سیستم عامل و سرویسهای موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچها، روترها و دسکتاپها با ابزارهای شناسایی حفرههای امنیتی بررسی میشوند تا علاوه بر شناسایی و رفع حفرههای امنیتی، سرویسهای غیرضروری هم شناسایی و غیرفعال بشوند.
۴- در این مرحله نوبت گروهبندی کاربران و اعطای مجوزهای لازم به فایلها و دایرکتوریها است. ضمن اینکه اعتبارهای (account) قدیمی هم باید غیرفعال شوند. گروهبندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام میشود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.
۵- حالا نوبت deviceها است که معمولا شامل روتر، سوییچ و فایروال میشود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژیهایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح میشود و به همین علت این مرحله از اهمیت بسیار بالایی برخوردار است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز میتواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکهها استفاده شده است.
۶- قدم بعد تعیین استراژی تهیه پشتیبان (backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.
۷- امنیت فیزیکی! در این خصوص اول از همه باید به سراغ UPSها رفت. باید چک کنیم که UPSها قدرت لازم برای تامین نیروی الکتریکی لازم جهت کارکرد صحیح سختافزارهای اتاق سرور در زمان اضطراری را داشته باشند.
نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت، ایمنی در برابر سرقت و آتشسوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستمهای الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی میشود در این مرحله به کار میرود.
۸- امنیت وبسرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت. به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور را چک و ایمن میکنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود. (هیچگاه اسکریپتهای سمت سرویسدهنده را فراموش نکنید)
۹ – اکنون نوبت بررسی، تنظیم و آزمایش سیستمهای Auditing و Logging هست. این سیستمها هم میتواند بر پایه host و هم بر پایه network باشد. سیستمهای ردگیری و ثبت حملات هم در این مرحله نصب و تنظیم میشوند. باید مطمئن شویم که تمام اطلاعات لازم ثبت و به خوبی محافظت میشود. در ضمن ساعت و تاریخ سیستمها درست باشد، چرا که در غیر این صورت کلیه اقدامهای قبلی از بین رفته و امکان پیگیریهای قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.
۱۰- ایمن کردن Remote Access با پروتکل و تکنولوژیهای ایمن و Secure گام بعدی محسوب میشود. در این زمینه با توجه به شرایط و امکانات، ایمنترین پروتکل و تکنولوژیها را باید به خدمت گرفت.
۱۱ – نصب فایروالهای شخصی در سطح hostها، لایه امنیتی مضاعفی به شبکه شما میدهد. پس این مرحله را نیز نباید فراموش کرد.
۱۲ – شرایط بازیابی در حالتهای اضطراری را حتما چک و بهینه کنید. این حالتها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی (زلزله – آتش سوزی – ضربه خوردن – سرقت – سیل) و خرابکاری ناشی از نفوذ هکرها است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
به خاطر داشته باشید که ” همیشه در دسترس بودن اطلاعات “، جز، قوانین اصلی امنیتی هست.
۱۳- و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگیست، عضو شدن در سایتها و بولتنهای امنیتی و آگاهی از آخرین اخبار امنیتی است.
امنیت شبکه
امنیت شبکه مبحث بسیار داغ شبکههای امروزی است. با افزایش ارتباطات اینترنتی و اجرای حجم زیادی از عملیات تجاری از این طریق، امنیت شبکه بسیار حائز اهمیت میباشد.
از جمله مهمترین مسائلی که در طراحی سیستم امنیتی شبکه مد نظر است، میتوان به موارد زیر اشاره کرد:
- تعیین منابع شبکه که حفظ آنها اهمیت دارد.
- بررسی ریسکها و تهدیدات شبکه.
- بررسی نیازهای امنیتی شبکه.
- ایجاد یک طرح امنیتی.
- تعریف سیاستهای امنیتی شبکه.
- تعریف روشهایی برای اعمال سیاستهای امنیتی (آئیننامههای امنیتی).
- تعریف یک استراتژی فنی.
- دریافت Feedback از کاربران, مدیران و پرسنل فنی.
- آموزش پرسنل.
- اعمال استراتژی فنی در پروسههای امنیتی.
- آزمون امنیتی و رفع مشکلات موجود.
- نظارت بر امنیت با بازرسیهای مرتب.
منابع حساس شبکه که حفاظت آنها جزء اهداف امنیتی شبکه میباشد شامل نودهای شبکه (سیستم عامل, برنامههای کاربردی, دادهها) تجهیزات ارتباطی (routerها, سوئیچها) و دادههایی که در شبکه حرکت میکنند میباشد. تهدیداتی که برای این منابع خطر ایجاد میکنند از کاربرانی که بصورت غیر مجاز وارد شبکه میشوند و قصد خرابکاری دارند تا پرسنل بیتجربهای که از طریق اینترنت ویروس وارد سیستم میکنند میتواند باشد.
یک ضربالمثل قدیمی در مورد مسائل امنیتی میگوید هزینهای که صرف ایمنسازی میشود باید کمتر از قیمت کالای مربوطه باشد, این مطلب در شبکه هم مصداق دارد. ایمنسازی شبکه برروی اهداف فنی شبکه مانند راندمان, قابلیت دسترسی و غیره تاثیر خواهد گذاشت. پس باید موازنهای بین مقدار ایمنی مورد نیاز و هزینهای که برای آن میشود ایجاد گردد.
عملیاتی که باعث افزایش ایمنی شبکه میشوند مانند فیلتر کردن Packetها و یا رمز کردن دادهها باعث مصرف توان CPU و استفاده زیاد از حافظه تجهیزات خواهد شد. رمز کردن دادهها تا ۱۵ درصد توان CPU را کاهش می دهد. ایمنسازی ضریب اطمینان ارتباطات شبکه را نیز کاهش میدهد. در صورتیکه رمز کردن دادهها مد نظر باشد باید همه دادهها از یک نقطه که عملیات رمز در آن انجام میشود عبور کنند. این به معنی وجود یک نقطه حساس (Single Point Of Failure) در شبکه است که در صورت بروز مشکل برای آن، کل شبکه از کار میافتد و بدین ترتیب ضریب اطمینان شبکه کاهش مییابد.
یکی از اولین گامها در طراحی سیستم امنیتی، ایجاد طرح امنیتی است. طرح امنیتی یک سند سطح بالاست که نیازهای امنیتی را بیان میکند. در این طرح زمان، افراد و سایر منابعی که برای ایجاد سیاست امنیتی مورد نیاز میباشند تعریف میشود. سیاست امنیتی به کاربران، مدیران و پرسنل فنی اعلام میکند برای حفاظت از منابع اطلاعاتی و تکنولوژیکی چه مسائلی باید رعایت شود. با توجه به تغییرات سازمانها که بصورت مستمر انجام میپذیرد، سیاستهای امنیتی نیز باید تغییر کنند. پس سیاست امنیتی یک مستند پویا و زنده است که متناسب با شرایط زمانی تغییر میکند.
اجزای تشکیل دهنده یک سیاست امنیتی به شرح ذیل می باشد:
- سیاستهای دسترسی که مجوزها و سطوح دسترسی و اختیارات افراد مختلف را بیان میکند.
- سیاستهای عملیاتی که به تعریف مسئولیت کاربران، پرسنل عملیاتی و مدیریت میپردازد. در این سیاستها باید قابلیت نظارت بر مسائل امنیتی تعریف شود و توصیههایی برای چگونگی گزارشدهی در هنگام بروز مشکل پیشبینی شود.
- سیاستهای شناسایی که به تشخیص کاربران در هنگام ورود به شبکه میپردازد. کلمات رمز و ID از این جمله میباشند.
- توصیههایی برای چگونگی خرید تجهیزات مربوطه به سیستمهای امنیتی.
آئیننامههای امنیتی برای اعمال سیاستهای امنیتی میباشند. آئیننامه به تعریف مکانیزمهای تنظیمهای امنیتی، چگونگی ورود به شبکه، نظارت بر مسائل ایمنی و غیره میپردازد. این آئیننامهها باید برای مدیران شبکه، کاربران و مدیران امنیتی نوشته شود. در این آئیننامهها نحوه برخورد هنگام مواجهه با تهدیدات امنیتی مشخص میشود.
عمدهترین مکانیزمهای امنیتی که جهت امنیت در شبکه مورد استفاده قرار میگیرند عبارتند از:
Authentication, Authorization, Auditing, Data Encryption
برای مطالعه مقاله های دیگر در زمینههای مختلف فناوری اطلاعات و ارتباطات اینجا کلیک کنید.
nokarto 
nokarto 
nokarto 
nokarto 
nokarto 
nokarto 
nokarto 
سلام و سپاس از نقطه نظرات شما
خیر در حال حاضر امکان ثبت رپورتاژ در نوکارتو وجود نداره
سلام و سپاس از نقطه نظر شما
بله در خدمتتون هستیم