طراحی سایت و طراحی اپلیکیشن

  • شرکت سازه اطلاعات هوپاد
  • شرکت سازه اطلاعات هوپاد
  • شرکت سازه اطلاعات هوپاد
  • شرکت سازه اطلاعات هوپاد
  • شرکت سازه اطلاعات هوپاد



امنیت شبکه


هوپاد - ایمن سازی شبکه

امنیت شبکه

وقتی از امنیت شبکه صحبت می‌کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می‌توانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می‌آید، قضیه تا حدودی پیچیده می‌شود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که “حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟”

به این ترتیب انبوهی از این قبیل سوالات فکر شما را مشغول می‌کند و کم‌کم حس می‌کنید که تجربه کافی را ندارید.
پس اگر شما نیز چنین احساسی دارید و می‌خواهید یک استراتژی علمی – کاربردی داشته باشید، تا انتهای این مقاله هوپادمدیا را هم‌راهی کنید.


همیشه در امنیت شبکه موضوع لایه‌های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده‌ای فایروال را اولین لایه دفاعی می‌دانند، بعضی‌ها هم Access List را اولین لایه دفاعی می‌دانند، اما واقعیت این است که هیچکدام از این‌ها، اولین لایه دفاعی محسوب نمی‌شوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می‌شود و اگر بدون policy شروع به ایمن‌سازی شبکه کنید، محصول وحشتناکی از کار در می‌آید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می‌دانید که چه می‌خواهید و چه نمی‌خواهید، کار شروع می‌شود. حال باید پنج مرحله را پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارت‌اند از:

  1. Inspection (بازرسی)
  2. Protection (حفاظت)
  3. Detection (ردیابی)
  4. Reaction (واکنش)
  5. Reflection (بازتاب)

در طول مسیر ایمن‌سازی شبکه از این پنج مرحله عبور می‌کنیم، ضمن آن که این مسیر، احتیاج به یک  تیم امنیتی دارد و یک نفر به تنهایی نمی‌تواند این پروسه را طی‌کند.

مهم‌ترین مراحل ایمن‌سازی

۱- اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت‌های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است. مهم‌ترین قسمت‌هایی که باید authentication را ایمن و محکم کرد عبارتند از:

  • کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
  • کلمات عبور سوییچ و روترها (در این خصوص روی سوییچ تاکید بیشتری می‌شود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار می‌کند، اکثر مدیرهای شبکه از config کردن آن غافل می‌شوند. در حالی‌که توجه به این مهم می تواند امنیت شبکه را ارتقا دهد. لذا  به مدیران امنیتی توصیه می‌شود که حتما سوییچ و روترها را کنترل کنند).
  • کلمات عبور مربوط به SNMP.
  • کلمات عبور مربوط به پرینت سرور.
  • کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاس‌های امنیت شبکه در مورد Account and Password Security آموخته‌اید اینجاست که به کارتان می‌آید.

۲- گام دوم، نصب و به‌روزرسانی  آنتی ویروس‌ها روی همه کامپیوترها، سرورها و میل سرورها است. ضمن اینکه آنتی ویروس‌های مربوط به کاربران باید به صورت خودکار به‌روزرسانی شود و آموزش‌های لازم در مورد فایل‌های ضمیمه ایمیل‌ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.

۳ – گام سوم، شامل نصب آخرین وصله‌های امنیتی و به‌روزرسانی‌های امنیتی سیستم عامل و سرویس‌های موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ‌ها، روتر‌ها و دسک‌تاپ‌ها با ابزارهای شناسایی حفره‌های امنیتی بررسی می‌شوند تا علاوه بر شناسایی و رفع حفره‌های امنیتی، سرویس‌های غیرضروری هم شناسایی و غیرفعال بشوند.

۴- در این مرحله نوبت گروه‌بندی کاربران و اعطای مجوزهای لازم به فایل‌ها و دایرکتوری‌ها است. ضمن اینکه اعتبارهای (account) قدیمی هم باید غیرفعال شوند. گروه‌بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می‌شود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.

۵- حالا نوبت deviceها است که معمولا شامل روتر، سوییچ و فایروال می‌شود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژی‌هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می‌شود و به همین علت این مرحله از اهمیت بسیار بالایی برخوردار است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می‌تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه‌ها استفاده شده است.

۶- قدم بعد تعیین استراژی تهیه پشتیبان (backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.

۷- امنیت فیزیکی! در این خصوص اول از همه باید به سراغ UPSها رفت. باید چک کنیم که UPSها قدرت لازم برای تامین نیروی الکتریکی لازم جهت کارکرد صحیح سخت‌افزارهای اتاق سرور در زمان اضطراری را داشته باشند.
نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت، ایمنی در برابر سرقت و آتش‌سوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم‌های الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی می‌شود در این مرحله به کار می‌رود.

۸- امنیت وب‌سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت. به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور را چک و ایمن می‌کنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود. (هیچ‌گاه اسکریپت‌های سمت سرویس‌دهنده را فراموش نکنید)

۹ – اکنون نوبت بررسی، تنظیم و آزمایش سیستم‌های Auditing و Logging هست. این سیستم‌ها هم می‌تواند بر پایه host و هم بر پایه network باشد. سیستم‌های ردگیری و ثبت حملات هم در این مرحله نصب و تنظیم می‌شوند. باید مطمئن شویم که تمام اطلاعات لازم ثبت و به خوبی محافظت می‌شود. در ضمن ساعت و تاریخ سیستم‌ها درست باشد، چرا که در غیر این صورت کلیه اقدام‌های قبلی از بین رفته و امکان پیگیری‌های قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.

۱۰- ایمن کردن Remote Access با پروتکل و تکنولوژی‌های ایمن و Secure گام بعدی محسوب می‌شود. در این زمینه با توجه به شرایط و امکانات، ایمن‌ترین پروتکل و تکنولوژی‌ها را باید به خدمت گرفت.

۱۱ – نصب فایروال‌های شخصی در سطح hostها، لایه امنیتی مضاعفی به شبکه شما می‌دهد. پس این مرحله را نیز نباید فراموش کرد.

۱۲ – شرایط بازیابی در حالت‌های اضطراری را حتما چک و بهینه کنید. این حالت‌ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی (زلزله – آتش سوزی – ضربه خوردن – سرقت – سیل) و خرابکاری ناشی از نفوذ هکرها است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.

به خاطر داشته باشید که ” همیشه در دسترس بودن اطلاعات “، جز، قوانین اصلی امنیتی هست.

۱۳- و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی‌ست، عضو شدن در سایت‌ها و بولتن‌های امنیتی و آگاهی از آخرین اخبار امنیتی است.

امنیت شبکه

امنیت شبکه مبحث بسیار داغ شبکه‌های امروزی است. با افزایش ارتباطات اینترنتی و اجرای حجم زیادی از عملیات تجاری از این طریق، امنیت شبکه بسیار حائز اهمیت می‌باشد.

از جمله مهم‌ترین مسائلی که در طراحی سیستم امنیتی شبکه مد نظر است، می‌توان به موارد زیر اشاره کرد:

  • تعیین منابع شبکه که حفظ آنها اهمیت دارد.
  • بررسی ریسک‌ها و تهدیدات شبکه.
  • بررسی نیازهای امنیتی شبکه.
  • ایجاد یک طرح امنیتی.
  • تعریف سیاست‌های امنیتی شبکه.
  • تعریف روش‌هایی برای اعمال سیاست‌های امنیتی (آئین‌نامه‌های امنیتی).
  • تعریف یک استراتژی فنی.
  • دریافت Feedback از کاربران, مدیران و پرسنل فنی.
  • آموزش پرسنل.
  • اعمال استراتژی فنی در پروسه‌های امنیتی.
  • آزمون امنیتی و رفع مشکلات موجود.
  • نظارت بر امنیت با بازرسی‌های مرتب.
منابع حساس شبکه که حفاظت آن‌ها جزء اهداف امنیتی شبکه می‌باشد شامل نودهای شبکه (سیستم عامل, برنامه‌های کاربردی, داده‌ها) تجهیزات ارتباطی (routerها, سوئیچ‌ها) و داده‌هایی که در شبکه حرکت می‌کنند می‌باشد. تهدیداتی که برای این منابع خطر ایجاد می‌کنند از کاربرانی که بصورت غیر مجاز وارد شبکه می‌شوند و قصد خرابکاری دارند تا پرسنل بی‌تجربه‌ای که از طریق اینترنت ویروس وارد سیستم می‌کنند می‌تواند باشد.
یک ضرب‌المثل قدیمی در مورد مسائل امنیتی می‌گوید هزینه‌ای که صرف ایمن‌سازی می‌شود باید کمتر از قیمت کالای مربوطه باشد, این مطلب در شبکه هم مصداق دارد. ایمن‌سازی شبکه برروی اهداف فنی شبکه مانند راندمان, قابلیت دسترسی و غیره تاثیر خواهد گذاشت. پس باید موازنه‌ای بین مقدار ایمنی مورد نیاز و هزینه‌ای که برای آن می‌شود ایجاد گردد.

عملیاتی که باعث افزایش ایمنی شبکه می‌شوند مانند فیلتر کردن Packetها و یا رمز کردن داده‌ها باعث مصرف توان CPU و استفاده زیاد از حافظه تجهیزات خواهد شد.

رمز کردن داده‌ها تا ۱۵ درصد توان CPU را کاهش می دهد. ایمن‌سازی ضریب اطمینان ارتباطات شبکه را نیز کاهش می‌دهد. در صورتیکه رمز کردن داده‌ها مد نظر باشد باید همه داده‌ها از یک نقطه که عملیات رمز در آن انجام می‌شود عبور کنند.

این به معنی وجود یک نقطه حساس (Single Point Of Failure) در شبکه است که در صورت بروز مشکل برای آن، کل شبکه از کار می‌افتد و بدین ترتیب ضریب اطمینان شبکه کاهش می‌یابد.
یکی از اولین گام‌ها در طراحی سیستم امنیتی، ایجاد طرح امنیتی است.

طرح امنیتی یک سند سطح بالاست که نیازهای امنیتی را بیان می‌کند. در این طرح زمان، افراد و سایر منابعی که برای ایجاد سیاست امنیتی مورد نیاز می‌باشند تعریف می‌شود. سیاست امنیتی به کاربران، مدیران و پرسنل فنی اعلام می‌کند برای حفاظت از منابع اطلاعاتی و تکنولوژیکی چه مسائلی باید رعایت شود.

با توجه به تغییرات سازمان‌ها که بصورت مستمر انجام می‌پذیرد، سیاست‌های امنیتی نیز باید تغییر کنند. پس سیاست امنیتی یک مستند پویا و زنده است که متناسب با شرایط زمانی تغییر می‌کند.

اجزای تشکیل دهنده یک سیاست امنیتی به شرح ذیل می باشد:

  • سیاست‌های دسترسی که مجوزها و سطوح دسترسی و اختیارات افراد مختلف را بیان می‌کند.
  • سیاست‌های عملیاتی که به تعریف مسئولیت کاربران، پرسنل عملیاتی و مدیریت می‌پردازد. در این سیاست‌ها باید قابلیت نظارت بر مسائل امنیتی تعریف شود و توصیه‌هایی برای چگونگی گزارش‌دهی در هنگام بروز مشکل پیش‌بینی شود.
  • سیاست‌های شناسایی که به تشخیص کاربران در هنگام ورود به شبکه می‌پردازد. کلمات رمز و ID از این جمله می‌باشند.
  • توصیه‌هایی برای چگونگی خرید تجهیزات مربوطه به سیستم‌های امنیتی.

آئین‌نامه‌های امنیتی برای اعمال سیاستهای امنیتی می‌باشند. آئین‌نامه به تعریف مکانیزم‌های تنظیم‌‌های امنیتی، چگونگی ورود به شبکه، نظارت بر مسائل ایمنی و غیره می‌پردازد. این آئین‌نامه‌ها باید برای مدیران شبکه، کاربران و مدیران امنیتی نوشته شود. در این آئین‌نامه‌ها نحوه برخورد هنگام مواجهه با تهدیدات امنیتی مشخص می‌شود.

عمده‌ترین مکانیزم‌های  امنیتی که جهت امنیت در شبکه مورد استفاده قرار می‌گیرند عبارتند از:
Authentication, Authorization, Auditing, Data Encryption



محصولات


طراحی سایت و اپلیکیشن موبایل