دانلود مقاله امنیت شبکه

امنیت شبکه:
وقتی از امنیت شبکه صحبت می کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درک باشند.

اما وقتی صحبت کار عملی به میان می آید، قضیه تا حدودی پیچیده می شود.

ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که حالا باید از کجا شروع کرد؟

اول کجا باید ایمن شود؟

چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟

به این ترتیب انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید (که البته این حسی طبیعی است ).

پس اگر شما نیز چنین احساسی دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبکه موضوع لایه های دفاعی، موضوع داغ و مهمی است.

در این خصوص نیز نظرات مختلفی وجود دارد.

عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است که هیچکدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند.

به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست.

بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبکه کنید، محصول وحشتناکی از کار در می آید.

با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه می خواهید و چه نمی خواهید، کار را شروع می‌شود.

حال باید پنج مرحله رو پشت سر بگذاریم تا کار تمام شود.

این پنج مرحله عبارت اند از :
1- Inspection ( بازرسی )
2- Protection ( حفاظت )
3- Detection ( ردیابی )
4- Reaction ( واکنش )
5- Reflection ( بازتاب)
در طول مسیر ایمن سازی شبکه از این پنج مرحله عبور می کنیم، ضمن آن که این مسیر، احتیاج به یک تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه را طی کند.
1- اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت های (authentication) موجود است.

معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است.

مهمترین قسمت هایی که باید authentication را ایمن و محکم کرد عبارتند از :
- کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
- کلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاکید بیشتری می شود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار می کند، اکثر مدیرهای شبکه از config کردن آن غافل می شوند.

در حالی توجه به این مهم می تواند امنیت شبکه را ارتقا دهد.

لذا به مدیران امنیتی توصیه میشود که حتما سوییچ و روتر ها رو کنترل کنند ).
- کلمات عبور مربوط به SNMP.
- کلمات عبور مربوط به پرینت سرور.

- کلمات عبور مربوط به محافظ صفحه نمایش.

در حقیقت آنچه که شما در کلاس‌های امنیت شبکه در مورد Account and Password Security یاد گرفتید این جا به کار می رود.

2- گام دوم نصب و به روز رسانی آنتی ویروس ها روی همه کامپیوتر ها، سرورها و میل سرورها است.

ضمن اینکه آنتی ویروس های مربوط به کاربران باید به صورت خودکار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.

3 - گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است.

در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ ها، روتر ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.

4-در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایل ها و دایرکتوری ها است.

ضمن اینکه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.

گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود.

بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.

5- حالا نوبت device ها است که معمولا شامل روتر، سوییچ و فایروال می شود.

بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند.

تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است.

حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.

6- قدم بعد تعیین استراژی تهیه پشتیبان(backup) است.

نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.

7- امنیت فیزیکی.

در این خصوص اول از همه باید به سراغ UPS ها رفت.

باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند.

نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است.

سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند.

به طور کل آنچه که مربوط به امنیت فیزیکی می شود در این مرحله به کار می رود.

8- امنیت وب سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم.

در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.

(توجه:هیچ گاه اسکریپت های سمت سرویس دهنده را فراموش نکنید ) 9 - حالا نوبت بررسی، تنظیم و آزمایش سیستم های Auditing و Logging هست.

این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد.

سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند.

باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود.

در ضمن ساعت و تاریخ سیستم ها درست باشد چرا که در غیر این صورت کلیه اقداما قبلی از بین رفته و امکان پیگیری های قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.

10- ایمن کردن Remote Access با پروتکل و تکنولوژی های ایمن و Secure گام بعدی محسوب می شود.

در این زمینه با توجه به شرایط و امکانات، ایمن ترین پروتکل و تکنولوژی ها را باید به خدمت گرفت.

11 - نصب فایروال های شخصی در سطح host ها، لایه امنیتی مضاعفی به شبکه شما میدهد.

پس این مرحله را نباید فراموش کرد.

12 - شرایط بازیابی در حالت های اضطراری را حتما چک و بهینه کنید.

این حالت ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی ( زلزله - آتش سوزی – ضربه خوردن - سرقت - سیل) و خرابکاری ناشی از نفوذ هکرها، است.

استاندارد های warm site و hot site را در صورت امکان رعایت کنید.

به خاطر داشته باشید که " همیشه در دسترس بودن اطلاعات "، جز، قوانین اصلی امنیتی هست.

13- و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.

امنیت شبکه امنیت شبکه مبحث بسیار داغ شبکه های امروزی است.

با افزایش ارتباطات اینترنتی و اجرای حجم زیادی از عملیات تجاری از این طریق امنیت شبکه بسیار حائز اهمیت می باشد.

مسائلی که در طراحی سیستم امنیتی شبکه مد نظر هستند عبارتند از: 1- تعیین منابع شبکه که حفظ آنها اهمیت دارد.

2- بررسی ریسکها و تهدیدات شبکه.

3- بررسی نیازهای امنیتی شبکه.

4- ایجاد یک طرح امنیتی.

5- تعریف سیاستهای امنیتی شبکه.

6- تعریف روشهایی برای اعمال سیاستهای امنیتی ( آئین نامه های امنیتی ).

7- تعریف یک استراتژی فنی.

8- دریافت Feedback از کاربران, مدیران و پرسنل فنی.

9- آموزش پرسنل.

10- اعمال استراتژی فنی در پروسه های امنیتی.

11- آزمون امنیتی و رفع مشکلات موجود.

12- نظارت بر امنیت با بازرسیهای مرتب.

منابع حساس شبکه که حفاظت آنها جزء اهداف امنیتی شبکه می باشد شامل نودهای شبکه ( سیستم عامل, برنامه های کاربردی, داده ها ) تجهیزات ارتباطی ( routerها, سوئیچها ) و داده هایی که در شبکه حرکت می کنند می باشد.

تهدیداتی که برای این منابع خطر ایجاد می کنند از کاربرانی که بصورت غیر مجاز وارد شبکه می شوند و قصد خرابکاری دارند تا پرسنل بی تجربه ای که از طریق اینترنت ویروس وارد سیستم می کنند می تواند باشد.

یک ضرب المثل قدیمی در مورد مسائل امنیتی می گوید هزینه ای که صرف ایمن سازی می شود باید کمتر از قیمت کالای مربوطه باشد, این مطلب در شبکه هم مصداق دارد.

ایمن سازی شبکه برروی اهداف فنی شبکه مانند راندمان, قابلیت دسترسی و ......

تاثیر خواهد گذاشت.

پس باید موازنه ای بین مقدار ایمنی مورد نیاز و هزینه ای که برای آن می شود ایجاد گردد.

عملیاتی که باعث افزایش ایمنی شبکه می شوند مانند فیلتر کردن Packetها و یا رمز کردن داده ها باعث مصرف توان CPU و استفاده زیاد از حافظه تجهیزات خواهد شد.

رمز کردن داده ها تا 15 درصد توان CPU را کاهش می دهد.

ایمن سازی ضریب اطمینان ارتباطات شبکه را نیز کاهش می دهد.

در صورتیکه رمز کردن داده ها مد نظر باشد باید همه داده ها از یک نقطه که عملیات رمز در آن انجام می شود عبور کنند.

این به معنی وجود یک نقطه حساس ( Single Point Of Failure ) در شبکه است که در صورت بروز مشکل برای آن کل شبکه از کار می افتد و بدین ترتیب ضریب اطمینان شبکه کاهش می یابد.یکی از اولین گامها در طراحی سیستم امنیتی, ایجاد طرح امنیتی است.

طرح امنیتی یک سند سطح بالاست که نیازهای امنیتی را بیان می کند.

در این طرح زمان, افراد و سایر منابعی که برای ایجاد سیاست امنیتی مورد نیاز می باشند تعریف می شود.

سیاست امنیتی به کاربران, مدیران و پرسنل فنی اعلام می کند برای حفاظت از منابع اطلاعاتی و تکنولوژیکی چه مسائلی باید رعایت شود.

با توجه به تغییرات سازمانها که بصورت مستمر انجام می پذیرد, سیاستهای امنیتی نیز باید تغییر کنند.

پس سیاست امنیتی یک مستند پویا و زنده است که متناسب با شرایط زمانی تغییر می کند.

اجزای تشکیل دهنده یک سیاست امنیتی به شرح ذیل می باشد: · سیاستهای دسترسی که مجوزها و سطوح دسترسی و اختیارات افراد مختلف را بیان می کند.

· سیاستهای عملیاتی که به تعریف مسئولیت کاربران, پرسنل عملیاتی و مدیریت می پردازد.

در این سیاستها باید قابلیت نظارت بر مسائل امنیتی تعریف شود و توصیه هایی برای چگونگی گزارش دهی در هنگام بروز مشکل پیش بینی شود.

· سیاستهای شناسایی که به تشخیص کاربران در هنگام ورود به شبکه می پردازد.

کلمات رمز و ID از این جمله می باشند.

· توصیه هایی برای چگونگی خرید تجهیزات مربوطه به سیستمهای امنیتی.

آئین نامه های امنیتی برای اعمال سیاستهای امنیتی می باشند.

آئین نامه به تعریف مکانیزم های تنظیم های امنیتی, چگونگی ورود به شبکه, نظارت بر مسائل ایمنی و ....

می پردازد.

این آئین نامه ها باید برای مدیران شبکه, کاربران و مدیران امنیتی نوشته شود.

در این آئین نامه نحوه برخورد هنگام مواجهه با تهدیدات امنیتی مشخص می شود.

عمده ترین مکانیزم های امنیتی که جهت امنیت در شبکه مورد استفاده قرار می گیرند عبارتند از: Authentication, Authorization, Auditing, Data Encryption ولی مهمترین اصل در ایجاد امنیت, امنیت فیزیکی است.

امنیت فیزیکی به معنای اعمال محدودیت در دسترسی به منابع کلیدی شبکه بوسیله قراردادن آنها در جای امن است.

امنیت فیزیکی همچنین حفاظت منابع در مقابل حوادث طبیعی مانند سیل, آتش, طوفان و زلزله می باشد.

امنیت فیزیکی باید در مورد منابع اصلی شبکه مانند routerها, نقاط اتصال سیستم کابل کشی, مودمها, serverها اعمال گردد.

تا این قسمت در مورد مفاهیم مختلف امنیتی صحبت کردیم.

در این قسمت بصورت مجمل به ارائه راه حلهایی برای ایجاد امنیت در سرویسهای مختلف می پردازیم: