مرداد, 1398 بدون نظر امنیت شبکه

امروزه سیستم های مدیریت اطلاعات تحت شبکه، امکان دسترسی سریع به اطلاعات را فراهم می کنند. هر چه استفاده از این سیستم ها در سازمان ها گسترش یابد ، ضرورت توجه به سلامت و امنیت آنها نیز اهمیت بیشتری می یابد.

مدیران ارشد سازمان ها برای دسترسی به اطلاعات از روش های پیچیده امنیتی استقبال نمی کنند و اطلاعات مورد نیاز خود را در لحظه و در رایانه همراه خود می خواهند. ارائه راهکارهای امنیتی تنها حفاظت در برابر حملات و نفوذ به شبکه نمی باشد. نفوذگرها با اهداف خرابکارانه خود سعی برآن دارند که دسترسی به اطلاعات سازمان را برای مدیران ، کاربران و مشتریان مختل کنند.اطلاعات زمانی مفید خواهند بود که در زمان مناسب در دسترس کاربر قرار گیرد .حملات برای ازکار انداختن سرویس های بنگاه های اقتصادی مانند بانکها ، موسسات ، خدمات الکترونیکی و… در جهت از بین بردن ویژگی در دسترس بودن اطلاعات ، از انواع معمول حملات شبکه می باشد.در صورتی که این تعاریف درست و صحیح انجام نشود ، دسترسی به اطلاعات را دچار مشکل می کند.

امنیت شبکه تقریباً در همه زمینه‌ها و برای یک شرکت، یک سازمان دولتی، یک کشور و حتی خانه شما نقش مهمی را ایفا می‌کند. کامپیوتر‌ها، دستگاه‌های تلفن همراه و اینترنت نیز هر روزه با تعدادی از چالش‌های امنیتی مواجه می شوند. کامپیوترها و موبایل‌ها در حال حاضر در فهرست اقلام ضروری یک انسان گنجانده می شوند. ما برای انجام کارهای زیادی، از یک محاسبه ساده ریاضی گرفته تا ذخیره داده ها، ساختن برنامه های کاربردی، برقراری ارتباط با جهان و غیره به این دستگاه ها وابسته هستیم.

همان‌طورکه خطرات امنیتی در تلفن های همراه و کامپیوترها اهمیت دارند، حملات ویروسی، سرقت اطلاعات، حذف داده ها و آسیب به سخت افزارها نیز می توانند مورد توجه قرار گیرند.

راهکارهای ابتدایی امنیت شبکه:

بهبود امنیت فیزیکی

در مقوله امنیت جمله‌ای است که می‌گوید: «اگر آدم بده بتوانند کنترل فیزیکی کامپیوتر را به دست گیرد، بازی تمام است». وقتی که دستگاه به دست این افراد افتاد، آنها می‌توانند با استفاده از ابزاری که در دست دارند به اطلاعات هارد دیسک و هر اطلاعاتی که به کامپیوتر آمده و از آن خارج می‌شود دسترسی یابند. از این رو، پیش از اینکه به دیگر روش‌های امنیت فکر کنید، امنیت فیزیکی بایستی مساله اصلی‌تان باشد.

امنیت فیزیکی می‌تواند شامل موارد زیر باشد:

  • – کنترل دسترسی به اتاق‌های کامپیوتر و سرورها با استفاده از کارت، کلید و قابلیت‌های بیومتریک
  • – ضبط ویدیو از ورود و خروج‌ اتاق‌هایی که کامیپوترها یا سرورها در آن جای گرفته‌اند.
  • – ثبت و ضبط ورود و خروج‌ها به اتاق‌هایی که کامپیوترها یا سرورها در آن جای گرفته‌اند.
  • – تعیین نگهبان یا دیگر ناظران برای ورودی‌ و خروجی‌هایی که کامپیوترها یا سرورها در آن قرار دارند.

برای اجتناب از حملات بزرگ علیه سیستم، امنیت فیزیکی مسیر طولانی در پیش روی دارد. اما این تنها اولین گام است. وقتی که می‌دانیم همه چیز بسیار عالی است، اگر کامپیوتری به شبکه‌ای متصل باشد، افراد مجرم نمی‌توانند دسترسی فیزیکی داشته باشند تا موجب خسارات بزرگ شوند.

استفاده از دیوارهای  آتش (فایروال) مبتنی بر میزبان

به نظر می‌رسد به فایروال های سخت افزاری که درون شبکه نصب می‌شوند،  توجه بسیاری می‌شود. بسیاری آنها را مدافعانی با قدرت‌های جادویی می‌دانند. اما امروزه در عمل بیشتر دیوارهای آتش امنیت به مراتب کمتری کمتر از آن چیزی است که باید باشد. به عبارت دیگر، در ظاهر دیواره آتش بخش بزرگی از امنیت است. اما از آن نقشی که قرار است در امنیت شبکه شما بازی کند، سهم بسیار کمتری را بر عهده دارد. یکی از دلایل این موضوع این است که بیشتر حملات شدید اغلب از داخل شبکه حادث می‌شود، بنابراین وظیفه دیوار آتش در جلوگیری از کاربران بیرونی برای دسترسی به منابع داخلی شبکه بازده کمی دارد.

در مقابل، «دیوار آتش مبتنی بر سیستم میزبان» قادر به حفاظت کامپیوتر از تمام حملات داخلی و خارجی می‌باشد. علاوه بر این، دیوارهای آتش مبتنی بر میزبانِ حرفه ای می‌توانند به شکلی پیکربندی شوند تا امکان ارتباطات ورودی را تنها برای سرویس‌ها و پورت‌های مشخصی فراهم ‌نمایند. این دیوار‌های آتش مبتنی بر میزبان (مانند Windows Firewall with Advanced Security) حتی می‌توانند کاربران یا ماشین‌ها را ملزم به تایید هویت در لایه شبکه نماید، به طوری که اگر کاربری معتبر شناخته نشود یا اختیارات لازم را نداشته باشد، هرگز به نزدیکی لایه اپلیکیشن نرسد. لایه اپلیکیشن، لایه‌ایی است که اغلب رخنه‌های امنیتی در آنجا بوده و داده‌های شما تماما در آنجا قرار دارد.

به روز رسانی، به روز رسانی، به روز رسانی!

حتمالا از این موضوع باخبر هستید، اما یکی از موثرترین معیارهایی که شما می‌توانید با استفاده از آن وضعیت کلی امنیت‌تان را افزایش دهید، به روز نگاه داشتن سیستم‌تان همراه با برنامه‌ها و به روز رسانی‌های امنیتی است. در حالیکه بسیاری از مدیران شکایت می‌کنند که محصولات مایکروسافت لازم است تا به کرات به دلیل موارد امنیتی به روز رسانی شود، حقیقت این است که مایکروسافت نسبت به دیگر سیستم عامل‌ها امن تر است. چرا که مایکروسافت بسیار درباره به روز رسانی نرم‌افزارهایش با پشتکار و جدیت عمل می‌کند. اگر شما از نرم‌افزاری استفاده می‌کنید که به ندرت به روز رسانی می‌شود، خودتان را با فکر اینکه نبود به روز رسانی‌ها ارتباطی با رخنه‌های امنیتی نرم افزار ندارد فریب ندهید.

تفکیک شبکه به بخش های امنیتی مجزا

هنگامی که قرار بر تفکیک و منطقه‌بندی امنیتی باشد، یک وب‌سرور که سایت را در اختیار بیننده می‌گذارد با سروری که حاوی پایگاه ‌داده‌ است باید به صورت مجزا نگهداری شوند. یک سرور فایل که فایل‌های در دسترس عموم کاربران را میزبانی می‌کند، متفاوت از سرور شیرپوینت است که طرح‌های درون شرکتی مانند بازاریابی محرمانه برای محصولات جدید که قرار است در ماه‌های آتی ارایه شود را میزبانی می‌کند. یک سرور ایمیل (SMTP) با یک سرور پراکسی متفاوت است، چرا که در ناحیه امنیتی متفاوتی قرار دارد.

شما بایستی تجهیزات کامپیوتری‌تان را به مکان های امنیتی متفاوتی تقسیم کنید و سپس پارتیشن‌های منطقی یا فیزیکی جداکننده بین آن نواحی ایجاد کنید. اگر می‌خواهید از پارتیشن فیزیکی استفاده کنید، بایستی اطمینان یابید که  منابعی سیستمی تقسیم شده در نواحی مختلف با فایروال‌ها با هر نوع ابزار کنترل دسترسی دیگر از یکدیگر جدا شده باشند.  اگر می‌خواهید از نواحی امنیتی منطقی استفاده کنید، می‌توانید از مزایایی مانند IPsec و سرور و جداسازی دامنه استفاده کنید تا پارتیشن‌های مجازی بین نواحی امنیتی ایجاد شود.

ایجاد نواحی امنیتی به شما این اجازه را می‌دهد تا بر  با ارزش ترین بخش تجهیزات و اطلاعات تان متمرکز شوید. همچنین تجهیزات با ارزش کمتر که در مناطقی با امنیت پایین‌تر قرار می گیرند‌، نیز محافظت شده هستند. اما مقدار زمان و سرمایه‌ای که شما به تجهیزات در مناطقی با امنیت پایین‌تر اختصاص می‌دهید بسیار اندک است، چرا که هزینه به خطر افتادن آنها کمتر از هزینه به خطر افتادن دارایی ها در مناطق با امنیت بالاتر است.

اختصاص کمترین میزان دسترسی برای تمام منابع

اصل کمترین دسترسی اظهار می‌دارد که کاربران و ادمین‌ها بایستی تنها به منابع و کنترل‌هایی که برای انجام کارشان لازم است، دسترسی یابند. کاربران بایستی تنها قادر به دسترسی به وب‌سایت‌هایی باشند که برای انجام کارشان لازم است. آنها بایستی تنها قادر به استفاده از برنامه‌هایی باشند که برای انجام کارشان لازم دارند.  ادمین نیز بایستی تنها قادر به پیکربندی تنظیماتی باشد که مناسب با سطح اختیارات و نیاز کاریش است و دسترسی و قدرت تغییری بالاتر از آن نداشته باشد.

هر میزان که سطح دسترسی کاربر یا ادمین سیستم بالاتر از میزان ضروری برای انجام کارش برود، به همان میزان ریسک و خطر نفوذ و رخنه افزایش می‌یابد. اینکه روز به روز کاربران بیشتری می‌خواهند به دارایی اطلاعاتی شرکت از طریق آی‌پدشان دسترسی داشته باشند، اصلا بدین معنی نیست که چنین کاری از نظر امنیتی ایده خوبی است. ما خیلی وقت‌ها به کاربران و مصرف کننده ها به جای آن چیزی که لازم است داشته باشند، آن چیزی را که می‌خواهند می‌دهیم و این خود ریسک امنیتی را در کارمان بالا می‌برد.

داستان درباره ادمین‌های سیستم از این هم بدتر است. آنها همیشه می‌خواهند هر کاری را که دوست دارند انجام دهند، تنها به این دلیل که آنها مدیران (administrators) سیستم هستند. در مورد کاربران نهایی هم تنها و تنها به آنها دسترسی به چیزی را بدهید که کارشان را راه بیاندازد و نباید به هیچ چیز دیگری دسترسی داشته باشند. در خصوص اپلیکیشن‌ها و برنامه‌ها هم داستان به همین صورت است. اگر اپلیکیشنی در لیست برنامه‌های تایید شده نیست، به صورت خودکار جلوی نصب و فعالیت آن را در سیستم‌های‌تان بگیرید.

راه کارهای پیشرفته امنیت شبکه:

جداسازی Lan از شبکه اینترنت

یکی از اصولی ترین مبان امنیت اطلاعات محافظت از محیط سرویس دهی در فضای سایبر می باشد. از همین رو یکی از مهمترین دغدغه های سازمان ها، شرکت ها و مراکز دولتی در حال حاضر، جداسازی اینترنت از شبکه LAN سازمانی می باشد مسلما به واسطه این جداسازی به میزان قابل توجهی،  از تهدیدات امنیت کاسته شده و از وقوع مشکلات بسیاری جلوگیری به عمل خواهد آمد.

آزمون نفوذپذیری(Penetration Test)

با نگاهی اجمالی به عناوین اخبار کامپیوتری به راحتی می توان دریافت که میزان تهاجم های کامپیوتری روز به روز در حال افزایش است. گسترش شبکه جهانی اینترنت و به تبع آن افزایش کاربران این شبکه، بستر مناسبی را برای وقوع حملات فراهم آورده است. در بسیاری از موارد آشنا نبودن کاربران با سطحی ترین مفاهیم امنیت شبکه باعث نفوذ به سیستم و شبکه می شود. توجه به این نکته بسیار حائز اهمیت است که جلوگیری از ورود نفوذ گران اینترنتی به معنی وجود امنیت در برابر خرابکاران نیست. آمارها نشان دهنده این است که بسیاری از خرابکاری ها از داخل شبکه  توسط افرادی مانند کارمندان ناراضی و یا مراجعه کنندگان به آن سازمان، که به شبکه دسترسی دارند، صورت پذیرد. لذا ارزیابی میزان آسیب پذیری و نفوذپذیری شبکه ها و تحلیل مداول اجتناب ناپذیر است.

Cisco Network Admission Control NAC

NAC سیسکو راهکاری است که از زیرساخت های شبکه برای اعمال سیاست های امنیتی بر روی سیستم هایی که قصد دسترسی به منابع شبکه را دارند استفاده می کند. این راهکار به شما اطمینان می دهد که کاربران از تمام سیاست های امنیتی سازمان پیروی می کنند، آنتی ویروس و نرم افزارهای امنیتی به روز دارند و patchها و hotfixهای سیستم عاملشان نصب است، سپس به آنان اجازه دسترسی به شبکه را می دهد.

Port-Based Authentication 802.1x

مقوله امنیت بخشی جدا ناپذیر و غیر قابل انکار در دنیای IT می باشد و تجربه نشان داده است که سهل انگاری و یا عدم توجه کافی در این بخش خساراتی جبران ناپذیر را برای سازمان ها و یا حتی اشخاص پدید آورده است. چرا که اطلاعات مورد استفاده درون سازمان یکی از شروط اصلی جهت ادامه روند کاری آن می باشد. توجه کافی به مقوله امنیت اطلاعات برای ما سه فاکتور محرمانه بودن، همیشه در دسترس بودن و اطمینان از سلامت اطلاعات و به همراه آن بهبود روند کاری سازمان و افزایش سرعت انجام امور و کاهش هزینه ها را به همراه دارد.

امنیت اطلاعات بخش عمده ای از فعالیت های یک سازمان را شامل می شود، منظور از فعالیت های یک سازمان فقط تولیدات آن نمی باشد. بلکه روند جلوگیری از سرقت، دستکاری و یا هر عملی که سلامت آن را به خطر می اندارد را نیز شامل می شود. در ضمن شایان ذکر است که مسئولان شبکه در قسمت امنیت فقط با مسائل ساده ای مانند ویروس ها روبرو نیستند بلکه مسئول حفاظت از دارایی های با ارزشی هستند که گاهی اوقات اهمیت آنها احساس نمی شود.

خدمات پرشین مشاور

با گسترش روز افزون به کارگیری سیستم های اطلاعاتی و به تبع آن ضرورت دسترسی سریع به اطلاعات لزوم توجه به امنیت شبکه در سازمان ها از اهمیت بیشتری برخوردار شده است. مجموعه پرشین مشاور با به کارگیری گروهی متخصص در زمینه امنیت شبکه راه حل های امنیتی لازم را برای سازمان ها ارائه می کند.

مجموعه پرشین مشاور محصولات و راهکارهای بسیار جامع و پیشرفته ای را جهت ایمن سازی و جلوگیری از تهدیدات سایبری فراهم نموده است. محور عملیات این راهکارها، کاهش پیچیدگی امنیت در زمانی که دید گسترده و نظارت عالی، کنترل مستمر و نیز حفاظت کامل و پیشرفته از اطلاعات در گستره ی شبکه در حال انجام است.

پیشنهاد پایه پرشین مشاور:

Anti-virus, Anti-spyware and Email Security
Firewall, to block unauthorized access to your network
Intrusion prevention systems (IPS/IDS), to identify fast-spreading threats, such as zero-day or zero-hour attacks
Virtual Private Networks (VPNs), to provide secure remote access
(NGN (Next Generation Network
(NAC (Network Access Control
Logger and Pentest

 

جهت مشاوره رایگان و کسب اطلاعات بیشتر در ضمینه امنیت شبکه و راه کار های مقابله با حملات سایبری  با شماره  91010204 – 021 تماس حاصل فرمایید.

برچسب ها

ارسال نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *