شروعی برای بخش امنیت PN

[ataei]

سلام به همه دوستان
براي شروع در باره بخش امنيت در اين فروم پيشنهاد زير را مي دم اميدوارم دوستان خرده نگيرند
در هر صورت شايد جاش اينجا هم نباشد با عرض پوزش
از همه دوستان مي خواهم كه تحربياتشان را در باره امنيت يك ISP در حد معمول را بنويسند
مشخصات ISP:
router : AS5300
accounting: windows 200 adv server + NTTAC
cache : linux squid
اگر دوستان موارد را به تفكيك نظر بدند خوب مي شه مثلا موارد امنيتي كه بايستي در مورد ويندوز در نظر گرفت و نرم افزار اكانتينگ
و همچنين موارد امنيتي درباره ويروسها
و به همين ترتيب براي روتر و لينوكس بطور مجزا در اين بخش نكته ها را بنويسيد

البته شايد خيلي كلي باشد و شايد فقط اين بخش كفاف اين همه مسائل را نداشته باشد.
از همه دوستان كمال تشكر را دارم
يا علي

---

موضوعات مشابه:

• پیشنهاد انتخاب موضوعی برای درس پروژه (پایان نامه )
• نوعی از تنظیمات شبکه
• چجوری بفهمیم رو سرور چی نوعی از اکتیو نصبه؟
• افزایش اختلالات اینترنتی کشور، از نوعی دیگر
• آنتن برج میلاد از چه نوعی است؟

---

[M-r-r]

با اجازه سایر دوستان بخش امنیت رو با تنظیمات اولیه ی امنیتی شروع میکنم . . .
امید است مورد توجه دوستان قرار گرفته و چنانجه (البته میدونم که حتما هست ) اشتباه و اشکالی موجود بود دوستان بفرمایند تا در اولین فرصت نسبت به تصحیح آن اقدام گردد . . .

1- پس از نصب سیستم عامل در اولین مرحله نام کاربری و کلمه عبور را کاملا تغییر دهید .
برای این قسمت از بکار بردن نام هایی از قبلی Admin Administrator User Guest Modir و امثال آن خودداری نمایید .
برای گذر واژه نیز از بکار بردن نام خود نام خانوادگی شماره تلفن و یا نام شرکت و سایر کلماتی که حدس آنها براحتی امکان پذیر است خودداری نمایید.
2- یک ویروس یاب نصب نموده و با استفاده از آپ دیتی که از یک سیستم دیگر (که ان سیستم امن میباشد‌!‌ ) بوسیله یک دیسک بروی سیستم منتقل کرده و ویروس یاب را بروز رسانی نمایید .
3- یک دیواره آتش بر روی سیستم نصب نموده و و با استفاده از آپ دیتی که از یک سیستم دیگر (که ان سیستم امن میباشد‌!‌ ) بوسیله یک دیسک بروی سیستم منتقل کرده و دیواره آتش را بروز رسانی نمایید .
4- پس از تنظیم نمودن ویروس یاب و دیواره آتش به کارت شبکه سیستم آدرس آی پی مورد نظر را داده و آن را به اینترنت متصل نمایید .
5- حال سیستم عامل را بروز رسانی نمایید . (این مرحله میتواند بدون اتصال به اینترنت و بوسیله یک دیسک انجام شود! )
6 - پس از بروز رسانی سیستم را راه اندازی مجدد نموده و هر 7 تا 15 روز یکبار سیستم را بروز رسانی نمایید . و یا در مورد بروز رسانی آن سعی نمایید . (امکان دارد برای بروز رسانی از طرف شرکت پشتیبان اقدامی صورت نگرفته باشد.)
7- از یادداشت نمودن گذر واژه ها بر روی کاغذ های یادداشت / کارت های تبلیغاتی و . . . خودداری نمایید .
8- حتی الامکان از در اختیار گذاشتن گذرواژه ها در اختیار سایرین خودداری نمایید .
9- به هر برنامه و دیسکی اطمینان نکنید و پیش از نصب و اجرای آن از سلامت کامل آن مطمئن شوید .
10- همیشه سیستم خود را چنانچه به اینترنت و یا شبکه (کوچک - بزرگ) متصل است از نظر باز بودن مسیر های مختلف چک نمایید.
11- گذرواژه ها را بصورت دوره ای (هر یک ماه یکبار - هر سه ماه . . . ) عوض کنید .
12- برای گذرواژه ها میتوانید از کاراکتر های مختلط استفاده کنید .
13- تا حد امکان از وارد کردن گذرواژه ها در حضور دیگران خودداری کنید.
14- از نصب نمودن نرم افزار های کنترل از راه دور (Remote Access) بر روی سیستم خودداری نمایید .
15- سیستم خود را در اختیار سایرین قرار ندهید .
16- چنانچه سیستم شما جنبه عمومی دارد (سیستم های یک کافی نت ) برای کاربران عمومی سطح دسترسی تعریف نموده و تا حد امکان بر کار آنها نظارت داشته باشید .
17- درایو هایی که فاقد استفاده اند ار غیر فعال نمایید . (نظیر CD-Rom)
18- حالت اجرا شدن خودکار را از گرداننده های CD بر دارید .
19- گرداننده های USB را غیر فعال نمایید .
20 - /؟

مورد دیگه ای به خاطرم نمیاد . اما اگه بود چشم .

[ataei]

مرسي دوست من در كل خوب بود

معمولا اكثر دوستان و همكاران عزيز ميگند كه بستن برخي از پورتها در روتر باعث امنيت در سرور اكانتينگ و كش مي شود ؟ اين تا چه حد درست است؟ البته تا حدي احتمالا ايجاد امنيت مي كند.
چه نوع فايروال و ويروس يابي را پيشنهاد مي كنيد و آيا فقط نصب فايروال براي ويندوز كافي است؟ البته فكر مي كنم اكثر فايروالها خوب باشند در واقع مورد اصلي تنظيمات درست آن در شبكه مورد استفاده است

سوال - آيا بروي سرور اكانتينگ غير از پورتهاي مربوط به نرم افزار اكانتينگ و پورت 80 كه براي گزارشهاي وب بيس است پورت ديگري نياز است باز باشد؟

دوست من آيا امكان دارد در مورد usb و درايوهاي اضافي بيشتر توضيح دهيد البته فكر مي كنم مي دونم براي چيست ؟ براي اجرا نشدن اتفاقي (يا نا خواسته ) برخي از برنامه ها احتمالا مي باشد.

باز هم متشكرم

[M-r-r]

خواهش میکنم قابل شما رو نداشت .
بابت پورت ها . چنانچه مطمئنید سیستم شما به پورت های دیگر نیازی ندارد / بستن آنها بهتر است . همچنین اجازه و دسترسی پینگ به سیستم را نیز ببندید . با اینکار از وجود و حضور سیستم شما کمتر کسی مطلع خواهد بود .
بستن برخی پورت ها بوسیله روتر در کل باعث بالا رفتن امنیت سیستم ها خواهد شد . اما گاها همین پورت های بسته میتوانند برای کاربران شما مشکل ساز باشند .
از نظر فایروال و ویروس یاب :
بسته به سیستم عامل مورد استفاده این دو نیز متفاوت خواهند بود . بنده در مورد سیستم عامل ویندوز نرم افزار های زیر را پیشنهاد میکنم :
Virus Protection : Symantec Norton AntiVirus
FireWall : Armor2Net + VisneticFireWall
كه البته ميبايست نورتون را پس از نصب بلافاصله بروز رساني نماييد .
بابت فاير وال نيز آرمور تو نت بصورت برنامه اي فعاليت نموده و ويزنتيك بصورت پورتي .
به اين معني كه :
ارمور تو نت بابت استفاده برنامه ها از شبكه از طرف شما دسترسي و يا عدم دسترسي را ميخواهد . همچنين درصد استفاده از شبكه را ميتوانيد ببينيد . (كه كدام برنامه به چه ميزان از شبكه استفاده ميكند)
اما در ويزنتيك ميتوانيد پورت (ها) و آدرس آي پي (ها) را مديريت و يا آنها را ببنديد . (آدرس آي پي مراكزي كه از سوي آنها احساس خط ميكنيد و يا ...)
هر چند يك فايروال جلوي ورود اشخاص نفوذگر و نيز ويروس هاي شبكه اي را ميگيرد . اما با اين وجود هرگز نميتوان به يك فايروال به تنهايي بسنده كرد . لذا هميشه مراقب ورود و خروج اطلاعات روي سيستم خود باشيد .
شايان ذكر است در سرور كش بستن ساير پورت ها (به غير از 80) احتمال بروز خطا را بوجود مي آورد .
بر روي سرور اكانتينگ (سروري كه فقط براي حسابرسي استفاده ميشود) ميتوانيد پورت هاي بلا استفاده را ببنديد . اما به خاطر داشته باشيد براي دسترسي به ساير منابع شبكه به پورت هاي ديگري هم --= احتمالا =-- نياز خواهيد داشت .
در مورد USB و سایر درایو ها هم عرض شود به خدمت شما که :
همانطور که میدانید امکان اجرای خودکار CD ها وجود دارد . همچنین وجود یم دیسک فلاپی در گرداننده آن در هنگام بوت سیستم میتواند برای سیستم خطر ساز باشد .
در مورد این قسمت و بالا بردن امنیت آن پیشنهاد میشود برای قسمت Setup سیستم نیز یک رمز اختصاص داده و نیز بوت سیستم را فقط (فقط و فقط) روی درایو هارد دیسک قرار دهید و سایر انتخاب ها را غیر فعال کنید .

چنانجه مورد دیگری به نظرتان لازم به توضیح بود / بفرمایید .

[M-r-r]

سایر دوستان قصد همراهی و همکاری ندارند ؟
خوشحال میشم نظر سایر دوستان رو هم بدونم . حقیقتش رو بخواین از سخنرانی متنفرم . دوست دارم من هم گاهی مواقع شنونده باشم.

[aka]

ادیت کردن پالیسی ها برای سخت گیری بیشتر و استفاده از آنتی اسپای ویر ها روی ویندوز
بستن تلنت - پینگ - SNMP - Web Base روی روتر
رعایت نکات ایمنی در استفاده از نرم افزارهای وب بیس
به نظر من استفاده از Nat و Front Firewall هم در یک ISP بسیار موثره

[MAHBOUD]

سلام. شروع خیلی خوبی داشتید. متشکرم.
سوال1
من میخوام بدونم چطوری میشه تشخیص داد چه پورتی رو چه نرم افزاری باز کرده؟
مثلا تو netstat -na چندین پورت اضافه رو میبینم مثل 3345یا شبیه به این. مخوام ببینم چطوری میشه تشخیص داد که چه Application ی به این پورت گوش میکنه
البته مقالات زیادی راجه به پورت های معروف و سرویسهای متناظرشون هست اما دنبال یه tools میگردم تا حتی ریشه پورت های غیر معمول رو هم نشون بده.
-------------------------------------------------------------------
سوال 2
من میخوام کاربرای ISP من فقط وب داشته باشند، قائدتا باید پورت های مقصد و مبدا 80 و 53 رو باز و بقیه رو روی Router ببندم ولی اینکارو کردم بی نتیجه بود و کل ترافیک می خوابه، Access List مربوطه رو هم تو in هم تو out گذاشتم. خیلی رو این قضیه وقت گذاشتم ولی هنوز نتیجه نگرفتم
اگه Access List های مربوطه رو کسی بتونه تشریح کنه ممنون میشم

[M-r-r]

از حسن نظر شما متشکرم .

بابت سوال اول :
با استفاده از نرم افزار های Armo2Net که خود یک فایروال میباشد + QBikPortList که یک ابزار Monitoring میباشد میتواند پورت های مورد استفاده هر برنامه را ببینید . همچنین فایروال Visnetic نیز چنین عملی را برای شما انجام میدهد .

بابت سوال دوم :
بنده متاسفانه اطلاعی در مورد اکسز لیست ها ندارم . اما نمونه چنین عملی را با ویندوز و با باز کردن فقط پورت های 80 / 8080 / 8000 / 53 انجام داده ام.

[irarkh]

بهترين راه تست خودتونه يعني سعي كنيد هميشه مجموعه خودتون رو از لحاظ امنيتي مورد حملات مجازي قرار بديد تا متوجه وضعيت خودتون بشيد به نظر من بهترين اسكنر GFI هست كه مثل باقي تولزهاش خيلي خوب كار ميكنه و گزارش كاملي از استراكچر شبكتون ميده در ضمن اينكه قابليت اسكريپت نويسي و تست اون روي هدف رو در اختيارتون قرار ميدهد .

[neynef]

سلام. شروع خیلی خوبی داشتید. متشکرم.
سوال1
من میخوام بدونم چطوری میشه تشخیص داد چه پورتی رو چه نرم افزاری باز کرده؟
مثلا تو netstat -na چندین پورت اضافه رو میبینم مثل 3345یا شبیه به این. مخوام ببینم چطوری میشه تشخیص داد که چه Application ی به این پورت گوش میکنه
البته مقالات زیادی راجه به پورت های معروف و سرویسهای متناظرشون هست اما دنبال یه tools میگردم تا حتی ریشه پورت های غیر معمول رو هم نشون بده.
-------------------------------------------------------------------
سوال 2
من میخوام کاربرای ISP من فقط وب داشته باشند، قائدتا باید پورت های مقصد و مبدا 80 و 53 رو باز و بقیه رو روی Router ببندم ولی اینکارو کردم بی نتیجه بود و کل ترافیک می خوابه، Access List مربوطه رو هم تو in هم تو out گذاشتم. خیلی رو این قضیه وقت گذاشتم ولی هنوز نتیجه نگرفتم
اگه Access List های مربوطه رو کسی بتونه تشریح کنه ممنون میشم

دوست عزیز سلام
در مورد اکسس لیست باید بگم که شما پورت هایی رو که می خواهید ببندید فقط تو destination این
کار رو انجام بدید چون packet ای که می خواد وارد isp شما بشه source و isp شما destination میشه

[ataei]

از همه دوستان تشكر مي كنم بابت همراهي
براي يك isp آيا فايرال در جلوي همه سرورها بايد باشد يعني سيستمي كه به عنوان فايروال است gateway بايد باشد؟ و هم عمل nat را در آن سيستم بايستي انجام دهيم يا مي تواند حالت ديگري نيز داشته باشد.؟؟

آيا بهتر نيست روي هر سرور يك فايروال جداگانه نصب شود بجاي يك فايروال كلي؟؟؟

دوست من M-r-r آيا اين فايروالهاي نصب شده مي توانند log عملكرد شبكه را بدند؟ كه آنها را بشود سر فرصت مطالعه كرد و از حملات و غيره .. خبر دار شد؟؟؟ البته اگر تحليل گر لوگ داشته باشد كه ديگه بهتر

در ضمن اگه كسي از دوستان ليست تمام پورتها را با نوع كابردشان داشته باشد خوب مي شد يك نسخه از آن را يك جايي مي گذاشت تا ما نيز استفاده كنيم افلب ليستهايي كه ديدم يا ناقص است يا درست و حسابي كاربرد پورت را نگفته است

[ataei]

در ضمن يادم رفت بگم روشهاي تست امنيت ISP چيست ؟؟؟
البته اين سوال خيلي كلي ولي فكر مي كنم در يك بخش ديگه به آن رسيدگي بشه خوبه
اينو بخاطر اين گفتم كه irarkh گفته بود كه بهترين حالت اينه كه خودمون شبكه خودمون رو چك كنيم

[M-r-r]

به نظر من بهتره برای هر سیستم یک فایروال نصب کنید . نه اینکه همه درخواست ها را به یک GateWay بفرستید .
اگر چه کمی هزینه و وقت شما را خواهد گرفت اما با از کار افتادن یک سیستم کل شبکه به اصطلاح Down نمیشود .
بابت نمایش لوگ : خیر نرم افزار Armor2Net چنین لوگی در اختیار شما قرار نمیدهد .

بابت روش های تست امنیت هم میتوانید به سراغ نرم افزار های چک کننده وضعیت شبکه بروید .
چنین نرم افزارهایی را میتوانید در سایت های مختلف بدست آورید . برای مثال : www.GFI.com

بابت پورت ها موجود سری به موتور جستجو ها بزنید . قطعا نتیجه مطلوب را خواهید گرفت .
بنده از ادرس های ذیل استفاده میکنم :
http://www.seifried.org/security/ports/
http://www.simovits.com/nyheter9902.html
http://www.chebucto.ns.ca/~rakerman/port-table.html

البته این آدرس جذاب تر از سایرین میباشد . . . تا جایی که یک نسخه چاپ شده از آن را هم دارم !
http://www.neohapsis.com/neolabs/neo...neo-ports.html

نظر دوست عزیز جناب خسروی هم صحیح است . . . اما همیشه همه چیز در مقابل دید ما نخواهد بود . . . پس استفاه از شخص دیگر نیز بدک نخواهد بود . اما بخاطر داشته باشید امکان حفره یابی و حمله همیشه وجود دارد .

[MAHBOUD]

دوست عزیز سلام
در مورد اکسس لیست باید بگم که شما پورت هایی رو که می خواهید ببندید فقط تو destination این
کار رو انجام بدید چون packet ای که می خواد وارد isp شما بشه source و isp شما destination میشه

از راهنمایی خوبت متشکرم اما
ببینید من می خوام همه چیز بسته باشه بجز WEB
دقیقا بر عکس این چیزس که شما گفتید

[M-r-r]

شما اول همه ی پورت ها ببند . بعد تعریف کن که فلان پورت (ها) باز باشند .