نمایش نتایج: از شماره 1 تا 4 از مجموع 4
سپاس ها 1سپاس

موضوع: كليــــــاتي درباره امنيت شبكه

  
  1. #1


    عضو غیر فعال شناسه تصویری subzero_icecity
    تاریخ عضویت
    Jul 2006
    نوشته
    133
    سپاسگزاری شده
    16
    سپاسگزاری کرده
    30

    Icon10 كليــــــاتي درباره امنيت شبكه

    سلام خدمت تمامی مهندسین عزیز
    -----------------------------------------------------
    وقتي از امنيت شبكه صحبت می کنیم، مباحث زيادي قابل طرح و بررسی هستند، موضوعاتي كه هر كدام به تنهايي مي توانند در عین حال جالب، پرمحتوا و قابل درك باشند. اما وقتي صحبت كار عملي به ميان می آید، قضيه تا حدودي پيچيده مي شود. تركيب علم و عمل، احتياج به تجربه دارد و نهايت هدف يك علم بعد كاربردي آن است.
    وقتي دوره تئوري امنيت شبكه را با موفقيت پشت سر گذاشتيد و وارد محيط كار شديد، ممكن است اين سوال برایتان مطرح شود كه " حالا بايد از كجا شروع كرد؟ اول كجا بايد ايمن شود؟ چه استراتژي را در پيش گرفت و كجا كار را تمام كرد؟ به اين ترتيب " انبوهي از اين قبيل سوالات فكر شما را مشغول مي كند و كم كم حس مي كنيد كه تجربه كافي نداريد (كه البته اين حسي طبيعي است ).
    پس اگر شما نيز چنين احساسي داريد و مي خواهيد يك استراتژي علمي - كاربردي داشته باشيد، تا انتهاي اين مقاله را بخوانيد.
    هميشه در امنيت شبكه موضوع لايه هاي دفاعي، موضوع داغ و مهمي است. در اين خصوص نيز نظرات مختلفي وجود دارد. عده اي فايروال را اولين لايه دفاعي مي دانند، بعضي ها هم
    Access List رو اولين لايه دفاعي مي دانند، اما واقعيت اين است كه هيچكدام از اين‌ها، اولين لايه دفاعي محسوب نمي شوند. به خاطر داشته باشيد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي (Policy) هست. بدون policy، ليست كنترل، فايروال و هر لايه ديگر، بدون معني مي شود و اگر بدون policy شروع به ايمن سازي شبكه كنيد، محصول وحشتناكي از كار در مي آید.
    با اين مقدمه، و با توجه به اين كه شما
    policy مورد نظرتان را كاملا تجزيه و تحليل كرديد و دقيقا مي دانيد كه چه مي خواهید و چه نمي خواهيد، كار را شروع مي‌شود. حال بايد پنج مرحله رو پشت سر بگذاريم تا كار تمام شود. اين پنج مرحله عبارت اند از :

    1- Inspection ( بازرسي )

    2- Protection ( حفاظت )

    3- Detection ( رديابي )

    4- Reaction ( واكنش )

    5- Reflection ( بازتاب)

    در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيم، ضمن آن كه اين مسير، احتياج به يك تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه را طي كند.
    1- اولين جايي كه ايمن سازي را شروع مي كنيم، ايمن كردن كليه سنديت هاي (
    authentication) موجود است. معمولا رايج ترين روش authentication، استفاده از شناسه كاربري و كلمه رمز است.
    مهمترين قسمت هايي كه بايد
    authentication را ايمن و محكم كرد عبارتند از :

    - كنترل كلمات عبور كاربران، به ويژه در مورد مديران سيستم.

    - كلمات عبور سوييچ و روتر ها ( در اين خصوص روي سوييچ تاكيد بيشتري مي شود، زيرا از آنجا كه اين ابزار (device) به صورت plug and play كار مي كند، اكثر مديرهاي شبكه از config كردن آن غافل مي شوند. در حالي توجه به اين مهم مي تواند امنيت شبكه را ارتقا دهد. لذا به مديران امنيتي توصيه ميشود كه حتما سوييچ و روتر ها رو كنترل كنند ).

    - كلمات عبور مربوط به SNMP.

    - كلمات عبور مربوط به پرينت سرور.

    - كلمات عبور مربوط به محافظ صفحه نمايش.

    در حقيقت آنچه كه شما در كلاس‌هاي امنيت شبكه در مورد Account and PasswordSecurity ياد گرفتيد اين جا به كار مي رود.

    2- گام دوم نصب و به روز رساني آنتي ويروس ها روي همه كامپيوتر ها، سرورها و ميل سرورها است. ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به صورت خودكار به روز رساني شود و آموزش هاي لازم در مورد فايل هاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك نيز بايد به كاربران داده شود.

    3 - گام سوم شامل نصب آخرين وصله هاي امنيتي و به روز رساني هاي امنيتي سيستم عامل و سرويس هاي موجود است. در اين مرحله علاوه بر اقدامات ذكر شده، كليه سرورها، سوييچ ها، روتر ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند.

    4-در اين مرحله نوبت گروه بندي كاربران و اعطاي مجوزهاي لازم به فايل ها و دايركتوري ها است. ضمن اينكه اعتبارهاي( account) قديمي هم بايد غير فعال شوند.

    گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access ControlTechniques يعني MAC , DAC يا RBAC انجام مي شود. بعد از پايان اين مرحله، يك بار ديگر امنيت سيستم عامل بايد چك شود تا چيزي فراموش نشده باشد.

    5- حالا نوبت device ها است كه معمولا شامل روتر، سوييچ و فايروال مي شود. بر اساس policy موجود و توپولوژي شبكه، اين ابزار بايد config شوند. تكنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين علت اين مرحله خيلي مهم است. حتي موضوع مهم IP Addressing كه از وظايف مديران شبكه هست نيز مي تواند مورد توجه قرار گيرد تا اطمينان حاصل شود كه از حداقل ممكن براي IP Assign به شبكه ها استفاده شده است.

    6- قدم بعد تعيين استراژي تهيه پشتيبان(backup) است. نكته مهمي كه وجود دارد اين است كه بايد مطمئن بشويم كه سيستم backup و بازيابي به درستي كار كرده و در بهترين حالت ممكن قرار دارد.

    7- امنيت فيزيكي. در اين خصوص اول از همه بايد به سراغ UPS ها رفت. بايد چك كنيم كه UPS ها قدرت لازم رو براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري را داشته باشند. نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت،ايمني در برابر سرقت و آتش سوزي است. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد نكند. به طور كل آنچه كه مربوط به امنيت فيزيكي مي شود در اين مرحله به كار مي رود.

    8- امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در مورد آن داشت.به همين دليل در اين قسمت، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم. در حقيقت، امنيت وب نيز در اين مرحله لحاظ مي شود.

    (توجه:هيچ گاه اسكريپت هاي سمت سرويس دهنده را فراموش نكنيد )

    9 - حالا نوبت بررسي، تنظيم و آزمايش سيستم هاي Auditing و Logging هست. اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد. سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود. در ضمن ساعت و تاريخ سيستم ها درست باشد چرا كه در غير اين صورت كليه اقداما قبلي از بين رفته و امكان پيگيري هاي قانوني در صورت لزوم نيز ديگر وجود نخواهد داشت.

    10- ايمن كردن Remote Access با پروتكل و تكنولوژي هاي ايمن و Secure گام بعدي محسوب مي شود. در اين زمينه با توجه به شرايط و امكانات، ايمن ترين پروتكل و تكنولوژي ها را بايد به خدمت گرفت.

    11 - نصب فايروال هاي شخصي در سطح host ها، لايه امنيتي مضاعفي به شبكه شما ميدهد. پس اين مرحله را نبايد فراموش كرد.

    12 - شرايط بازيابي در حالت هاي اضطراري را حتما چك و بهينه كنيد. اين حالت ها شامل خرابي قطعات كامپيوتري، خرابكاري كاربران، خرابي ناشي از مسايل طبيعي ( زلزله - آتش سوزي – ضربه خوردن - سرقت - سيل) و خرابكاري ناشي از نفوذ هكرها، است. استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد.

    به خاطر داشته باشید كه " هميشه در دسترس بودن اطلاعات "، جز، قوانين اصلي امنيتي هست.

    13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست، عضو شدن در سايت ها و بولتن هاي امنيتي و در آگاهي ازآخرين اخبار امنيتي است.
    -------------------------------------------------
    موفق باشید




    موضوعات مشابه:

  2. #2
    نام حقيقي: Peyman Yousefi

    عضو ویژه شناسه تصویری darklove
    تاریخ عضویت
    Oct 2005
    محل سکونت
    ABHAR
    نوشته
    3,330
    سپاسگزاری شده
    1005
    سپاسگزاری کرده
    318
    نوشته های وبلاگ
    7
    امنیت برای WEB Server مهم
    باید باگ برطرف کرد
    پورتهای اضافی با Firewall بست
    و....................



  3. #3


    عضو غیر فعال شناسه تصویری hamed_h_k
    تاریخ عضویت
    Mar 2007
    نوشته
    13
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0

    Icon11 چند نكته مهم ...

    دوست عزير...به نكات خوبي اشاره كرديد...ولي اجازه بديد چند نكته مهم رو كه من من هميشه در طرح هام هم روشون تاكيد مي كنم رو اضافه كنم
    همونطوري كه گفتيد، در دسترس بودن اطلاعات در امنيت شبكه بسيار مهم هستش (شايد هدف اصلي ماست) . من اين Availability رو به دو دسته تقسيم كردم:
    Data Availability (1: كه همنطور كه شما اشاره كرديد مربوط ميشه به Backup گيري، RAID1، RAID5(كه بهشون اشاره اي نشد) و يا Recovery و ...
    Servises & Application Availability (2: اين همون چيزيه كه خيلي مهمه در امنيت شبكه....شما اگه به اطلاعات دسترسي داشته باشيد ولي به Application هاي مربوط به اون و يا به سرويس هاي Server دسترسي نداشته باشين عملا اين اطلاعات براي شما قابل استفاده نيستند.... در اين حيطه، راه اندازي Cluster Server يا NLB توصيه ميشه (بستگي به مشخصات شبكه داره) تا سرويسها و Application هاي سرور هميشه در دسترس باشند
    نكته مهم ديگري هم كه هست و معمولا به اون توجه نميشه (به خاطر اينكه در Physical_Layer قرار داره) Network Redundancy يا افزونگي شبكه هستش تا اگه يه مسير از لحاظ فيزيكي در شبكه قطع شد...مسيرهاي جايگزين ديگه اي هم وجود داشته باشه (البته بايد طراح امنيت شبكه، شناخت كاملي از شبكه داشته باشه)
    مورد ديگه كه باز من خودم بهش رسيدم و تو هيچ كتابي نديدم در امنيت شبكه روش تاكيد بشه...سرعت شبكه هستش. يه وقت هايي كندي شبكه در واقع مي تونه مساوي با عدم دسترسي پذيري باشه، البته راه حلش ارتباط مستقيمي به كانفيگ هاي امنيتي نداره...ولي ميشه تو لايه هاي مختلف شبكه اونو بررسي كرد و سرعت شبكه رو بهبود بخشيد مثل بازنگري در Backbone هاي يك شبكه محلي (Physical_Layer)
    موارد ديگه اي هم هست مثل بازنگري در طراحي Logical‌شبكه (Network_Layer) به منظور جدا سازي شبكه هاي مستقل و نيمه مستقل از هم، پشتيبان گيري اتصال به اينترنت، مديريت سخت افزارهاي شبكه و ...
    اما نكته بسيار بسيار مهم در اجراي امنيت شبكه (كه عموما از طرف ماها خيلي بي اهميت انگاشته ميشه) مبحث آموزشه، من هميشه در Plan هام تشكيل يك تيم امنيت شبكه از پرسنل دائمي اون LAN در نظر مي گيرم و آموزش هاي ويژه اي (بيش از 8 دوره مختلف) براشون در نظر براشون طراحي مي كنم....يه آموزش عمومي هم هست كه براي كليه پرسنل اون سازمان بايد آموزش داده بشه...چون من معتقدم كه ضعيف ترين حلقه يك زنجير، نمايانگر قدرت يك زنجيره... ما هر چه كاملترين و با كيفيت ترين طرح امنيتي رو براي يك شبكه طراحي و پياده سازي كنيم، ولي آموزش لازم رو به پرسنل اون سازمان نداده باشيم....امنيت شبكه مون بسيار شكننده و ضعيف خواهد بود.
    خوشحال ميشم اگه نظرتون رو واسم بنويسيد و يا اگه نكته اي يا موردي هست به من گوشزد كنيد...


    ویرایش توسط hamed_h_k : 2007-03-14 در ساعت 11:51 AM

  4. #4
    نام حقيقي: شاهین غرقی

    خواننده شناسه تصویری webgard3
    تاریخ عضویت
    Feb 2006
    محل سکونت
    iran/shiraz
    نوشته
    3,401
    سپاسگزاری شده
    1040
    سپاسگزاری کرده
    147
    شما هم گیر دادی به تاپیکهای قدیمی ها.


    hamid سپاسگزاری کرده است.

کلمات کلیدی در جستجوها:

http://forum.persiannetworks.com/f89/t12626.html

پياده سازي طرح امنيت شبكه ISMS

امنیت شبکه

درباره امنیت شبکه ISMS

امنيت اطلاعات وشبكه را از كجا بايد شروع كردهمه چیز درباره securityمقالات دربارهAuthenticationمقاله درباره authenticationدرباره امنیت اطلاعات شبکهپروژه درباره امنیت اطلاعاتچك ليست بازرسي ismsمسیرهای جایگزین امنیت شبکه مقاله درباره امنیت شبکهapplication های مهم در شبکهمسائل امنیتی شبکهدرباره Authenticationدربارهauthenticationاستاندارد امنیت شبکه در 7 لایه درامنيت شبكه authenticationچك ليست امنيت سرور ايزو 27001در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيمISMSامنیت اطلاعات مهمترين مسايل امنيت شبكه در برابر نفوذ پذيري

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •