panasonic.ir
Registered User
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند.
وقتی از امنیت شبکه صحبت می کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می آید، قضیه تا حدودی پیچیده می شود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی حتی در تست نفوذ ندارید (که البته این حسی طبیعی است ).
پس اگر شما نیز چنین احساسی دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبکه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است که هیچکدام از اینها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبکه کنید، محصول وحشتناکی از کار در می آید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه می خواهید و چه نمی خواهید، کار را شروع میشود. حال باید پنج مرحله رو پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارت اند از :
۱) Inspection ( بازرسی )
۲) Protection ( حفاظت )
۳) Detection ( ردیابی )
۴) Reaction ( واکنش )
۵) Reflection ( بازتاب)
در طول مسیر ایمن سازی شبکه از این پنج مرحله عبور می کنیم، ضمن آن که این مسیر، احتیاج به یک تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه را طی کند.
۱) اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است.
مهمترین قسمت هایی که باید authentication را ایمن و محکم کرد عبارتند از :
- کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
- کلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاکید بیشتری می شود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار می کند، اکثر مدیرهای شبکه از config کردن آن غافل می شوند. در حالی توجه به این مهم می تواند امنیت شبکه را ارتقا دهد. لذا به مدیران امنیتی توصیه میشود که حتما سوییچ و روتر ها رو کنترل کنند ).
- کلمات عبور مربوط به SNMP.
- کلمات عبور مربوط به پرینت سرور.
- کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security یاد گرفتید این جا به کار می رود.
۲) گام دوم نصب و به روز رسانی آنتی ویروس ها روی همه کامپیوتر ها، سرورها و میل سرورها و همچنین تست نفوذ است. ضمن اینکه آنتی ویروس های مربوط به کاربران باید به صورت خودکار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.
۳) گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ ها، روتر ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.
۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایل ها و دایرکتوری ها است. ضمن اینکه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.
گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.
۵) حالا نوبت device ها است که معمولا شامل روتر، سوییچ و فایروال می شود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.
۶) قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.
۷) امنیت فیزیکی. در این خصوص اول از همه باید به سراغ UPS ها رفت. باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی می شود در این مرحله به کار می رود.
۸) امنیت وب سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.
(توجه:هیچ گاه اسکریپت های سمت سرویس دهنده را فراموش نکنید )
۹) حالا نوبت بررسی، تنظیم و آزمایش سیستم های Auditing و Logging هست. این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد. سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود. در ضمن ساعت و تاریخ سیستم ها درست باشد چرا که در غیر این صورت کلیه اقداما قبلی از بین رفته و امکان پیگیری های قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.
۱۰) ایمن کردن Remote Access با پروتکل و تکنولوژی های ایمن و Secure گام بعدی محسوب می شود. در این زمینه با توجه به شرایط و امکانات، ایمن ترین پروتکل و تکنولوژی ها را باید به خدمت گرفت.
۱۱) نصب فایروال های شخصی در سطح host ها، لایه امنیتی مضاعفی به شبکه شما میدهد. پس این مرحله را نباید فراموش کرد.
۱۲) شرایط بازیابی در حالت های اضطراری را حتما چک و بهینه کنید. این حالت ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی ( زلزله - آتش سوزی – ضربه خوردن - سرقت - سیل) و خرابکاری ناشی از نفوذ هکرها، است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
به خاطر داشته باشید که " همیشه در دسترس بودن اطلاعات "، جز، قوانین اصلی امنیتی هست.
۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.
به گفته کارشناسان و متخصصان شبکه، رمزنگاری در کنار انجام تست نفوذ مهمترین ابزار برقراری امنیت در فضای تبادل دادهها است. که با توجه به سیاستهای کلان دولت و تعیین برنامههای پنج ساله در حوزه IT میتوان به اهمیت و جایگاه رمز و امنیت شبکه در کشور نیز پی برد.بر اساس ماده ۴۴ قانون برنامه چهارم توسعه، دولت موظف است که تا پایان برنامه، سند امنیت فضای تبادل اطلاعات را در محیط شبکه تهیه و تدوین کند. این تاکید صریح دولت بر امنیت شبکه و همچنین تشکیل شورای عالی افتا (امنیت فضای تبادل اطلاعات) – که اکنون ادغام شده است – بر اهمیت موضوع دلالت دارد. از طرفی کارشناسان نیز معتقدند با توجه به روند روبهرشد و گسترده اطلاعات و حجم فزاینده تبادل اطلاعات بین شبکهای، میطلبد که دولت و انجمنها به اتخاذ سیاستها و راهکارهایی اساسی برای امنیت شبکهها مبادرت ورزند.دکتر مجید نادری، کارشناس رمزنگاری در این باره میگوید: با توجه به الکترونیکی شدن مکاتبات نیاز به امنیت اطلاعات و رمزنگاری به منظور جلوگیری از هرگونه دستبرد اطلاعاتی بیش از گذشته احساس میشود.وی میافزاید: رمزنگاری یکی از ارکان اصلی امنیت سیستمها و شبکههاست. در واقع رمزنگاری اطلاعات را به شکلی تبدیل میکند که از دید نامحرمان پنهان میماند.وی در مورد اهمیت رمزنگاری در تبادل اطلاعات و همکاری با کشورهای دیگر میگوید: امنیت موضوعی است که تبادل اطلاعات بینالمللی در آن نباید به صورت کامل انجام شود ولی در حد مجاز میتوانیم از اطلاعات کشورهای دیگر نیز مطلع شویم. نادری با اشاره به فرهنگ استفاده از تکنولوژی در ایران میگوید: در ابتدای کار ما به هر پدیده نو خصمانه برخورد میکنیم و نمیتوانیم به سرعت با آن ارتباط برقرار کرده، آن را بپذیریم. اما بعد از گذشت مدت زمان بسیاری ضرورت موضوع درک میشود و این زمانی است که برای فرهنگسازی باید تلاش بیشتری کرد.وی میافزاید: موضوع امنیت نیز گرفتار همین روند شده است. برای مثال برخورد ابتدایی ما با اینترنت یا موبایل مثبت نبود و چندان تمایلی به استفاده از آنها نداشتیم و زمانی از آنها استفاده کردیم که دیر شده بود و از قافله جهانی عقب مانده بودیم.این امر باعث تاخیر در ورود و جایگیری این تکنولوژیها در کشور و به عبارتی تاخیر توسعه میشود.وی میافزاید: برای تامین امنیت، لازم است به جرایم اینترنتی نیز توجه شود. اما تاکنون اقدامی در این زمینه انجام نشده است.
وی میافزاید: متاسفانه مسوولان توجهی به طرحهایی که در زمینه امنیت ارایه میشود، ندارند. برای مثال آزمایشگاه رمزنگاری و سیستم رمز، طرحی به منظور رمزگذاری موبایل و محفوظ ماندن مکالمات شخصی به مخابرات ارایه داده ولی هیچ گونه استقبالی از این طرح انجام نشده است.
وی در مورد استقبال کردن از این طرح میگوید: تنها علتی که باعث میشود مخابرات این طرح را قبول نکند این است که آنها هنوز اهمیت این قضیه را درک نکردهاند.
● مدیریت ریسک پذیر میخواهیم
با این حال اگر چه ورود به هر حوزهای از فناوری در کشور ایران به دلیل برخی سیاستها همواره با کاستیهایی مواجه بوده است. اما این کاستیها را نیز میتوان با بیان راه حلها و عملی کردن آن، برطرف کرد.
امنیت شبکه نیز یکی از مواردی است که میتوان با ارایه راهکارها و راهحلها، خلاءهای موجود در استفاد از آن را پر کرده که یکی از این راهحلها فرهنگسازی در سطح مدیران میانی و ارشد کشور است. فرهنگسازی برای مدیریت ریسکپذیر میتواند تا حدودی کاستیها را جبران کند.مهدی فشارکی، کارشناس کامپیوتر در اینباره میگوید: ایران به لحاظ امنیت در سطح بسیار پایینی قرار دارد که این امر نشات گرفته از فقدان فرهنگ مناسب در استفاده از امنیت در محیط شبکه است. فرهنگسازی باید به گونهای باشد که مدیران را برای ریسکپذیری آماده کند.
وی میافزاید: برگزاری کنفرانسهای علمی با حضور مدیران دولتی و متخصصان و همچنین ایجاد مرکز علمی به منظور فراهمآوردن زمینه تبادل نظر میان دولت و دانشگاه، میتواند به تقویت دانش استفاده مدیران از امنیت در محیط شبکه کمک کند.
چراکه تا زمانی که مدیران کشور از متخصصان و مراکز علمی دانشگاهی به منظور همکاری در رمزنگاری و امنیت شبکه استفاده و بهره کافی را نبرند، نمیتوان امنیت شبکه را در سطح بینالمللی تامین کرد. نادری نیز دراینباره میگوید: برای حل مشکلات موجود در سیستمهای امنیتی کشور باید در مرحله اول احساس نیاز بهوجود آید که این مهم نیز مستلزم همکاری دولت است.
وی میافزاید: هماکنون با حمایت دفتر IT ریاست جمهوری و قدمهایی که به سمت فعالکردن دانشگاهها برداشته شده است امید داریم بتوانیم به سرعت عقبماندگی در بهرهگیری از فناوریهای جدید را جبران کنیم.وی میافزاید: در کنفرانس رمز ایران از کارشناسان برجسته رمزنگاری جهان دعوت به عمل آمد و توانستیم از اطلاعات آنان استفاده کنیم.
● امنیت، نیاز ضروری دولت الکترونیکی
کشورهای توسعه یافته در سطح کلان و حتی در بحث سیاستهای اجرایی با اتخاذ تدابیری سعی بر این دارند که میزان امنیت شبکههای خود را با استفاده از روشهای نوین رمزنگاری افزایش دهند. این در حالی است که در ایران با وجود تدوین یک قانون به این منظور، همچنان توجه چندانی به این موضوع مبذول نشده و رمزنگاری و امنیت شبکه در کشور به کندی پیش میرود.
از سویی نامطلوببودن وضعیت رمزنگاری و امنیت شبکه نیز موجب نارضایتی کارشناسان و متخصصان کامپیوتر و شبکه شده است، به نحوی که اغلب آنها با صراحت بر نامطلوببودن و حتی کارشناسی نبودن برخی فعالیتها اذعان دارند.اکبر زارع، مسوول مرکز تحقیقات ریاضی در این زمینه معتقد است، کشور ایران به لحاظ امنیت در سطح بسیار پایینی قرار دارد که این امر نشات گرفته از فقدان فرهنگ مناسب در استفاده از امنیت در محیط شبکه است.در همین حال، به گفته مهدی فشارکی، کارشناس کامپیوتر پایینبودن سطح فرهنگ به دلیل نبود مدیریت ریسکپذیر است.
وی میافزاید: باوجود فعالیتهای دولت در زمینه تحقق دولت الکترونیکی، همچنان موضوع امنیت شبکه مورد کمتوجهی قرار گرفته است.
وی در مورد فعالیتهایی که در زمینه دولت الکترونیکی انجام شده، میگوید: عملیات بانکی، پست الکترونیکی و بسیاری موارد دیگر به تازگی شروع به کار کردهاند، بنابراین ایجاد شبکه نیز امری جدید است و نیاز به اهمیت آن بیش از گذشته احساس میشود.