Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
مراحل اوليه ايجاد امنيت در شبکه
-(1 Body) 
مراحل اوليه ايجاد امنيت در شبکه
Visitor 466
Category: دنياي فن آوري
شبکه هاي کامپيوتري زير ساخت لازم براي عرضه اطلاعات در يک سازمان را فراهم مي نمايند . ] بموازات رشد و گسترش تکنولوژي اطلاعات، مقوله امنيت در شبکه هاي کامپيوتري ، بطور چشمگيري مورد توجه قرار گرفته و همه روزه بر تعداد افرادي که علاقه مند به آشنائي با اصول سيستم هاي امنيتي در اين زمينه مي باشند ، افزوده مي گردد . در اين مقاله ، پيشنهاداتي در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه مي گردد .

سياست امنيتي

يک سياست امنيتي، اعلاميه اي رسمي مشتمل بر مجموعه اي از قوانين است که مي بايست توسط افراديکه به يک تکنولوژي سازمان و يا سرمايه هاي اطلاعاتي دستيابي دارند، رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتي ، مي بايست سياست هاي تدوين شده در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتي سازمان، اعمال گردد . اهداف مورد نظر عموما" با تاکيد بر گزينه هاي اساسي زير مشخص مي گردند . " سرويس هاي عرضه شده در مقابل امنيت ارائه شده ، استفاده ساده در مقابل امنيت و هزينه ايمن سازي در مقابل ريسک از دست دادن اطلاعات "
مهمترين هدف يک سياست امنيتي ، دادن آگاهي لازم به کاربران، مديران شبکه و مديران عملياتي يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژي و سرمايه هاي اطلاعاتي است . سياست امنيتي ، مي بايست مکانيزم و راهکارهاي مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتي ، ارائه يک خط اصولي براي پيکربندي و مميزي سيستم هاي کامپيوتري و شبکه ها ، بمنظور تبعيت از سياست ها است . يک سياست امنيتي مناسب و موثر ، مي بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .
يک سياست امنيتي خوب داراي ويژگي هاي زير است :
• امکان پياده سازي عملي آن بکمک روش هاي متعددي نظير رويه هاي مديريتي، وجود داشته باشد .
• امکان تقويت آن توسط ابزارهاي امنيتي ويا دستورات مديريتي در موارديکه پيشگيري واقعي از لحاظ فني امکان پذير نيست ، وجود داشته باشد .
• محدوده مسئوليت کاربران ، مديران شبکه و مديران عملياتي بصورت شفاف مشخص گردد .
• پس از استقرار، قابليت برقراي ارتباط با منابع متفاوت انساني را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )
• داراي انعطاف لازم بمنظور برخورد با تغييرات درشبکه باشد .( سياست هاي تدوين شده ، نمونه اي بارز از مستندات زنده تلقي مي گردنند . )

سيستم هاي عامل و برنامه هاي کاربردي : نسخه ها و بهنگام سازي

در صورت امکان، مي بايست از آخرين نسخه سيستم هاي عامل و برنامه هاي کاربردي بر روي تمامي کامپيوترهاي موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم هاي تشخيص مزاحمين ) استفاده شود . سيستم هاي عامل و برنامه هاي کاربردي مي بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازي ( patches , service pack , hotfixes) استفاده گردد . در اين راستا مي بايست حساسيت بيشتري نسبت به برنامه هاي آسيب پذير که زمينه لازم براي متجاوزان اطلاعاتي را فراهم مي نمايند ، وجود داشته باشد .
برنامه هاي : IIS ,OutLook , Internet Explorer , BIND و sendmail بدليل وجود نقاط آسيب پذير مي بايست مورد توجه جدي قرار گيرند . متجاوزان اطلاعاتي ، بدفعات از نقاط آسيب پذير برنامه هاي فوق براي خواسته هاي خود استفاده کرده اند .

شناخت شبکه موجود

بمنظور پياده سازي و پشتيباني سيستم امنيتي ، لازم است ليستي از تمام دستگاههاي سخت افزاري و برنامه هاي نصب شده ، تهيه گردد . آگاهي از برنامه هائي که بصورت پيش فرض نصب شده اند، نيز داراي اهميت خاص خود است ( مثلا" برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه هاي مبتني بر ويندوز نصب مي گردد ) . فهرست برداري از سرويس هائي که بر روي شبکه در حا ل اچراء مي باشند، زمينه را براي پيمايش و تشخيص مسائل مربوطه ، هموار خواهد کرد .

سرويس دهندگان TCP/UDP و سرويس هاي موجود در شبکه

تمامي سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس هاي موجود بر روي هر کامپيوتر در شبکه ، مي بايست شناسائي و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس هاي غير ضروري، غير فعال گردند . براي سرويس دهندگاني که وجود آنان ضروري تشخيص داده مي شود، دستيابي به آنان محدود به کامپيوترهائي گردد که به خدمات آنان نيازمند مي باشند . امکانات عملياتي را که بندرت از آنان استفاده و داراي آسيب پذيري بيشتري مي باشند ، غير فعال تا زمينه بهره برداري آنان توسط متجاوزان اطلاعاتي سلب گردد. توصيه مي گردد ، برنامه هاي نمونه (Sample) تحت هيچ شرايطي بر روي سيستم هاي توليدي ( سيستم هائي که محيط لازم براي توليد نرم افزار بر روي آنها ايجاد و با استفاده از آنان محصولات نرم افزاري توليد مي گردند ) نصب نگردند .

رمزعبور

انتخاب رمزعبور ضعيف ، همواره يکي از مسائل اصلي در رابطه با هر نوع سيستم امنيتي است . کاربران، مي بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواري گردند . تنظيم مشخصه هاي رمز عبور در سيستم هاي مبتني بر ويندوز، بکمک Account Policy صورت مي پذيرد . مديران شبکه، مي بايست برنامه هاي مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيري سيستم در بوته نقد و آزمايش قرار گيرد .
برنامه هاي john the Ripper ، LOphtcrack و Crack ، نمونه هائي در اين زمينه مي باشند . به کاربراني که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار اخطار داده شود ( عمليات فوق، مي بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه هاي تشخيص رمزعبور،زمان زيادي از پردازنده را بخود اختصاص خواهند داد، توصيه مي گردد، رمز عبورهاي کد شده ( ليست SAM بانک اطلاعاتي در ويندوز ) را بر روي سيستمي ديگر که در شبکه نمي باشد، منتقل تا زمينه بررسي رمزهاي عبور ضعيف ، فراهم گردد . با انجام عمليات فوق برروي يک کامپيوتر غير شبکه اي ، نتايج بدست آمده براي هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکي به سيستم دستيابي پيدا نمايند) .
براي تعريف رمز عبور، موارد زير پيشنهاد مي گردد :
• حداقل طول رمز عبور، دوازده و يا بيشتر باشد .
• دررمز عبور از حروف کوچک، اعداد، کاراکترهاي خاص و Underline استفاده شود .
• از کلمات موجود در ديکشنري استفاده نگردد .
• رمز هاي عبور ، در فواصل زماني مشخصي ( سي و يا نود روز) بصورت ادواري تغيير داده شوند .
• کاربراني که رمزهاي عبور ساده و قابل حدسي را براي خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زماني يک ماه انجام گردد).
عدم اجراي برنامه ها ئي که منابع آنها تاييد نشده است .
در اغلب حالات ، برنامه هاي کامپيوتري در يک چارچوب امنيتي خاص مربوط به کاربري که آنها را فعال مي نمايد ، اجراء مي گردند.دراين زمينه ممکن است، هيچگونه توجه اي به ماهيت منبع ارائه دهنده برنامه توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه مي تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتي فوق ،مي بايست مراقبت هاي لازم در رابطه با طرفندهاي استفاده شده توسط برخي از متجاوران اطلاعاتي را انجام داد. مثلا" ممکن است برخي آسيب ها در ظاهري کاملا" موجه از طريق يک پيام الکترونيکي جلوه نمايند . هرگز يک ضميمه پيام الکترونيکي و يا برنامه اي را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه اي نظير Outlook بمنظور دريافت پيام هاي الکترونيکي استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و مي بايست امکان اجراي تمام اسکريپت ها و محتويات فعال براي ناحيه فوق ، غير فعال گردد .
ايجاد محدوديت در برخي از ضمائم پست الکترونيکي
ضرورت توزيع و عرضه تعداد زيادي از انواع فايل هاي ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيري از اجراي کدهاي مخرب ، پيشنهاد مي گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائي که از Outlook استفاده مي نمايند، مي توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند . ( براي ساير نسخه هاي Outlook مي توان از Patch امنيتي مربوطه استفاده کرد ) .
فايل هاي زير را مي توان بلاک کرد :
نوع فايل هائي که مي توان آنها را بلاک نمود .
.bas .hta .msp .url .bat .inf .mst .vb .chm .ins .pif .vbe
.cmd .isp .pl .vbs .com .js .reg .ws .cpl .jse .scr .wsc .crt
.lnk .sct .wsf .exe .msi .shs .wsh
در صورت ضرورت مي توان ، به ليست فوق برخي از فايل ها را اضافه و يا حذف کرد. مثلا" با توجه به وجود عناصر اجرائي در برنامه هاي آفيس ، ميتوان امکان اجراي برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه Access بر مي گردد که برخلاف ساير اعضاء خانواده آفيس ، داراي امکانات حفاظتي ذاتي در مقابل ماکروهاي آسيب رسان نمي باشد .

پايبندي به مفهوم کمترين امتياز

اختصاص حداقل امتياز به کاربران، محور اساسي درپياده سازي يک سيتم امنيتي است. رويکرد فوق بر اين اصل مهم استوار است که کاربران مي بايست صرفا" داراي حقوق و امتيازات لازم بمنظور انجام کارهاي مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمي باشد!) . رخنه در سيستم امنيتي از طريق کدهاي مخربي که توسط کاربران اجراء مي گردند، تحقق مي يابد . در صورتيکه کاربر، داراي حقوق و امتيازات بيشتري باشد ، آسيب پذيري اطلاعات در اثر اجراي کدها ي مخرب ، بيشتر خواهد شد . موارد زير براي اختصاص حقوق کاربران ، پيشنهاد مي گردد :
• تعداد account مربوط به مديران شبکه، مي بايست حداقل باشد .
• مديران شبکه ، مي بايست بمنظور انجام فعاليت هاي روزمره نظير خواندن پيام هاي پست الکترونيکي ، از يک account روزمره در مقابل ورود به شبکه بعنوان administrator ،استفاده نمايند .
• مجوزهاي لازم براي منابع بدرستي تنظيم و پيکربندي گردد . در اين راستا مي بايست حساسيت بيشتري نسبت به برخي از برنامه ها که همواره مورد استفاده متجاوزان اطلاعاتي است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبي براي متجاوزان اطلاعاتي را فراهم مي نمايند. جدول زير برخي از اين نوع برنامه ها را نشان مي دهد .

برنامه هاي مورد توجه متجاوزان اطلاعاتي

explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe,
cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe,
net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe,
regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe,
svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe,
usrmgr.exe,wscript.exe,xcopy.exe
• رويکرد حداقل امتياز ، مي تواند به برنامه هاي سرويس دهنده نيز تعميم يابد . در اين راستا مي بايست حتي المقدور، سرويس ها و برنامه ها توسط يک account که حداقل امتياز را دارد ،اجراء گردند .

مميزي برنامه ها

اغلب برنامه هاي سرويس دهنده ، داراي قابليت هاي مميزي گسترده اي مي باشند . مميزي مي تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب هاي واقعي باشد . با فعال نمودن مميزي براي برنامه هاي سرويس دهنده و کنترل دستيابي به برنامه هاي کليدي نظير برنامه هائي که ليست آنها در جدول قبل ارائه گرديد، شرايط مناسبي بمنظور حفاظت از اطلاعات فراهم مي گردد .

چاپگر شبکه

امروزه اغلب چاپگرهاي شبکه داراي قابليت هاي از قبل ساخته شده براي سرويس هاي FTP,WEB و Telnet بعنوان بخشي از سيستم عامل مربوطه ، مي باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از چاپگرهاي شبکه بصورت FTP Bound servers ، Telnet و يا سرويس هاي مديريتي وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير و با صراحت پورت هاي چاپگر را در محدوده روتر / فايروال بلاک نموده و در صورت عدم نياز به سرويس هاي فوق ، آنها را غير فعال نمائيد .

پروتکل SNMP)Simple Network Management Protocol)

پروتکل SNMP ، در مقياس گسترده اي توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهاي موجود در شبکه ( سرويس گيرنده ، سرويس دهنده، سوئيچ ، روتر، فايروال ) استفاده مي گردد .SNMP ، بمنظور تاييد اعتبار کاربران ، از روشي غير رمز شده استفاده مي نمايد . متجاوزان اطلاعاتي ، مي توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتي، آنان قادر به اخذ اطلاعات متنوعي در رابطه با عناصر موجود در شبکه بوده و حتي امکان غير فعال نمودن يک سيستم از راه دور و يا تغيير پيکربندي سيستم ها وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتي قادر به جمع آوري ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به ساختار شبکه موجود بهمراه سيستم ها و دستگاههاي متصل شده به آن ، نيز آگاهي خواهد يافت . سرويس دهندگان SNMP موجود بر روي هر کامپيوتري را که ضرورتي به وجود آنان نمي باشد ، غير فعال نمائيد . در صورتيکه بهر دليلي استفاده از SNMP ضروري باشد ، مي بايست امکان دستيابي بصورت فقط خواندني در نظر گرفته شود . در صورت امکان، صرفا" به تعداد اندکي از کامپيوترها امتياز استفاده از سرويس دهنده SNMP اعطاء گردد .

تست امنيت شبکه

مديران شبکه هاي کامپيوترهاي مي بايست، بصورت ادواري اقدام به تست امنيتي تمام کامپيوترهاي موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم هاي تشخيص مزاحمين ) نمايند. تست امنيت شبکه ، پس از اعمال هر گونه تغيير اساسي در پيکربندي شبکه ، نيز مي بايست انجام شود .
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.