آموزش شبکه و برنامه‌نویسی

با ما بروز باشید

آموزش CCNA Security- استفاده از اصول اساسی امنیت در شبکه (درس دوم)

استفاده از اصول اساسی امنیت در شبکه
در این بخش رویکرد‌هایی برای بهبود شبکه مشخص شده است که می‌تواند از مواردی که در بالا بیان کردیم پیشگیری کند.
محرمانه بودن (Confidentiality)
برای ایجاد یکپارچگی در اطلاعات باید سطح دسترسی را برای افراد مشخص کنید تا از افشای آن در بیرون سازمان جلوگیری شود، سه اصل شناسایی(Identification)، احراز هویت (Authentication)، مجوز دسترسی(Authorization)  می‌تواند شما را در این امر بسیار کمک کند، همه این موارد در ادامه کتاب بررسی خواهد شد.
 

یکپارچگی (Integrity)
این قسمت از سه مرحله قبل که نام برده شده اطمینان حاصل پیدا می‌کند، و هدف اصلی آن حفظ یکپارچگی داده‌ها، از جمله داده‌های ذخیره شده در فایل‌ها، پایگاه داده‌ها، سیستم‌ها و شبکه ها است.
 
در دسترس بودن (Availability)
در دسترس بودن به این معنی است که اطلاعات در زمان و مکان مورد نیاز فقط برای افرادی که مجوز لازم را دارند همیشه در دسترس باشد.
 
در دو حوزه می‌توان از ویژگی در دسترس بودن خیلی خوب استفاده کرد:
1-    زمانی که حملات گسترده به شبکه انجام شود و شبکه به طور کامل غیر فعال شود، مانند ویروس‌های باجگیر که این روزها شبکه‌های بسیاری را آلوده کردند و در نوع خاصی از آنها هیچ راهی برای برگشت اطلاعات وجود ندارد.
2-    زمانی که بلایای طبیعی رخ دهد.
یکی از راه‌های مهمی که برای در دسترس بودن اطلاعات باید انجام گیرد استفاده از فناوری Raid برای شبکه است تا اطلاعات در سریعترین زمان ممکن در دسترس قرار گیرد.
تعاریف اولیه در امنیت اطلاعات
کمترین امتیاز (Least Privilege)
مفهوم کلی این تعریف در مورد این است که به هر کس به اندازه‌ی نیازش دسترسی بده که این موضوع می‌تواند برای یک کاربر باشد و یا یک فرآیند، برای فعال کردن این حداقل‌ها باید سازمان‌ها تمامی کارکر‌های کاربران را شناسایی و بر اساس آن دسترسی‌ها را اولویت بندی کنند تا کسی بیشتر از نیاز خود به منابع شبکه دسترسی نداشته باشد.
یک سری قوانین سازمانی وجود دارد که از اصل کمترین امتیاز (Least Privilege) حمایت می‌کنند:
1-    تعداد اکانت‌هایی که دارای مجوز‌های زیاد در شبکه هستند را محدود کنید.
2-    مدیران شبکه باید از یک اکانت با دسترسی معمولی برای عملیات معمول خود استفاده کنند.
3-    دسترسی‌ها ابزاری محبوب برای مهاجم‌ها هستش که باید دقت لازم در این زمینه‌ را داشته باشیم و آن را محدود کنیم.
دسترسی به هیچ چیز (Access to Nothing)
سعی کنید به صورت پیش فرض دسترسی‌ها را برای همه کاربرانی که برای اولین بار به شبکه متصل می‌شوند ببندید، این کار یکی از بهترین عملکرد‌های امنیتی محسوب خواهد شد که افراد ناشناس نتوانند به راحتی به شبکه دسترسی داشته باشند.
دفاع در عمق (Defense in Depth)
استراتژی دفاع از عمق به این موضوع اشاره دارد که برای ایجاد امنیت باید از چند لایه‌ی امنیتی برای رسیدن به اطلاعات استفاده کرد، یکی از این استراتژی ها استفاده از کنترل دسترسی‌ها در شبکه است.

تفکیک وظایف (Separation of Duties)
برای کاربران باید وظایف مشخص معین شود و هر کسی وظایف مربوط به خود را انجام دهد، با این کار از تقلب در کارها جلوگیری خواهد شد، مثلاً می‌توانیم برای یک کار که قرار است انجام شود دو مدیر تایین کنیم تا هر دو مجوز آن کار را صادر کنند و با یک نفر آن کار انجام نشود.
چرخش کار (Job Rotation)
در این بخش باید آموزش‌های لازم داده شود تا از انجام تقلب جلوگیری شود، در چرخش کار باید یک نسخه از اطلاعات شبکه داشته باشیم.
مناطق امنیتی مشترک شبکه (Common Network Security Zones)
DMZ یک زیرشبکه منطقی یا فیزیکی است که اطلاعات شبکه داخلی را به بیرون از سازمان یعنی فضای اینترنت ارسال می‌کند، هدف از یک DMZ، اضافه کردن یک لایه امنیتی بیشتر به شبکه محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمت‌های شبکه، تنها به تجهیزاتی که در DMZ  هستند دسترسی دارد و با این کار خطرات ناشی از دسترسی غیر مجاز به شبکه اصلی کاهش پیدا خواهد کرد، DMZ فقط و فقط برای جلوگیری از دسترسی افراد به شبکه داخلی و یا همان محلی ما است و اگر مهاجمی از داخل شبکه بخواهد جاسوسی کند، نمی‌تواند کاری انجام دهد، بهترین راه استفاده از این نوع شبکه‌ها استفاده از یک دستگاه Firewall برای جدا کردن سه شبکه Internet، DMZ و Intranet است که در شکل زیر آن را مشاهده می‌کنید.



Intranet and Extranet
Intranet به شبکه‌ی داخلی اشاره می‌کند که از پروتکل‌های مرتبط با اینترنت و به‌ ویژه، تکنولوژی وب برای سازماندهی شبکه استفاده می‌کند. (برای مثال می‌توان از پروتکل‌های TCP/IP/HTTP استفاده نمود) در حقیقت intranet مقیاس بسیار کوچکی از کل اینترنت است ولی خصوصی است؛ بر خلاف اینترنت که هیچکس مالک آن نیست.
اینترانت شبکه‌ای رایانه‌ای است که از زبان مشترک ارتباطی شبکه جهانی اینترنت برای تبادل داده‌ها استفاده می‌کند و تمام خدمات اینترنت، از جمله پست الکترونیکی، WWW ، انتقال فایل (FTP)، گروه‌های خبری و کنفرانس را در شبکه‌ای اختصاصی برای استفاده ‌کنندگان مشخص آن شبکه ارائه می‌دهد و لزوماً به اینترنت متصل نیست. این شبکه یک سازمان را به هم متصل می‌کند. برای نمونه، بانک ملی برای متصل کردن همۀ شعبه‌های خود در سراسر کشور از این تکنولوژی استفاده می‌کند. ورود به این شبکه برای عموم آزادنیست زیرا امنیت آن به خطر می‌افتد، هدف اصلی از نصب اینترانت‌ها تسهیل ارتباطات و به اشتراک گذاشتن منابع، اعم از سخت‌افزاری است.

 

شبکه Extranet
Extranet یک شبکه شخصی است که از پروتکل اینترنت و اتصالات شبکه استفاده می‌کند و این امکان وجود دارد که به منابع شبکه داخلی از راه دور دسترسی داشته باشید البته با امنیت کامل.
Extranet یک Intranet است، extranet می‌تواند به عنوان بخشی از Intranet یک شرکت تعریف شود، برای اینکه مشتریان، فروشندگان، و تامین کنندگان آن شرکت بتوانند با شبکه Intranet ارتباط برقرار کنند باید از باید از ابزارهایی که آن سازمان در اختیاز آنها قرار می‌دهد استفاده کنند مانند VPN و....
شبکه عمومی و خصوصی (Public and Private)
هدف از ایجاد مناطق مانند DMZ، جدا کردن منابع حساس از منابعی است که نیاز به حفاظت کمتری دارند، DMZ را می‌توان یک منبع عمومی (Public) نامید، چون همه افراد بیرون از سازمان می‌توانند به آن دسترسی داشته باشند ولی در عوض شبکه Private یک شبکه خصوصی است که فقط بین سیستم‌های همان شبکه در دسترس است، مثلاً اطلاعات شناسایی کارمندان در این نوع شبکه‌ها وجود دارد و هرگز نباید در شبکه‌هایی مانند DMZ قرار گیرد.
شبکه مجازی (Virtual LAN)
Virtual LAN یا VLAN به شبکه‌ای گفته می‌شود که در لایه دو کاربرد دارد و برای ایجاد امنیت در سوییچ به کار می‌رود، VLAN‌ ها برای جدا کردن پورت‌های سویچ به کار می‌روند، مثلاً می‌خواهید به سرور مالی شرکت فقط و فقط یک سیستم خاص متصل شود، برای این کار آنها را در یک VLAN قرار مید‌هید، در مورد شبکه VLAN در کتاب CCNA R&S توضیحات لازم را دادم.





نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید

آخرین مطالب سایت

Search