پـیـــاده ســازی امنـیـت بــه زبـــان ســــاده

در امنيت شبكه، موضوع لايه هاي دفاعي، موضوعی مهم است. در اين خصوص نيز نظرات مختلفي وجود دارد. عده اي فايروال را اولين لايه دفاعي مي دانند و بعضي ها هم Access List را. اما واقعيت اين است كه هيچكدام از اينها، اولين لايه دفاعي محسوب نمي شوند. اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي یا سیاست کاری (Policy) است. در ادامه مراحل پیاده سازی امنیت را به زبان ساده دنبال می کنیم.

1- اولين نقطه، ايمن كردن فرآیند احراز هویت كليه (authentication) است. معمولا رايج ترين روش authentication، استفاده از شناسه كاربري و كلمه رمز است.

حال مهمترين قسمت هاي authentication كه بايد ايمن سازی گردد عبارتند از:كنترل كلمات عبور كاربران، به ويژه در مورد مديران سيستم وكلمات عبور سوييچ و روترها. در اين خصوص روي سوييچ تاكيد بيشتري مي شود، زيرا از آنجا كه اين ابزار به صورت plug and play كار مي كند، اكثر مديران شبكه از پیکربندی آن غافل مي شوند. امری که راه را برای نفوذ به شبکه با کمترین تلاش هموار می سازد.همچنین كلمات عبور مربوط به SNMP وكلمات عبور مربوط به پرينت سرور و كلمات عبور مربوط به محافظ صفحه نمايش.

2- گام دوم نصب و بروز رساني آنتي ويروس ها روي همه كامپيوترها، سرورها و ميل سرورها است. ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به صورت خودكار بروز رساني شوند و آموزش هاي لازم در مورد فايل هاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك نيز بايد به كاربران داده شود.

3- گام سوم شامل نصب آخرين وصله هاي امنيتي و بروزرساني هاي امنيتي سيستم عامل و سرويس هاي موجود است. در اين مرحله علاوه بر اقدامات ذكر شده، كليه سرورها، سوييچ ها، روترها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي، سرويس هاي غيرضروري هم شناسايي و غيرفعال شوند.

4- در اين مرحله نوبت به گروه بندي كاربران و اعطاي مجوزهاي لازم به فايل ها و دايركتوري ها است. ضمن اينكه حساب های (account) قديمي هم بايد غيرفعال شوند. گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود.

5- حال نوبت به device ها می رسد كه معمولا شامل روتر، سوييچ و فايروال مي شود. بر اساس policy موجود و توپولوژي شبكه، اين ابزارها بايد پیکربندی شوند. تكنولوژي هايي مثل NAT , PAT ، Filtering و غيره در اين مرحله مطرح مي شوند و بر همين علت مرحله مهمی قلمداد می گردد. موضوع مهم IP Addressing نيز مي تواند در این قسمت مورد توجه قرار گيرد تا از حداقل تعداد IP ممكن براي به شبكه ها استفاده گردد.

6- قدم بعد تعيين استراژي پشتيبان گیری (backup) است و همواره می بایست از سلامت و بروز بودن نسخه های پشتیبان اطمینان حاصل گردد.

7- امنيت فيزيكي. در اين خصوص اول از همه بايد UPSها بررسی گردند. سوالاتی نظیر اینکه آیا UPSها قدرت لازم را براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور را در زمان اضطراري دارند یا خیر. نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت، ايمني در برابر سرقت و آتش سوزي است. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد ننماید.

8- امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در مورد آن داشت. به همين دليل در اين قسمت، مجددا و با دقت بيشتر وب سرور را بررسی و ايمن مي كنيم. در حقيقت، امنيت وب نيز در اين مرحله لحاظ مي شود.

9- حالا نوبت بررسي، تنظيم و آزمايش سيستم هاي auditing و Logging می باشد. اين سيستم ها هم مي توانند بر پايه host و هم بر پايه network باشند. سيستم هاي رد گيري و ثبت حملات، مانند UTMها، هم در اين مرحله نصب و تنظيم مي شوند.

10-ايمن كردن Remote Access با پروتكل و تكنولوژي هاي ايمن گام بعدي محسوب مي شود. در اين زمينه با توجه به شرايط و امكانات، ايمن ترين پروتكل و تكنولوژي ها را بايد به خدمت گرفت.

11- نصب فايروال هاي شخصي در سطح host ها، لايه امنيتي مضاعفي به شبكه شما مي دهد.

12- شرايط بازيابي در حالت هاي اضطراري حتما چك و بهينه شود. اين حالت ها شامل خرابي قطعات كامپيوتري، خرابكاري كاربران، خرابي ناشي از مسايل طبيعي ( زلزله – آتش سوزي – ضربه خوردن - سرقت - سيل) و خرابكاري ناشي از نفوذ هكرها، می باشد. استاندارد هاي Warm Site و Hot Site را درصـورت امكان رعـايت كنيد. به خاطر داشته باشید كه " همواره در دسترس بودن اطلاعات " جزوی از قوانين اصلي امنيتي می باشد.

13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست، عضو شدن در سايت ها و بولتن هاي امنيتي و آگاهي از آخرين اخبار امنيتي است.

تهیه شـده توسط شـرکت کارنمـا رایانه