چگونه یک شبکه امن و پایدار راه اندازی کنیم؟

۹:۰۳ ب٫ظ
بدون دیدگاه

چگونه یک شبکه امن راه اندازی کنیم؟

امنیت شبکه یکی از بزرگ ترین دغدغه های هر شرکتی است. آشنایی با مفهوم آن برای هر کسی که به هر طریقی با کامپیوتر و جمع‌آوری و نگه‌داری داده‌ها سروکار دارد، ضروری است. به اقداماتی که جهت محافظت شبکه در مقابل حملات داخلی و خارجی انجام می‌شود امنیت شبکه گفته می‌شود. در این مقاله در سایت پردیس پارس قصد داریم به مواردی که میتواند امنیت شبکه شمارا به خطر بیندازد نگاهی بیاندازیم. با ما همراه باشید:

تحلیل نیاز های امنیتی

اولین قدم در راه‌اندازی یک شبکه امن، تحلیل نیازهای امنیتی شرکت است. باید مشخص کنید که چه نوع دادههایی باید محافظت شوند و چه تهدیداتی ممکن است شبکه شما را هدف قرار دهند.

انواع حملات شبکه

1.Man in The Middle:

حمله(MITM) جزو خطرناک‌ترین نوع حملات در شبکه‌های کامپیوتری است. ساختار حمله به گونه ای است که مهاجم با استفاده از روشهایی مانند Arp Poisoning، در بین دو طرف ارتباط قرار می‌گیرد و بدون اینکه طرفین ارتباط متوجه شوند شروع به شنود، دست‌کاری و جمع اوری اطلاعات می کند.

2.Arp Poisoning or Arp Spoofing:

وظیفه پروتکل Arp تبدیل Ip به Mac می‌باشد. هکرها با استفاده از این پروتکل و ایجاد بسته GArp جعلی و معرفی Ip Address گیت وی شبکه با Mac خود حمله را انجام می‌دهند و سیستم های شبکه براساس این بسته Arp Table خود را به‌روزرسانی می‌کنند و در نتیجه از این پس ترافیک مربوط به خارج شبکه را تحویل مهاجم می‌دهند و مهاجم بعد از شنود و جمع‌آوری اطلاعات (MITM)، ترافیک را به گیت وی اصلی ارسال میکند تا حمله توسط کاربران و مدیران کشف نشود.

3.Port Scanner:

نرم‌افزاری است که درخواست‌های پیاپی از یک کلاینت به سرور را جهت شناسایی پورت‌های فعال ارسال میکند. این کار معمولا توسط مدیران شبکه جهت پیدا کردن پورت های باز سرور انجام می‌شود. البته هکرها با استفاده از این ابزار قادر به شناسایی سرویس های ارائه‌شده توسط این سرور با توجه به پورتهای باز میشوند و براساس این اطلاعات فرایند حمله خود را طراحی می‌کنند.

4. Denial of service attack:

به مجموعه اقداماتی که جهت قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به شبکه انجام می‌شود حملات منع سرویس یا DOS گفته می‌شود. اهداف حمله DOS معمولاً سایت ها یا خدمات میزبانی وب سرور با ویژگی‌های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای ریشه را هدف قرار می‌دهند.

در این نوع حمله هکر با استفاده از روشهای زیادی مانند سرازیر کردن درخواست‌ها و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) باعث کاهش سرعت سرور می‌شود و ممکن است حتی این کارسبب ازکارافتادن سرور شود.

5.SYN Flood:

در پروتکل tcp/ip جهت برقراری ارتباط بین دو عضو شبکه (کلاینت و سرور) ابتدا یک پکت Tcp/Synاز کلاینت به سرور ارسال می شود و به محض دریافت این کد سرور متوجه می‌شود که این کلاینت قصد برقراری ارتباط را دارد در صورت تایید این ارتباط توسط سرور، یک پکت Syn/Ack ارسال میکند و این کد برای کلاینت به مفهوم قبول ارتباط از سمت سرور بوده است و کلاینت نیز جهت برقراری اتصال یک پکت Ack برای سرور ارسال میکند از این‌رو هکرها از این مکانیزم سواستفاده کرده و با استفاده از ip های جعلی اقدام به ارسال درخواستهای متعدد می‌کنند و در انتها نیز پاسخ سرور را جهت بستن session نمیدهد از این‌رو اتصالات نیمه‌باز زیادی ایجاد می‌شود و با توجه به این که سرور قادر به پاسخگویی تعداد محدودی اتصال هست از این‌رو دیگر قادر به پاسخگویی به کلاینتهای دیگر را ندارد.

6.Smurf Attack:

در این نوع حمله از تکنیک های ip spoofing و پروتکل icmp استفاده می‌شود. در این نوع حمله با تاکتیک ip spoofing هکر ip قربانی را جعل میکند و با استفاده از دستور ping شروع به تولید ترافیک Icmp echo با مقصد Broadcast میکند و در نتیجه تعداد زیادی ترافیک ICMP Reply برای قربانی ارسال میشود و در نتیجه با افزایش این ترافیک دیگر سرور قادر به پاسخگویی نیست و حتی احتمال دارد crash کند.

7.Ping Flood:

در این نوع حمله از پروتکل ICMP استفاده می‌شود. در حمله ping flood همانطور که از نامش مشخص است با استفاده از دستور ping کامپیوتر قربانی مورد حمله قرار می‌گیرد در این روش هکر با استفاده از تعداد کثیری از پکت های ping با حجم بالا باعث overload شدن کامپیوتر قربانی می‌شود.

8.Teardrop:

هکرها با سوءاستفاده از باگهایی که در لایه های شبکه و بعضی از سیستم عامل‌ها از قبیل ویندوز 3.1، 95، NT و لینوکس 2.0.32 و 2.1.63 قربانی خود را مورد حمله قرار می‌دهند. همانطور که میدانید هنگام انتقال اطلاعات از یک کامپیوتر به کامپیوتر دیگر بسته‌ها با استفاده از آفست و شماره ترتیب مشخص می‌شوند و هکرها با تغییر ترتیب بسته‌ها و آفست ها باعث می‌شوند کامپیوتر مقصد هنگام ادغام بسته‌ها به مشکل برخورد و حتی crash بکند.

اقدامات مهم امنیت شبکه

1.استفاده از فایروال‌های پیشرفته:

فایروال‌ها اولین خط دفاعی در برابر حملات سایبری هستند. از فایروال‌های پیشرفته استفاده کنید تا ترافیک ورودی و خروجی شبکه را کنترل کرده و از ورود مهاجمان جلوگیری کنید. دیوار آتش یکی از مهم‌ترین لایه‌های امنیتی شبکه‌های کامپیوتری است که عدم آن موجب می‌شود هکرها و افراد خراب‌کار بدون وجود داشتن محدودیتی به شبکه واردشده و کار خود را انجام دهند.

2.رمزنگاری داده‌ها:

رمزنگاری داده‌ها یکی از مهم‌ترین راهکارهای امنیتی است. با استفاده از الگوریتم‌های رمزنگاری قوی، اطمینان حاصل کنید که داده‌های حساس شما در هنگام انتقال و ذخیره‌سازی محافظت می‌شوند.

3.رمزنگاری و امنیت Wi-Fi:

علاوه‌بر داده‌ها که باید قبل از ارسال به مقاصد دیگر از‌طریق شبکه رمزگذاری ایمن شوند، امنیت شبکه Wi-Fi لازم است از‌طریق گواهی‌های دیجیتال تأمین شود.

4.کنترل دسترسی:

مدیران شبکه می‌بایست شناخت کافی از کاربران و تجهیزاتی که از منابع شبکه استفاده می‌کنند داشته باشند و با استفاده از این اطلاعات و اجرای سیاست‌های امنیتی و کنترل دسترسی کاربران جهت دسترسی به منابع شبکه از حمله هکرها و مهاجمان جلوگیری کنند.

5.اقدامات پیشگیری فیزیکی:

علاوه‌بر تمام راهکارهای نرم‌افزاری و سیستمی، اطمینان از امنیت فیزیکی در زیرساخت‌های امنیت در شبکه ضرورت دارد. برای مثال، سرور DNS، سرور داده، و سایر سیستم‌های حیاتی و دستگاه‌های شبکه باید در مرکزی امن نگه‌داری و برای امنیت آن از کنترل‌های فیزیکی و قفل‌های بیومتریک استفاده شود.

میخوای شبکه راه اندازی کنی ولی نمیدونی چه چیزهایی احتیاج داری ؟ حتما به مقاله چک لیست کامل راه اندازی شبکه سر بزن!

6.به روز نگه داشتن شبکه:

عوامل تهدید و آسیب‌زننده اغلب به‌راحتی می‌توانند در نسخه‌های قدیمی‌تر سیستم‌عامل، نرم‌افزارها، درایورهای دستگاه و … نفوذ کنند. برای جلوگیری از این مسئله، سازمان باید به‌موقع سیستم را به‌روزرسانی کند تا جدیدترین خط‌مشی‌های امنیتی در آن اِعمال شود. بروز نگه‌داشتن شبکه، یکی از خدمات امنیت شبکه اساسی است.

7.استقرار SIEM:

روش SIEM به سازمان‌ها کمک می‌کند تا شبکه داده‌ها را امن کنند و با هشدار به تحلیلگران سیستم، از نفوذ عوامل تهدید مانع شوند.

8.استفاده از سیستم امنیتی چند لایه:

یکی از انواع امنیت شبکه با عنوان امنیت چندلایه شناخته می‌شود. این روش از ترکیب چندین ابزار امنیتی مانند آنتی‌ویروس‌ و فایروال و سیستم تشخیص نفوذ همزمان استفاده می‌کند.

9.خط مشی رمز عبور:

سیاست‌های مربوط به رمز‌عبور تعیین می‌کند که رمزهای عبور سیستم‌های در‌اختیار کاربران نباید خیلی ساده باشد یا اعداد و حروفی را شامل شود که به‌راحتی بتوان آن‌ها را حدس زد. این بخشی از مراحل یادگیری امنیت شبکه است.

برای مثال، برای رمزعبور از تاریخ‌های شخصی که ممکن است به‌سادگی پیدا شود، نباید استفاده کرد. رمزهای عبور باید به‌قدری قوی باشند که حمله‌هایی از‌جمله حمله‌های Dictionary یا Rainbow Tables یا Brute-force را خنثی کنند. همچنین، کارکنان برای حفظ امنیت در شبکه باید رمزهای عبور را به‌صورت دوره‌ای تغییر دهند.

10.پشتیبان گیری مطمئن اطلاعات:

درگذشته پیشگیری از دست دادن اطلاعات (Data Loss Prevention) یکی از مباحث مهم بود اما امروزه فن‌آوری‌های جدید پشتیبان گیری اطلاعات این قابلیت را به ما می‌دهد که ما بتوانیم از اطلاعات سازمان خود پشتیبان بگیریم و آن‌ها را با روشهای رمزنگاری از دست سودجویان محفوظ نگاه‌داریم.

نرم افزار ها و ابزار های تامین امنیت شبکه

1.کنترل دسترسی (Access Control):

این یکی از رویکردهای ابتدایی حفظ امنیت شبکه است که دسترسی به برنامه‌ها و سیستم‌های شبکه را تنها برای گروه خاصی از کاربرها و دستگاه‌ها مجاز می‌کند؛ یعنی در این سیستم‌، امکان دسترسی برای کاربرها و دستگاه‌های از‌قبل‌تعیین‌نشده وجود ندارد.

2. دسترسی ZTNA (Zero-Trust Network Access):

این روش نیز تا حدی مشابه کنترل دسترسی به شبکه است. در روش ZTNA که از انواع امنیت شبکه است، تنها به کاربران اجازه داده می‌شود تا کارهایشان را انجام دهند و تمام مجوزهای دسترسی به بخش‌های دیگر مسدود می‌شود.

3. آنتی‌‌ویروس (Antivirus) و ضد‌بدافزار (Antimalware):

همه ما با آنتی‌ویروس‌ها و ضد‌بدافزارها که یکی از ابزارهای حفظ امنیت در شبکه است، آشنا هستیم. این نرم‌افزارها برای شناسایی یا حذف یا جلوگیری از آلوده‌کردن کامپیوتر و در‌نتیجه شبکه طراحی شده‌اند و با ویروس‌ها و بد‌افزارهایی مانند اسب تروجان (Trojan horse) و باج‌افزارها و جاسوس‌افزارها مقابله می‌کنند.

4. امنیت برنامه (Application Security):

سازمان‌ها برای اجرای عملکردهای مختلف در کسب‌وکار خود از برنامه‌هایی استفاده می‌کنند که نظارت و محافظت از آن‌ها بسیار مهم است. چه سازمان‌هایی که این برنامه‌ها را طراحی کرده‌اند و چه سازمان‌هایی که از آن‌ها استفاده می‌کنند، باید به امنیت این برنامه‌ها توجه کنند؛ زیرا تهدیدهای مدرن بدافزارها اغلب کدهای منبع‌باز و بخش‌هایی را هدف قرار می‌دهد که سازمان‌ها از آن‌ها برای ساختن نرم‌افزار و اپلیکیشن‌ها استفاده می‌کنند. پس امنیت برنامه‌ها، بخشی از تأمین امنیت شبکه سازمان است.

5. تجزیه‌وتحلیل رفتاری (Behavioral Analytics):

آنالیز رفتاری، یکی از انواع امنیت شبکه است. در این روش، رفتار شبکه تجزیه‌وتحلیل می‌شود و سازمان‌ها را به‌طور‌خودکار از هرگونه فعالیت‌های غیرعادی آگاه می‌کند.

6. امنیت ابری (Cloud Security):

اگر از سیستم‌ها و ابزارهای مبتنی‌بر فضای ابری استفاده کرده باشید، می‌دانید که ارائه‌دهندگان آن‌ها اغلب ابزارهای امنیتی مجزا را در‌اختیار شما قرار می‌دهند که قابلیت‌های امنیتی در فضای ابری را فراهم می‌کند. امنیت فضاها و سیستم‌های ابری، بخشی از تأمین امنیت در شبکه است.

این ارائه‌دهندگان روی امنیت زیرساخت‌های کلی خود نظارت می‌کنند و ابزارهایی را ارائه می‌دهند که از این زیرساخت‌ها محافظت می‌کند. برای مثال، می‌توان به خدمات امنیت شبکه وب آمازون اشاره کرد که گروه‌هایی امنیتی را سازمان‌دهی می‌کند تا ترافیک ورودی‌و‌خروجی مرتبط با برنامه یا منبع را کنترل کنند.

7. روش پیشگیری ازدست‌دادن داده‌ها (DLP):

در این روش، پس از شناسایی داده‌های در حال استفاده یا در حال گردش یا حتی در حال استراحت، روی جلوگیری از نقض آن‌ها نظارت می‌شود. معمولاً در روش DLP (Data Loss Prevention)، مهم‌ترین داده‌های در‌معرض خطر طبقه‌بندی می‌شوند و به کارکنان آموزش می‌دهند تا به بهترین شیوه‌های ممکن از آن‌ها محافظت کنند. این یکی از مراحل یادگیری امنیت شبکه است که کارکنان باید آموزش ببینند. برای مثال، یکی از روش‌های ساده‌ و مهم‌ این است که فایل‌های مهم را در ایمیل و به‌صورت پیوست ارسال نکنند.

8. امنیت ایمیل (Email Security):

معمولاً ایمیل را به‌عنوان یکی از نقاط آسیب‌پذیر در شبکه در نظر می‌گیرند. در اغلب مواقع، کارمندان سازمان با کلیک روی پیوست‌های ایمیل که حاوی بدافزارها و نرم‌افزارهای مخرب هستند، آن‌ها را بدون اطلاع از محتویات پیوست دانلود و کل سازمان را قربانی حمله‌های فیشینگ و بدافزاری می‌کنند. پس در مراحل یادگیری امنیت شبکه برای کارکنان، باید به امنیت ایمیل‌ها هم اشاره کرد.

لازم است بدانید که ایمیل روشی ناامن برای ارسال فایل‌ها و داده‌های حساس است و کارمندان در تمام بخش‌ها باید با این موضوع آشنا باشند. این یکی از مفاهیم اصلی‌ امنیت شبکه است که باید به کارکنان سازمان آموزش داده شود.

9. فایروال (Firewall):

فایروال نرم‌افزار یا سیستم‌عاملی است که ترافیک ورودی‌و‌خروجی را برای جلوگیری از دسترسی‌های غیرمجاز به شبکه بررسی می‌کند. فایروال‌ها را می‌توان یکی از ابزارهای پرکاربرد امنیت در شبکه های کامپیوتری در نظر گرفت که در مناطق مختلفی از شبکه قرار می‌گیرند. نسل‌های بعدی فایروال‌ها محافظت بیشتری در‌برابر حمله‌های لایه برنامه ارائه می‌دهند و با بررسی بسته‌های درون‌خطی، در‌برابر بدافزارها بهتر مقاومت می‌کنند.

10. سیستم تشخیص نفوذ (IDS):

سیستم IDS (Intrusion Detection System) یکی دیگر از انواع امنیت شبکه است. این سیستم تلاش‌های غیرمجاز برای دسترسی به داده‌ها یا شبکه را شناسایی و آن‌ها را به‌عنوان خطرهای بالقوه علامت‌گذاری می‌کند؛ اما هیچ‌یک را حذف نمی‌کند. معمولاً از IDS و سیستم پیشگیری از نفوذ (IPS) درکنار فایروال‌ها استفاده می‌شود. این سیستم بخشی از انواع امنیت شبکه است.

11. سیستم پیشگیری از نفوذ (IPS):

سیستم IPS (Intrusion Prevention System) برای جلوگیری از نفوذ به شبکه طراحی شده است. این کار با شناسایی و مسدود کردن تلاش‌های غیرمجاز برای دسترسی به شبکه انجام می‌شود. جلوگیری از نفوذ، یک کاربرد امنیت شبکه بسیار مهم و اساسی است.

12. امنیت دستگاه‌های موبایل (Mobile Device Security):

اپلیکیشن‌های متعددی که برای گوشی‌های هوشمند و سایر دستگاه‌های تلفن‌همراه طراحی شده‌اند، آن‌ها را به یکی از بخش‌های مهم در حوزه امنیت شبکه تبدیل کرده است. نظارت و کنترل برنامه‌هایی که به شبکه‌های همراه دسترسی دارند، برای امنیت در شبکه مدرن بسیار مهم است.

13. احراز هویت چندعاملی (MFA):

سیستم احراز هویت چندمرحله‌ای یا MFA (Multifactor Authentication) روش امنیتی ساده‌ای است که در بین کاربران به‌شدت در حال محبوب‌شدن است. در این روش، احراز هویت کاربر نیازمند تأیید دو یا چند فاکتور مختلف است تا مطمئن شود که تنها کاربر اصلی در حال تلاش برای ورود به شبکه مدنظر است. یکی از انواع امنیت شبکه در این سیستم احراز هویت، سیستم Google Authenticator نام دارد که در‌واقع برنامه‌ای است که کدهای امنیتی منحصربه‌فردی تولید می‌کند تا کاربر در‌کنار رمز‌عبور خود وارد و هویتش را تأیید کند.

14. تقسیم‌بندی شبکه (Network Segmentation):

یکی دیگر از ابزارهایی که در انواع خدمات امنیت شبکه می‌توان بررسی کرد، روش تقسیم شبکه است. معمولاً سازمان‌هایی که شبکه‌های بزرگ و با ترافیک فراوان دارند، از این روش برای تقسیم‌کردن شبکه به بخش‌های کوچک‌تر و مدیریت راحت‌تر آن‌ها استفاده می‌کنند. این رویکرد امکان کنترل بیشتر داده و دسترسی بیشتری درمقایسه‌با جریان ترافیک را برای سازمان‌ها فراهم می‌کند.

15. سندباکسینگ (Sandboxing):

یکی از روش‌های دیگری که می‌توان در پاسخ به پرسش رویکرد امنیت شبکه چیست؟ معرفی کرد، روش سندباکسینگ است. این روش نوعی ایزوله‌سازی است که به سازمان اجازه می‌دهد تا فایل را قبل از دسترسی به شبکه در محیطی ایزوله اسکن کنند. بعد از اسکن و باز کردن فایل در محیطی امن، سازمان می‌تواند بررسی کند که آیا این فایل به روشی مخرب عمل می‌کند یا نشانه‌هایی از بدافزارها را نشان می‌دهد.

تصمیم گرفتی شبکه راه اندازی کنی ولی نمیدونی باید چه ابزار هایی به دردت میخوره ؟ حتما مقاله ابزار های ضروری برای راه اندازی شبکه رو بخون. خیلی به دردت میخوره!

16. رویکرد اطلاعات امنیتی و مدیریت رویداد (SIEM):

در روش SEIM (Security Information and Event Management)، امنیت داده‌های مدیریت‌شده از برنامه‌ها و سخت‌افزارهای شبکه ثبت‌شده و رفتارهای مشکوک نظارت می‌شود. زمانی‌که هرگونه رفتار مشکوک یا ناهنجاری شناسایی شود، سیستم امنیت شبکه SEIM به سازمان هشدار می‌دهد و اقدامات مناسب برای رفع آن انجام می‌شود.

17. محیط نرم‌افزاری تعریف‌شده (SDP):

روش SDP (Software-Defined Perimeter) یکی دیگر از شیوه‌های تأمین امنیت شبکه است که از شبکه محافظت و آن را از دید مهاجمان و کاربران غیرمجاز به دسترسی پنهان می‌کند. درحقیقت، این رویکرد از معیارهای هویتی برای محدود‌کردن دسترسی به منابع و فایل‌ها استفاده و مرزبندی‌ مجازی‌ای در اطراف آن ایجاد می‌کند که نفوذ عوامل خطرزا را غیرممکن می‌کند.

18. شبکه خصوصی مجازی (VPN):

احتمالاً همه شما با VPN (Virtual Private Network) آشنا هستید؛ اما تابه‌حال به نحوه کار و نقش آن برای امنیت در شبکه های کامپیوتری فکر نکرده‌اید. VPNها اتصال را از نقطه پایانی در شبکه سازمان ایمن می‌کنند. در این روش، از پروتکل‌های تونل‌زنی برای رمزگذاری داده‌هایی استفاده می‌شود که از‌طریق شبکه‌ای با امنیت کمتر ارسال می‌شوند.

19. امنیت وب (Web Security):

در این روش، در‌کنار حفظ یکپارچگی وب‌سایت‌های سازمان، استفاده کارمندان از وب در دستگاه‌ها و شبکه‌های سازمان کنترل می‌شود. این کار ازطریق کنترل مسدودکردن برخی تهدیدها و وب‌سایت‌ها انجام می‌شود. شما می‌توانید در کنار روش‌ها و مراحل یادگیری امنیت شبکه برای کارکنان، از این روش‌ها برای کنترل عملکرد آن‌ها در حفظ امنیت بیشتر شبکه، استفاده کنید.

20. امنیت وایرلس (Wireless Security):

یکی از بخش‌های پرخطر هر شبکه را می‌توان شبکه‌های بی‌سیم دانست که به حفاظت و نظارت بسیار دقیق‌تر نیاز دارند. در این سیستم‌ها، شیوه‌های امنیت وایرلس از‌جمله تقسیم‌بندی کاربران Wi-Fi براساس شناسه‌های مجموعه سرویس یا SSIDها و احراز هویت 802.1X بسیار اهمیت دارد.

جمع بندی

برای افزایش امنیت شبکه‌های کامپیوتری، شرکت‌ها به راه‌حل‌های امنیتی جدیدی نیاز دارند که با تشکیل شبکه‌های پیچیده و بر‌اساس وابستگی بیشتر داده‌ها، حمله‌های سایبری را از خود دور نگه دارند. استراتژی‌های مؤثر در این زمینه با استفاده از راهکارهای امنیتی متنوع می‌توانند داده‌های حساس را در برابر حمله‌های سایبری محافظت کنند و به شبکه‌ای مطمئن تبدیل شوند.راه‌اندازی یک شبکه امن نیازمند تحلیل دقیق نیازها و پیاده‌سازی راهکارهای مختلف است. با انجام این اقدامات، می‌توانید امنیت شبکه خود را بهبود بخشید و از داده‌های حساس خود محافظت کنید.

ما سعی کردیم در این مقاله کامل در مورد امنیت شبکه بنویسیم. امیدوارم این مقاله براتون مفید و کار آمد بوده باشه