در مقاله قبلی در مورد نکات امنیتی داخل شبکه صحبت کردیم و دیدیم که امکان آسیب رسیدن به شبکه از داخل شبکه بسیار ساده می باشد. در این مقاله می خواهیم بخشی از نکات امنیتی در قسمت ورودی شبکه را بررسی کنیم. تیم فنی شرکت پردیس پارس دوره های تخصصی مربوط به قسمت های مختلف شبکه نظیر نصب و راه اندازی سرویس های مایکروسافتی، راهکارهای مجازی سازی شبکه، نصب و راه اندازی ایمیل سرور، کانفیگ فایروال های سخت افزاری، روتینگ و سوئیچ سوئیچ های سیسکو را گذرانده و پس از راه اندازی شبکه های مشتریان گرامی آماده ارائه این خدمات به مشتریان جدید می باشند.
اتصال شبکه داخلی به شبکه بیرونی یا اینترنت ناگزیر می باشد. تقریباً می توان گفت که عدم اتصال شبکه داخلی به اینترنت امکان پذیر نمی باشد. نیاز به ارتباط در شبکه های امروزی کاملاً ملموس می باشد. چرا که از طریق همین ارتباطات می توانیم خود به مخاطبان خود معرفی کنیم و کسب و کار خود را رونق دهیم. اما این ارتباطات دارای تبعاتی نیز می باشند. بدافزارها، ویروس ها، روباتهای خرابکار و افراد سودجو دائما در حال خرابکاری در محیط اینترنت می باشند. پس باید برای جلوگیری از آن اقداماتی انجام دهیم.
از وظائف خیلی مهم تیم پشتیبانی شبکه این می باشد که موارد امنیتی را تا جایی که امکان دارد در نظر بگیرد و علاوه بر راه اندازی آن در بروزرسانی و کنترل آن کوشا باشد.
اولین و مهمترین مورد از دیدگاه این می باشد که دسترسی کاربرانی به هیچ عنوان به اینترنت نیاز ندارند را قطع کنیم. کاربرانی که در حوزه فعالیت خود نیازی به اینترنت ندارند بهتر است که از همان ابتدا دسترسی به اینترنت نداشته باشند. البته بحث ما در مورد سیستمهای کامپیوتری می باشد،معمولا در شبکه از طریق هات اسپات به کاربران امکان دسترسی به اینترنت از طریق تلفن همراه و تبلتها داده می شود.
در مرحله بعد محدود کردن ارتباط به اینترنت به پورتهای مورد نیاز می باشد. به این صورت که نیازی نیست تمامی پورتها از داخل شبکه به اینترنت NAT شده باشد. صرفاً باز کردن پورتهای http و https کافی می باشد. بهترین ابزار وب پروکسی ها می باشند، از طریق و پروکسی اتصال سیستمها به اینترنت را محدود به مرورگرها می کنیم. در این حالت اکثر نرم افزارهایی که نیاز به اینترنت دارند از کار می افتد و قابلیت های کنترلی ما بیشتر می شود. همچنین در حالت وب پروکسی امکان پیگیری دیتاها راحت تر می باشد.
حالت سخت گیرانه تر استفاده از Software Virtualization می باشد. یعنی اینکه از طریق راهکارهای مجازی سازی نرم افزار تنها یک مرورگر را برای کاربران به اشتراک بگذاریم در این حالت تنها یک سیستم مجهز به اینترنت می باشد و در صورت بروز مشکل همان سیستم آسیب خواهد دید و امکان آسیب رسیدن به سیستم کاربر کمتر می شود.
ایجاد محدودیت در شبکه ها معمولا با اعتراض کاربران نیز همراه خواهد بود، اما با وجود ریسک ها و خطراتی که ممکن است از این طریق به وجود آید بهتر است که تا جایی که امکان دارد این محدودیت ها اعمال شود.
هرچقدر امنیت در شبکه بالاتر رود، احتمال بروز خطا در آن شبکه کاهش می یابد در نتیجه پشتیبانی شبکه ساده تر خواهد شد.
سرورها ترجیحاً به اینترنت متصل نباشند و در صورت نیاز تنها پورتهای مورد نیاز آن باز شود.
برای مثال سرویس مهم اکتیودایرکتوری به هیچ عنوان نیاز به اینترنت ندارد، پس اصلاً نیازی به اتصال این سرور به اینترنت نمی باشد. یا در مورد سرورهایی که نرم افزارهای سازمانی مانند حسابداری در آن نصب شده است به هیچ عنوان نیاز به اتصال به اینترنت نیست. بعضی از سرورها نیاز به اینترنت دارند مانند ایمیل سرور، اما در مورد ایمیل سرور نیز تنها نیاز به پورت SMTP می باشد. پس لزومی به باز کردن سایر پورتها نیست.
تا به اینجا موضوع صحبت اتصال از داخل به بیرون شبکه بود اما در مورد حمله ها و آسیبهایی که ممکن از بیرون به داخل توسط روباتها یا هکرها وارد شود چه باید کرد؟
قرارگیری تجهیزات امنیتی در قسمت ورودی یا Edge شبکه ضروری می باشد. البته دیگر به تنهایی یک فایروال برای این کار کافی نمی باشد. در شبکه های امروزی UTM جای فایروال ها را گرفته است. در واقع فایروال یکی از چندین امکاناتی ست که در UTM ها وجود دارد.
مواردی که در UTM ها وجود دارد شامل:
– فایروال
– آنتی اسپم
– وب فیلترینگ
– آنتی ویروس
– IPS/IDS
– Application Control
و بسیاری آیتم های دیگر همه و همه در یک شبکه مورد نیاز می باشد. از طریق یک UTM سخت افزاری امکان کنترل کلیه Packet های ورودی و خروجی شبکه فراهم می شود و با امکاناتی که در این تجهیزات فراهم شده جلوی بسیاری از خطرها گرفته می شود. برای مثال آنتی اسپمی که در این UTM ها تعبیه شده است در صورتی دائما آپدیت شود از ورود اسپم از طریق ایمیل جلوگیری می کند و یا آنتی ویروس هایی که در این تجهیزات وجود دارند جلوی ورود ویروس از طریق اینترنت به داخل شبکه را می گیرند.
UTM ها می بایست توسط متخصص مربوطه به دقت کانفیگ شود و در بازه های کوتاه مدت توسط تیم پشتیبانی بررسی شود. بررسی Log های این تجهیزات بسیار مهم می باشد.
در نظر داشته باشید که صرفاً با یکبار کانفیگ کردن این تجهیزات نمی توان از صحت عملکرد آن مطمئن شد و می بایست توسط کارشناس متخصص فایروال دائما مورد بررسی قرار بگیرد تا از طریق گزارش هایی که در آن ذخیره شده است متوجه حمله های احتمالی شود و تمهیداتی برای آن در نظر بگیرد.
از دیگر قسمت آسیب پذیر شبکه که از طریق اینترنت ممکن است باعث بروز مشکل در شبکه شود، ایمیل سرور می باشد. ایمیل سرور از ابزارهای ارتباطی هر سازمانی می باشد. کانفیگ دقیق آنتی اسپم بسیار مهم می باشد. قرارگیری سرور Edge در محیط DMZ جهت ارسال و دریافت ایمیل از نکات امنیتی مهم می باشد. در صورت به هر طریق سرور ارسال کننده ایمیل دچار مشکل شود هیچ آسیبی به سرور میل باکس وارد نخواهد شد. همچنین کلیه نرم افزارهای مربوط به آنتی اسپم نیز در این سرور نصب و راه اندازی خواهد شد.
آموزش کاربران در استفاده از ایمیل سرور نیز مهم می باشد. به هر طریقی امکان ورود ایمیل آلوده به شبکه وجود دارد، باید به کاربران آموزش دهیم که ایمیلهای ناشناس را باز نکنند و اگر از صحت آن اطمینان ندارند و یا مشکوک می باشند ابتدا به تیم پشتیبانی شبکه اطلاع دهند و یا خودشان نسبت به حذف آن ایمیل اقدام کنند. ویروس های باجگیر یا Ransom ها نسل جدید ویروس ها می باشند به شدت خطرناک می باشند در مدت زمان کوتاهی می توانند کل شبکه را آلوده کنند و کلیه دیتاها را رمزگذاری نمایند. تاکنون هیچکدام از کمپانی های تولید کننده آنتی ویروس موفق به جلوگیری از این ویروس ها نشده اند.
ویروس های Ransom عمدتاً از طریق ایمیل وارد شبکه می شوند.
قرار دادن سرورهایی که رابط بین اینترنت با کاربران داخلی می باشند، در محیط DMZ بسیار حائز اهمیت می باشد. سرویس هایی نظیر Exchange Edge Transport یا VMware Security Server یا اتوماسیون که هم در اینترنت امکان اتصال به آنها وجود دارد و هم از طریق کاربران داخلی می بایست در محیط DMZ قرار بگیرند.
لاگ گیری از تجهیزات و سرویس های امنیتی در شبکه بسیار مهم می باشد. در مقاله های قبلی در مورد اهمیت لاگ گیری جهت پشتیبانی از شبکه های کامپیوتری صحبت کردیم.
امنیت شبکه بسیار گسترده تر از این می باشند که بتوان در یک مقاله آن را گنجاند. نکته مهم این می باشد که بتوانیم با امکانات موجود و با تکیه بر دانش فنی هر چه بیشتر این حوزه را تقویت کنیم تا کمتر دچار بروز مشکلات شویم.
در مقالات بعدی به صورت تخصصی تر وارد مرحله عملیاتی جهت امن سازی شبکه خواهیم شد.