8 روش برای بهبود امنیت در شبکهی سیمی
1. شبكهی خود را ارزيابی كرده و از آن نقشه تهيه کنید.
اگر اخیراً انجام ندادهاید باید شبكهی خود را ارزيابی كنيد و از آن نقشهای نهيه کنید. همیشه سعی کنید درک واضحی از کل زیرساخت كل شبکه داشته باشید. برای مثال اطلاعاتی شامل نام سازنده، مدل، موقعیت و پیکربندی اساسی فایروالها، روترها، سوئیچها، کابل کشی شبكه و پورتها و اكسس پوينتهای بیسیم. در ضمن، دقیقاً بدانید به کدام سرورها، کامپیوترها، پرینترها و يا هر دستگاه دیگری متصل هستید و آنها به کجا متصل هستند و مسیر اتصال آنها در سرتاسر شبکه را مشخص كنيد.
ممکن است در طول ارزيابی و نقشهبرداری شبكه، آسیبهای امنیتی خاص یا روشهای افزايش امنیت، كارآيی و قابليت اطمینان را پيدا کنید و يا شاید با یک فایروال پیکربندیشدهی نامناسب یا شاید تهدیدهای امنیتی فیزیکی روبرو شوید.
اگر با یک شبکهی کوچک، فقط با چند جزء و چندین ایستگاه کاری کار میکنید، میتوانید به طور دستی، ارزيابی را انجام دهید و نقشهی ديداری آنها را بر روی یک ورق کاغذ بكشيد. برای شبکههای بزرگتر میتوانید از برنامههای ارزيابی و نقشهكشی استفاده کنید. اين نرمافزارها شبکه را اسکن میکنند و نقشه یا نمودار شبکه را تولید میکنند.
2. شبکه را بهروز نگه داريد.
هنگامی که يك مميزی اساسی از شبکه به عمل آورديد و نقشهی کامل را ايجاد نموديد، جستجو را كمی عميقتر نماييد. بهروزرسانی نرمافزارها یا ميانافزارها (firmware) را در تمام اجزای زیرساختهای شبکه، کنترل کنید. به تمام تجهيزات، لاگين كنيد تا مطمئن شويد رمزهای عبور پیشفرض را تغییر دادهايد. تنظيمات را برای هر نوع پیکربندی نا امن، بررسی کنید و به ویژگیهای امنیتی یا کارکردهای دیگری که در حال حاضر استفاده نمیکنید، دقت کنید. سپس به کلیهی کامپیوترها و تجهيزاتی که به شبکه متصل هستند نگاهي بيندازيد. مطمئن باشید که اصول اوليه، رعايت میشوند، مانند بهروزرسانی سيستمعاملها و درایورها، فعال بودن فایروالهای شخصی، كاركرد سالم آنتیویروسها و بهروز بودن آنها و تنظيم درست رمزهای عبور.
3. به طور فیزیکی، شبکه را امن کنید.
هر چند اغلب، امنیت فیزیکی شبکه، نادیده گرفته میشود یا دست کم گرفته میشود، اما میتواند به همان اندازه كه اینترنت شما با فایروال مواجه میشود، حیاتی و مهم باشد. درست همان طور که شبكهی شما باید در برابر هکرها، رباتها و ویروس ها محافظت شود، باید شبكهی خود را از تهدیدهای محلی نیز محافظت کنید.
بدون وجود امنیت فیزیکی محکم برای ساختمان و شبکه، یک هکر نزدیک یا حتی کارمندی میتواند از این وضعیت، سود ببرد. برای مثال، شاید كسی روتر بیسیمی را در درون يك پورت اترنت، باز قرار دهد و امکان دسترسی بیسیم به شبکه را برای هكرها و يا هر کس دیگری در اطراف، فراهم کند. اما اگر، آن پورت شبكه قابل رؤیت نباشد یا حداقل، ارتباط قطع باشد، اتفاقی نخواهد افتاد.
اطمینان حاصل کنید که طرح امنیتی مناسبی برای ساختمان دارید تا از ورود بیگانهها جلوگیری کنید. سپس مطمئن شويد که تمام سیمکشیها و یا مکانهای دیگر که اجزای زیرساخت شبکه در آنجا قرار گرفتهاند، به طور فیزیکی از دست عموم و کارمندان ایمن شدهاند. از قفلهای در و کابینت مناسب استفاده کنید. بررسی کنید کابل کشی اترنت، خارج از دید عموم کار میکند و به راحتی قابل دسترسی نیست. همین کار را با نقاط دسترسی (Access Point) بیسیم نیز انجام دهید. درگاههای اترنت غیر قابل استفاده را به طور فیزیکی یا از طریق پیکربندی سوئیچ و روتر مخصوصاً آنهایی را که در مناطق عمومی ساختمان هستند، غير فعال کنید.
4. فیلتر آدرس MAC را جدی بگیرید.
یکی از مهمترین مسائل امنیت شبکهی سیمی، فقدان يك روش سريع و آسان احراز هویت و/يا رمزنگاری است، افراد به راحتی میتوانند فقط كابل شبكه را متصل کرده و از شبکه استفاده کنند. در شبکههای بیسیم، حداقل WPA2-Personal (PSK) را دارید که پيادهسازی آن راحت است.
هر چند فیلتر آدرس MAC، میتواند توسط هکری دور زده شود، اما میتواند به عنوان اولین لایهی امنیتی به كار گرفته شود. اين روش، به طور کامل، یک هکر را متوقف نمیکند، اما به شما کمک میکند تا جلوی کارمندان ناآگاه رابگيريد تا برای مثال، باعث ايجاد حفرههای امنیتی جدی احتمالی مانند اجازه دادن به كاربر مهمان برای ورود به شبکهی خصوصی سازمانتان نشوند. همچنین، اين ترفند، میتواند کنترل بیشتری به شما، دربارهی این که کدام دستگاهها بر روی شبکه هستند بدهد. اما اجازه ندهید اين روش، حس کاذبی از امنیت به شما بدهد و آماده باشید تا در هر زمان، لیست آدرس MAC تأیید شده را بهروزرسانی کنید.
5. برای جداسازی ترافیک، VLAN پيادهسازی کنید.
اگر با شبکهی کوچکتری کار میکنید که هنوز به LANهای مجازی قطعهبندی نشده است، آمادهی تغییر جديد باشيد. شما میتوانید از VLANها برای گروهبندی پورتهای شبكه، اكسس پوينتها و کاربران در بین چندین شبکهی مجازی، استفاده کنید.
شاید استفاده از VLANها برای جداسازی شبکه بر اساس نوع ترافیک (دسترسی عمومی، VOIP، SAN، DMZ)، برای كارآيی بهتر، دلایل طراحی، نوع کاربر (کاربران، مدیر، مهمانان) يا به دلایل امنیتی باشد.
در واقع VLANها به ویژه زمانی مفید هستند که برای وظایف پویا پیکربندی شده باشند. برای مثال، میتوانید لپ تاپ خود را در هر جايی از شبکه یا به وسیلهی وای فای، به شبكه متصل كنيد و به طور خودکار، بر روی VLAN اختصاصی خود قرار بگیرید. به وسیلهی تگ كردن آدرس MAC يا يك گزينهی امنتر با استفاده از احراز هویت 802.1X میتوان به این هدف دست یافت. به منظور استفاده از VLAN، روترها و سوئیچهای شما باید از آن پشتیبانی کنند: به دنبال عبارت "پشتیبانی از IEEE 802.1Q" در مشخصات محصول باشید. برای اكسس پوينتها، احتمالاً آن مواردی را میخواهید که از هر دو مورد تگگذاری VLAN و SSIDهای چندگانه پشتیبانی میکنند. با SSIDهای چندگانه شما این توانایی را دارید که WLANهای مجازی چند گانه را ارائه دهید که خود میتواند به VLAN خاصی اختصاص داده شود.
6. برای احراز هویت، از 802.1X استفاده کنید.
احراز هویت و رمزنگاری بر شبکهی سیمی، اغلب به دلیل پیچیدگی آن، نادیده گرفته میشود. حس مشترک فنآوری اطلاعات، رمزنگاری اتصالات بیسیم است، اما اتصالات سیمی را فراموش نکنید یا دست كم، نادیده نگیرید. یک هکر محلی، احتمالاً میتواند بدون این که چیزی مانع فرستادن یا دریافت اطلاعات از سوی او شود، به شبکهی شما، متصل گردد.
اگر چه استقرار احراز هویت 802.1X، ترافیک اترنت را رمز گذاری نمیکند، اما حداقل، ارسال اطلاعات از سوی افراد نامعتبر روی شبکه یا دسترسی به هر منبع دیگری را متوقف میکند تا زمانی که لاگین معتبری داشته باشند. همچنين به خوبی میتوانید از احراز هویت بر روی شبکههای بیسیم با استفاده از امنیت WPA2 سطح سازمانی با رمزنگاری AES نیز استفاده کنید که مزایای زیادی نسبت به استفاده از WPA2 شخصی (PSK) دارد.
مزیت بزرگ دیگر احراز هویت 802.1X، قابلیت تخصیص کاربران به VLANها به طور پویا میباشد. به منظور پيادهسازی احراز هویت 802.1X، در ابتدا به سرور RADIUS نیاز دارید که به طور اساسی به عنوان پایگاه دادهی کاربران، سرویس میدهد و سرويسی است که دسترسی به شبکه را تأيید یا رد میکند. اگر سرور شما ویندوز است، هم اکنون يك سرور RADIUS در اختيار دارید: رول NPS یا در نسخههای قدیمیتر سرور ویندوز، رول IAS.
7. از VPN برای رمزنگاری سرورها يا PCهای برگزیده استفاده کنید.
اگر واقعاً به دنبال امن کردن ترافیک شبکهای هستید، از رمزنگاری (encryption) استفاده کنید. به خاطر داشته باشید حتی با VLAN و احراز هویت 802.1X، فردی میتواند بر روی شبکه يا حتی VLAN، استراق سمع کند تا ترافیک رمزنگاری نشده شامل رمز عبور، ایمیلها و اسناد را به دست آورد. هر چند میتوانید تمام ترافیک را رمزنگاری کنید، اما در ابتدا باید شبکهتان را تجزیه و تحلیل کنید. شاید عاقلانه باشد فقط ارتباطات برگزیده را که به نظرتان حساس هستند و قبلاً رمزنگاری نشدهاند مانند SSL/HTTPS را رمزنگاری کنید. میتوانید ترافیک حساس را از طريق يك VPN استاندارد به يك كلاينت، منتقل کنید که ممكن است فقط در طول ارتباط حساس استفاده شود یا مجبور به استفاده در تمام مدت شود.
8. تمام شبکه را رمزنگاری کنید.
شما همچنین میتوانید کل یک شبکه را رمزنگاری کنید. یک گزینه، IPsec است. سرور ویندوز میتواند به عنوان يك سرور IPsec سرویسدهی کند و طبيعتاً كلاينت نیز بايد از اين ويژگی ویندوز پشتیبانی كند. با اين حال، فرآیند رمزنگاری میتواند کاملاً به عنوان يك سربار بر روی شبکه باشد به طوری كه میزان توان عملیاتی مؤثر، میتواند به طور قابل ملاحظهای افت کند. همچنین، راهكارهای ديگری برای رمزنگاری شبکه، وجود دارد که اکثر آنها از رویکرد لايه 2 به جای لايه 3 مانند IPsec استفاده می کنند تا به کاهش میزان تأخیر و سربار کمک کنند.