» مقالات » 8 روش برای بهبود امنیت در شبکه‌ی سیمی

8 روش برای بهبود امنیت در شبکه‌ی سیمی

8 روش برای بهبود امنیت در شبکه‌ی سیمی

1. شبكه‌ی خود را ارزيابی كرده و از آن نقشه تهيه کنید.

اگر اخیراً انجام نداده‌اید باید شبكه‌‌ی خود را ارزيابی كنيد و از آن نقشه‌ای نهيه کنید. همیشه سعی کنید درک واضحی از کل زیرساخت كل شبکه داشته باشید. برای مثال اطلاعاتی شامل نام سازنده، مدل، موقعیت و پیکربندی اساسی فایروال‌ها، روترها، سوئیچ‌ها، کابل کشی شبكه و پورت‌ها و اكسس پوينت‌های بی‌سیم. در ضمن، دقیقاً بدانید به کدام سرورها، کامپیوترها، پرینترها و يا هر دستگاه دیگری متصل هستید و آنها به کجا متصل هستند و مسیر اتصال آنها در سرتاسر شبکه را مشخص كنيد.

ممکن است در طول ارزيابی و نقشه‌برداری شبكه، آسیب‌های امنیتی خاص یا روش‌های افزايش امنیت، كارآيی و قابليت اطمینان را پيدا کنید و يا شاید با یک فایروال پیکربندی‌شده‌ی نامناسب یا شاید تهدیدهای امنیتی فیزیکی روبرو شوید.

اگر با یک شبکه‌ی کوچک، فقط  با چند جزء و چندین ایستگاه کاری کار می‌کنید، می‌توانید به طور دستی، ارزيابی را انجام دهید و نقشه‌ی ديداری آنها را بر روی یک ورق کاغذ بكشيد. برای  شبکه‌های بزرگتر می‌توانید از برنامه‌های ارزيابی و نقشه‌كشی استفاده کنید. اين نرم‌افزارها شبکه را اسکن می‌کنند و نقشه یا نمودار شبکه را تولید می‌کنند.

 

 2.  شبکه را به‌روز نگه داريد.

هنگامی که يك مميزی اساسی از شبکه به عمل آورديد و نقشه‌ی کامل را ايجاد نموديد، جستجو را كمی عميق‌تر نماييد. به‌روزرسانی نرم‌افزارها یا ميان‌افزارها (firmware) را در تمام اجزای زیرساخت‌های شبکه، کنترل کنید. به تمام تجهيزات، لاگين كنيد تا مطمئن شويد رمزهای عبور پیش‌فرض را تغییر داده‌ايد. تنظيمات را برای هر نوع پیکربندی نا امن، بررسی کنید و به ویژگیهای امنیتی یا کارکردهای دیگری که در حال حاضر استفاده نمی‌کنید، دقت کنید. سپس به کلیه‌ی کامپیوترها و تجهيزاتی که به شبکه متصل هستند نگاهي بيندازيد. مطمئن باشید که اصول اوليه، رعايت می‌شوند، مانند به‌روزرسانی سيستم‌عامل‌ها و درایورها، فعال بودن فایروال‌های شخصی، كاركرد سالم آنتی‌ویروس‌ها و به‌روز بودن آن‌ها و تنظيم درست رمز‌های عبور.

 

3. به طور فیزیکی، شبکه را امن کنید.

هر چند اغلب، امنیت فیزیکی شبکه، نادیده گرفته می‌شود یا دست کم گرفته می‌شود، اما می‌تواند به همان اندازه كه اینترنت شما با فایروال مواجه می‌شود، حیاتی و مهم باشد. درست همان طور که شبكه‌ی شما باید در برابر هکرها، رباتها و ویروس ها محافظت شود، باید شبكه‌ی خود را از تهدیدهای محلی نیز محافظت کنید.

بدون وجود امنیت فیزیکی محکم برای ساختمان و شبکه، یک هکر نزدیک یا حتی کارمندی می‌تواند از این وضعیت، سود ببرد. برای مثال، شاید كسی روتر بی‌سیمی را در درون يك پورت اترنت، باز قرار دهد و امکان دسترسی بی‌سیم به شبکه را برای هكرها و يا هر کس دیگری در اطراف، فراهم کند. اما اگر، آن پورت شبكه قابل رؤیت نباشد یا حداقل، ارتباط قطع باشد، اتفاقی نخواهد افتاد.

اطمینان حاصل کنید که طرح امنیتی مناسبی برای ساختمان دارید تا از ورود بیگانه‌ها جلوگیری کنید. سپس مطمئن شويد که تمام سیم‌کشی‌ها و یا مکان‌های دیگر که اجزای زیرساخت شبکه در آنجا قرار گرفته‌اند، به طور فیزیکی از دست عموم و کارمندان ایمن شده‌اند. از قفل‌های در و کابینت مناسب استفاده کنید. بررسی کنید کابل کشی اترنت، خارج از دید عموم کار می‌کند و  به راحتی قابل دسترسی نیست. همین کار را با نقاط دسترسی (Access Point) بی‌سیم نیز انجام دهید. درگاه‌های اترنت غیر قابل استفاده را به طور فیزیکی یا از طریق پیکربندی سوئیچ و روتر مخصوصاً آنهایی را که در مناطق عمومی ساختمان هستند، غير فعال کنید.

 

4. فیلتر آدرس MAC را جدی بگیرید.

یکی از مهمترین مسائل امنیت شبکه‌ی سیمی، فقدان يك روش سريع و آسان احراز هویت و/يا رمزنگاری است، افراد به راحتی می‌توانند فقط كابل شبكه را متصل کرده و از شبکه استفاده کنند. در شبکه‌های بی‌سیم، حداقل WPA2-Personal (PSK) را دارید که پياده‌سازی آن راحت است.

هر چند فیلتر آدرس MAC، می‌تواند توسط هکری دور زده شود، اما می‌تواند به عنوان اولین لایه‌ی امنیتی به كار گرفته شود. اين روش، به طور کامل، یک هکر را متوقف نمی‌کند، اما به شما کمک می‌کند تا جلوی کارمندان ناآگاه رابگيريد تا برای مثال، باعث ايجاد حفره‌های امنیتی جدی احتمالی مانند اجازه دادن به كاربر مهمان برای ورود به شبکه‌ی خصوصی سازمانتان نشوند. همچنین، اين ترفند، می‌تواند کنترل بیشتری به شما، درباره‌ی این که کدام دستگاه‌ها بر روی شبکه هستند بدهد. اما اجازه ندهید اين روش، حس کاذبی از امنیت به شما بدهد و آماده باشید تا در هر زمان، لیست آدرس MAC تأیید شده را به‌روزرسانی کنید.

                                                                                                                                                                

5. برای جداسازی ترافیک، VLAN پياده‌سازی کنید.

اگر با شبکه‌ی کوچکتری کار می‌کنید که هنوز به LANهای مجازی قطعه‌بندی نشده است، آماده‌ی تغییر جديد باشيد. شما می‌توانید از VLANها برای گروه‌بندی پورت‌های شبكه، اكسس پوينت‌ها و کاربران در بین چندین شبکه‌ی مجازی، استفاده کنید.

شاید استفاده از VLANها برای جداسازی شبکه بر اساس نوع ترافیک (دسترسی عمومی، VOIP، SAN، DMZ)، برای كارآيی بهتر، دلایل طراحی، نوع کاربر (کاربران، مدیر، مهمانان) يا به دلایل امنیتی باشد.

در واقع VLANها به ویژه زمانی مفید هستند که برای وظایف پویا پیکربندی شده باشند. برای مثال، می‌توانید لپ تاپ خود را در هر جايی از شبکه یا به وسیله‌ی وای فای، به شبكه متصل كنيد و به طور خودکار، بر روی VLAN اختصاصی خود قرار بگیرید. به وسیله‌ی تگ كردن آدرس MAC يا يك گزينه‌ی امن‌تر با استفاده از احراز هویت 802.1X می‌توان به این هدف دست یافت. به منظور استفاده از VLAN، روترها و سوئیچ‌های شما باید از آن پشتیبانی کنند: به دنبال عبارت "پشتیبانی از IEEE 802.1Q" در مشخصات محصول باشید. برای اكسس پوينت‌ها، احتمالاً آن مواردی را می‌خواهید که از هر دو مورد تگ‌گذاری VLAN و SSIDهای چندگانه پشتیبانی می‌کنند. با SSIDهای چندگانه شما این توانایی را دارید که WLANهای مجازی چند گانه را ارائه دهید که خود می‌تواند به VLAN خاصی اختصاص داده شود.

 

6. برای احراز هویت، از 802.1X استفاده کنید.

احراز هویت و رمزنگاری بر شبکه‌ی سیمی، اغلب به دلیل پیچیدگی آن، نادیده گرفته می‌شود. حس مشترک فن‌آوری اطلاعات، رمزنگاری اتصالات بی‌سیم است، اما اتصالات سیمی را فراموش نکنید یا دست كم، نادیده نگیرید. یک هکر محلی، احتمالاً می‌تواند بدون این که چیزی مانع فرستادن یا دریافت اطلاعات از سوی او شود، به شبکه‌ی شما، متصل گردد.

اگر چه استقرار احراز هویت 802.1X، ترافیک اترنت را رمز گذاری نمی‌کند، اما حداقل، ارسال اطلاعات از سوی افراد نامعتبر روی شبکه یا دسترسی به هر منبع دیگری را متوقف می‌کند تا زمانی که لاگین معتبری داشته باشند. همچنين به خوبی می‌توانید از احراز هویت بر روی شبکه‌های بی‌سیم با استفاده از امنیت WPA2 سطح سازمانی با رمزنگاری AES نیز استفاده کنید که مزایای زیادی نسبت به استفاده از WPA2 شخصی (PSK) دارد.

مزیت بزرگ دیگر احراز هویت 802.1X، قابلیت تخصیص کاربران به VLANها به طور پویا می‌باشد. به منظور پياده‌سازی احراز هویت 802.1X، در ابتدا به سرور RADIUS نیاز دارید که به طور اساسی به عنوان پایگاه داده‌ی کاربران، سرویس می‌دهد و سرويسی است که دسترسی به شبکه را تأيید یا رد می‌کند. اگر سرور شما ویندوز است، هم اکنون يك سرور RADIUS در اختيار دارید: رول NPS یا در نسخه‌های قدیمی‌تر سرور ویندوز، رول IAS.

 

7. از  VPN برای رمزنگاری سرورها يا PCهای برگزیده استفاده کنید.

اگر واقعاً به دنبال امن کردن ترافیک شبکه‌ای هستید، از رمزنگاری (encryption) استفاده کنید. به خاطر داشته باشید حتی با VLAN و احراز هویت 802.1X، فردی می‌تواند بر روی شبکه يا حتی VLAN، استراق سمع کند تا ترافیک رمزنگاری نشده شامل رمز عبور، ایمیل‌ها و اسناد را به دست آورد. هر چند می‌توانید تمام ترافیک را رمزنگاری کنید، اما در ابتدا باید شبکه‌تان را تجزیه و تحلیل کنید. شاید عاقلانه باشد فقط ارتباطات برگزیده را که به نظرتان حساس هستند و قبلاً رمزنگاری نشده‌اند مانند SSL/HTTPS را رمزنگاری کنید. می‌توانید ترافیک حساس را از طريق يك VPN استاندارد به يك كلاينت، منتقل کنید که ممكن است فقط در طول ارتباط حساس استفاده شود یا مجبور به استفاده در تمام مدت شود.

 

8. تمام شبکه را رمزنگاری کنید.

شما همچنین می‌توانید کل یک شبکه را رمزنگاری کنید. یک گزینه، IPsec است. سرور ویندوز می‌تواند به عنوان يك سرور IPsec سرویس‌دهی کند و طبيعتاً كلاينت نیز بايد از اين ويژگی ویندوز پشتیبانی كند. با اين حال، فرآیند رمزنگاری می‌تواند کاملاً به عنوان يك سربار بر روی شبکه باشد به طوری كه میزان توان عملیاتی مؤثر، می‌تواند به طور قابل ملاحظه‌ای افت کند. همچنین، راهكارهای ديگری برای رمزنگاری شبکه، وجود دارد که اکثر آن‌ها از رویکرد لايه 2 به جای لايه 3 مانند IPsec استفاده می کنند تا به کاهش میزان تأخیر و سربار کمک کنند.