به نقل از : پرتال سازمان نظام صنÙÙŠ رايانه اي اصÙهان
مقدمه
از آن جا Ú©Ù‡ تمامي ارتباطات Ùˆ اطلاعات سازمان ها اعم از Ú©ÙˆÚ†Ú©ØŒ متوسط Ùˆ بزرگ به صورت کامپيوتري در آمده است، لذا انتقال Ùˆ دسترسي به آن ها نيز ملزم به ايجاد Ùˆ نگهداري شبکه هايي است Ú©Ù‡ اين امکان را Ùراهم مي سازند. در سازمان هاي با ابعاد متوسط هرچند تعداد سيستم ها Ùˆ منابع شبکه Ù…Øدود مي باشند اما امنيت اطلاعات Ùˆ ارتباطات کامپيوتري از اهميت بالايي برخوردار است. در مستند Øاضر به بررسي Ùˆ ذکر مواردي پرداخته شده است Ú©Ù‡ جهت ايجاد Øداقل ميزان امنيت در شبکه هاي کامپيوتري براي سازمان هاي متوسط مورد نياز است. براي اين منظور Ú©Ù„ مبØØ« امنيت شبکه در سازمان هاي متوسط به چند بخش مجزا تقسيم شده Ùˆ سپس به ارائه نکات لازم به اجرا در هر کدام پرداخته شده است.
در اين مستند Øداقل نيازمندي ها براي امن سازي شبکه داخلي ÙŠÚ© سازمان متوسط ارائه شده است. اين موارد Øداقل بوده Ùˆ Øداقل امنيت را به وجود مي آورد. لازم به ذکر است Ú©Ù‡ مستند تنها از ديدگاه نظارتي تهيه شده Ùˆ موارد مورد نياز براي مطالبه از پيمانکار بيان شده Ùˆ وارد جزئيات Ùني نگرديده است. در اجراي اين پروژه استÙاده از مشاور Ùˆ يا ناظر اجباري نمي باشد.
امنيت در سازمان متوسط
منظور از سازمان متوسط؛ سازماني با Øدود 20 تا 50 کامپيوتر است. ساختار شبکه سازمان هاي متوسط پيچيده نيست Ùˆ از ÙŠÚ© شبکه Ù…Øلي (شامل چندين سوئيچ Ùˆ Øداکثر ÙŠÚ© Ùايروال Ùˆ روتر) تشکيل شده است Ú©Ù‡ اتصال به اينترنت Ùˆ شبکه دولت نيز دارد. هزينه ÙŠ انجام اين Ø´Ø±Ø Ø®Ø¯Ù…Ø§Øª Øدود سيصد ميليون ريال (000/000/300) مي باشد.
براي ايجاد امنيت در شبکه هاي کامپيوتري سازمان هاي با ابعاد متوسط، تمامي اقدامات لازم به Ù†ÙÙ‡ بخش جداگانه قابل تقسيم است:
امنيت Ùيزيکي
امنيت ايستگاه هاي کاري
امن٠سازي سرورها
امنيت ارتباطات بي سيم
امنيت ساختار شبکه سازمان
دستورالعمل ها و روال هاي امنيتي
نظارت امنيتي
تست Ù†Ùوذ
آموزش Ùˆ Ùرهنگ سازي
امنيت Ùيزيکي
امنيت Ùيزيکي به صورت ايده آل موارد متعددي را در بر مي گيرد به همين دليل در اين ابعاد پرداختن به آن ضروري نيست. پيمانکار در اين مورد مگر براي امنيت ارتباطات بي سيم وظيÙÙ‡ اجرايي به عهده ندارد Ùˆ Ùقط بايد موارد زير را بررسي Ùˆ موارد نقض آن را به اطلاع کارÙرما برساند:
امنيت Ùيزيکي ارتباطات
امنيت Ùيزيکي ايستگاه هاي کاري
امنيت Ùيزيکي سرورها، سوئيچ ها، روترها Ùˆ Ùايروال ها
امنيت Ùيزيکي ارتباطات بي سيم
امنيت Ùيزيکي ارتباطات
جهت ايجاد امنيت ارتباطات در بخش امنيت Ùيزيکي رعايت موارد زير الزامي است:
کابل کشي شبکه کامپيوتري طبق استاندارد TIA/EIA-568-B
عدم وجود گره هاي شبکه در Ù…ØÙ„ هايي Ú©Ù‡ امکان کنترل آن ها وجود ندارد Ùˆ يا عدم عبور کابل از Ù…ØÙ„ هاي نزديک به گرما Ùˆ برق Ùشار قوي Ùˆ Ù…ØÙ„ هايي Ú©Ù‡ اØتمال قطعي هاي ناخواسته دارد.
امنيت Ùيزيکي ايستگاه هاي کاري
ايجاد امنيت Ùيزيکي در ايستگاه هاي کاري ÙŠÚ© سازمان ملزم به رعايت نکات زير است:
عدم استقرار سيستم ها در Ù…ØÙ„ هاي با دسترسي بسيار سخت
استقرار سيستم ها به دور از Ù…ØÙ„ هاي عبور لوله هاي آب Ùˆ گاز يا کابل هاي برق بدون ØÙاظ
استقرار سيستم ها در Ù…ØÙ„ هاي با ثبات بالا Ùˆ Ù…ØÙ„ هايي Ú©Ù‡ کمتر در مسير راه اÙراد قرار دارند
عدم اتصال laptopهايي Ú©Ù‡ Ù…Øدوديت هاي امنيتي روي آن اعمال نشده به شبکه سازمان
امنيت Ùيزيکي سرورها، سوئيچ ها Ùˆ روترها
در راستاي امن سازي Ùيزيکي سرور ها، سوئيچ ها Ùˆ روترهاي شبکه ÙŠÚ© سازمان رعايت موارد زير الزامي است:
1. استقرار آن ها در Ù…Øلي امن Ùˆ دور از دسترسي همگان
2. دسترسي آسان براي مدير يا مديران شبکه سازمان
3. استقرار آن ها در جعبه هاي Ù…ØاÙظ (Rack)
4. عدم وجود پايانه هاي آب Ùˆ گاز يا کابل هاي بدون ØÙاظ برق در Ù…ØÙ„ نگهداري آن ها
5. استÙاده از UPS هاي با ظرÙيت مورد نياز سازمان
6. وجود کپسول آتش نشاني در نزديکي Ù…ØÙ„ استقرار سرور
امن سازي سرور ها
در سازمان هاي متوسط توصيه مي شود Øداقل 4 عدد سرور زير نصب گردد:
1. سرور کنترلي با نصب سرويس هاي زير:
Domain Controller, Active Directory, Windows Service Update Server (WSUS) -
-Antivirus Server, log server
2. FTP Server, Web Server, File Server, DNS به عنوان پشتيبان سرور کنترلي
3. سرور(هاي) برنامه هاي کاربردي (مانند اتوماسيون اداري)
4. سرور اتصال به اينترنت (دروازه اينترنتي) و شبکه هاي خارجي ديگر مانند شبکه دولت (با نصب مثلا ISA Server)
سرورهاي ÙŠÚ©ØŒ دو Ùˆ سه بايد از Ù„Øاظ سخت اÙزاري کاملا قابل اطمينان (با مشخصات: دو عدد کارت شبکه , 1G دو عدد CPU 2.3G 2M cache Ùˆ دو عدد , Hard SATA 300G Ùˆ دو عدد Power Ùˆ با قيمتي Øدود بيست ميليون ريال) باشند ولي چهارمين سرور Øتي مي تواند ÙŠÚ© عدد رايانه شخصي مناسب هم باشد.
بر روي اين سرورها جهت اجرا و کنترل برنامه هاي داخلي سازمان رعايت نکات عمومي زير (جهت ايجاد و نگهداري امنيت براي اين سيستم) ضروري مي باشد:
داشتن دستورالعمل پيکربندي امن سرور Ùˆ نصب Øداقل سرويس هاي لازم روي آن (با جزيياتي بسيار بيشتر از تنظيمات ويندوز در امنيت ايستگاه هاي کاري (قسمت بعد))
نصب ابزارهايي براي ارسال log به log server
تنظيمات مناسب و امن براي به روزشدن آنتي ويروس و بسته هاي امنيتي سيستم عامل
داشتن تنظيمات خودکار براي پشتيبان گيري
داشتن رويکرد و ابزار امن براي پيکربندي سرور از راه دور
FTP Servers
1. غير Ùعال کردن دسترسي Anonymous
2. Ùعال سازي تنظيمات پيچيدگي انتخاب کلمات عبور
3. تنظيم Logon Event ها
4. Ùعال سازي سرويس Logging مربوط به FTP
5. در صورت عدم نياز به بارگذاري اطلاعات از سايت FTPØŒ سايت را به صورت ÙŠÚ© طرÙÙ‡ تنظيم نماييد (Ùقط امکان ارسال يا نوشتن اطلاعات در سرور)
6. Ùعال سازي سرويس Disk Quota
7. اعمال Ù…Øدوديت هاي زماني براي شناسه هاي کاربري
8. Ùعال سازي سرويس هاي Account Lockout Ùˆ Account Lockout Threshold
9. اÙزايش ميزان پيچيدگي Ùˆ دشواري ACL ها
Web Servers
1. استÙاده از سرورهاي مجزا براي برنامه هاي داخل شبکه Ùˆ خارج از شبکه Ù…Øلي
2. امکان مميزي عملکرد هاي وب سايت Ùˆ نگهداري Log ها در ÙŠÚ© Ù…ØÙ„ امن
3. استÙاده از پويشگر برنامه (Application Scanner)
امن سازي [DC[1
به منظور ايجاد امنيت در Domain Controller شبکه سازمان رعايت اصول زير الزامي است:
1. امنيت Ùيزيکي DC
2. بستن دسترسي کاربر Anonymous
3. ساخت ÙŠÚ© شناسه کاربري با دسترسي Ù…Øدود Ùˆ استÙاده مدير شبکه از آن Ùˆ استÙاده از Øساب کاربري Administrator Ùقط در مواقع ضروري
4. نصب Ùايروال Ùˆ آنتي ويروس قابل مديريت
5. دور Ù†Ú¯Ù‡ داشتن DC از Øملات راه دور مانند عدم دسترسي به اينترنت يا مودم
6. ايجاد امنيت بيشتر روي Øساب هاي کاربري داخل DC
7. جا به جا کردن Ù…ØÙ„ ذخيره بانک هاي اطلاعاتي Active Directory
امن سازي [DNS[2
پيروي از دستورات زير جهت امن سازي سرويس دهنده هاي DNS الزامي است:
1. استÙاده از DNS Forwarder ها
2. استÙاده از سرويس دهنده هاي Cache-Only DNS
3. استÙاده از DNS Advertiser ها
4. استÙاده از DNS Resolver ها
5. ØÙاظت Ùˆ کنترل Cache Pollution
6. Ùعال کردن DDNS
7. غير Ùعال کردن Zone Transfer
8. نصب Ùˆ پيکر بندي Ùايروال روي سيستم سرويس دهنده DNS
9. تنظيم کنترل دسترسي روي اطلاعات و ورودي هاي DNS در رجيستري
10. تنظيم کنترل دسترسي روي اطلاعات Ùˆ ورودي هاي DNS در Ùايل سيستم
11. استÙاده از DNS Root Ùˆ Namespace داخلي براي شبکه سازمان
امنيت ايستگاه هاي کاري
پيمانکار موظ٠است به منظور امن سازي ايستگاه هاي کاري در شبکه، موارد زير را براي تمام دستگاه هاي شبکه اجرا نمايد:
تنظيمات ويندوز
داشتن دستورالعمل پيکربندي امن ويندوز شامل:
1. استÙاده از Ùايل سيستم NTFS براي کليه پارتيشن ها
2. غير Ùعال کردن Simple File Sharing
3. استÙاده از کلمه عبور براي کليه Øساب هاي کاربري (مخصوصا administrator Ú©Ù‡ به صورت پيش Ùرض بدون پسورد ايجاد مي شود)
4. غير Ùعال کردن Øساب کاربري Guest Ùˆ بقيه Øساب هاي کاربري بلااستÙاده
5. تنظيم Ù…ØاÙظ صÙØÙ‡ با کلمه عبور
6. غير Ùعال کردن Remote Desktop براي کليه سيستم ها
7. Ùعال Ùˆ تنظيم کردن Audit Ùˆ Log ها براي کليه سيستم ها
8. غير Ùعال کردن قابليت راه اندازي سيستم عامل توسط Floppy يا CD ROM
9. غير Ùعال کردن auto play براي flash drive , CD
10. تنظيمات مناسب و يا نصب ابزارهايي براي ارسال log به log server
11. تنظيمات مناسب و امن براي به روزشدن بسته هاي امنيتي سيستم عامل
12. داشتن رويکرد و ابزار امن براي پيکربندي ايستگاه کاري از راه دور
تنظيمات آنتي ويروس
پس از پيکر بندي سيستم عامل مطابق با شرايط Ùوق نصب Ùˆ پيکربندي ÙŠÚ© آنتي ويروس مناسب براي کليه ايستگاه هاي کاري با رعايت نکات زير الزامي است:
1. استÙاده از آنتي ويروس دارايLicense معتبر
2. نصب آنتي ويروس براي کليه سيستم هاي سازمان، بدون استثنا
3. تنظيم ثبت مرتب و خودکار Log هاي آنتي ويروس
4. تنظيم به روزرساني منظم و خودکار آنتي ويروس
5. استÙاده از آخرين نسخه آنتي ويروس
6. تنظيم شناسايي Ùˆ Øذ٠خودکار ويروس هاي ياÙت شده توسط آنتي ويروس
امنيت ارتباطات بي سيم
در صورتي Ú©Ù‡ در ساختار شبکه ÙŠÚ© سازمان از تکنولوژي ارتباطات بي سيم جهت انتقال اطلاعات استÙاده شود، رعايت موارد زير الزامي است:
استÙاده از تکنولوژي رمزنگاري WEP
تغيير تنظيمات پيش Ùرض SSID
اختصاص آدرس هاي IP به ايستگاه هاي کاري بي سيم به صورت دستي نه DHCP
غير Ùعال کردن Øالت Ad-Hoc در صورت استÙاده از Access Point
ايجاد ACL هاي مخصوص سازمان
ثبت MAC آدرس هاي تک تک ايستگاه هاي کاري در ACL هاي مربوط به Access Point ها
غيرÙعال سازي سرويس File and Printer sharing در صورت عدم نياز به استÙاده از آن ها.
چيدمان صØÙŠØ Ù†Ù‚Ø§Ø· دسترسي (Access Point) به گونه اي Ú©Ù‡ گستره امواج راديويي تنها در دامنه تعيين شده شبکه سازمان باشد
جدا ساختن شبکه هاي بي سيم Ùˆ سيم کشي شده توسط Ùايروال.
آموزش و اطلاع رساني کاربران در مورد اهميت امنيت ارتباطات بي سيم
امنيت ساختار شبکه سازمان
پيمانکار موظ٠است پس از بررسي ساختار Ùعلي شبکه Ùˆ نيازهاي سازمان، طراØÙŠ امني براي شبکه سازمان ارائه Ùˆ آن را اجرا کند. لازم به ذکر است Ú©Ù‡ پيش از طراØÙŠ امن ØŒ پيمانکار بايد ارزيابي امنيتي موردي انجام دهد. در تهيه ساختار امن شبکه Ùˆ پياده سازي آن بايد موارد بيان شده در اين Ùصل Ù„Øاظ گردد. پس از طراØÙŠ امن، پيمانکار موظ٠است RFP براي خريد تجهيزات سخت اÙزاري تهيه نمايد Ùˆ پس از خريد توسط کارÙرما آن تجهيزات را تست کند Ùˆ تØويل بگيرد.
طراØÙŠ امن شبکه
در Ø·Ø±Ø Ø´Ø¨Ú©Ù‡ موارد زير بايد Ù„Øاظ گردد:
1. در صورت وجود سرورهايي Ú©Ù‡ به خارج از سازمان سرويس مي دهند بايد ناØيه DMZ ايجاد شود.
2. در صورت نياز بايد سرور يا شبکه VPN ايجاد شود.
3. سرور هاي داخلي يا خارجي بايد از هم مجزا باشند.
4. بين شبکه اينترنت Ùˆ شبکه DMZ بايد از ÙŠÚ© مسيرياب يا Ùايروال استÙاده کرد.
5. بين شبکه DMZ(Ùˆ در صورت عدم وجود اينترنت) Ùˆ شبکه داخلي سازمان بايد از Ùايروال استÙاده کرد.
6. در صورتي Ú©Ù‡ نياز سازمان به چند ناØيه مجزا باشد اين نواØÙŠ بايد ايجاد Ùˆ بين آن ها مسيرياب يا Ùايروال قرار گيرد.
7. نواØÙŠ مختل٠شبکه داخلي، DMZ Ùˆ ورود شبکه اينترنت به سازمان بايد در لايه Ùيزيکي از هم مجزا شوند (يا به صورت Ùيزيکي Ùˆ يا VLAN)
8. در صورت وجود ارتباط بي سيم بايد در ناØيه جدا قرار گرÙته Ùˆ از مسيرياب Ùˆ VPN استÙاده شود.
9. ساختار IP Ùˆ Subnet Mask Ùˆ IP Routing طراØÙŠ Ùˆ اجرا شود.
امنيت VPN
تکنولوژي VPN اين امکان را Ùراهم مي آورد تا بتوانيم از شبکه هاي عمومي مانند اينترنت به صورت امن به جاي شبکه هاي خصوصي استÙاده کنيم. در موارد زير استÙاده از VPN ضروري است:
1. لازم باشد مدير يا کارمندي از راه دور مثلاً منزل يا Ù…ØÙ„ مساÙرت به منابع شبکه داخلي سازمان دسترسي داشته باشد
2. سازمان داراي نماينده يا نمايندگاني در مکان هاي دور از سازمان يا شهرها و کشور هاي ديگر باشد
3. پشتيباني توسط کارشناسان يا مديران شبکه خارج سازمان
4. وجود ارتباط بي سيم
در صورت نياز به استÙاده از VPN مي توان از سرويس دهنده ISA استÙاده نمود Ú©Ù‡ رعايت موارد زير در اين مورد الزامي است:
1. تنظيم پيچيدگي انتخاب کلمات عبور
2. استÙاده از پروتکل هاي MS-CHAP v2 Ùˆ EAP به جاي پروتکل هاي PAPØŒ SPAP Ùˆ CHAP
3. غير Ùعال کردن پروتکل هاي PAPØŒ SPAP Ùˆ CHAP
4. استÙاده از پروتکل L2TP به جاي IP در ارتباطاتي Ú©Ù‡ از IPSec استÙاده مي کنند
5. انتقال کليه کاربران داراي Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÙŠ از راه دور به ÙŠÚ© گروه کاربري جهت مديريت متمرکز
6. تعيين Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÙŠ هاي مورد نياز کاربر يا گروه هاي کاربران به Ùايل ها، برنامه ها Ùˆ منابع شبکه داخلي با توجه به نياز آن ها
7. Ùعال سازي Ùˆ تنظيم دقيق Event Log جهت کنترل دقيق ارتباطات VPN
Ùايروال
در صورت نياز به Ùايروال مي توان از Ùايروال هاي سخت اÙزاري يا نرم اÙزاري متناسب همانند ISA يا لينوکس استÙاده کرد. در صورت استÙاده از سرويس دهنده ISA جهت مديريت امنيت شبکه سازمان، رعايت موارد زير کاملاً ضروري است:
تنظيمات لازم مربوط به سيستم عامل
1. عدم نصب ISA Server روي Domain Controller
2. عدم نصب سرويس يا برنامه هاي کاربردي روي سيستم سرويس دهنده ISA
3. اÙزايش ميزان دشواري کلمات عبور کاربران سيستم سرويس دهنده ISA
4. Øذ٠کليه سرويس هايي Ú©Ù‡ مورد استÙاده سيستم عامل Ùˆ ISA قرار نمي گيرند
5. به روز رساني و نصب بسته هاي امنيتي سيستم عامل و ISA به طور مرتب
6. غيرÙعال کردن سرويس File and Printer Sharing روي کارت شبکه خارجي[3]
7. غير Ùعال کردن سرويس Client for Microsoft Networks روي کارت شبکه خارجي
8. غير Ùعال کردن NetBIOS مربوط به TCP/IP روي کارت شبکه خارجي
تنظيمات لازم مربوط به ISA Server
1. Ùعال کردن Packet Filtering
2. Ùعال کردن Fragment Filtering
3. Ùعال کردن Filtering of IP options
4. Ùعال کردن Intrusion Detection
5. Øذ٠کليه دسترسي ها از قسمت Site and Content Rule يا تنظيم دسترسي هاي اين قسمت براي کاربر يا گروهي از کاربران
6. Øذ٠کليه Web Proxy listener ها در صورت عدم نياز به استÙاده از Web Publishing Rules
7. ايجاد Protocol Rule هاي لازم جهت دسترسي هاي برون سازماني
8. Ù…Øدود سازي دسترسي کاربران به پروتکل ها Ùˆ تنظيم امکان دسترسي اÙرادي Ú©Ù‡ به آن ها نياز دارند
9. تنظيم ارسال هشدارهاي امنيتي ISA Server به E-Mail مدير شبکه
10. بازبيني مرتب و منظم Event Log ها
11. ذخيره دقيق Ùˆ منظم Log ها روي ÙŠÚ© ØاÙظه جداگانه Ùˆ کپي برداري روزانه از آن ها
12. Ùعال کردن Ùيلترهاي DNS ØŒ POP Ùˆ SNMP
13. غير Ùعال کردن Ùيلتر SOCKS
14. Ùقط قراردادن آدرس هاي شبکه داخلي در LAT
15. Ùقط قرار دادن دامنه هاي[4] شبکه داخلي در LDT
16. استÙاده از سياست هاي[5] RRAS در کنترل دسترسي ها Ùˆ مديريت VPN
17. استÙاده از کلمات عبور پيچيده، به خصوص اگر از PPTP استÙاده مي شود
18. اقدام به استÙاده از L2TP/IPSec در اولين زمان ممکن
مستندسازي و تدوين دستورالعمل ها و روال هاي امنيتي
مهم تر از ايجاد امنيت در شبکه سازمان ØÙظ Ùˆ تداوم امنيت مي باشد، به همين منظور معمولا تشکيلاتي در سازمان براي اين هد٠تشکيل مي گردد. اما در سازمان هايي با اين ابعاد مستندسازي Ùˆ تهيه Ùˆ اجراي دستور العمل ها Ùˆ روال هايي براي امنيت Ú©Ùايت مي کند.
پيمانکار موظ٠است مستندات زير را در صورت عدم وجود تهيه و در صورت وجود به روز رساني و سازگار کند:
1. نقشه شبکه سازمان
2. مستندات مربوط به Ù…ØÙ„ قرار گيري سخت اÙزار ها Ùˆ شماره هاي آن ها (اموال سازمان)
3. مستندات مربوط به کابل کشي ها Ùˆ Ù…ØÙ„ قرار گيري سرورها، سوئيچ ها Ùˆ روترها
پس از مستندسازي شبکه سازمان بايد دستورالعمل هايي وجود داشته باشد که با پيروي از آن ها اين امنيت ايجاد شده پايدار بماند.
اين دستورالعمل ها توسط پيمانکار تهيه Ùˆ بعدا توسط پرسنل کارÙرما اجرا خواهند شد. هر کدام از آن ها Øداقل يکبار توسط پيمانکار نيز بايد اجرا شوند. Øداقل دستورالعمل هاي مورد نياز در زير آمده اند.
روال پشتيبان گيري
در تعيين روندها Ùˆ دستورالعمل هاي پشتيبان گيري از اطلاعات سيستم هاي ÙŠÚ© سازمان لازم است تا آيين نامه اي مدون طراØÙŠ شود. در اين آيين نامه Øداقل به Ù†Øوه، ابزار، نوع، زمان Ùˆ Ù…ØÙ„ ذخيره پشتيبان گيري بايد پرداخته شود.
در زير به ذکر مواردي پرداخته ايم Ú©Ù‡ بايد در تهيه آيين نامه روندهاي پشتيبان گيري ÙŠÚ© سازمان Øتماً مورد توجه قرار بگيرد. اين پشتيبان ها از اطلاعات سرورها Ùˆ اطلاعات رايانه هاي کاربران بايد باشد.
انتخاب زمان تهيه نسخه پشتيبان
.روزانه
.Ù‡Ùتگي
.ماهانه
.سالانه
انتخاب يکي از انواع نسخه پشتيبان
.Full
.Incremental
.Deferential
.Copy
انتخاب Ù…ØÙ„ ذخيره Ùˆ نگهداري نسخه پشتيبان
1. ØاÙظه خارجي[6]
2. Floppy ، CD يا DVD
3. سرور يا يک سيستم جداگانه براي اين منظور
4. Ù…ØÙ„ ذخيره On-Line
وصيه مي شود Øتما Øداقل ÙŠÚ© مدل پشتيبان گيري برروي ØاÙظه خارجي، CD Ùˆ ... در نظر گرÙته شود Ú©Ù‡ ماهانه يا Ù‡Ùتگي باشد Ùˆ اين اطلاعات پشتيبان در Ù…Øلي امن غير از اتاق سرور نگهداري شود.
دستورالعمل هاي نگهداري شبکه
در اين ابعاد سازماني ØÙظ پايداري شبکه (Availability) Ùˆ مديريت استÙاده از آن بزرگترين دستا وردي است Ú©Ù‡ از امنيت توقع مي رود. به همين منظور تهيه Ùˆ اجراي آيين نامه ها Ùˆ روال هاي نگهداري شبکه Ú©Ù‡ در اين راستا مي باشد ضروري است:
دستورالعمل نگهداري سيستم عامل ها
روال نامگذاري سيستم ها
روال نگهداري و به روز رساني آنتي ويروس ها
Ùرآيندها Ùˆ Ùرم هاي بازبيني هاي دوره اي سيستم ها
روال انتقال تا بازگشت سيستم ها جهت تعمير
روال نگهداري و به روز رساني مستندات شبکه
روال بررسي دوره اي logها
آيين نامه انتخاب و تغيير کلمات عبور کاربران
آيين نامه روند تهيه نسخه پشتيبان
آيين نامه روند جابجايي، تعويض يا خريد قطعات
آيين نامه Ø³Ø·ÙˆØ Ø¯Ø³ØªØ±Ø³ÙŠ هر ÙŠÚ© از کاربران به منابع ديگر سيستم ها Ùˆ منابع شبکه سازمان
روال نگهداري Ùˆ به روز رساني مستندات شبکه مانند گرÙتن backup از سيستم عامل ٠همه تجهيزات مانند سوئيچ Ùˆ روتر Ùˆ سرور براي به Øداقل رساندن زمان در دسترس نبودن سيستم Ùˆ روال نگهداري از نسخه هاي پشتيبان در سازمان
نظارت امنيتي
کنترل Ùˆ نظارت امنيتي بر شبکه از موارد بسيار با اهميت در امر نگهداري امنيت شبکه هاي کامپيوتري مي باشد. پيمانکار موظ٠است Ú©Ù‡ ابزار لازم جهت استÙاده ÙŠ مدير شبکه سازمان جهت اسکن Ùˆ کنترل شبکه را به منظور هاي زير Ùراهم آورد:
کنترل شبکه از Ù„Øاظ عدم اتصال سيستم هاي غير مجاز به شبکه سازمان
شناسايي سرويس هاي تهديد آميز
تعيين ميزان انØرا٠از سرويس هاي مجاز تعري٠شده براساس سياست هاي امنيتي سازمان
بررسي Ùˆ تØليل logها
بهتر است تعداد ابزارها تا Øد امکان Ú©Ù… Ùˆ يا از طريق واسط متمرکز اداره شوند.
تست Ù†Ùوذ
اجراي تست Ù†Ùوذ از مهمترين روش ها براي اطمينان از وجود ÙŠÚ© امنيت نسبي است. در سازمان هاي متوسط لازم است تا به صورت دوره اي تست Ù†Ùوذ جهت اطمينان از وجود امنيت اجرا شود Ùˆ پيمانکار موظ٠است Ú©Ù‡ در انتهاي پروژه ÙŠÚ© بار تست Ù†Ùوذ را انجام دهد Ùˆ سپس Øدود سه ماه پس از پايان پروژه نيز يکبار ديگر تست Ù†Ùوذ انجام شود. پيمانکار بايد ضمن ارائه ÙŠ گزارش اين تست به کارÙرما ØŒ آسيب هاي قابل رÙع شناسايي شده را رÙع کند. Øداقل موارد زير در اين تست بايد مورد نظر قرار گيرند:
1. سوراخ هاي امنيتي هسته سيستم عامل[7] براي تمام ايستگاه ها به خصوص سرورها و تجهيزات شبکه
2. سر ريزي باÙر[8] براي سرور ها به خصوص وب
3. دسترسي هاي Ùايل Ùˆ [Directory[9
4. تروجان ها[10]
5. گذر واژه هاي ضعيÙ
آموزش Ùˆ Ùرهنگ سازي
همان طور Ú©Ù‡ قبلا هم ØªØµØ±ÙŠØ Ø´Ø¯ ØÙظ امنيت از خود آن مهم تر Ùˆ مشکل تر است؛ Ùˆ ØÙظ تداوم امنيت به عهده پرسنل سازمان است. پس اين امر Ù…Øقق نمي شود مگر با آموزش Ùˆ Ùرهنگ سازي. آموزش کارکنان Ùˆ مديران شبکه هر سازماني الزامي است. اين آموزش بايد در دو Ø³Ø·Ø Ø¹Ù…ÙˆÙ…ÙŠ (کاربران) Ùˆ مدير شبکه (راهبران) اجرا شود. مطالب مورد نظر براي کاربران بايد به دو صورت تئوري 4 ساعت Ùˆ عملي 4 ساعت ارائه شود. براي مدير شبکه يا جانشين وي نيز در دو مرØله تئوري 20 ساعت Ùˆ عملي 10 ساعت آموزش هايي در نظر گرÙته مي شود Ú©Ù‡ در ادامه به Ù…Øتواي اين دوره ها مي پردازيم.
آموزش مديران شبکه (راهبران)
1. Ù…Ùاهيم امنيت
2. چرخه ي امن کردن سيستم
3. انواع Øملات Ùˆ تهديدهاي شبکه
4. روش هاي مقابله با Øملات Ùˆ تهديدات
5. ارزيابي امنيت شبکه و مديريت امنيت شبکه
6. پيکربندي امن تجهيزات شبکه (سوييچ ØŒ روتر ØŒ Ùايروال)ØŒ سيستم عامل ها، نرم اÙزارها
7. نصب نرم اÙزارهاي امنيتي
8. نصب وصله هاي امنيتي
9. ثبت وقايع Ùˆ استÙاده Ùˆ مديريت از Event Log (رويدادنگاري)
10. مواجهه با Øوادث
11. تسلط به روال ها و دستورالعمل هاي تدوين شده براي امنيت شبکه
11-1 اهميت و مديريت کلمات عبور خود و ديگر کاربران
11-2 مديريت و نگهداري سرويس هايي مانند patchهاي امنيتي و آنتي ويروس ها
11-3 اهميت Ùˆ مديريت Ø³Ø·ÙˆØ Ø¯Ø³ØªØ±Ø³ÙŠ کاربران به ديگر سيستم ها Ùˆ منابع شبکه
11-4 اهميت Ùˆ Ù†Øوه پشتيبان گيري
11-5 آشنايي و مديريت دسترسي به اينترنت و به اشتراک گذاري آن
11-6 آشنايي Ùˆ تسلط به روال هاي ارائه شده جهت اجرا مانند Ù†Øوه بازگرداني backup هاي سيستم عامل هاي تجهيزات
آموزش کاربران
1. Ù…Ùاهيم امنيت
2. چرخه ي امن کردن سيستم
3. نکات خاص مانند پشتيبان گيري
4. نکات Ùني استÙاده از امکانات اعم از نرم اÙزارها، سخت اÙزارها Ùˆ سيستم عامل
5. آشنايي با پيکربندي سيستم عامل
6. استÙاده از ابزارهاي امنيتي مانند آنتي ويروس
7. انتخاب گذرواژه
8. مواجهه با Øوادث
9. اجرا، به روز رساني و درک پيام هاي آنتي ويروس
10. توانايي تشخيص موارد بØراني Ùˆ Ù†Øوه برخورد اوليه با آن
11. درک اوليه Øداقل امنيت ايستگاه هاي کاري Ùˆ توانايي بررسي آن در موارد ساده (مثل Ùعال بودن Ùايروال رايانه شخصي)
12. آشنايي با مشکلات امنيتي IE Ùˆ MS Outlook Ùˆ Ù†Øوه به اشتراک گذاري اطلاعات
13. درک لزوم تهيه نسخه پشتيبان
14. خطرات ناشي از برنامه هاي دانلود شده از سايت هاي نامعتبر
[1] Domain Controller
[2] Domain Name System
[3] External interface
[4] Domain
[5] RRAS Policy
[6] External Hard
[7] Kernel Flaws
[8] Buffer Overflows
[9] File and Directory Permissions
[10] Trojans
امنيت شبکه در سازمان ها ي متوسط
مقدمه
از آن جا Ú©Ù‡ تمامي ارتباطات Ùˆ اطلاعات سازمان ها اعم از Ú©ÙˆÚ†Ú©ØŒ متوسط Ùˆ بزرگ به صورت کامپيوتري در آمده است، لذا انتقال Ùˆ دسترسي به آن ها نيز ملزم به ايجاد Ùˆ نگهداري شبکه هايي است Ú©Ù‡ اين امکان را Ùراهم مي سازند. در سازمان هاي با ابعاد متوسط هرچند تعداد سيستم ها Ùˆ منابع شبکه Ù…Øدود مي باشند اما امنيت اطلاعات Ùˆ ارتباطات کامپيوتري از اهميت بالايي برخوردار است. در مستند Øاضر به بررسي Ùˆ ذکر مواردي پرداخته شده است Ú©Ù‡ جهت ايجاد Øداقل ميزان امنيت در شبکه هاي کامپيوتري براي سازمان هاي متوسط مورد نياز است. براي اين منظور Ú©Ù„ مبØØ« امنيت شبکه در سازمان هاي متوسط به چند بخش مجزا تقسيم شده Ùˆ سپس به ارائه نکات لازم به اجرا در هر کدام پرداخته شده است.
در اين مستند Øداقل نيازمندي ها براي امن سازي شبکه داخلي ÙŠÚ© سازمان متوسط ارائه شده است. اين موارد Øداقل بوده Ùˆ Øداقل امنيت را به وجود مي آورد. لازم به ذکر است Ú©Ù‡ مستند تنها از ديدگاه نظارتي تهيه شده Ùˆ موارد مورد نياز براي مطالبه از پيمانکار بيان شده Ùˆ وارد جزئيات Ùني نگرديده است. در اجراي اين پروژه استÙاده از مشاور Ùˆ يا ناظر اجباري نمي باشد.
امنيت در سازمان متوسط
منظور از سازمان متوسط؛ سازماني با Øدود 20 تا 50 کامپيوتر است. ساختار شبکه سازمان هاي متوسط پيچيده نيست Ùˆ از ÙŠÚ© شبکه Ù…Øلي (شامل چندين سوئيچ Ùˆ Øداکثر ÙŠÚ© Ùايروال Ùˆ روتر) تشکيل شده است Ú©Ù‡ اتصال به اينترنت Ùˆ شبکه دولت نيز دارد. هزينه ÙŠ انجام اين Ø´Ø±Ø Ø®Ø¯Ù…Ø§Øª Øدود سيصد ميليون ريال (000/000/300) مي باشد.
براي ايجاد امنيت در شبکه هاي کامپيوتري سازمان هاي با ابعاد متوسط، تمامي اقدامات لازم به Ù†ÙÙ‡ بخش جداگانه قابل تقسيم است:
امنيت Ùيزيکي
امنيت ايستگاه هاي کاري
امن٠سازي سرورها
امنيت ارتباطات بي سيم
امنيت ساختار شبکه سازمان
دستورالعمل ها و روال هاي امنيتي
نظارت امنيتي
تست Ù†Ùوذ
آموزش Ùˆ Ùرهنگ سازي
امنيت Ùيزيکي
امنيت Ùيزيکي به صورت ايده آل موارد متعددي را در بر مي گيرد به همين دليل در اين ابعاد پرداختن به آن ضروري نيست. پيمانکار در اين مورد مگر براي امنيت ارتباطات بي سيم وظيÙÙ‡ اجرايي به عهده ندارد Ùˆ Ùقط بايد موارد زير را بررسي Ùˆ موارد نقض آن را به اطلاع کارÙرما برساند:
امنيت Ùيزيکي ارتباطات
امنيت Ùيزيکي ايستگاه هاي کاري
امنيت Ùيزيکي سرورها، سوئيچ ها، روترها Ùˆ Ùايروال ها
امنيت Ùيزيکي ارتباطات بي سيم
امنيت Ùيزيکي ارتباطات
جهت ايجاد امنيت ارتباطات در بخش امنيت Ùيزيکي رعايت موارد زير الزامي است:
کابل کشي شبکه کامپيوتري طبق استاندارد TIA/EIA-568-B
عدم وجود گره هاي شبکه در Ù…ØÙ„ هايي Ú©Ù‡ امکان کنترل آن ها وجود ندارد Ùˆ يا عدم عبور کابل از Ù…ØÙ„ هاي نزديک به گرما Ùˆ برق Ùشار قوي Ùˆ Ù…ØÙ„ هايي Ú©Ù‡ اØتمال قطعي هاي ناخواسته دارد.
امنيت Ùيزيکي ايستگاه هاي کاري
ايجاد امنيت Ùيزيکي در ايستگاه هاي کاري ÙŠÚ© سازمان ملزم به رعايت نکات زير است:
عدم استقرار سيستم ها در Ù…ØÙ„ هاي با دسترسي بسيار سخت
استقرار سيستم ها به دور از Ù…ØÙ„ هاي عبور لوله هاي آب Ùˆ گاز يا کابل هاي برق بدون ØÙاظ
استقرار سيستم ها در Ù…ØÙ„ هاي با ثبات بالا Ùˆ Ù…ØÙ„ هايي Ú©Ù‡ کمتر در مسير راه اÙراد قرار دارند
عدم اتصال laptopهايي Ú©Ù‡ Ù…Øدوديت هاي امنيتي روي آن اعمال نشده به شبکه سازمان
امنيت Ùيزيکي سرورها، سوئيچ ها Ùˆ روترها
در راستاي امن سازي Ùيزيکي سرور ها، سوئيچ ها Ùˆ روترهاي شبکه ÙŠÚ© سازمان رعايت موارد زير الزامي است:
1. استقرار آن ها در Ù…Øلي امن Ùˆ دور از دسترسي همگان
2. دسترسي آسان براي مدير يا مديران شبکه سازمان
3. استقرار آن ها در جعبه هاي Ù…ØاÙظ (Rack)
4. عدم وجود پايانه هاي آب Ùˆ گاز يا کابل هاي بدون ØÙاظ برق در Ù…ØÙ„ نگهداري آن ها
5. استÙاده از UPS هاي با ظرÙيت مورد نياز سازمان
6. وجود کپسول آتش نشاني در نزديکي Ù…ØÙ„ استقرار سرور
امن سازي سرور ها
در سازمان هاي متوسط توصيه مي شود Øداقل 4 عدد سرور زير نصب گردد:
1. سرور کنترلي با نصب سرويس هاي زير:
Domain Controller, Active Directory, Windows Service Update Server (WSUS) -
-Antivirus Server, log server
2. FTP Server, Web Server, File Server, DNS به عنوان پشتيبان سرور کنترلي
3. سرور(هاي) برنامه هاي کاربردي (مانند اتوماسيون اداري)
4. سرور اتصال به اينترنت (دروازه اينترنتي) و شبکه هاي خارجي ديگر مانند شبکه دولت (با نصب مثلا ISA Server)
سرورهاي ÙŠÚ©ØŒ دو Ùˆ سه بايد از Ù„Øاظ سخت اÙزاري کاملا قابل اطمينان (با مشخصات: دو عدد کارت شبکه , 1G دو عدد CPU 2.3G 2M cache Ùˆ دو عدد , Hard SATA 300G Ùˆ دو عدد Power Ùˆ با قيمتي Øدود بيست ميليون ريال) باشند ولي چهارمين سرور Øتي مي تواند ÙŠÚ© عدد رايانه شخصي مناسب هم باشد.
بر روي اين سرورها جهت اجرا و کنترل برنامه هاي داخلي سازمان رعايت نکات عمومي زير (جهت ايجاد و نگهداري امنيت براي اين سيستم) ضروري مي باشد:
داشتن دستورالعمل پيکربندي امن سرور Ùˆ نصب Øداقل سرويس هاي لازم روي آن (با جزيياتي بسيار بيشتر از تنظيمات ويندوز در امنيت ايستگاه هاي کاري (قسمت بعد))
نصب ابزارهايي براي ارسال log به log server
تنظيمات مناسب و امن براي به روزشدن آنتي ويروس و بسته هاي امنيتي سيستم عامل
داشتن تنظيمات خودکار براي پشتيبان گيري
داشتن رويکرد و ابزار امن براي پيکربندي سرور از راه دور
FTP Servers
1. غير Ùعال کردن دسترسي Anonymous
2. Ùعال سازي تنظيمات پيچيدگي انتخاب کلمات عبور
3. تنظيم Logon Event ها
4. Ùعال سازي سرويس Logging مربوط به FTP
5. در صورت عدم نياز به بارگذاري اطلاعات از سايت FTPØŒ سايت را به صورت ÙŠÚ© طرÙÙ‡ تنظيم نماييد (Ùقط امکان ارسال يا نوشتن اطلاعات در سرور)
6. Ùعال سازي سرويس Disk Quota
7. اعمال Ù…Øدوديت هاي زماني براي شناسه هاي کاربري
8. Ùعال سازي سرويس هاي Account Lockout Ùˆ Account Lockout Threshold
9. اÙزايش ميزان پيچيدگي Ùˆ دشواري ACL ها
Web Servers
1. استÙاده از سرورهاي مجزا براي برنامه هاي داخل شبکه Ùˆ خارج از شبکه Ù…Øلي
2. امکان مميزي عملکرد هاي وب سايت Ùˆ نگهداري Log ها در ÙŠÚ© Ù…ØÙ„ امن
3. استÙاده از پويشگر برنامه (Application Scanner)
امن سازي [DC[1
به منظور ايجاد امنيت در Domain Controller شبکه سازمان رعايت اصول زير الزامي است:
1. امنيت Ùيزيکي DC
2. بستن دسترسي کاربر Anonymous
3. ساخت ÙŠÚ© شناسه کاربري با دسترسي Ù…Øدود Ùˆ استÙاده مدير شبکه از آن Ùˆ استÙاده از Øساب کاربري Administrator Ùقط در مواقع ضروري
4. نصب Ùايروال Ùˆ آنتي ويروس قابل مديريت
5. دور Ù†Ú¯Ù‡ داشتن DC از Øملات راه دور مانند عدم دسترسي به اينترنت يا مودم
6. ايجاد امنيت بيشتر روي Øساب هاي کاربري داخل DC
7. جا به جا کردن Ù…ØÙ„ ذخيره بانک هاي اطلاعاتي Active Directory
امن سازي [DNS[2
پيروي از دستورات زير جهت امن سازي سرويس دهنده هاي DNS الزامي است:
1. استÙاده از DNS Forwarder ها
2. استÙاده از سرويس دهنده هاي Cache-Only DNS
3. استÙاده از DNS Advertiser ها
4. استÙاده از DNS Resolver ها
5. ØÙاظت Ùˆ کنترل Cache Pollution
6. Ùعال کردن DDNS
7. غير Ùعال کردن Zone Transfer
8. نصب Ùˆ پيکر بندي Ùايروال روي سيستم سرويس دهنده DNS
9. تنظيم کنترل دسترسي روي اطلاعات و ورودي هاي DNS در رجيستري
10. تنظيم کنترل دسترسي روي اطلاعات Ùˆ ورودي هاي DNS در Ùايل سيستم
11. استÙاده از DNS Root Ùˆ Namespace داخلي براي شبکه سازمان
امنيت ايستگاه هاي کاري
پيمانکار موظ٠است به منظور امن سازي ايستگاه هاي کاري در شبکه، موارد زير را براي تمام دستگاه هاي شبکه اجرا نمايد:
تنظيمات ويندوز
داشتن دستورالعمل پيکربندي امن ويندوز شامل:
1. استÙاده از Ùايل سيستم NTFS براي کليه پارتيشن ها
2. غير Ùعال کردن Simple File Sharing
3. استÙاده از کلمه عبور براي کليه Øساب هاي کاربري (مخصوصا administrator Ú©Ù‡ به صورت پيش Ùرض بدون پسورد ايجاد مي شود)
4. غير Ùعال کردن Øساب کاربري Guest Ùˆ بقيه Øساب هاي کاربري بلااستÙاده
5. تنظيم Ù…ØاÙظ صÙØÙ‡ با کلمه عبور
6. غير Ùعال کردن Remote Desktop براي کليه سيستم ها
7. Ùعال Ùˆ تنظيم کردن Audit Ùˆ Log ها براي کليه سيستم ها
8. غير Ùعال کردن قابليت راه اندازي سيستم عامل توسط Floppy يا CD ROM
9. غير Ùعال کردن auto play براي flash drive , CD
10. تنظيمات مناسب و يا نصب ابزارهايي براي ارسال log به log server
11. تنظيمات مناسب و امن براي به روزشدن بسته هاي امنيتي سيستم عامل
12. داشتن رويکرد و ابزار امن براي پيکربندي ايستگاه کاري از راه دور
تنظيمات آنتي ويروس
پس از پيکر بندي سيستم عامل مطابق با شرايط Ùوق نصب Ùˆ پيکربندي ÙŠÚ© آنتي ويروس مناسب براي کليه ايستگاه هاي کاري با رعايت نکات زير الزامي است:
1. استÙاده از آنتي ويروس دارايLicense معتبر
2. نصب آنتي ويروس براي کليه سيستم هاي سازمان، بدون استثنا
3. تنظيم ثبت مرتب و خودکار Log هاي آنتي ويروس
4. تنظيم به روزرساني منظم و خودکار آنتي ويروس
5. استÙاده از آخرين نسخه آنتي ويروس
6. تنظيم شناسايي Ùˆ Øذ٠خودکار ويروس هاي ياÙت شده توسط آنتي ويروس
امنيت ارتباطات بي سيم
در صورتي Ú©Ù‡ در ساختار شبکه ÙŠÚ© سازمان از تکنولوژي ارتباطات بي سيم جهت انتقال اطلاعات استÙاده شود، رعايت موارد زير الزامي است:
استÙاده از تکنولوژي رمزنگاري WEP
تغيير تنظيمات پيش Ùرض SSID
اختصاص آدرس هاي IP به ايستگاه هاي کاري بي سيم به صورت دستي نه DHCP
غير Ùعال کردن Øالت Ad-Hoc در صورت استÙاده از Access Point
ايجاد ACL هاي مخصوص سازمان
ثبت MAC آدرس هاي تک تک ايستگاه هاي کاري در ACL هاي مربوط به Access Point ها
غيرÙعال سازي سرويس File and Printer sharing در صورت عدم نياز به استÙاده از آن ها.
چيدمان صØÙŠØ Ù†Ù‚Ø§Ø· دسترسي (Access Point) به گونه اي Ú©Ù‡ گستره امواج راديويي تنها در دامنه تعيين شده شبکه سازمان باشد
جدا ساختن شبکه هاي بي سيم Ùˆ سيم کشي شده توسط Ùايروال.
آموزش و اطلاع رساني کاربران در مورد اهميت امنيت ارتباطات بي سيم
امنيت ساختار شبکه سازمان
پيمانکار موظ٠است پس از بررسي ساختار Ùعلي شبکه Ùˆ نيازهاي سازمان، طراØÙŠ امني براي شبکه سازمان ارائه Ùˆ آن را اجرا کند. لازم به ذکر است Ú©Ù‡ پيش از طراØÙŠ امن ØŒ پيمانکار بايد ارزيابي امنيتي موردي انجام دهد. در تهيه ساختار امن شبکه Ùˆ پياده سازي آن بايد موارد بيان شده در اين Ùصل Ù„Øاظ گردد. پس از طراØÙŠ امن، پيمانکار موظ٠است RFP براي خريد تجهيزات سخت اÙزاري تهيه نمايد Ùˆ پس از خريد توسط کارÙرما آن تجهيزات را تست کند Ùˆ تØويل بگيرد.
طراØÙŠ امن شبکه
در Ø·Ø±Ø Ø´Ø¨Ú©Ù‡ موارد زير بايد Ù„Øاظ گردد:
1. در صورت وجود سرورهايي Ú©Ù‡ به خارج از سازمان سرويس مي دهند بايد ناØيه DMZ ايجاد شود.
2. در صورت نياز بايد سرور يا شبکه VPN ايجاد شود.
3. سرور هاي داخلي يا خارجي بايد از هم مجزا باشند.
4. بين شبکه اينترنت Ùˆ شبکه DMZ بايد از ÙŠÚ© مسيرياب يا Ùايروال استÙاده کرد.
5. بين شبکه DMZ(Ùˆ در صورت عدم وجود اينترنت) Ùˆ شبکه داخلي سازمان بايد از Ùايروال استÙاده کرد.
6. در صورتي Ú©Ù‡ نياز سازمان به چند ناØيه مجزا باشد اين نواØÙŠ بايد ايجاد Ùˆ بين آن ها مسيرياب يا Ùايروال قرار گيرد.
7. نواØÙŠ مختل٠شبکه داخلي، DMZ Ùˆ ورود شبکه اينترنت به سازمان بايد در لايه Ùيزيکي از هم مجزا شوند (يا به صورت Ùيزيکي Ùˆ يا VLAN)
8. در صورت وجود ارتباط بي سيم بايد در ناØيه جدا قرار گرÙته Ùˆ از مسيرياب Ùˆ VPN استÙاده شود.
9. ساختار IP Ùˆ Subnet Mask Ùˆ IP Routing طراØÙŠ Ùˆ اجرا شود.
امنيت VPN
تکنولوژي VPN اين امکان را Ùراهم مي آورد تا بتوانيم از شبکه هاي عمومي مانند اينترنت به صورت امن به جاي شبکه هاي خصوصي استÙاده کنيم. در موارد زير استÙاده از VPN ضروري است:
1. لازم باشد مدير يا کارمندي از راه دور مثلاً منزل يا Ù…ØÙ„ مساÙرت به منابع شبکه داخلي سازمان دسترسي داشته باشد
2. سازمان داراي نماينده يا نمايندگاني در مکان هاي دور از سازمان يا شهرها و کشور هاي ديگر باشد
3. پشتيباني توسط کارشناسان يا مديران شبکه خارج سازمان
4. وجود ارتباط بي سيم
در صورت نياز به استÙاده از VPN مي توان از سرويس دهنده ISA استÙاده نمود Ú©Ù‡ رعايت موارد زير در اين مورد الزامي است:
1. تنظيم پيچيدگي انتخاب کلمات عبور
2. استÙاده از پروتکل هاي MS-CHAP v2 Ùˆ EAP به جاي پروتکل هاي PAPØŒ SPAP Ùˆ CHAP
3. غير Ùعال کردن پروتکل هاي PAPØŒ SPAP Ùˆ CHAP
4. استÙاده از پروتکل L2TP به جاي IP در ارتباطاتي Ú©Ù‡ از IPSec استÙاده مي کنند
5. انتقال کليه کاربران داراي Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÙŠ از راه دور به ÙŠÚ© گروه کاربري جهت مديريت متمرکز
6. تعيين Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÙŠ هاي مورد نياز کاربر يا گروه هاي کاربران به Ùايل ها، برنامه ها Ùˆ منابع شبکه داخلي با توجه به نياز آن ها
7. Ùعال سازي Ùˆ تنظيم دقيق Event Log جهت کنترل دقيق ارتباطات VPN
Ùايروال
در صورت نياز به Ùايروال مي توان از Ùايروال هاي سخت اÙزاري يا نرم اÙزاري متناسب همانند ISA يا لينوکس استÙاده کرد. در صورت استÙاده از سرويس دهنده ISA جهت مديريت امنيت شبکه سازمان، رعايت موارد زير کاملاً ضروري است:
تنظيمات لازم مربوط به سيستم عامل
1. عدم نصب ISA Server روي Domain Controller
2. عدم نصب سرويس يا برنامه هاي کاربردي روي سيستم سرويس دهنده ISA
3. اÙزايش ميزان دشواري کلمات عبور کاربران سيستم سرويس دهنده ISA
4. Øذ٠کليه سرويس هايي Ú©Ù‡ مورد استÙاده سيستم عامل Ùˆ ISA قرار نمي گيرند
5. به روز رساني و نصب بسته هاي امنيتي سيستم عامل و ISA به طور مرتب
6. غيرÙعال کردن سرويس File and Printer Sharing روي کارت شبکه خارجي[3]
7. غير Ùعال کردن سرويس Client for Microsoft Networks روي کارت شبکه خارجي
8. غير Ùعال کردن NetBIOS مربوط به TCP/IP روي کارت شبکه خارجي
تنظيمات لازم مربوط به ISA Server
1. Ùعال کردن Packet Filtering
2. Ùعال کردن Fragment Filtering
3. Ùعال کردن Filtering of IP options
4. Ùعال کردن Intrusion Detection
5. Øذ٠کليه دسترسي ها از قسمت Site and Content Rule يا تنظيم دسترسي هاي اين قسمت براي کاربر يا گروهي از کاربران
6. Øذ٠کليه Web Proxy listener ها در صورت عدم نياز به استÙاده از Web Publishing Rules
7. ايجاد Protocol Rule هاي لازم جهت دسترسي هاي برون سازماني
8. Ù…Øدود سازي دسترسي کاربران به پروتکل ها Ùˆ تنظيم امکان دسترسي اÙرادي Ú©Ù‡ به آن ها نياز دارند
9. تنظيم ارسال هشدارهاي امنيتي ISA Server به E-Mail مدير شبکه
10. بازبيني مرتب و منظم Event Log ها
11. ذخيره دقيق Ùˆ منظم Log ها روي ÙŠÚ© ØاÙظه جداگانه Ùˆ کپي برداري روزانه از آن ها
12. Ùعال کردن Ùيلترهاي DNS ØŒ POP Ùˆ SNMP
13. غير Ùعال کردن Ùيلتر SOCKS
14. Ùقط قراردادن آدرس هاي شبکه داخلي در LAT
15. Ùقط قرار دادن دامنه هاي[4] شبکه داخلي در LDT
16. استÙاده از سياست هاي[5] RRAS در کنترل دسترسي ها Ùˆ مديريت VPN
17. استÙاده از کلمات عبور پيچيده، به خصوص اگر از PPTP استÙاده مي شود
18. اقدام به استÙاده از L2TP/IPSec در اولين زمان ممکن
مستندسازي و تدوين دستورالعمل ها و روال هاي امنيتي
مهم تر از ايجاد امنيت در شبکه سازمان ØÙظ Ùˆ تداوم امنيت مي باشد، به همين منظور معمولا تشکيلاتي در سازمان براي اين هد٠تشکيل مي گردد. اما در سازمان هايي با اين ابعاد مستندسازي Ùˆ تهيه Ùˆ اجراي دستور العمل ها Ùˆ روال هايي براي امنيت Ú©Ùايت مي کند.
پيمانکار موظ٠است مستندات زير را در صورت عدم وجود تهيه و در صورت وجود به روز رساني و سازگار کند:
1. نقشه شبکه سازمان
2. مستندات مربوط به Ù…ØÙ„ قرار گيري سخت اÙزار ها Ùˆ شماره هاي آن ها (اموال سازمان)
3. مستندات مربوط به کابل کشي ها Ùˆ Ù…ØÙ„ قرار گيري سرورها، سوئيچ ها Ùˆ روترها
پس از مستندسازي شبکه سازمان بايد دستورالعمل هايي وجود داشته باشد که با پيروي از آن ها اين امنيت ايجاد شده پايدار بماند.
اين دستورالعمل ها توسط پيمانکار تهيه Ùˆ بعدا توسط پرسنل کارÙرما اجرا خواهند شد. هر کدام از آن ها Øداقل يکبار توسط پيمانکار نيز بايد اجرا شوند. Øداقل دستورالعمل هاي مورد نياز در زير آمده اند.
روال پشتيبان گيري
در تعيين روندها Ùˆ دستورالعمل هاي پشتيبان گيري از اطلاعات سيستم هاي ÙŠÚ© سازمان لازم است تا آيين نامه اي مدون طراØÙŠ شود. در اين آيين نامه Øداقل به Ù†Øوه، ابزار، نوع، زمان Ùˆ Ù…ØÙ„ ذخيره پشتيبان گيري بايد پرداخته شود.
در زير به ذکر مواردي پرداخته ايم Ú©Ù‡ بايد در تهيه آيين نامه روندهاي پشتيبان گيري ÙŠÚ© سازمان Øتماً مورد توجه قرار بگيرد. اين پشتيبان ها از اطلاعات سرورها Ùˆ اطلاعات رايانه هاي کاربران بايد باشد.
انتخاب زمان تهيه نسخه پشتيبان
.روزانه
.Ù‡Ùتگي
.ماهانه
.سالانه
انتخاب يکي از انواع نسخه پشتيبان
.Full
.Incremental
.Deferential
.Copy
انتخاب Ù…ØÙ„ ذخيره Ùˆ نگهداري نسخه پشتيبان
1. ØاÙظه خارجي[6]
2. Floppy ، CD يا DVD
3. سرور يا يک سيستم جداگانه براي اين منظور
4. Ù…ØÙ„ ذخيره On-Line
وصيه مي شود Øتما Øداقل ÙŠÚ© مدل پشتيبان گيري برروي ØاÙظه خارجي، CD Ùˆ ... در نظر گرÙته شود Ú©Ù‡ ماهانه يا Ù‡Ùتگي باشد Ùˆ اين اطلاعات پشتيبان در Ù…Øلي امن غير از اتاق سرور نگهداري شود.
دستورالعمل هاي نگهداري شبکه
در اين ابعاد سازماني ØÙظ پايداري شبکه (Availability) Ùˆ مديريت استÙاده از آن بزرگترين دستا وردي است Ú©Ù‡ از امنيت توقع مي رود. به همين منظور تهيه Ùˆ اجراي آيين نامه ها Ùˆ روال هاي نگهداري شبکه Ú©Ù‡ در اين راستا مي باشد ضروري است:
دستورالعمل نگهداري سيستم عامل ها
روال نامگذاري سيستم ها
روال نگهداري و به روز رساني آنتي ويروس ها
Ùرآيندها Ùˆ Ùرم هاي بازبيني هاي دوره اي سيستم ها
روال انتقال تا بازگشت سيستم ها جهت تعمير
روال نگهداري و به روز رساني مستندات شبکه
روال بررسي دوره اي logها
آيين نامه انتخاب و تغيير کلمات عبور کاربران
آيين نامه روند تهيه نسخه پشتيبان
آيين نامه روند جابجايي، تعويض يا خريد قطعات
آيين نامه Ø³Ø·ÙˆØ Ø¯Ø³ØªØ±Ø³ÙŠ هر ÙŠÚ© از کاربران به منابع ديگر سيستم ها Ùˆ منابع شبکه سازمان
روال نگهداري Ùˆ به روز رساني مستندات شبکه مانند گرÙتن backup از سيستم عامل ٠همه تجهيزات مانند سوئيچ Ùˆ روتر Ùˆ سرور براي به Øداقل رساندن زمان در دسترس نبودن سيستم Ùˆ روال نگهداري از نسخه هاي پشتيبان در سازمان
نظارت امنيتي
کنترل Ùˆ نظارت امنيتي بر شبکه از موارد بسيار با اهميت در امر نگهداري امنيت شبکه هاي کامپيوتري مي باشد. پيمانکار موظ٠است Ú©Ù‡ ابزار لازم جهت استÙاده ÙŠ مدير شبکه سازمان جهت اسکن Ùˆ کنترل شبکه را به منظور هاي زير Ùراهم آورد:
کنترل شبکه از Ù„Øاظ عدم اتصال سيستم هاي غير مجاز به شبکه سازمان
شناسايي سرويس هاي تهديد آميز
تعيين ميزان انØرا٠از سرويس هاي مجاز تعري٠شده براساس سياست هاي امنيتي سازمان
بررسي Ùˆ تØليل logها
بهتر است تعداد ابزارها تا Øد امکان Ú©Ù… Ùˆ يا از طريق واسط متمرکز اداره شوند.
تست Ù†Ùوذ
اجراي تست Ù†Ùوذ از مهمترين روش ها براي اطمينان از وجود ÙŠÚ© امنيت نسبي است. در سازمان هاي متوسط لازم است تا به صورت دوره اي تست Ù†Ùوذ جهت اطمينان از وجود امنيت اجرا شود Ùˆ پيمانکار موظ٠است Ú©Ù‡ در انتهاي پروژه ÙŠÚ© بار تست Ù†Ùوذ را انجام دهد Ùˆ سپس Øدود سه ماه پس از پايان پروژه نيز يکبار ديگر تست Ù†Ùوذ انجام شود. پيمانکار بايد ضمن ارائه ÙŠ گزارش اين تست به کارÙرما ØŒ آسيب هاي قابل رÙع شناسايي شده را رÙع کند. Øداقل موارد زير در اين تست بايد مورد نظر قرار گيرند:
1. سوراخ هاي امنيتي هسته سيستم عامل[7] براي تمام ايستگاه ها به خصوص سرورها و تجهيزات شبکه
2. سر ريزي باÙر[8] براي سرور ها به خصوص وب
3. دسترسي هاي Ùايل Ùˆ [Directory[9
4. تروجان ها[10]
5. گذر واژه هاي ضعيÙ
آموزش Ùˆ Ùرهنگ سازي
همان طور Ú©Ù‡ قبلا هم ØªØµØ±ÙŠØ Ø´Ø¯ ØÙظ امنيت از خود آن مهم تر Ùˆ مشکل تر است؛ Ùˆ ØÙظ تداوم امنيت به عهده پرسنل سازمان است. پس اين امر Ù…Øقق نمي شود مگر با آموزش Ùˆ Ùرهنگ سازي. آموزش کارکنان Ùˆ مديران شبکه هر سازماني الزامي است. اين آموزش بايد در دو Ø³Ø·Ø Ø¹Ù…ÙˆÙ…ÙŠ (کاربران) Ùˆ مدير شبکه (راهبران) اجرا شود. مطالب مورد نظر براي کاربران بايد به دو صورت تئوري 4 ساعت Ùˆ عملي 4 ساعت ارائه شود. براي مدير شبکه يا جانشين وي نيز در دو مرØله تئوري 20 ساعت Ùˆ عملي 10 ساعت آموزش هايي در نظر گرÙته مي شود Ú©Ù‡ در ادامه به Ù…Øتواي اين دوره ها مي پردازيم.
آموزش مديران شبکه (راهبران)
1. Ù…Ùاهيم امنيت
2. چرخه ي امن کردن سيستم
3. انواع Øملات Ùˆ تهديدهاي شبکه
4. روش هاي مقابله با Øملات Ùˆ تهديدات
5. ارزيابي امنيت شبکه و مديريت امنيت شبکه
6. پيکربندي امن تجهيزات شبکه (سوييچ ØŒ روتر ØŒ Ùايروال)ØŒ سيستم عامل ها، نرم اÙزارها
7. نصب نرم اÙزارهاي امنيتي
8. نصب وصله هاي امنيتي
9. ثبت وقايع Ùˆ استÙاده Ùˆ مديريت از Event Log (رويدادنگاري)
10. مواجهه با Øوادث
11. تسلط به روال ها و دستورالعمل هاي تدوين شده براي امنيت شبکه
11-1 اهميت و مديريت کلمات عبور خود و ديگر کاربران
11-2 مديريت و نگهداري سرويس هايي مانند patchهاي امنيتي و آنتي ويروس ها
11-3 اهميت Ùˆ مديريت Ø³Ø·ÙˆØ Ø¯Ø³ØªØ±Ø³ÙŠ کاربران به ديگر سيستم ها Ùˆ منابع شبکه
11-4 اهميت Ùˆ Ù†Øوه پشتيبان گيري
11-5 آشنايي و مديريت دسترسي به اينترنت و به اشتراک گذاري آن
11-6 آشنايي Ùˆ تسلط به روال هاي ارائه شده جهت اجرا مانند Ù†Øوه بازگرداني backup هاي سيستم عامل هاي تجهيزات
آموزش کاربران
1. Ù…Ùاهيم امنيت
2. چرخه ي امن کردن سيستم
3. نکات خاص مانند پشتيبان گيري
4. نکات Ùني استÙاده از امکانات اعم از نرم اÙزارها، سخت اÙزارها Ùˆ سيستم عامل
5. آشنايي با پيکربندي سيستم عامل
6. استÙاده از ابزارهاي امنيتي مانند آنتي ويروس
7. انتخاب گذرواژه
8. مواجهه با Øوادث
9. اجرا، به روز رساني و درک پيام هاي آنتي ويروس
10. توانايي تشخيص موارد بØراني Ùˆ Ù†Øوه برخورد اوليه با آن
11. درک اوليه Øداقل امنيت ايستگاه هاي کاري Ùˆ توانايي بررسي آن در موارد ساده (مثل Ùعال بودن Ùايروال رايانه شخصي)
12. آشنايي با مشکلات امنيتي IE Ùˆ MS Outlook Ùˆ Ù†Øوه به اشتراک گذاري اطلاعات
13. درک لزوم تهيه نسخه پشتيبان
14. خطرات ناشي از برنامه هاي دانلود شده از سايت هاي نامعتبر
[1] Domain Controller
[2] Domain Name System
[3] External interface
[4] Domain
[5] RRAS Policy
[6] External Hard
[7] Kernel Flaws
[8] Buffer Overflows
[9] File and Directory Permissions
[10] Trojans
Comment