امن سازی زیرساخت شبکه بخش اول

امن سازی زیرساخت شبکه بخش اول

ارسال شده در تاریخ : ۲۳ شهریور, ۱۳۹۵

امن سازی پایه زیر ساخت شبکه

برای دستیابی به امنیت شبکه کارا و مؤثر باید روش دفاع در عمق به صورت یکپارچه پیادهسازی شود. اولین لایه از روش دفاع در عمق، رعایت اصول و مبانی پایه امنیت شبکه میباشد. شد مبانی پایه امنیت شبکه، یک خط مشی امنیتی است که ستون اصلی امنیت محسوب شده و سایر تمهیدات امنیتی بر روی آن سوار میشوند. از
اینرو تهیه مبانی پایه امنیت شبکه از اهمیت بالایی برخوردار بوده و بسیار چالش برانگیز است. بخش اعظم این مبانی مربوط به امنیت زیرساخت شبکه است. در این سلسله از گزارشها سعی شده است تا به گوشهای از نیازمندیهای پایه امنیت زیرساخت شبکه اشاره شود و چگونگی پیاده سازی آنها توسط تجهیزات سیسکو
ارائه گردد.

مروری بر امن سازی زیرساخت شبکه

نیازمندیهای پایه امنیت شبکه شامل موارد مهم و اساسی امنیتی میباشند که در ایجاد و توسعه یک ساختار امنیتی قوی مورد استفاده قرار میگیرند. تمرکز اصلی بر روی امن سازی زیرساخت خود شبکه می باشد، همچنانکه امن سازی سرویسهای شبکه و موارد زیر نیز به عنوان محدوده های مهم در بحث امنیت شبکه باید مورد توجه قرار گیرند:

دسترسی به تجهیزات زیرساخت
زیرساخت مسیریابی
انعطافپذیری و استحکام نرمافزاری تجهیزات
دسترسی از راه دور به شبکه
اجرای سیاستهای شبکه
زیرساخت سویچینگ
به جز موارد پایه امنیتی که در بالا بدان اشاره شد، معمولاً ویژگیها و تکنولوژیهای امنیتی اضافه بر آنها مورد توجه قرار نمیگیرند. برای مثال، اگر یک حساب کاربری با گذرواژه و رمز عبور پیشفرض بر روی یک دستگاه زیرساخت فعال باشد، نیازی به برنامهریزی و انجام یک حمله پیچیده برای نفوذ به دستگاه نمیباشد، بلکه حمله کننده میتواند به راحتی با اطلاعات پیشفرض که تغییر پیدا نکردهاند به دستگاه وارد شده و برنامههای مخرب خود را پیش ببرد. یک راهکار قابل قبول و مطمئن، استفاده از چارچوب امنیتی سیسکو (CSF) است. این چارچوب روشهای مختلف تشخیص و اعتبارسنجی نیازمندیهای امنیتی یک سیستم را فراهم میکند. معمولاً از CSFدر ایجاد مباحث پایه امنیت برای حصول اطمینان از به کارگیری نیازهای امنیتی مربوط به بخشهای مختلف شبکه استفاده میشود. تمام تنظیمات نمونه که در این سلسله از گزارشها ذکر شدهاند، بر اساس پلتفرم IOS سیسکو و ویژگیهای آن آورده شده است. البته رئوس کلی مطالب در هر بخش قابل تعمیم به دیگر پلتفرمها نیز هستند.

ارزیابی مقدماتی طراحی شبکه

نیازمندی های پایه خدمات شبکه شامل برخی تکنیکهای مرتبط با فیلترکردن ترافیکهای مبتنی بر آدرس IP است. برای انجام این کار از ACL استفاده میشود تا بتوان سیاستهای امنیتی برای دستگاههای مدیریت دسترسی، قابلیت کنترل توزیع مسیر و uRPF را اجرا کرد. تکنیک های پیشرفته تر امنیتی که میتوانند به عنوان لایه های افزوده امنیتی اضافه گردند )مانند فایروال( نیز با مکانیزم مشابه فیلترکردن ترافیک بر اساس آدرس IPعمل میکنند.

یک طرح توزیع آدرس IPکه منطقی، خلاصه، یا تفکیک شده و مجزا باشد (همانطور که در RFC1918 توضیح داده شده است)، میتواند پیادهسازی تکنیک فیلترکردن ترافیک مبتنی بر آدرس IPرا سادهتر و در مرحله آماده سازی به منظور توسعه مبانی پایه امنیت، توصیه میشود که یک ارزیابی مقدماتی از راه اندازی شبکه با هدف تسهیل در پیادهسازی آن انجام گیرد.

نکته کلیدی در این ارزیابی، بررسی کامل طرح تخصیص آدرس IPبا تکیه بر دو مورد زیر است:

آیا طرح تخصیص آدرس IPبه خوبی انجام شده است و آیا خلاصه سازی یا تفکیک این آدرسها به سادگی قابل انجام است؟
آیا RFC1918در مورد تخصیص آدرس IPبه طور مناسب پیاده شده است؟
ممکن است ارزیابی طرح تخصیص آدرس IPمنجر به تغییر محدودههایی از ایـن طـرح قبـل از پیـاده سـازی مبانی امنیت شود. توجه به این موضوع اگرچه تغییراتی در شبکه بهوجود می آورد ولی بـه طـور کلـی موجـب کنترل پذیری و قابلیت اجرای بهتر سیاستهای امنیتی میشود.

مروری بر چارچوب امنیتی سیسکو

چارچوب امنیتی سیسکو یک فرایند عملیاتی امنیتی است که با هدف اطمینان از عملکرد شبکه و سـرویسهـا، در دسترس بودن و تداوم کسب و کار سیستم استفاده میشود. تهدیدات امنیتی همیشـه در حـال رشـد مـی باشند، CSF نیز به منظور تشخیص تهدیدات جـاری و همچنـین دنبـال کـردن تهدیـدات جدیـد و در حـال گسترش، با استفاده از راهحلهای جامع و عملی استفاده میشود.
CSF بر اساس دو هدف بنا شده است، با این فرض که تا زمانی که بر روی چیزی نظارت نباشـد و نتـوان آن را دید یا اندازه گرفت، نمیتوان آن را کنترل کرد:

تحصیل نظارت کامل
تشخیص، پایش و همبستهسازی رخدادهای سیستم
حصول اطمینان از کنترل کامل
در زیرساختهای بزرگ و پیچیده شبکه، ابتدا سیستمها و سـرویسهـا را ایزولـه کـرده و پـس از انجـام آن سیاستهای امنیتی را به منظور رسیدن به نظارت و کنترل کامل اجرا میکننـد. تکنولـوژیهـا و قابلیـتهـای گوناگونی در طول شبکه برای نظارت کامل بر فعالیتهای شبکه، اجرای سیاستهای امنیتی و تعیین ترافیـک همانگونه که در شکل مشاهده میشود، CSFبر روی شش مرحله کلیدی تمرکز میکند

شناسایی
پایش
همبسته سازی
استحکام بخشیدن
جداسازی
اجرا


به کارگیری CSF برای پشتیبانی شبکه نتایجی همچون شناخت تکنولوژیها و بهترین روش بـرای بـرآوردن هریـک از این شش راه حل عملیاتی را در بر خواهد داشت. با این حال CSF یک فرایند در حال توسـعه، پویـا و سـاختار در حال بهبود محسوب میگردد که با تغییرات سیاستهـای امنیتـی و نیازمنـدیهـای تجـاری سـازمان بـه روزرسانی می شود.

در شکل چرخهی ارزیابی برای CSFنشان داده شده است:

 

امنیت شبکه

 

چرخه با ارزیابی اولیه آغاز میشود که هدف آن مشخص کردن ظرفیت و وضعیت فعلی امنیت مـیباشـد. در ادامه در فاز تحلیل، نقاط ضعف و قوت معماری کنونی آشکار میگردد. مباحث پایه امنیت به عنوان یک مدل مرجع در طول ارزیابی اولیه و فاز تحلیل مورد استفاده قـرار مـیگیـرد. این مدل حداقل نیازمندیهای لازم برای کنترل و مدیریت پشتیبانی را فراهم میکنـد. نقـاط ضـعف و قـوت شبکههای واقعی با مقایسه با این مدل مرجع میتواند مشخص شود. پس از ارزیابی اولیه و اجرای فاز تحلیل، چرخه با برنامه بازسازی با هدف تامین نیازمندیهای آینده به وسـیله بهروزرسانی معماری کل شبکه ادامه پیدا میکند.

در ادامه، مرحله تعیین توالی طرحها برای ایجاد نقشه پیاده سازی برای مؤلفه های گوناگون برای معماری مورد نظر فراهم میگردد. سپس فازهای مختلف اجرا میشوند و نتایج بهدست آمده مجدداً مورد ارزیابی قرار میگیرند. مستند امنیت پایه شبکه، بر مبنای چارچوب CSF توسعه یافته و ارائه شده است. بر این اساس در هـر بخـش مشخصات امنیتی پیشنهادی و نیز بهترین راهکار اجرایی برای پیادهسازی آن ارائه میگردد.

تماس با ما

هر سوالی داشتید با ما در میان بگذارید