راه کارهای امنیتی در لایه شبکه
سطح سوم: امنیت در لایه شبکه
در واقع در بین تمام بخش هایی که مربوط به کنترل و حفاظت از اطلاعات حساس یک سازمان می شود، این بخش نقش بسیار مهمی را ایفا می کند. لایه شبکه ، لایه ای بسیار حساس و خطرناک به لحاظ امنیت اطلاعات بوده که ضرورت کنترل آن بر هیچ کسی پوشیده نیست. لذا در طراحی های صورت گرفته باید نقش این لایه پررنگ تر و کاربردی تر در نظر گرفته شود و در اولویت های اجرایی و تخصیص بودجه ، باید لایه شبکه را در اولویت اول قرار داد.
بنابراین در اين بخش به امنيت شبکه و تجهیزات آن از جمله سوييچ ها، روترها، فايروال، نحوه پشتیبان گیری و… مي پردازيم.
1- استفاده از سوئيچها با ساختار سلسله مراتبي(Hierarchy) :
در زمان طراحی شبکه، مناسب است جهت کنترل هر چه بیشتر بر روی تجهیزات موجود در شبکه، معماری سوییچ های شبکه به صورت لایه ای بوده و در هر لایه سوییچ خاص آن لایه در نظر گرفته شود. به عنوان مثال با توجه به ساختار كلي شبكه در بالاترین لایه از سوئيچ لايه 3 Layer )Core ( استفاده گردد و در لايه 2 (Distribution Layer )از سوئيچ هایی که خاص لایه دو طراحی شده اند استفاده گردد ( مثل Cisco 2960 ) كه طرز كار اين سوئيچها در اين ساختار، جهت ايجادامنيت و مديريت شبكه امكانات بيشتري در اختيار ميگذارد.
2- عدم به كارگيري VTP Domain
توصيه مي شود كه در صورت امکان تنظيمات vlan ها را بر روي سوئيچ ها به صورت دستي انجام داده و از اين پروتكل استفاده نكرد. لذا مي بايست VTP روي سوئيچ ها غير فعال شود.
در صورتي كه بخواهيم از اين پروتكل استفاده نماييم و به منظور سهولت كار در تنظيم سوئيچ ها، نامي براي VTP Domain در نظر مي گيريم.
در اين روش تمامی سوئیچها عضو این Domain میباشند. سوئيچ core در ModeServer و بقیه سوئیچها در Client Mode کار میکنند.
ضمناً VTP Password نيز جهت جلوگيري از حملات از نوع سوئيچينگ بايد در نظر گرفته شود.
3- استفاده از(Vlan ( Virtual Local Area Network
به منظور كنترل دسترسي در يك شبكه به صورت مجازي از اين روش استفاده مي شود و مي توان قسمت هاي مختلف در شبكه سازمان را به منظور دسترسي داشتن به يكديگر در يك vlan قرار داد تا بتوانند با يكديگر تبادل اطلاعات داشته و از طرفي بخش هايي كه در اين vlan قرار ندارند، مجاز به دسترسي به آن نيستند.
1) معمولا براي اعمل محدوديت هاي بيشتر بهتر است سرور ها در يك vlan مجزا و سوئيچ ها نيز در يك vlan مجزا قرار گيرند و با ACL ها دسترسي بين vlanها را برقرار نمود.
2) در صورت امكان client هايي كه مي خواهند به اينترنت متصل شوند در يك vlan قرار گيرند.
4- اعمال محدوديت توسط پورتهايTrunk و Access :
: Trunk Port
تمامی ارتباطات بین سوئیچها بصورت پورت Trunk در نظر گرفته شده است.
: Access Port
در ساختار شبکه هر کامپیوتر متصل به شبکه به عنوان Access Port در نظر گرفته شده و فقط عضو یک VLAN میباشد و امكان دسترسي به ساير VLANها را ندارد.
5- اعمال (Access Control List (ACL
مي بايست به منظور كنترل دسترسي در شبكه و اتصال به سوئيچ ها از Access Control List ها استفاده نمود.
به شکلی که در سطح شبکه تعریف می شود که گروه های مختلف کاربران می توانند به کدام یک از بخش های شبکه متصل شده و از آن استفاده نمایند.
6- کنترل پورتهای پیکربندی سوئیچ
ConsolePort
مي بايست تمامی پورتهای کنسول سوئیچها، توسط یک Password محافظت شود که در اختیار مسئول شبکه است. در ابتدا بايستي passwordهاي پيش فرض حتما تغيير نمايد.
Telnet
جهت جلوگیری از پیکربندی از این روش توسط افراد دیگر، دو لایه امنیتی لحاظ گردیده که اولی همان Access Control List اشاره شده در بالا که فقط از رنج IP هایی که در اختیار مسئول شبکه است میتوان به سوئیچها وصل شد و دومی محافظت از این روش توسط یک Password رمز شده میباشد. بدين منظور بايد service password-encryption را راه اندازي نمود.
7- اعمال سرویس Port Security
اين سرويس امنيتي موجب مي شود كه يك يا چند mac آدرس مشخص به يك پورت سوئيچ دسترسي يابد.
اين كار به صورت اتوماتيك يا دستي صورت مي گيرد. با فعال سازي اين سرويس براي اولين بار mac آدرس رايانه مورد نظر به پورت سوئيچ assign شده و به غیر از این سیستم، هیچ دستگاه دیگری قابلیت این را نخواهد داشت که به شبکه متصل گردد.
در شبکه مي بايست سرویس فوق بر روی تمامی پورتهای شبکه فعال باشد. همچنین جهت افزایش ضریب امنیت شبکه پورتهای آزاد (پورتهایی که به شبکه متصل نیستند) غیر فعال گشته و تمامی این پورتها به یکVLAN نامعتبرAssign شود.
در صورت اتصال رایانه نامعتبر به شبکه، آن پورت غیر فعال گشته و یک Log به نرم افزار مانیتورینگ شبکه(CNA) ارسال مینماید.
مدیر شبکه با بررسی Log ها از این اقدام مطلع میشود.
در این زمینه بایستی کاربران از جابجایی رايانه هاي خود حتی المقدور جلوگیری نموده و مدیران نیز این مسئله را در طرحها و جابجاییها در نظر گرفته و این کار با هماهنگی مسئول شبكه صورت پذیرد.
8- فعال سازی محافظ Bpdu و root
bpdu پكتي است كه بين سوئيچ ها در لايه 2 رد و بدل مي شود و از طريق آن پروتكل STP(spanning-tree protocol) اجرامي شود در نتيحه سوئيچ root مشخص شده و بعد از مشخص شدن پورت هاي root، designated و non designated مسيرهايي كه بايد block يا forward شوند مشخص مي شود و در نتيجه از رخ دادن loop در شبكه جلوگيري مي شود.
در واقع با انجام این کار مانع از Down شدن شبکه و عدم دسترسی کاربران مختلف به سرویس های مورد نیاز می شویم.
- STP Portfast Bridge Protocol Data Unit (BPDU) Guard
از طريق اعمال این مکانیزم، اينترفيس هايي كه انتظار نداريم پكت bpdu از آنها دريافت كنيم را block مي كنيم و در نتيجه امنيت بيشتري براي شبكه ايجاد مي كنيم و جلوي اتصال سوئيچ هاي غير مجاز به شبكه را روي پورت هاي مختلف مي گيريم. (spanning-tree bpduguard enable)
- STP Root Guard
از طريق این مکانیزم، آن دسته از اينترفيس هايي كه نيازي نيست از آنها اعلام root بودن انجام شود block مي شوند و از اين طريق جلوي حملات STP و اختلال در شبكه گرفته مي شود. (spanning-tree guard root)
9- غير فعال نمودن پروتكل (cisco discovery protocol(cdp
این پروتکل فقط مختص و قابل شناسایی توسط دستگاهای سیسکو بوده ووظیفه آن در اختیار گذاشتن اطلاعات دستگاه هایی می باشد که به صورت مستقیمبه دستگاه ما متصل شده اند. پیام های ایجاد شده توسط cdp در یک دستگاه فقطتوسط دستگاه های مجاور آن دریافت شده و به دستگاه های بعدی عبور دادهنخواهند شد.
پیام های cdp اطلاعاتی نظیر نام دستگاه،نسخه سیستم عامل دستگاه، نوع دستگاه (روتر یا سوئیچ و …)، مدل دستگاه،آدرس ip دستگاه و نام VTP Domain و… را منتقل می کنند که این پیام ها هر 60 ثانیه یکبارروی تمامی interface های فعال دستگاه های سیسکو تولید می گردند.
در صورتی که از تجهیزات سیسکو در شبکه استفاده می نماییم، برای بالا بردن امنیت درشبکه ،cdp را روی interface های دستگاه هایی که بصورت مستقیم به کامپیوترهامتصل هستند غیر فعال نماییم.
10- راه اندازي syslog سرور
در یک شبكه امن حتما باید syslog سرور راه اندازي نمود تا بتوانیم در صورت بروز هرگونه مشکل اطلاعات کافی جهت حل آن مشکل را به دست آورده و نسبت به رفع مشکل اقدامات لازم را صورت دهیم. زمانی که از یکSyslog Server استفاده می کنیم , دستگاههایی نظیر روتر , سوییچ و حتی سرورهای لینوکسی و ویندوزی بعنوان کلاینت برای syslog سرورمطرح می شوند بدین معنا که از طریق این مکانیزم می توان تمام دستگاه های موجود در شبکه را کنترل و ارزیابی نمود.
Syslog Server یک نوع مخزن مرکزی برای لاگ برداری است که جهت متمرکزکردن مانیتورینگ دستگاه ها و سرورها استفاده می شود. وقتی که یک syslog سرور راه اندازی می کنید , دستگاه ها لاگ های خود را تحت شبکه به جای آنکهدر فایل محلی ذخیره کنند یا بر روی صفحه نمایشگر به نمایش در آورند برای syslog سرور می فرستند.
11- استفاده از مكانيزم AAA )Authentication, Authorization and Accounting)
این مکانیزم روشی برای کنترل هرچه بیشتر کابران تحت شبکه در زمان اتصال به شبکه و نیز کنترل نحوه اتصال آنان می باشد.
در اين روش از مكانيزم هايي كه هر يك از پروتكل هاي RADIUS, TACACS+ و Kerberosرا پشتيباني نمايد استفاده مي كنيم.
بدين منظور از سرورهاي امنيتي كه اين پروتكل ها را راه اندازي و پشتیبانی مي كند، استفاده كنيم.
در يكي از اين روش ها كه احراز هويت 802.1X Port-Based ناميده مي شود، با فعال سازي آن بر روي پورت هاي سوئيچ باعث مي شود كه پورت شبكه، زماني فعال گردد كه كاربر احراز هويت نمايد. در واقع در ابتدا تنها پكت هايي اجازه عبور دارند كه كاربر احراز هويت نموده تا پورت up گردد در غير اينصورت پورت فعال نمي شود. بدين منظور client بايد از نرم افزارهايي كه dot1x را بر روي سيستم عامل پشتيباني مي كند، استفاده نمايد.
12- استفاده از نرم افزار مانیتورینگ جامع شبکه و امنیت اطلاعات ZABBIX :
سیستم مانیتورینگ zabbix یکی از بهترین و کاملترین راه حل های مورد نیاز در زمینه Availability and Performance Monitoring می باشد.
علاوه بر این، Open Source بودن این سیستم باعث شده تا اطمینان کاربران به خصوص کاربرانی که دارای اطلاعات حساس در سازمان خود می باشند به این سیستم افزایش یابد.
این سیستم دارای ویژگیهای بسیار منحصر به فردی در حوزه مانیتورینگ و هشدار های کاربردی و متنوع در زمان وقوع یک رویداد و نیز قابلیتهای ویژه در UI میباشد که بسیاری از این ویژگیها در دیگر سیستمهای مانیتورینگی که بعضا به صورت Closed Source میباشند وجود ندارد.
در صفحه ویژگیهای ZABBIX میتوانید از ویژگیها و مشخصات منحصر به فرد ZABBIX اطلاع یابید.
13- استفاده از نرم افزارمانیتورینگ خاص دستگاه های سیسکو ( Cisco Network Assistant)
نرم افزار CNA مختص تجهيزات سيسكو بوده و قابليت مانيتورينگ سخت افزاري را دارا مي باشد. لازمه استفاده از اين نرم افزار پيكربندي اوليه سوئيچها و روترها ميباشد كه بايستي قبل از استفاده آن انجام گيرد.
از جمله ويژگيهاي امنيتي اين نرم افزار عبارتند از :
- محافظت ويژه از یک پورت (Protected Port)
- ارسال ترافیک یک پورت به پورت خاص جهت تدابیر امنیتی ( Spanning Service )
- راه اندازی QOS (Quality Of Service کیفیت سرویس دهی
- نمایش Port Security
- نمایش پهنای باند
- جلوگیری از حملات سیل آسا به شبکه (Flooding Control)
- نمایشFront Panel سوئیچ
- نمایش Switch Health
- نمایشSystem Massage
- نمایش مشخصات سوئیچها (Inventory)
- نمایش توپولوژی شبکه
- Update نمودن سیستم عامل سوئیچها
- Backup گیری از Config سوئیچها
- راه اندازی VOIP در شبکه
- وامکان انجام برخی ازConfig ها از طریق نرمافزار و دهها مزایای دیگر که به مدیر شبکه جهت مانیتورینگ سخت افزاری شبکه کمک فراوانی میکند.
14- بكارگيريFrotigate UTM
با استفاده از fortigate مي توان امنيت بسيار بالايي را براي شبكه ايجاد نمود.
مواردي كه مي بايست در اين UTMديده شود به شرح زير است:
1) اتصال به FortiGate در حالت web based از طريق https و در حالت CLI از طريقSSH
2) تغيير passwordهاي پيش فرض
3) FortiGate در حالت routing باشد.
4) تعريف zone هاي امنيتي مناسب به طوري كه شبكه داخلي به عنوان trust، اينترنت به عنوان untrust و سرورها به عنوان DMZ تعريف شوند. در اين نواحي اتصال host به hostديگر بلامانع است مگر اينكه بخواهيم دسترسي ها محدود كنيم لذا بايستي rule اي با دسترسي block تعريف نموده سپس rule هاي permit را تعريف نماييم.
5) تعريف rule هاي مناسب براي دسترسي ها با توجه به ساختار شبكه و vlan هاي تعريف شده در شبكه به صورت (permit يا drop)
6) ابتدا rule هاي اتصال به FortiGate از طريق شبكه داخلي يا خارجي سپس ruleهاي ارتباطات شبكه داخلي و خارجي و اتصال اين شبكه ها به اينترنت و در نهايت rule اي تعريف مي شود كه غير از آنچه تعريف شده را drop نمايد.
7) در هنگام تعريف rule بايستي حتما نوع سرويس اتصالي مانند http، pop3، TCP بين client و سرور يا client با client يا client با اينترنت را مشخص نماييم.
8) براي شبكه هاي خارجي كه مي خواهند ارتباط امني با سرورها داشته باشند مي بايست از سرويس vpn كه بر روي FortiGate ارائه مي شود استفاده نمود. در اين حالت مي توان vpn را روي FortiGate با يكي از سه پروتكل IPSec يا PPTP يا L2TP را فعال نموده و range IP اتصال به FortiGate را مشخص نماييم. سپس بر روي client از نرم افزار FortiClient يا نرم افزارهاي مشابه ويندوزي براي اتصال امن با FortiGate و سرورهاي شبكه استفاده مي نماييم.
9) تعريف سياست هاي زمانبندي براي دسترسي به منابع مانند سرورها، اينترنت و…
10)مديريت پهناي باند و محدود كردن آن با توجه به سياست هاي سازمان براي هر يك از vlanها يا IP هاي از پيش تعريف شده.
11)استفاده از web Filtering در FortiGate
12)استفاده از IPS براي جلوگيري از حملات در دو حالت signature base و anomaly detection و بروز رساني آن.
13)فعال سازي مكانيزم logging در FortiGate و استفاده از سرور syslog براي نگهداري و گزارش گيري از logها
15- راه اندازي سرورauthentication و accounting براي كاربران اينترنت و نگهداري log كابران
مي توان براي اين منظور از سامانه هاي مشخص accounting استفاده نمود و log كاربران را نيز در همان سرور syslog قرار داد.
16- استفاده از WEP يا VPNدر ارتباطات بي سيم
از آنجايي كه ممکن است برخي از پروژه هاي در دست اقدام و همچنين قسمت هاي وابسته به سازمان در خارج از محل آن قرار داشته باشد و ارتباط بين اين مراكز به صورت بي سيم پیاده سازی شده باشد، لذا راه اندازي پروتكل رمز يا استفاده از رمز كننده در اين شبكه ضروري بوده و مي بايست بين ساختمان مركزي سازمان با ساير محل هاي خارج از آن كه اطلاعاتی مانند اتوماسيون اداري و یا اطلاعات مالی در حال مبادله است و به اين شبكه دسترسي دارند، يك ارتباط امن برقرار گردد.
براي امن سازي اين بستر، راه اندازي مكانيزم VPN روي FortiGate و ارتباط clientهاي خارج از مركز با آن از طريق vpn client مي تواند يك راه حل مناسب باشد.
17- نحوه backup گيري در شبكه
پشتيبان گيري در شبكه بايد به گونه اي باشد كه نياز هاي اساسي زير را تامين نمايد:
1- امكان بازيابي اطلاعات در كمترين زمان ممكن
2- امكان نگهداشت نسخه هاي زماني مختلفي از داده ها
3- امكان ايجاد زمانبندي براي گرفتن نسخ پشتيبان طبق سياست هاي امنيتي (Security Policy )
4- امكان آرشيو كردن اطلاعات و نگهداري آنها در سايت (فضاي كاري) و بيرون از سايت يا بيرون از فضاي كاري
5- امكان گرفتن نسخه هاي پشتيبان بايد در كمترين زمان ممكن وجود داشته باشد به گونه اي كه بتوان از تمامي داده ها در زمان هاي غير كاري نسخه پشتيبان تهيه كرد (پشتيبان گيري متمركز – پشتيبان گيري خودكار)
6- امكان گرفتن نسخه هاي پشتيبان از سيستم ها و برنامه هاي كاربردي مختلف ( Share هاي ويندوز، پايگاههاي داده ، DC ، Active Directory, … )
7-امكان گرفتن نسخه پشتيبان از OS هاي مختلف( ويندوز ، لينوكس)
پشتيبان گيري در شبكه را به چند بخش كلي تقسيم مي كنيم:
1) تجهيزات سخت افزاري پشتيبان گيري
بدين منظور معمولا دو راه پيشنهاد مي گردد که البته می توان به فراخور شرایط سازمان های مختلف راه حل های متفاوتی ارائه نمود:
الف- استفاده از سرور backup با هارد داخلي كه به صورت RAID1+0 (mirror + striping) بسته شده اند.
در اين حالت روي سرور اصلي فايل، بانك اطلاعاتي و DC و… از چهار هارد كه به صورت RAID 1+0 در كنار هم قرارگرفته اند، استفاده مي شود. در حالت حداقل از 2 هارد كه به صورت RAID 1 بسته شده اند، استفاده شود.
سپس از يك سرور ديگر به عنوان پشتيبان استفاده مي شود و تمامي اطلاعات از طريق شبكه بر روي اين سرور به عنوان پشتيبان ذخيره مي شود. اين سرور نيز داراي 4 هارد است كه به صورت RAID 1+0 قرار گرفته اند.
با اين روش مي توان به امنيت و سرعت مطلوبي براي ذخيره سازي و بازيابي اطلاعات دست يافت .
ب- استفاده از NAS (اين روش امن تر و با هزينه بالاتر است)
با تهيه يك سيستم SAN بر اساس ميزان حجم اطلاعات (از 4TB تا 24TB) از تكنولوژي هاي زير مي توان استفاده نمود:
- SAN Appliance مدل HP X1400 G2 با 8TB storage يا HP X1600 G2 با 9TB storage
- All-in-One Storage SystemsHP (مدل Aio 1200 با 9TB storage)
- HP ProLiant Storage Servers (مدل DL 380 G5 با 9TB storage)
در اين صورت با اتصال سرورها به اين سيستم هاي SAN مي توان از امنيت بسيار بالايي در حفظ و پشتيبان گيري اطلاعات برخوردار شد.
2) نرم افزار براي تهيه پشتيبان از اطلاعات روي سرور
براي مديريت تجهيزات سخت افزاري بالا نياز به نرم فزاري ميباشد كه بتواند آنها را به طور كامل مديريت كند و اين امكان رابه ما بدهد كه از تمامي داده ها با انواع مختلف روي تمامي سرورهابا توجه به سياست هاي امنيتي Backup گيري كنيم.
استفاده از قابليت هاي ويندوز در پشتيبان گيري مي تواند كاربردي باشد اما نرم افزارهاي HP Openview Data Protector يا Symantec Backup Exec گزينه هاي بسيار مناسبي براي تهيه نسخه پشتيبان از تمامي منابع اطلاعاتي روي سرورها هستند.
با اين نرم افزارها علاوه بر تهيه نسخه پشتيبان از انواع مختلف داده ها مانندMS SQL, Oracle, Data File مي توان سياست هايي همچون آخرين تاريخنگهداري نسخه هايbackup،زمانبندي هاي روزانه، هفتگي ، ماهانه و …را روي آنها پياده سازي نمود.
3) سياست هاي تهيه نسخه پشتيبان
نسخه پشتيبان را بايد از تمامي اطلاعات موجود در شبكه تهيه نمود مانند اطلاعات Share هاي ويندوز، تمامي فايل هاي موجود در سرور فايل، پايگاههاي داده ، DC ، Active Directory, …
سياست تهيه نسخه پشتيبان بدين صورت است كه علاوه بر backup گيري online در شبكه كه با استفاده از تجهيزات بالا گفته شد، مي بايست از برخي اطلاعات مانند بانك اطلاعاتي نسخه پشتيبان offline تهيه نمود كه بدين منظور علاوه بر روش هاي پرهزينه Tape Storage مي توان از روش هاي رايج و كم هزينه ديسك هاي نوري مانند blueray يا هاردهاي external استفاده نمود و اطلاعات خيلي حساس مانند بانك هاي اطلاعاتي و برخي فايل هاي مهم را روي آنها ذخيره و در محلي امن نگهداري نمود.
زمان پشتيبان گيري بسته به ميزان و ماهيت اطلاعات به صورت زير است:
- بانك اطلاعاتي: برای تهیه نسخه پشتيبان از بانك اطلاعاتي سعی کنید Full Backup تهیه کنید و نه Differential. بهتر است روزانه ، در پايان هفته و در پايان هر ماه از اطلاعات نسخه پشتيبان تهيه مي شود و نسخه پشتيبان ماهيانه به صورت offline نيز تهيه مي شود.
- Active Directory: مي توان هفتگي به صورت Differential و ماهانه به صورت Full از اطلاعات نسخه پشتيبان تهيه نمود.
- File Server: مي توان هفتگي به صورت Differential و ماهانه به صورت Full از اطلاعات نسخه پشتيبان تهيه نمود. از برخي اطلاعات حساس و خاص نسخه پشتيبان ماهيانه به صورت offline نيز تهيه شود.
- از سوئيچ ها، روتر و FortiGate نيز بايستي نسخه پشتيبان تهيه كرد ولي با توجه به اينكه تغييرات اين سخت افزارها كم است لذا بسته به ميزان تغييرات در اين تجهيزات، نسخه هاي پشتيبان مي تواند ماهانه يا چند ماه يكبار تهيه شود.
- در بهترين حالت مي توان فايل هاي نسخه پشتيبان را به صورت “روزانه تا 4 روز، هفتگی تا 4 هفته و ماهیانه تا 4 ماه ” نگهداري كرد و با اين روش مي توان ماندگاری اطلاعات را تضمین نمود.
موارد ذکر شده در این لایه یعنی لایه شبکه، جزء مهمترین موارد بوده و علاوه بر این، موارد دیگری وجود دارد که توضیح آنها خارج از حوصله این مستند می باشد.