پاورپوینت امنیت در لایه های شبکه

 *یا لطیف* عنوان تحقیق: امنیت در لایه های شبکه نام استاد: خانم مهندس روجایی ارائه دهنده: مهدی تابش ITرشته مهندسی دانشگاه جامع علمی کاربردی واحد خانه کارگر استان همدان پائیز 96

فهرست مطالب

امنیت شبکه های کامپیوتری عبارت است از حفاظت و نگهداری منابع سیستم های اطلاعاتی اعم از سخت افزارها، نرم افزارها، میان افزارها، اطلاعات، داده های رایانه ای و ارتباطات راه دور است.
امنیت چیست؟

پیشگیری ( Prevention )
جلوگیری از خسارت

ردیابی ( Tracking)
تشخیص (Detection )
میزان خسارت
هویت دشمن
کیفیت حمله (زمان، مکان، دلایل حمله، نقاط ضعف …)
واکنش (Reaction )
بازیابی و جبران خسارت
جلوگیری از حملات مجدد

اقدامات اولیه

هک (Hack)
کنکاش به منظور کشف حقایق و نحوه کار سیستم
حمله (Attack)
تلاش برای نفوذ به سیستم دیگران
هک خصمانه!
رخنه (Breach)
نقض سیاست امنیتی یک سیستم
نفوذ (Intrusion)
فرایند حمله و رخنه ناشی از آن
آسیب پذیری (Vulnerability)
هرگونه نقطه ضعف که بتوان از آن سوء استفاده کرده و سیاست امنیتی را نقض کرد
نقطه ضعف در توصیف، طراحی، پیاده سازی، پیکربندی و اجرا

مفاهیم اولیه

1.محرمانگی (Confidentiality) :
اطلاعات فقط باید برای افراد مربوطه در دسترس باشد .
2.یکپارچگی(Integrity) :
اطلاعات باید سالم و بدون دستکاری باشد
3.دسترسی پذیری : (Availability)
اطلاعات در زمان مورد نیاز برای افراد مورد نیاز باید در دسترس باشد

مثلثCIA و DDD

افشاء گری(Disclosure )
تخریب(Destruction)
انکار (Denial)

مثلثCIA و DDD

افشاء گری:
افشاء سازی مخالف محرمانگی است.شرکت ها باید اطلاعات خود را ارزیابی و انها را دسته بندی کنند. به عنوان مثال وزارت دفاع، اطلاعات خود را بر این اساس طبقه بندی میکند:
1.فوق سری:
افشاء آن ها صدمه ای بسیار جدی را به کشور وارد میکند
2.سری:
افشاء آن صدمه قابل توجهی به کشور وارد میکند
3.محرمانه:
افشاء آن ایجاد شرمندگی برای کشور به همراه دارد
4.طبقه بندی نشده:
اطلاعات همگانی هستند

مثلثCIA و DDD

تخریب :
تخریب مخالف یکپارچگی است.
حالا که شما اطلاعات مهم خود و میزان حیاتی بودن انها را بررسی کردید قادر خواهید بود تا مشخص کنید که چه میشود اگر انها دستکاری شوند یا از بین بروند.
سازمان ها باید راه کار هایی برای هر دوی این مشکلات داشته باشند. انها این سوال را باید از خود بپرسند که یک دشمن بیشتر تمایل دارد چه اطلاعاتی را نابود کند یا در آنها تغییراتی ایجاد کند.این برای هر شرکت یا ارگان متفاوت است و یک الگوی خاص ندارد.

مثلثCIA و DDD

انکار یا در دسترس نبودن :
انکار یا در دسترس نبودن متضاد دردسترس بودن است .وقتی اسم در دسترس نبودن می اید اولین چیزی که به ذهن شما می اید حملات DoS است. حملات DoSدر موارد زیادی باعث خسارت های قابل توجهی به یک تجارت نمیشوند البته اگر تجارت شما وابسته به فروش انلاین باشد ضربه بیشتری به شما وارد میشود.
مثلثCIA و DDD

وقفه (Interruption)
اختلال در شبکه و سرویس
شنود (Interception)
استراق سمع ارتباطات شخصی یا مخفی دیگران
دستکاری داده ها (Modification)
تغییر غیر مجاز داده های سیستم یا شبکه
جعل اطلاعات (Fabrication)
ارسال داده توسط کاربران غیر مجاز با نام کاربران مجاز

انواع حملات بر حسب نحوه عملکرد

انواع حملات بر حسب نحوه عملکرد

انواع حملات از نظر تاثیر در ارتباط

در این حمله، Darth محتویات پیامی که بین Bob و Alice منتقل می شود را مستقیماً می خواند و استراق سمع می کند، بدون آنکهBob و Alice متوجه شوند. در این حالت اطلاعات به صورت رمز شده و یا بدون رمز منتقل می گردد که اگر به صورت رمز شده باشد شخص حمله کننده، کلید را در اختیار دارد.
افشای پیام

در این حمله، شخص حمله کننده یعنی Darth الگویی از اطلاعاتی را که بین Bob و Alice منتقل می شود می خواند و در حافظه کامپیوتر ذخیره می کند. سپس آن ها را تحلیل کرده تا در نهایت کلید آن را بیابد زیرا اطلاعات منتقل شده به صورت رمز شده می باشدو هدف هکر در این قسمت، دستیابی به کلید رمز است.
تحلیل ترافیک

در این حمله، شخص حمله کننده (که همان Darth می باشد) خود را جای فرستنده قرارمی دهد، یعنی Alice تصور می کند که پیام را Bob ارسال کرده است.
جعل هویت

در این حمله، شخص حمله کننده Darth) پیامی را که Bob برای (Alice ارسال می کند، می گیرد و آن را دور می اندازد. سپس شخص حمله کننده، برای گیرنده یک پاسخ دیگر ارسال می کند.
ارسال دوباره پیام

در این حمله، شخص حمله کننده (Darth) بین فرستنده (Bob) و گیرنده (Alice) قرار می گیرد، پیام را از (Bob) دریافت کرده، آن را تغییر می دهد و بلافاصله برای (Alice) ارسال می کند، تفاوت این نوع حمله با Reply در این است که در (Reply)همانطور که اشاره شد، شخص حمله کننده پیام را دور ریخته و مدتی بعد یک پاسخ دیگر برای گیرنده ارسال می کند.
تغییر پیام

در این حمله، شخص حمله کننده (Darth) سعی می کند تا با ارسال درخواست های جعلی آن هم به صورت مداوم و زیاد، سرور را از کار بیندازد. در نتیجه سرویس به (Bob) ارائه نمی شود و یا اینکه سرویس موردنظر با وقفه و سرعت کند ارائه می گردد.
منع سرویس

حفظ جامعیت داده (Integrity)
حفظ محرمانگی داده ها (Confidentiality)
هویت شناسی، احراز هویت (Authentication)
مجاز شناسی (Authorization)
عدم انکار (Non-repudiation)
دسترس پذیری (Availability)

سرویس های امنیتی

حفظ جامعیت داده (Integrity)
اطمینان از اینکه آنچه رسیده همان است که فرستاده شده
کد احراز هویت پیام (MAC)
امضاء
حفظ محرمانگی داده ها (Confidentiality)
اطمینان از اینکه تنها کاربران مورد نظر قادر به درک پیامها می باشند
رمزنگاری

سرویس های امنیتی

هویت شناسی، احراز هویت (Authentication)
اطمینان از اینکه کاربر همانی است که ادعا می کند
کنترل هویت

مجاز شناسی (Authorization)
کاربر تنها به منابع مقرر شده دسترسی دارد
کنترل دسترسی

سرویس های امنیتی

عدم انکار (Non-repudiation)
عدم امکان انکار دریافت یا ارسال توسط گیرنده و فرستنده
امضاء

دسترس پذیری (Availability)
در دسترس بودن به موقع خدمات برای کاربران

سرویس های امنیتی

راه کارهای بسیار مختلفی برای این بخش از تهدیدات در نظر گرفته می شود که از جمله مهمترین آنها می توان به موارد زیر اشاره نمود:

1- ایجاد موانع فیزیکی

2- امنیت سخت افزار ها

امنیت لایه فیزیکی

در این روش طراحی ورودی و خروجی به سازمان به شکلی است که امکان ورود و خروج های غیر مجاز را به حداقل برساند. معمولا در این نوع طراحی سه لایه امنیتی دیده می شود :

1- اولین ورودی به سازمان:
در این لایه باید ورود و خروج نفرات مجاز و غیر مجاز از طریق روش های معمول مثل دوربین های مدار بسته، استفاده از فنس های کنترلی و نیز وجود نگهبان کنترل گردد. همچنین در این لایه باید کنترل ورودی و خروجی ها از طریق یک کنترل لیست صورت گیرد.
ایجاد موانع فیزیکی

ورودی به واحد کامپیوتر و یا IT سازمان :
این لایه جایی است که کنترل روی آن باید با حساسیت بیشتری صورت گیرد و برای این منظور علاوه بر دوربین های مداربسته که قابلیت تشخیص حرکت و دید در شب را دارا می باشند، باید از درب های ضد حریق و همچنین مقاوم در برابر هرگونه ورود و خروج غیر مجاز و با قفل ها و سیستم های کنترل ورود و خروج مناسب استفاده کرد.
ورودی به اتاق سرور :
این لایه در واقع مرکز اصلی اطلاعاتی سازمان است که فرد مخرب با ورود به آن می تواند سازمان را به شدت دچار مشکل نماید. در واقع این لایه باید به شکلی طراحی شود که حتی اگر فردی توانست به هر علتی از دو لایه قبلی گذر نماید، در این لایه از ورود غیر مجاز او جلوگیری به عمل آید. بنابراین در این بخش باید علاوه بر موارد گفته شده از سیستم های کنترل ورود و خروج بیومتریک مانند کنترل قرنیه چشم و یا کنترل DNA استفاده نمود که البته روش های بیومتریک بسیار متنوع بوده و با توجه به حساسیت مجموعه قابل طراحی می باشد.
ایجاد موانع فیزیکی

در این روش سخت افزارهای شبکه به لحاظ فیزیکی کنترل و محافظت خواهند شد. به عنوان مثال برای جلوگیری از دسترسی غیر مجاز به کابل های شبکه و استراق سمع از طریق آنها روش های مختلف کنترلی وجود دارد که باید در سازمان پیاده سازی گردد. علاوه بر این گاهی اوقات ممکن است که یکی از کارمندان سازمان با آورد لپ تاپ به درون سازمان و اتصال آن به شبکه اقدام به کپی کردن اطلاعات سازمان در لپ تاپ و خارج کردن آن از سازمان نماید. برای جلوگیری از این نوع حرکات غیر مجاز نیز روش های مناسبی در شبکه و در سطح سوییچ های شبکه وجود دارد که از مهمترین آنها می توان به تکنولوژی های Port Security, 802.1x اشاره کرد که عملا کاربران را بر اساس سیستمی که از آن به شبکه متصل شده اند کنترل نموده و از دسترسی سیستم های غیر مجاز به شبکه جلوگیری به عمل می آورد. علاوه بر موارد ذکر شده در بحث امنیت فیزیکی سازمان، بسیاری کنترل های دیگر وجود دارد که به صورت خلاصه در ادامه لیست شده است
>>>
امنیت سخت افزار ها

* نحوه طراحی ساختمان و نیز رعایت استاندارد های پارتیشن بندی در سازمان
* رعایت استاندارد های لازم در نوع کابل ها و سخت افزار های استفاده شده در سازمان
* استفاده از تکنولوژی RFID جهت نظارت کامل بر روی کاربران
* استفاده از رک های مناسب و دارای قفل برای قرار دادن سوییچ ها
* قرار دادن دوربین های مدار بسته در محل رک ها و فضاهایی که امکان دسترسی فیزیکی به شبکه وجود دارد.
* سیستم اعلام حریق در تمامی اتاق ها و محل هایی که رایانه ها قرار دارد.

امنیت سخت افزار ها

* رعایت استاندارد های امنیتی برای اتاق سرور

1- سیستم تهویه مطبوع مناسب(HVAC) و خنک کننده
2- سیستم اعلام حریق
3- استفاده از سیستم اطفاء حریق یا کپسول های اطفاء حریق گاز CO2
4- استفاده از درب های ضد سرقت یا درب های دارای حفاظ مناسب
5- وجود دستگاه ثبت تردد با قفل های رمز دار برای درب ورودی
6- قرار دادن دوربین های مدار بسته داخل اتاق سرور و خارج آن

امنیت سخت افزار ها

حملات و تهدیدات لایه دو که منجر به نفوذ به سایر قسمت های شبکه و منابع شبکه می شود عبارتند از:

1- VLAN Hopping

2- MAC Attacks

3- ARP Attacks

4- DHCP Attacks

5- Spoofing Attacks

6- STP Attacks

7- CDP Attacks

تهدیدات در لایه 2

همانطور که می دانید دسترسی از یک VLAN به VLAN دیگر در لایه دو امکان پذیر نیست و تنها در لایه سه با استفاده از روتر و VLAN Routing این امکان فراهم می شود. VLAN Hopping نوعی از حملات است که توسط آن هکر می تواند در لایه دو شبکه از یک VLAN بهVLAN دیگر دسترسی پیدا کند. این حملات به دو شیوه Switch spoofing و Double Tagging قابل اجراست.
VLAN Hopping

از آنجایی که MAC پروتکلی است که در لایه دو مورد استفاده قرار می گیرد، بدون در نظر گرفتن تمهیدات امنیتی برای این پروتکل، یک هکر می تواند با هدف قراردادن CAM Table سوئیچ ها باعث بوجود آمدن CAM Overflow شده در نتیجه می تواند به شنود ترافیک شبکه بپردازد. این ترافیک می تواند حاوی اطلاعات حساس شرکت از جمله اطلاعات مالی، ترافیک صدا در شبکه، پسورد سیستم ها، سرورها، تجهیزات و … باشد.
MAC Flooding

DHCP Starvation و Rogue DHCP: در این حملات، مهاجم با برادکست نمودن درخواست های DHCP توسط آدرس های مک جعلی و ساختگی باعث استفاده شدن تمام آدرس های DHCP Address Pool می شود در نتیجه DHCP آدرسی برای اختصاص به سایر درخواست های DHCP ندارد. اینجاست که هکر با راه اندازی یک DHCP جعلی (Rogue DHCP) براحتی می تواند سیستم های یک شبکه را مورد سوء استفاده قرار دهد.
DHCP Attacks

همه ما با نحوه عملکرد پروتکل ARPدر شبکه آشنایی داریم اما یک نکته جالب در مورد این پروتکل وجود دارد و آن اینست که هر کلاینت اجازه دارد
یک ARP Replyرا بدون اینکه کلاینتی ARP Request بفرستد بصورت برادکست ارسال کند در اصطلاح به این فریم ارسالی Gratuitous ARPگفته می شود و صرفا جهت معرفی آدرس مک کلاینت توسط خود کلاینت به سایر کلاینت ها استفاده می شود.

یک هکر می تواند از این ویژگی استفاده کند و خود را به عنوان یک کلاینت دیگر در شبکه بطور مثال گیت وی شبکه معرفی کند در نتیجه آدرس مک هکر به جای آدرس مک گیت وی شبکه در ARP Table کلاینت ها قرار می گیرد. بدین ترتیب درخواست کلاینت ها به جای ارسال به گیت وی به سمت هکر هدایت می شود. با این روش ترافیک شبکه که می تواند حاوی اطلاعات حساس از جمله پسورد سیستم ها و … باشد توسط هکر مورد شنود قرار گیرد.
ARP Table Poisoning

ARP Table Poisoning

1. MAC Spoofing

2. IP Spoofing
Spoofing Attacks

تکنیک استفاده از آدرس مک سیستمی درگیر در شبکه جهت مقاصد خراب کارانه تحت عنوان
MAC Spoofing شناخته می شود.
تصور کنید در شبکه ای یک هکر آدرس مک خود را به آدرس مک یکی از سیستم ها در شبکه تغییر دهد در این شرایط CAM table سوئیچ نیر تغیر می کند. با این عمل، ترافیک شبکه به آن سیستم خاص به سیستم هکر هدایت شده و در این صورت هکر می تواند ترافیک ارسالی به سیستم مورد نظر را بطور موقت شنود کند. به این مثال توجه کنید:

MAC Spoofing

در شبکه سمت چپ CAM Table سوئیچ پس از پایان فرایند Learning به این شکل خواهد بود:

MAC Spoofing

اما پس از تغییر مک آدرس سیستم هکر به آدرس سیستم A(MAC Spoofing)،
CAM Table سوئیچ به این شکل تغییر پیدا می کند
MAC Spoofing

همانطور که می بینید پس از اجرای این حمله و ارسال یک فریم توسط سیستم Dکه سیستم هکر است، سوئیچ در CAM Tableخود محل سیستم Aرا از روی پورت F0/1به پورت F0/4تغییر می دهد و جدول خود را به این شکل بروز رسانی می کند. بدین ترتیب همانطور که گفته شد ازین پس ترافیک ارسالی به مقصد سیستم Aبه سیستم هکر هدایت می شود.

لازم به ذکر است در چنین شرایطی اگر دسترسی به برخی منابع یا تجهیزات شبکه بر اساس MAC Addressتعیین شده باشد، یک هکر براحتی می تواند به منابع و تجهیزات دسترسی پیدا کند.
MAC Spoofing

همانند حمله MAC Spoofing است با این تفاوت که در این حمله آدرس آی پی به تنهایی یا همراه با آدرس مک مورد سوء استفاده قرار می گیرد. علاوه بر این IP Spoofing در اجرای حملات مخرب دیگری از جمله:
Ping of death
ICMP unreachable storm
SYN Flood
می تواند مورد استفاده قرار گیرد.

IP Spoofing

در شبکه همواره لینک های Redundant از اهمیت ویژه ای برخورد بوده اند این اهمیت در لینک های Redundant بین سوئیچ ها نیز کاملا محسوس است. اما در این شرایط امکان ایجاد لوپ در شبکه وجود دارد بنابراین پروتکلSTP برای جلوگیری از Loop در لایه دو شبکه بوجود آمد. این پروتکل در صورت نادیده گرفتن تمهیدات امنیتی در این لایه براحتی می تواند مورد سوء استفاده قرار گیرد.
بطور خلاصه پروتکل STP در شبکه برای تعیین سوئیچ Root bridge و تعیین لینک فعال بین لینکهای Redundant از پروتکل BPDU استفاده می کند. Root bridge سوئیچی است که ترافیک شبکه از طریق این سوئیچ به سایر بخشهای شبکه منتقل می شود.
حال تصور کنید یک هکر در شبکه سیتسم خود را به عنوان یک سوئیچ در شبکه معرفی کند و در نهایت با ارسال فریم های BPDUبا پارامترهایی خاص، خود را به عنوان Root Bridge می شناساند بنابراین قادر به شنود ترافیک شبکه خواهد بود.
STP Attacks

در واقع از پروتکل CDPنه برای حمله بلکه جهت کسب و جمع آوری اطلاعاتی در خصوص شبکه
(CDP Sender, IP Address, Software Version, Device Model,…)
و توپولوژی شبکه مورد استفاده قرار می گیرد. علاوه بر جمع آوری اطلاعات، این پروتکل درIOS های سیسکو در ورژن های قبل از ۱۲٫۱(۱۰٫۱) آسیب پذیر بوده طوری که با ارسال پکت های بی شمار CDP به یک سوئیچ (CDP Flooding)، سوئیچ Crash کرده و نیاز به ریستارت داشته است.
CDP Attacks

راهکارهای جلوِگیری از حملات VLAN Hopping

غیرفعال سازی DTP روی پورتهای سوئیچ به جز پورت های ترانک
عدم اجازه کلیه VLAN ها به جز VLAN های استفاده شده در پورتهای ترانک
عدم استفاده از VLAN 1 (Native VLAN)
تغییرID Native VLAN به یک VLAN غیر کاربردی
اعمال پیکربندی Native VLAN Tagging در سوئیچ ها
Shutdown کردن پورتهای بلا استفاده و قرار دادن آنها در یک VLAN غیر کاربردی
راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوگیری از MAC Attacks

اجرای Port Security
در اجرای این پیکربندی ملاحظات مربوط به voice Vlan نیز در نظر گرفته می شود.
راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوِگیری از DHCP Attacks

اجرای Port Security برای جلوگیری از DHCP Starvation به همراه پیکربندی های پیشرفته Port Security از جمله بررسی CHADDR field در فریم های درخواست DHCP که در اجرای پیشرفته این نوع حملات مورد استفاده قرار می گیرد.
DHCP Snooping برای جلوگیری از حملهRogue DHCP
راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوِگیری از ARP Attacks
DAI (Dynamic ARP Inspection)

این قابلیت به بررسی درخواست ها و پاسخ های ARP می پردازد و این درخواست ها و پاسخ ها را با دیتابیس و جدول DHCP Snooping (این جدول خود از درخواست های DHCP تشکیل می شود) مقایسه می کند در صورتیکه ترکیب IP وMAC موجود در فریم های ARP در جدول DHCP Snooping وجود داشته باشد، این فریم یک فریم معتبر شناخته شده و درنتیجه توسط سوئیچ به مقصد مورد نظر هدایت و در غیر این صورت فریم drop می شود.
*همانطور که متوجه شدید پیش نیاز اجرای DAI راه اندازی DHCP Snooping و Port Security می باشد به همین دلیل اجرای کلیه این پیکربندی ها به ترتیبی که ذکر می شود ضروری است.
*در صورتیکه در شبکه ای DHCP راه اندازی نشده باشد، باز هم امکان پیاده سازی DAI با استفاده از ARP ACL یا DHCP Static entry وجود دارد.
راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوِگیری از IP/MAC Spoofing Attacks
IP Source Guard

این قابلیت همانند DAI عمل می کند با این تفاوت که علاوه بر بررسی فریم های ARP، سایر پکت ها و فریم ها را نیز بررسی می کند.

IPSG (IP Source Guard) جهت جلوگیری از حملات IP Spoofing از اطلاعات جدول DHCP Snooping استفاده می کند اما جهت جلوگیری از حملات MAC Spoofing وابسته به اجرای پیکربندی های ذیل است:

فعال سازی DHCP option 82 در سرور DHCP (در ویندوز سرور ۲۰۱۲ برخلاف ورژن های گذشته ویندوز سرور این قابلیت اضافه شده است)
پیکربندی Trust نمودن Option 82 در سوئیچ های لایه سه بین کلاینت ها و سرور DHCP (سوئیچ هایی که نقش DHCP relay را بازی میکنند)
راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوگیری از حملات مبتنی بر STP

Root Guard
BPDU Guard
راهکارهای جلوگیری از حملات لایه دو

فعال سازی محافظ BPDU و Root

BPDU پکتی است که بین سوئیچ ها در لایه ۲ رد و بدل می شود
از طریق این پروتکلSTP(spanning-tree protocol) اجرامی شود در نتیحه سوئیچ root مشخص شده و بعد از
مشخص شدن پورت های root، designated و non designated مسیرهایی که باید block یا forward شوند
مشخص می شود و در نتیجه از رخ دادنloop در شبکه جلوگیری می شود.
در واقع با انجام این کار مانع از Down شدن شبکه و عدم دسترسی کاربران مختلف به سرویس های مورد نیاز می شویم.

STP Portfast Bridge Protocol Data Unit (BPDU) Guard
از طریق اعمال این مکانیزم، اینترفیس هایی که انتظار نداریم پکت bpdu از آنها دریافت کنیم را block می کنیم و در
نتیجه امنیت بیشتری برای شبکه ایجاد می کنیم و جلوی اتصال سوئیچ های غیر مجاز به شبکه را روی پورت های مختلف
می گیریم.

STP Root Guard
از طریق این مکانیزم، آن دسته از اینترفیس هایی که نیازی نیست از آنها اعلام root بودن انجام شود block می شوند و از
این طریق جلوی حملات STP و اختلال در شبکه گرفته می شود.

راهکارهای جلوگیری از حملات لایه دو

راهکارهای جلوگیری از حملات مبتنی بر CDP

همانطور که ذکر شد هکرها از این پروتکل جهت جمع آوری اطلاعاتی در مورد شبکه استفاده می نمایند به عبارت دیگر این پروتکل مورد حمله قرار نمی گیرد بلکه از ان صرفا جهت جمع آوری اطلاعات بهره گیری می شود. بنابراین جهت جلوگیری از این اتفاق کافی است CDP روی پورتهای لایه Access غیرفعال شود.
راهکارهای جلوگیری از حملات لایه دو

در واقع در بین تمام بخش هایی که مربوط به کنترل و حفاظت از اطلاعات حساس یک سازمان می شود، این بخش نقش بسیار مهمی را ایفا می کند. لایه شبکه ، لایه ای بسیار حساس و خطرناک به لحاظ امنیت اطلاعات بوده که ضرورت کنترل آن بر هیچ کسی پوشیده نیست. لذا در طراحی های صورت گرفته باید نقش این لایه پررنگ تر و کاربردی تر در نظر گرفته شود و در اولویت های اجرایی و تخصیص بودجه ، باید لایه شبکه را در اولویت اول قرار داد.

بنابراین در این بخش به امنیت شبکه و تجهیزات آن از جمله سوییچ ها، روترها، فایروال، نحوه پشتیبان گیری و… می پردازیم.
امنیت در لایه شبکه

در زمان طراحی شبکه، مناسب است جهت کنترل هر چه بیشتر بر روی تجهیزات موجود در شبکه، معماری سوییچ های شبکه به صورت لایه ای بوده و در هر لایه سوئیچ خاص آن لایه در نظر گرفته شود.
به عنوان مثال با توجه به ساختار کلی شبکه در بالاترین لایه از سوئیچ لایه ۳ استفاده گردد و در لایه ۲ از سوئیچ هایی که خاص لایه دو طراحی شده اند استفاده گردد مثل Cisco 2960 که طرز کار این سوئیچ­ها در این ساختار، جهت ایجاد امنیت و مدیریت شبکه امکانات بیشتری در اختیار می­گذارد.
استفاده از سوئیچ­ها با ساختار سلسله مراتبی(Hierarchy)

توصیه می شود که در صورت امکان تنظیمات vlan ها را بر روی سوئیچ ها به
صورت دستی انجام داده و از این پروتکل استفاده نگردد.
لذا می بایست VTP روی سوئیچ ها غیر فعال شود.

در صورتی که بخواهیم از این پروتکل استفاده نماییم و به منظور سهولت کار
در تنظیم سوئیچ ها، نامی برای VTP Domain در نظر می گیریم.

در این روش تمامی سوئیچ­ها عضو این Domain می­باشند.
سوئیچ core در ModeServer و بقیه سوئیچ­ها در Client Mode کار
می­کنند.
ضمناً VTP Password نیز جهت جلوگیری از حملات از نوع سوئیچینگ باید
در نظر گرفته شود.
عدم به کارگیری VTP Domain

به منظور کنترل دسترسی در یک شبکه به صورت مجازی از این روش
استفاده می شود و می توان قسمت های مختلف در شبکه سازمان را
به منظور دسترسی داشتن به یکدیگر در یک vlan قرار داد تا
بتوانند با یکدیگر تبادل اطلاعات داشته و از طرفی بخش هایی که در
این vlan قرار ندارند، مجاز به دسترسی به آن نیستند.

معمولا برای اعمل محدودیت های بیشتر بهتر است سرور ها در
یک vlan مجزا و سوئیچ ها نیز در یک vlan مجزا قرار گیرند
و با ACL ها دسترسی بین vlanها را برقرار نمود.

در صورت امکان client هایی که می خواهند به اینترنت
متصل شوند در یک vlan قرار گیرند.
استفاده از (virtual Local Area Network) VLAN

:Trunk Port
تمامی ارتباطات بین سوئیچ­ها بصورت پورت Trunk در نظر
گرفته شده است.

:Access Port
در ساختار شبکه هر کامپیوتر متصل به شبکه به عنوان
Access Port در نظر گرفته شده و فقط عضو یک VLAN
می­باشد و امکان دسترسی به سایر VLAN­ها را ندارد.
اعمال محدودیت توسط پورت­هایTrunk و Access

می بایست به منظور کنترل دسترسی در شبکه و اتصال به سوئیچ ها از Access Control List ها استفاده نمود.

به شکلی که در سطح شبکه تعریف می شود که گروه های مختلف کاربران می توانند به کدام یک از بخش های شبکه متصل شده و از آن استفاده نمایند.
اعمال (Access Control List ) ACL

ConsolePort
می بایست تمامی پورت­های کنسول سوئیچ­ها، توسط یک Password محافظت
شود که در اختیار مسئول شبکه است. در ابتدا بایستی passwordهای پیش
فرض حتما تغییر نماید.

Telnet
جهت جلوگیری از پیکربندی از این روش توسط افراد دیگر، دو لایه امنیتی لحاظ
گردیده که اولی همان Access Control List اشاره شده در بالا که فقط از
رنج IP ­هایی که در اختیار مسئول شبکه است می­توان به سوئیچ­ها وصل شد و
دومی محافظت از این روش توسط یک Password رمز شده می­باشد. بدین
منظور باید service password-encryption را راه اندازی نمود.
کنترل پورت­های پیکربندی سوئیچ

این سرویس امنیتی موجب می شود که یک یا چند mac آدرس مشخص به یک پورت سوئیچ دسترسی یابد.
این کار به صورت اتوماتیک یا دستی صورت می گیرد.

با فعال سازی این سرویس برای اولین بار mac آدرس رایانه مورد نظر به پورت سوئیچ assign شده و به غیر از
این سیستم، هیچ دستگاه دیگری قابلیت این را نخواهد داشت که به شبکه متصل گردد.

در شبکه می بایست سرویس فوق بر روی تمامی پورت­های شبکه فعال ­باشد.
همچنین جهت افزایش ضریب امنیت شبکه پورت­های آزاد غیر فعال گشته و تمامی این پورت­ها به یکVLAN
نامعتبرAssign شود.
در صورت اتصال رایانه نامعتبر به شبکه، آن پورت غیر فعال گشته و یک Log به نرم افزار مانیتورینگ شبکه
ارسال می­نماید.
مدیر شبکه با بررسی Log ­ ها از این اقدام مطلع می­شود.
در این زمینه بایستی کاربران از جابجایی رایانه های خود حتی المقدور جلوگیری نموده و مدیران نیز این مسئله
را در طرح­ها و جابجایی­ها در نظر گرفته و این کار با هماهنگی مسئول شبکه صورت پذیرد.
اعمال سرویس Port Security

این پروتکل فقط مختص و قابل شناسایی توسط دستگاهای سیسکو بوده
و وظیفه آن در اختیار گذاشتن اطلاعات دستگاه هایی می باشد که به صورت
مستقیم به دستگاه ما متصل شده اند. پیام های ایجاد شده توسط cdp در
یک دستگاه فقط توسط دستگاه های مجاور آن دریافت شده و به
دستگاه های بعدی عبور داده نخواهند شد.
پیام های cdp اطلاعاتی نظیر نام دستگاه، نسخه سیستم عامل دستگاه، نوع
دستگاه (روتر یا سوئیچ و …)، مدل دستگاه،آدرس IP دستگاه و نام VTP
Domain و… را منتقل می کنند که این پیام ها هر ۶۰ ثانیه یکبار روی
تمامی interface های فعال دستگاه های سیسکو تولید می گردند.
در صورتی که از تجهیزات سیسکو در شبکه استفاده می نماییم، برای بالا
بردن امنیت درشبکه، بایدcdp را روی interface های دستگاه هایی که
بصورت مستقیم به کامپیوترها متصل هستند غیر فعال نماییم.
غیر فعال نمودن پروتکل (cisco discovery protocol) CDP

در یک شبکه امن حتما باید syslog سرور راه اندازی نمود تا بتوانیم در صورت بروز
هرگونه مشکل اطلاعات کافی جهت حل آن مشکل را به دست آورده و نسبت به رفع
مشکل اقدامات لازم را صورت دهیم.
زمانی که از یکSyslog Server استفاده می کنیم , دستگاههایی نظیر روتر , سوییچ و حتی سرورهای لینوکسی و ویندوزی بعنوان کلاینت برای syslog
سرورمطرح می شوند بدین معنا که از طریق این مکانیزم می توان تمام دستگاه های
موجود در شبکه را کنترل و ارزیابی نمود.
Syslog Server یک نوع مخزن مرکزی برای لاگ برداری است که جهت
متمرکزکردن مانیتورینگ دستگاه ها و سرورها استفاده می شود.
وقتی که یک syslog سرور راه اندازی می کنید , دستگاه ها لاگ های خود را تحت
شبکه به جای آنکه درفایل محلی ذخیره کنند یا بر روی صفحه نمایشگر به نمایش
در آورند برای syslog سرور می فرستند.
راه اندازی syslog سرور

این مکانیزم روشی برای کنترل هرچه بیشتر کابران تحت شبکه در زمان اتصال به
شبکه و نیز کنترل نحوه اتصال آنان می باشد.
در این روش از مکانیزم هایی که هر یک از پروتکل های RADIUS, TACACS+ و
Kerberos را پشتیبانی نماید استفاده می کنیم.
بدین منظور باید از سرورهای امنیتی که این پروتکل ها را راه اندازی و پشتیبانی
می کند، استفاده کنیم.
در یکی از این روش ها که احراز هویت ۸۰۲٫۱X Port-Based نامیده می شود، با
فعال سازی آن بر روی پورت های سوئیچ باعث می شود که پورت شبکه، زمانی فعال
گردد که کاربر احراز هویت نماید. در واقع در ابتدا تنها پکت هایی اجازه عبور دارند
که کاربر احراز هویت نموده تا پورت up گردد در غیر اینصورت پورت فعال نمی
شود. بدین منظور client باید از نرم افزارهایی که dot1x را بر روی سیستم
عامل پشتیبانی می کند، استفاده نماید.
استفاده از مکانیزم (AAA)Authentication, Authorization and Accounting

سیستم مانیتورینگ zabbix یکی از بهترین و کاملترین راه حل های مورد نیاز در
زمینهAvailability and Performance Monitoring می باشد.
علاوه بر این، Open Source بودن این سیستم باعث شده تا اطمینان کاربران به
خصوص کاربرانی که دارای اطلاعات حساس در سازمان خود می باشند به این
سیستم افزایش یابد.
این سیستم دارای ویژگی های بسیار منحصر به فردی در حوزه مانیتورینگ و هشدار
های کاربردی و متنوع در زمان وقوع یک رویداد و نیز قابلیت های ویژه در UI
می باشد که بسیاری از این ویژگی ها در دیگر سیستم های مانیتورینگی که بعضا به
صورت Closed Source می باشند وجود ندارد.
در صفحه ویژگیهای ZABBIX میتوانید از ویژگیها و مشخصات منحصر به فرد
ZABBIX اطلاع یابید.
استفاده از نرم افزار مانیتورینگ جامع شبکه و امنیت اطلاعات ZABBIX

نرم افزار CNA مختص تجهیزات سیسکو بوده و قابلیت مانیتورینگ سخت افزاری را دارا می باشد.
لازمه استفاده از این نرم افزار پیکربندی اولیه سوئیچ­ها و روترها می­باشد که بایستی قبل از استفاده آن انجام گیرد.
از جمله ویژگی­های امنیتی این نرم افزار عبارتند از :
محافظت ویژه از یک پورت (Protected Port)
ارسال ترافیک یک پورت به پورت خاص جهت تدابیر امنیتی ( Spanning Service)
راه اندازی QOS( Quality Of Service ) کیفیت سرویس دهی
نمایش Port Security
نمایش پهنای باند
جلوگیری از حملات سیل آسا به شبکه Flooding Control
نمایشFront Panel سوئیچ
نمایش Switch Health
نمایش System Massage
نمایش مشخصات سوئیچ­ها (Inventory)
نمایش توپولوژی شبکه
Update نمودن سیستم عامل سوئیچ­ها
Backup گیری از Config سوئیچ­ها
راه اندازی VOIP در شبکه
وامکان انجام برخی ازConfig ­ ها از طریق نرم­افزار و ده­ها مزایای دیگر که به مدیر شبکه جهت مانیتورینگ سخت افزاری
شبکه کمک فراوانی می­کند.

استفاده از نرم افزارمانیتورینگ خاص دستگاه های سیسکو Cisco Network Assistant

با استفاده از fortigate می توان امنیت بسیار بالایی را برای شبکه ایجاد نمود.
مواردی که می بایست در این UTM دیده شود به شرح زیر است:
۱) اتصال به FortiGate در حالت web based از طریق https و در حالت CLI از طریق SSH
۲) تغییر passwordهای پیش فرض
۳)FortiGate در حالت routing باشد.
4) تعریف zone های امنیتی مناسب به طوری که شبکه داخلی به عنوان trust، اینترنت به عنوان untrust
و سرورها به عنوان DMZ تعریف شوند. در این نواحی اتصال host به host دیگر بلامانع است مگر اینکه
بخواهیم دسترسی ها محدود کنیم لذا بایستی rule ای با دسترسی block تعریف نموده سپس rule های
permit را تعریف نماییم.
۵) تعریف rule های مناسب برای دسترسی ها با توجه به ساختار شبکه و vlan های تعریف شده در شبکه به
صورت permit یا drop
۶) ابتدا rule های اتصال به FortiGate از طریق شبکه داخلی یا خارجی سپس ruleهای ارتباطات شبکه
داخلی و خارجی و اتصال این شبکه ها به اینترنت و در نهایت rule ای تعریف می شود که غیر از آنچه تعریف
شده را drop نماید.
بکارگیری Frotigate UTM

7) در هنگام تعریف rule بایستی حتما نوع سرویس اتصالی مانند
http، pop3، TCP بین client و سرور یا client با client یاclient با اینترنت را مشخص نماییم.
8) برای شبکه های خارجی که می خواهند ارتباط امنی با سرورها داشته باشند می بایست از سرویس vpn که
بر روی FortiGate ارائه می شود استفاده نمود. در این حالت می توان vpn را روی FortiGate با یکی از
سه پروتکلIPSec یا PPTP یا L2TP را فعال نموده و range IP اتصال به FortiGate را مشخص
نماییم. سپس بر رویclient از نرم افزارFortiClient یا نرم افزارهای مشابه ویندوزی برای اتصال امن با
FortiGate و سرورهای شبکه استفاده می نماییم.
۹) تعریف سیاست های زمانبندی برای دسترسی به منابع مانند سرورها، اینترنت و…
۱۰) مدیریت پهنای باند و محدود کردن آن با توجه به سیاست های سازمان برای هر یک از vlanها یا IP های از
پیش تعریف شده.
۱۱) استفاده از web Filtering در FortiGate
۱۲) استفاده از IPS برای جلوگیری از حملات در دو حالت signature base وanomaly detection و
بروز رسانی آن.
۱۳) فعال سازی مکانیزم logging در FortiGate و استفاده از سرور syslog برای نگهداری و گزارش گیری
از logها
بکارگیری Frotigate UTM

می توان برای این منظور از
سامانه های مشخصaccounting استفاده نمود
وlog کاربران را نیز
در همان سرورsyslog قرار داد.
راه اندازی سرورauthentication و accounting برای کاربران اینترنت و نگهداری log کابران

از آنجایی که ممکن است برخی از پروژه های در دست اقدام و همچنین قسمت های وابسته به سازمان در خارج از محل آن قرار داشته باشد و ارتباط بین این مراکز به صورت بی سیم پیاده سازی شده باشد، لذا راه اندازی پروتکل رمز یا استفاده از رمز کننده در این شبکه ضروری بوده و می بایست بین ساختمان مرکزی سازمان با سایر محل های خارج از آن که اطلاعاتی مانند اتوماسیون اداری و یا اطلاعات مالی در حال مبادله است و به این شبکه دسترسی دارند، یک ارتباط امن برقرار گردد.

برای امن سازی این بستر، راه اندازی مکانیزم VPN روی FortiGate و ارتباط clientهای خارج از مرکز با آن از طریق vpn client
می تواند یک راه حل مناسب باشد.
استفاده از WEP یا VPN در ارتباطات بی سیم

پشتیبان گیری در شبکه باید به گونه ای باشد که نیاز های اساسی زیر را تامین نماید:
۱- امکان بازیابی اطلاعات در کمترین زمان ممکن
۲- امکان نگهداشت نسخه های زمانی مختلفی از داده ها
۳- امکان ایجاد زمانبندی برای گرفتن نسخ پشتیبان طبق سیاست های امنیتی
۴- امکان آرشیو کردن اطلاعات و نگهداری آنها در سایت (فضای کاری) و بیرون از
سایت یا بیرون از فضای کاری
۵- امکان گرفتن نسخه های پشتیبان باید در کمترین زمان ممکن وجود داشته باشد
به گونه ای که بتوان از تمامی داده ها در زمان های غیر کاری نسخه پشتیبان تهیه
کرد (پشتیبان گیری متمرکز – پشتیبان گیری خودکار)
۶- امکان گرفتن نسخه های پشتیبان از سیستم ها و برنامه های کاربردی مختلف
Share های ویندوز، پایگاههای داده ، DC ، (Active Directory, … )

نحوه backup گیری در شبکه

۷- امکان گرفتن نسخه پشتیبان از OS های مختلف (ویندوز ، لینوکس)
پشتیبان گیری در شبکه را به چند بخش کلی تقسیم می کنیم:
1) تجهیزات سخت افزاری پشتیبان گیری
بدین منظور دو راه پیشنهاد می گردد که البته می توان به فراخور شرایط سازمان های مختلف
راه حل های متفاوتی ارائه نمود:
الف- استفاده از سرورbackup با هارد داخلی که به صورت RAID1+0 (mirror + striping)
بسته شده اند.
در این حالت روی سرور اصلی فایل، بانک اطلاعاتی و DC و… از چهار هارد که به صورت RAID 1+0
در کنار هم قرار گرفته اند، استفاده می شود. در این حالت حداقل از ۲ هارد که به صورت RAID 1
بسته شده اند، استفاده شود.
سپس از یک سرور دیگر به عنوان پشتیبان استفاده می شود و تمامی اطلاعات از طریق شبکه بر روی
این سرور به عنوان پشتیبان ذخیره می شود. این سرور نیز دارای ۴ هارد است
که به صورت RAID 1+0 قرار گرفته اند.
با این روش می توان به امنیت و سرعت مطلوبی برای ذخیره سازی و بازیابی اطلاعات دست یافت .
نحوه backup گیری در شبکه

ب) استفاده از NAS – این روش امن تر و با هزینه بالاتر است.
با تهیه یک سیستم SAN بر اساس میزان حجم اطلاعات (از ۴TB تا ۲۴TB ) از
تکنولوژی های زیر می توان استفاده نمود:
SAN Appliance مدل HP X1400 G2 با ۸TB storage یا HP X1600
G2 با ۹ TB storage
All-in-One Storage SystemsHP مدل Aio 1200 با ۹ TB storage
HP ProLiant Storage Servers مدل DL 380 G5 با ۹ TB storage
در این صورت با اتصال سرورها به سیستم های SAN می توان از امنیت بسیار بالایی
در حفظ و پشتیبان گیری اطلاعات برخوردار شد.
نحوه backup گیری در شبکه

۲) نرم افزار برای تهیه پشتیبان از اطلاعات روی سرور
برای مدیریت تجهیزات سخت افزاری بالا نیاز به نرم فزاری میباشد که بتواند آنها را
به طور کامل مدیریت کند و این امکان رابه ما بدهد که از تمامی داده ها با انواع
مختلف روی تمامی سرورهابا توجه به سیاست های امنیتی Backup گیری کنیم.
استفاده از قابلیت های ویندوز در پشتیبان گیری می تواند کاربردی باشد
اما نرم افزارهای HP Openview Data Protector
یا Symantec Backup Exec گزینه های بسیار مناسبی برای تهیه نسخه
پشتیبان از تمامی منابع اطلاعاتی روی سرورها هستند.
با این نرم افزارها علاوه بر تهیه نسخه پشتیبان از انواع مختلف داده ها
مانندMS SQL, Oracle, Data File می توان سیاست هایی همچون آخرین
تاریخ نگهداری نسخه هایbackup، زمانبندی های روزانه، هفتگی ، ماهانه و …را
روی آنها پیاده سازی نمود.

نحوه backup گیری در شبکه

۳) سیاست های تهیه نسخه پشتیبان
نسخه پشتیبان را باید از تمامی اطلاعات موجود در شبکه تهیه نمود مانند اطلاعات Share های ویندوز، تمامی فایل های
موجود در سرور فایل، پایگاههای داده ، DC ، Active Directory, …
سیاست تهیه نسخه پشتیبان بدین صورت است که علاوه بر backup گیری online در شبکه که با استفاده از تجهیزات بالا
گفته شد، می بایست از برخی اطلاعات مانند بانک اطلاعاتی نسخه پشتیبان offline تهیه نمود که بدین منظور علاوه بر
روش های پرهزینه Tape Storage می توان از روش های رایج و کم هزینه دیسک های نوری مانند blueray یا هاردهای
external استفاده نمود و اطلاعات خیلی حساس مانند بانک های اطلاعاتی و برخی فایل های مهم را روی آنها ذخیره و در
محلی امن نگهداری نمود.

نحوه backup گیری در شبکه

زمان پشتیبان گیری بسته به میزان و ماهیت اطلاعات به صورت زیر است:
بانک اطلاعاتی: برای تهیه نسخه پشتیبان از بانک اطلاعاتی سعی کنید Full Backup تهیه کنید و نه
Differential. بهتر است روزانه ، در پایان هفته و در پایان هر ماه از اطلاعات نسخه پشتیبان تهیه می شود و
نسخه پشتیبان ماهیانه به صورت offline نیز تهیه می شود.
Active Directory: می توان هفتگی به صورت Differential و ماهانه به صورت Full از اطلاعات
نسخه پشتیبان تهیه نمود.
File Server: می توان هفتگی به صورت Differential و ماهانه به صورت Full از اطلاعات نسخه
پشتیبان تهیه نمود. از برخی اطلاعات حساس و خاص نسخه پشتیبان ماهیانه به صورت offline نیز تهیه شود.
از سوئیچ ها، روتر و FortiGate نیز بایستی نسخه پشتیبان تهیه کرد ولی با توجه به اینکه تغییرات این
سخت افزارها کم است لذا بسته به میزان تغییرات در این تجهیزات، نسخه های پشتیبان می تواند ماهانه یا چند
ماه یکبار تهیه شود.
در بهترین حالت می توان فایل های نسخه پشتیبان را به صورت “روزانه تا ۴ روز، هفتگی تا ۴ هفته و ماهیانه
تا ۴ ماه ” نگهداری کرد و با این روش می توان ماندگاری اطلاعات را تضمین نمود.

نحوه backup گیری در شبکه

موفق باشید