۸راه برای افزایش امنیت شبکه های سیمی
امنیت شبکه
وقتی صحبت از امنیت شبکه می شود، اکثرا ذهن ما سمت شبکه های بیسیم می رود، چرا که هیچ محافظ یا بستر فیزیکی وجود ندارد.
اما در دنیای امروز که مفهومی تحت عنوان ” مهندسی اجتماعی ” ( Social Engineering ) رواج یافته است، هکرها از خارج از شبکه، توسط افراد حاضر در شبکه سیمی، به شبکه های شرکت ها دسترسی فیزیکی پیدا می کنند.
*مهندسی اجتماعی: این مفهوم در زمینه ” امنیت اطلاعات “، به دستکاری روانشناختی ، جهت انجام برخی اقدامات یا افشای اطلاعات محرمانه اشاره دارد.
در این دنیای جدید، می توان با اطمینان گفت که اولویت اصلی برای تامین امنیت شبکه، به تمرکز برای تامین این امنیت در لایه یسیمی شبکه باید باشد.
به همین منظور، فارغ از اینکه شما دارای یک کسب و کار کوچک یا بزرگ هستید، برخی اقدامات امنیتی لازم برای تامین امنیت بخش سیمی و فیزیکی شبکه شما، طی دو مقاله ۴ بخشی، به شرح زیر ارائه می شود:
۱- انجام حسابرسی و نقشه برداری
لازم است که برای شبکه خودتان مقداری حسابرسی و نقشه برداری انجام دهید. همواره یک شناخت شفاف و واضح از ساختار و زیرساخت شبکه خود داشته باشید. به عنوان مثال، از مدل، محل قرارگیری، و تنظیمات اساسی فایروال ها، روترها، سوئیچ ها، سیم کشی های اترنت، درگاه های ورودی و اکسس پوینت ها اطلاع کامل داشته باشید. همچنین بدانید که دقیقا چه سرورها، کامپیوترها، پرینترها و کلا دستگاه هایی به شبکه متصل هستند، در چه مکانی متصل هستند و این اتصال از چه طریقی انجام گرفته است.
در حین این بررسی شما ممکن است برخی رخنه های بوجود آمدن تهدید های امنیتی یا راه حل هایی برای افزایش امنیت و کارایی شبکه بیابید. همچنین ممکن است از یک تنظیمات اشتباه فایروال یا تهدید های فیزیکی شبکه با خبر شوید.
اگر شما در حین کار با یک شبکه نسبتا کوچک شامل تعداد کمی سیستم هستید، شاید بتوانید نقشه شبکه را حتی بر روی یک کاغذ ترسیم کنید. اما اگر با یک شبکه بزرگ سر و کار دارید، باید از یک نرم افزار برای نقشه برداری و حسابرسی شبکه خود بهره ببرید. چرا که این نرم افزار ها علاوه بر قابلیت اسکن کردن کل شبکه شما، توانایی ایجاد یک نقشه شبکه و ترسیم آن را نیز دارند.
انجام حسابرسی و نقشه برداری شبکه
۲- شبکه را به روز رسانی کنید
وقتی که نقشه برداری و حسابرسی پایه ای شبکه خود را به پایان رساندید، در فکر اقدامی عمیق تر باشید. به دنبال به روز رسانی سیستم عامل و نرم افزار های کلیه دستگاه های زیرساخت شبکه خود باشید. به تمامی این دستگاه ها وارد شوید و مطمئن شوید که رمز عبور های پیش فرض تغییر یافته اند. تنظیمات را بررسی کنید تا اگر به موردی غیر قابل اطمینان در آن ها برخوردید، آن را تغییر دهید.
سپس نگاهی به کلیه دستگاه ها و کامپیوترهای متصل به شبکه بیاندازید. مطمئن شوید که تمامی اصول انجام گرفته باشد. از جمله این اصول می توان به به روز رسانی کردن درایور ها، فعال بودن فایروال ها، در حال اجرا و به روز بودن آنتی ویروس ها، و ست بودن پسورد ها اشاره کرد.
شبکه خود را به روزرسانی کنید
۳- شبکه را از لحاظ فیزیکی امن کنید
با نگاهی واقع بینانه می توان گفت، امنیت فیزیکی شبکه، به اندازه ی فایروال مواجه با اینترنت حیاتی است. شما به همان اندازه که احتیاج دارید شبکه خود را از خطر هکر ها مصون بدارید، نیاز دارید که تهدید های محلی را از شبکه خود دور نگاه دارید.
عدم دارا بودن امنیت فیزیکی قدرتمند شبکه، می تواند موجب سو استفاده توسط یک هکر که در نزدیکی شبکه محلی شما، یا حتی یکی از کارمندان شما بشود. برای مثال آنها می توانند یک درگاه اترنت را به یک روتر متصل کنند و افرادی از خارج از شبکه بتوانند به شبکه شما دسترسی پیدا کنند. در صورتی که اگر آن درگاه در دسترس نباشد این اتفاق رخ نخواهد داد.
مطمئن شوید که یک طرح امنیتی مناسب برای جلوگیری از ورود افراد به ساختمان مجهز به شبکه شما وجود دارد. پس از آن، از اینکه تجهیزات زیرساختی شبکه و کابل کشی های مرتبط با شبکه شما، از دسترسی فیزیکی عموم و حتی کارکنان ایمن باشد، اطمینان حاصل کنید. درگاه های اترنتی که مورد استفاده نیستند را یا از لحاظ فیزیکی قطع کنید، یا از طریق تنظیمات روتر و سوئیچ مورد نظر، آن درگاه را غیر فعال کنید. این اقدام را حتما روی دستگاه هایی که در معرض عموم قرار دارند حتما انجام دهید.
۴- از فیلترگذاری MAC Address استفاده کنید
مورد امنیتی بسیار مهم در بخش سیمی شبکه، فقدان یک راه احراز هویت یا روش رمزگذاری آسان و سریع است. افراد می توانند سیم را به دستگاه متصل کنند وصل شوند. در بخش بدون سیم شبکه شما حداقل WPA2-Personal یا PSK را در اختیار دارید که پیاده سازی آن آسان است.
اگرچه عبور از فیلترگذاری MAC Address می تواند توسط یه هکر انجام شود، اما این فیلتر گذاری، می تواند به عنوان لایه اول امنیتی، به ما کمک کند.
شاید این فیلترینگ نتواند جلوی یک هکر را بگیرد، اما می تواند از اشتباه یک کارمند، در اجازه دادن به یک کاربر میهمان برای اتصال به اینترنت، جلو گیری کند. همچنین این امکان را نیز برای شما فراهم می کند که برای اتصال و یا عدم اتصال برخی دستگاه ها یا کاربران خاص نظارت داشته باشید.
نکته ای که باید در نظر داشته باشید این است که استفاده از این فیلتر گذاری، داشتن امنیت کاذب را به ذهن شما الهام نبخشد و نکته ی مهم برای کارایی این فیلترگذاری، به روز رسانی مداوم لیست MAC Address است برای بهبود امنیت شبکه سیمی.
فیلترگذاری MAC Address
۵٫ از VLAN ها برای جدا کردن ترافیک استفاده کنید
اگر شما با یک شبکه ی کوچک کار می کنید که تقسیم بندی به LAN های مجازی نشده است ، عوضش کنید زیرا این قضیه امنیت شبکه سیمی شمارا به خطر می اندازد. شما می توانید از VLAN ها برای گروهی کردن پورت اترنت استفاده کنید .
یک استفاده از VLAN ها برای جدا کردن شبکه بنا به نوع ترافیک ( دسترسی عمومی ،VoIP، SAN،DMZ) برای کارایی یا طراحی دلیل یا نوع کاربر (کارمند ها ، مدیران ، مهمان ها ) برای دلایل امنیتی است . VLAN ها مخصوصا برای پیکر بندی داینامیک نیز مهم هستند . برای مثال ، شما می توانید لپ تاپتان را به برق بزنید در هر جایی از شبکه و اتوماتیک به VLAN وصل شود .
برای استفاده از VLAN، روتر و سوییچ شما باید آن را ساپورت کنند . IEEE802.1Q را برا اطمینان یافتن از این قضیه سرچ کنید. و برای اکسس پوینت شبکه ، شما ممکن است بخواهید هر دو تگ VLAN و SSID ها را ساپورت کند با چندین SSID شما امکان استفاده از چندین VLAN مجازی را خواهید داشت.
۶٫ برای احراز هویت از ۸۰۲٫۱x استفاده کنید
معمولا از احراز هویت و رمز نگاری به خاطر پیچیدگی در شبکه های LAN غافل می شوند. هکر ها می توانند به سادگی وارد شبکه شما شوند به وسیله استفاده از کابل و امنیت شبکه سیمی را تهدید کنند.
۸۰۲٫۱x به رمز نگاری کمک نمیکند ولی اجازه نخواهد داد که هر دستگاهی بدون احراز هویت به سیستم وصل شود.
دیگر استفاده از ۸۰۲٫۱x کمک به کاربران برای وصل شدن به VLAN است.
برای برقرار کردن ۸۰۲٫۱x شما ابتدا نیاز به احراز هویت از راه دور کاربران RADIUSدارید اگر شما ویندوز سرور دارید نیازی به نصب RADIUS نیست نقش های NETWORK POLICY یا در ویندوز سرور های قدیمی IAS .
۷٫ از VPN ها برای رمز نگاری سیستم های انتخابی استفاده کنید
باید بدانید حتی با وجود ۸۰۲٫۱x و VLAN هکر می تواند به شبکه شما گوش دهد و به رمز ها و ایمیل ها و… دسترسی پیدا کند و امنیت شبکه سیمی شما را تهدید کند.
برای جلوگیری از این کار در موارد حساس می توانید از کانال امن(VPN) استفاده کنید
۸٫ تمام شبکه را رمز نگاری کنید
شما می توانید توسط IPsec تمام شبکه خود را رمزنگاری کنید.
ویندوز سرورامکان استفاده از IPsec را برای شما برای بهبود امنیت شبکه سیمی فراهم کند.
منبع : network world
We sometimes focus more on the wireless side of the network when it comes to security because Wi-Fi has no physical fences. After all, a war-driver can detect your SSID and launch an attack while sitting out in the parking lot.
But in a world of insider threats, targeted attacks from outside, as well as hackers who use social engineering to gain physical access to corporate networks, the security of the wired portion of the network should also be top of mind.
So, here are some basic security precautions you can take for the wired side of the network, whether you’re a small business or a large enterprise.
۱٫ Perform auditing and mapping
If you haven’t recently, you should do some auditing and mapping of your network. Always have a clear understanding of the entire network’s infrastructure, for instance the vendor/model, location, and basic configuration of firewalls, routers, switches, Ethernet cabling and ports, and wireless access points. Plus know exactly what servers, computers, printers, and any other devices are connected, where they are connected, and their connectivity path throughout the network.
During your auditing and mapping you might find specific security vulnerabilities or ways in which you could increase security, performance and reliability. Maybe you’ll run across an incorrectly configured firewall or maybe physical security threats.
If you’re working with a small network with just a few network components and a dozen or less workstations you might just manually perform the audit and create a visual map on a sheet of a paper. For larger networks you might find auditing and mapping programs useful. They can scan the network and start to produce a network map or diagram.
۲٫ Keep the network up-to-date
Once you have a basic network audit and map complete, consider diving deeper. Check for firmware or software updates on all network infrastructure components. Login to the components to ensure default passwords have been changed, review the settings for any insecure configuration, and look into any other security features or functionality you currently aren’t using.
