8 راه برای افزایش امنیت شبکه
زمانی که بحث امنیت شبکه می شود ذهن ما بیشتر به سمت شبکه بیسیم متمرکز می شود زیرا Wi-Fi هیچ حصار فیزیکی ندارد. از این گذشته، یک هکر می تواند SSID شما را شناسایی کرده و هنگام نشستن در پارکینگ، حمله ای را انجام دهد. اما در دنیای تهدیدات در کنار حملات هدفمند از خارج و همچنین هکرهایی که برای دستیابی فیزیکی به شبکه شرکت از مهندسی اجتماعی استفاده می کنند، امنیت شبکه کابلی نیز باید مورد توجه باشد. بنابراین در این مقاله میخوایم 8 راه کاربردی را برای افزایش امنیت شبکه بررسی کنیم که می توانید از آن برای شبکه کابلی خود استفاده کنید، فرقی نداره که یک تجارت کوچک باشید یا یک شرکت بزرگ.
1. انجام ممیزی و نقشه برداری از شبکه در راستای افزایش امنیت شبکه
اگر اخیراً اینکار را نکرده اید باید حسابرسی و نقشه برداری از شبکه خود را انجام دهید. همیشه درک کاملی از زیرساخت های شبکه، به عنوان مثال انواع مدل های استفاده شده، مکان و پیکربندی اصلی فایروال ها، روترها، سوئیچ ها، نحوه کابل کشی و پورت های شبکه و نقاط دسترسی بی سیم داشته باشید. بعلاوه دقیقاً می دانید سرورها، رایانهها، چاپگرها و سایر دستگاه ها به هم متصل شده، در کجای شبکه قرار دارند و نقطه اتصال آنها در شبکه کجاست.
در حین ممیزی و نقشه برداری شما ممکن است آسیب پذیری های امنیتی خاصی پیدا کنید یا راه هایی که می توانید امنیت، عملکرد و قابلیت اطمینان را افزایش دهید. شاید با یک فایروال که به درستی پیکربندی نشده یا تهدیدات امنیت فیزیکی نیز روبرو شوید.
اگر با یک شبکه کوچک با تنها چند مؤلفه شبکه و دهها یا کمتر ایستگاه کاری کار می کنید، ممکن است حسابرسی را به صورت دستی انجام داده و یک نقشه بصری را بر روی یک صفحه کاغذ ایجاد کنید. برای شبکه های بزرگتر ممکن است شما برنامههای حسابرسی و نقشه برداری را مفید بدانید. آنها می توانند شبکه را اسکن کرده و شروع به تهیه نقشه شبکه یا نمودار نمایند.
2. شبکه را جهت افزایش امنیت همیشه بهروز نگه دارید
پس از تکمیل ممیزی شبکه و تهیه نقشه کامل شبه، حالا باید عمیق تر کار رو پیش ببریم. بهروزرسانی های سیستم عامل یا نرم افزار را در تمام مؤلفه های زیرساخت شبکه بررسی کنید. برای اطمینان از تغییر گذرواژههای پیش فرض، به تمام تجهیزات وارد شوید، تنظیمات نا امن را اصلاح کنید و سایر ویژگی های امنیتی یا سرویس هایی را که در حال حاضر از آنها استفاده نمی کنید را غیرفعال کنید.
بعد به کلیه سیستمها و دستگاههای متصل به شبکه نگاهی بیندازید. اطمینان حاصل کنید که از اصول اولیه امنیت شبکه پیروی شده است، مانند سیستم عاملها با آخرین وصلهها و بهروز رسانیها ایمن شده اند و همچنین بهروزرسانی Firmware و فایروال شخصی فعال است آنتی ویروس در حال اجرا و به روز رسانی است و رمزهای عبور قوی تنظیم شده است.
3. امنیت فیزیکی شبکه
اگرچه غالباً نادیده گرفته می شود یا کم اهمیت به نظر می شد اما امنیت فیزیکی شبکه می تواند به همان اندازه مهم باشد که فایروال شما تنظیم شده است. درست همانطور که شما باید در برابر هکرها، رباتها و ویروس ها از شبکه خود محافظت کنید، شبکه باید در برابر تهدیدات داخلی نیز محافظت شود.
بدون امنیت فیزیکی ساختمان و شبکه، هکرها و یا حتی یک کارمند می تواند از آن سوءاستفاده کنند. به عنوان مثال شاید آنها یک روتر بی سیم را به یک پورت شبکه باز وصل کنند و به هر کس دیگری که در آن نزدیکی است دسترسی به شبکه شما بدهد. اما اگر آن پورت محدود شده باشد، چنین اتفاقی نمی افتاد.
اطمینان حاصل کنید که شما یک طرح امنیتی کامل از ساختمان را در دست دارید تا از ورود افراد بدون مجوز جلوگیری کنید. سپس اطمینان حاصل کنید که کلیه رکها و کابل کشیها و همچنین مکانهای دیگری که تجهیزات زیرساخت شبکه در آن قرار گرفته اند، از نظر فیزیکی از در مقابل افراد و کارمندان ایمن شده اند. از قفل درب و رکها استفاده کنید. تأیید کنید که کابل کشی شما امنیت فیزیکی لازم را دارد و به راحتی در دسترس نیست. همین مورد را در مورد نقاط دسترسی بی سیم، پورتهای شبکه بلا استفاده را به ویژه در مناطق عمومی ساختمان ، بصورت فیزیکی و یا از طریق پیکربندی سوئیچ / روتر را غیرفعال کنید.
4. محدودیت MAC Address را در نظر بگیرید
یکی از مهمترین مشکلات امنیت شبکه عدم وجود یک روش احراز هویت سریع و آسان است. افراد مجاز فقط باید بتوانند به شبکه متصل شده و از آن استفاده کنند. در سمت بی سیم شما حداقل WPA2-Enterprise را باید داشته باشید.
اگرچه می توان از طریق تغییر آدرس فیزیکی، فیلتر آدرس MAC را دور زد اما حداقل می تواند به عنوان اولین لایه امنیتی باشد. این ویژگی هکرها را متوقف نمی کند، اما می تواند به شما کمک کند از اتصال کارمندان و تجهیزات بدون مجوز جلوگیری کنید. به عنوان مثال از اتصال یک میهمان به شبکه سازمان خود جلوگیری کنید. همچنین محدودیت آدرس های فیزیکی می تواند کنترل بیشتری را در مورد دستگاه های موجود در شبکه به شما بدهد.
5. VLANها را برای جداسازی ترافیک پیاده سازی کنید
اگر با یک شبکه کوچک که هنوز VLAN بندی نشده است کار می کنید برنامه تغییر را شروع کنید. می توانید از VLANها برای گروه بندی پورتهای شبکه، نقاط دسترسی بی سیم و کاربران در بین چندین شبکه مجازی استفاده کنید.
شاید از VLAN ها برای جدا کردن شبکه براساس نوع ترافیک، میزان دسترسی عمومی، VoIP ،SAN ،DMZ به دلایل امنیتی استفاده کنید همچنین میتوانید از VLANهای Dynamic نیز استفاده کنید. به عنوان مثال می توانید لپ تاپ خود را در هر نقطه از شبکه یا از طریق Wi-Fi وصل کنید و به طور خودکار روی VLAN اختصاص داده شده خود قرار گیرید. این امر می تواند از طریق برچسب زدن آدرس MAC حاصل شود یا گزینه امن تر استفاده از احراز هویت 802.1x است.
برای استفاده از VLAN، روتر و سوئیچ های شما باید از آن پشتیبانی کنند. به دنبال پشتیبانی IEEE 802.1Q در مشخصات محصول باشید. و برای نقاط دسترسی بی سیم، به احتمال زیاد به تجهیزاتی نیاز دارید که از برچسب زدن VLAN و چند SSID پشتیبانی می کنند. با استفاده از چندین SSID، شما توانایی ارائه چندین WLAN مجازی را دارید که می توانند به یک VLAN خاص اختصاص داده شوند.
6. از 802.1X برای افزایش امنیت شبکه و تأیید اعتبار استفاده کنید
احراز هویت و رمزگذاری در شبکه، اغلب به دلیل پیچیدگی نادیده گرفته می شوند. معمولا احراز هویت برای شبکه بیسیم در نظر گرفته می شود ولی برای شبکه کابلی نه! در این صورت یک هکر داخل ساختمان می تواند به به راحتی به شبکه شما متصل شود و ارسال و دریافت ترافیک را انجام دهد.
اگرچه استفاده از احراز هویت 802.1X ترافیک شبکه را رمزگذاری نمی کند، اما تا زمانی که اعتبار ورود به سیستم را ارائه ندهد نمی توانند ارسال و یا دریافت ترافیک داشته باشند.
یکی دیگر از مزایای مهم تأیید اعتبار 802.1X، امکان اختصاص Dynamic VLAN است.
برای استقرار تأیید هویت 802.1X، ابتدا به سرور Remote Authentication Dial-In User User RADIUS (RADIUS) نیاز دارید که در اصل به عنوان بانک اطلاعاتی کاربران کار می کند و مؤلفه ای است که دسترسی به شبکه را مجاز یا رد Deny می کند. اگر از سرور ویندوز استفاده می کنید از قبل سرور RADIUS دارید: نقش سرویس (NPS) یا در نسخه های قدیمی تر Windows Server نقش سرویس احراز هویت اینترنت (IAS) است. اگر نمی خواهید از سرورهای ویندوز استفاده کنید می توانید سرورهای RADIUS مستقل را در نظر بگیرید. مانند Cisco ISE و یا FreeRadius.
7. برای انتقال امن اطلاعات از شبکه خصوصی مجازی استفاده کنید
اگر واقعاً به دنبال تأمین امنیت ترافیک شبکه هستید، از رمزگذاری استفاده کنید. به یاد داشته باشید حتی با استفاده از VLAN و تأیید هویت 802.1X، شخصی می تواند در شبکه (VLAN) شنود انجام دهد تا بتواند ترافیک غیر رمزنگاری شده را که می تواند شامل گذرواژه، ایمیل و اسناد باشد را بدست آورد.
اگرچه می توانید تمام ترافیک را رمزگذاری کنید اما در ابتدا شبکه خود را آنالیز کنید. شاید در مواردی نیاز باشده که ترافیک های حساس را با استفاده از SSL رمزنگاری کنید. شما می توانید از طریق یک V-P-N- استاندارد بر روی مشتری، ترافیک حساس را منتقل کنید، که می تواند در حین ارتباط حساس استفاده شود یا حتی برای استفاده تمام وقت نیز در نظر گرفته شود.
8. کل شبکه را رمزگذاری کنید
همچنین می توانید کل شبکه را رمزگذاری کنید. یکی از گزینه ها برای اینکار استفاده از IPsec است. این پروکل در اکثر تجهیزات شبکه پشتیبانی می شود. البته فرایند رمزگذاری می تواند یک سربار برای شبکه باشد.
اگر این مقاله مورد توجهتون قرار گرفته پیشنهاد میکنم که مقاله امنیت شبکه چیست و چرا اهمیت دارد؟ را نیز مطالعه فرمایید.
مطالب زیر را حتما بخوانید
-
بررسی کامل Routersploit: ابزار تست نفوذ و ارزیابی امنیت روترها
52 بازدید
-
همه چیز درباره +CompTIA A: دروازه ورود به دنیای فناوری اطلاعات
39 بازدید
-
بررسی امنیت در مجازیسازی: تهدیدات، چالشها و راهکارها
230 بازدید
-
آشنایی با VMware vCenter: معماری، نصب و بهترین شیوههای مدیریت زیرساخت مجازی
60 بازدید
-
هایپروایزر (Hypervisor) چیست؟ انواع، معماری و کاربردهای هایپروایزر در مجازیسازی
65 بازدید
-
OpenStack: راهحل ابری متنباز برای ساخت و مدیریت ابرهای مقیاسپذیر
74 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.