8 راه برای افزایش امنیت شبکه

زمانی که بحث امنیت شبکه می شود ذهن ما بیشتر به سمت شبکه بیسیم متمرکز می شود زیرا Wi-Fi هیچ حصار فیزیکی ندارد. از این گذشته، یک هکر می تواند SSID شما را شناسایی کرده و هنگام نشستن در پارکینگ، حمله ای را انجام دهد. اما در دنیای تهدیدات خودی، حملات هدفمند از خارج و همچنین هکرهایی که برای دستیابی فیزیکی به شبکه شرکت از مهندسی اجتماعی استفاده می کنند، امنیت شبکه کابلی نیز باید مورد توجه باشد.بنابراین در این مقاله میخوایم 8 راه کاربردی را برای افزایش امنیت شبکه بررسی کنیم که می توانید از آن برای شبکه کابلی خود استفاده کنید، فرقی نداره که یک تجارت کوچک باشید یا یک شرکت بزرگ.

1.انجام ممیزی و نقشه برداری از شبکه در راستای افزایش امنیت شبکه

اگر اخیراً اینکار را نکرده اید باید حسابرسی و نقشه برداری از شبکه خود را انجام دهید. همیشه درک کاملی از زیرساخت های شبکه، به عنوان مثال انواع مدل های استفاده شده، مکان و پیکربندی اصلی فایروال ها، روترها، سوئیچ ها، نحوه کابل کشی و پورت های شبکه و نقاط دسترسی بی سیم داشته باشید. بعلاوه دقیقاً می دانید چه سرورها، رایانه ها ، چاپگرها و سایر دستگاه ها به هم متصل شده اند ، در کجای شبکه قرار دارند و مسیر اتصال آنها در شبکه کجاست.

در حین ممیزی و نقشه برداری شما ممکن است آسیب پذیری های امنیتی خاصی پیدا کنید یا راه هایی که می توانید امنیت ، عملکرد و قابلیت اطمینان را افزایش دهید. شاید با یک فایروال نادرست پیکربندی شده یا تهدیدات امنیتی فیزیکی نیز روبرو شوید.

اگر با یک شبکه کوچک با تنها چند مؤلفه شبکه و دهها یا کمتر ایستگاه کاری کار می کنید ، ممکن است حسابرسی را به صورت دستی انجام داده و یک نقشه بصری را بر روی یک صفحه کاغذ ایجاد کنید. برای شبکه های بزرگتر ممکن است شما برنامه های حسابرسی و نقشه برداری را مفید بدانید. آنها می توانند شبکه را اسکن کرده و شروع به تهیه نقشه شبکه یا نمودار نمایند.

2.شبکه را همیشه به روز نگه دارید جهت افزایش امنیت شبکه

پس از تکمیل ممیزی شبکه و تهیه نقشه کامل شبه، حالا باید عمیق تر کار رو پیش ببریم. به روزرسانی های سیستم عامل یا نرم افزار را در تمام مؤلفه های زیرساخت شبکه بررسی کنید. برای اطمینان از تغییر گذرواژه های پیش فرض، به تمام تجهیزات وارد شوید ، تنظیمات نا امن را اصلاح کنید و سایر ویژگی های امنیتی یا سرویس هایی را که در حال حاضر از آنها استفاده نمی کنید را غیرفعال کنید.

بعد به کلیه سیستم ها و دستگاه های متصل به شبکه نگاهی بیندازید. اطمینان حاصل کنید که از اصول اولیه امنیت شبکه پیروی شده است، مانند سیستم عامل ها با آخرین وصله ها و بروز رسانی های ایمن شده اند و همچنین به روزرسانی Firmware و فایروال شخصی فعال است  آنتی ویروس در حال اجرا و به روز رسانی است و رمزهای عبور قوی تنظیم شده است.

3. امنیت فیزیکی شبکه

اگرچه غالباً نادیده گرفته می شود یا کم اهمیت به نظر می شد اما امنیت فیزیکی شبکه می تواند به همان اندازه مهم باشد که می گویند اینترنت شما با فایروال روبرو است. درست همانطور که شما باید در برابر هکرها، رباتها و ویروس ها از شبکه خود محافظت کنید، شبکه باید در برابر تهدیدات داخلی نیز محافظت شود.

بدون امنیت فیزیکی ساختمان و شبکه، هکرهای و یا حتی یک کارمند می تواند از آن سوءاستفاده کنند. به عنوان مثال  شاید آنها یک روتر بی سیم را به یک پورت شبکه باز وصل کنند و به هر کس دیگری که در آن نزدیکی است دسترسی به شبکه شما بدهد. اما اگر آن پورت قابل مشاهده یا حداقل قطع نشده باشد، چنین اتفاقی نمی افتاد.

اطمینان حاصل کنید که شما یک طرح امنیتی کامل از ساختمان را در دست دارید تا از ورود افراد بدون مجوز جلوگیری کنید. سپس اطمینان حاصل کنید که کلیه رک ها و کابل کشی ها و همچنین مکانهای دیگری که تجهیزات زیرساخت شبکه در آن قرار گرفته اند، از نظر فیزیکی از در مقابل مردم و کارمندان ایمن شده اند. از قفل درب و رک ها استفاده کنید. تأیید کنید که کابل کشی شما امنیت فیزیکی لازم را دارد و به راحتی در دسترس نیست. همین مورد را در مورد نقاط دسترسی بی سیم، پورت های شبکه بلا استفاده را به ویژه در مناطق عمومی ساختمان ، بصورت فیزیکی و یا از طریق پیکربندی سوئیچ / روتر را غیرفعال کنید.

4. فیلتر MAC Address را در نظر بگیرید

یکی از مهمترین مشکلات امنیت شبکه عدم وجود یک روش احراز هویت سریع و آسان است. افراد فقط می توانند از شبکه وصل و استفاده کنند. در سمت بی سیم شما حداقل WPA2-Personal (PSK) دارید که استقرار آن آسان است.

اگرچه می توان از طریق تغییر آدرس فیزیکی، فیلتر آدرس MAC را دور زد اما حد اقل می تواند به عنوان اولین لایه امنیتی باشد. این ویژگی هکرها را متوقف نمی کند، اما می تواند به شما کمک کند از  اتصال کارمندان و تجهیزات بدون مجوز جلوگیری کنید. به عنوان مثال از  اتصال یک میهمان به شبکه خصوصی جلوگیری کنید. همچنین می تواند کنترل بیشتری را در مورد دستگاه های موجود در شبکه به شما بدهد. اما اجازه ندهید که این احساس امنیتی غلط به شما نشان دهد ، و آماده باشید تا لیست تأیید شده MAC را به روز نگه دارید.

5. VLAN ها را برای جداسازی ترافیک پیاده سازی کنید

اگر با یک شبکه کوچک که هنوز  VLAN بندی نشده است کار می کنید برنامه  تغییر را انجام دهید. می توانید از VLAN ها برای گروه بندی پورت های شبکه ، نقاط دسترسی بی سیم و کاربران در بین چندین شبکه مجازی استفاده کنید.

شاید از VLAN ها برای جدا کردن شبکه براساس نوع ترافیک، میزان دسترسی عمومی ، VoIP ، SAN ، DMZ به دلایل امنیتی استفاده کنید همچنین میتوانید از VLAN های Dynamic نیز استفاده کنید. به عنوان مثال ، می توانید لپ تاپ خود را در هر نقطه از شبکه یا از طریق Wi-Fi وصل کنید و به طور خودکار روی VLAN اختصاص داده شده خود قرار گیرید. این امر می تواند از طریق برچسب زدن آدرس MAC حاصل شود یا گزینه امن تر استفاده از احراز هویت 802.1x  است.

برای استفاده از VLAN، روتر و سوئیچ های شما باید از آن پشتیبانی کنند. به دنبال پشتیبانی IEEE 802.1Q در مشخصات محصول باشید. و برای نقاط دسترسی بی سیم ، به احتمال زیاد به تجهیزاتی نیاز دارید که از برچسب زدن VLAN و چند SSID پشتیبانی می کنند. با استفاده از چندین SSID، شما توانایی ارائه چندین WLAN مجازی را دارید که می توانند به یک VLAN خاص اختصاص داده شوند.

6. از 802.1X برای افزایش امنیت شبکه و تأیید اعتبار استفاده کنید

احراز هویت و رمزگذاری در شبکه ، اغلب به دلیل پیچیدگی نادیده گرفته می شوند. معمولا احراز هویت برای شبکه بیسیم در نظر گرفته می شود ولی برای شبکه کابلی نه! در این صورت یک هکر محلی احتمالاً می تواند به به راحتی به شبکه شما متصل شود و ارسال و دریافت ترافیک را انجام دهد.

اگرچه استفاده از احراز هویت 802.1X ترافیک شبکه را رمزگذاری نمی کند، اما تا زمانی که اعتبار ورود به سیستم را ارائه ندهد نمی توانند ارسال و یا دریافت ترافیک داشته باشند.

یکی دیگر از مزایای مهم تأیید اعتبار 802.1X ، امکان اختصاص Dynamic VLAN است.

برای استقرار تأیید هویت 802.1X ، ابتدا به سرور Remote Authentication Dial-In User User RADIUS (RADIUS) نیاز دارید که در اصل به عنوان بانک اطلاعاتی کاربران کار می کند و مؤلفه ای است که دسترسی به شبکه را مجاز یا رد Deny می کند. اگر از سرور ویندوز استفاده می کنید از قبل سرور RADIUS دارید: نقش سرویس (NPS) یا در نسخه های قدیمی تر Windows Server نقش سرویس احراز هویت اینترنت (IAS) است. اگر نمی خواهید از سرورهای ویندوز استفاده کنید می توانید سرورهای RADIUS مستقل را در نظر بگیرید. مانند Cisco ISE و یا FreeRadius.

7. برای انتقال امن اطلاعات از شبکه خصوصی مجازی استفاده کنید

اگر واقعاً به دنبال تأمین امنیت ترافیک شبکه هستید، از رمزگذاری استفاده کنید. به یاد داشته باشید حتی با استفاده از VLAN و تأیید هویت 802.1X ، شخصی می تواند در شبکه (VLAN) شنود کند تا بتواند ترافیک غیر رمزنگاری شده ای را که می تواند شامل گذرواژه ، ایمیل و اسناد باشد را بدست آورد.

اگرچه می توانید تمام ترافیک را رمزگذاری کنید ، ابتدا شبکه خود را آنالیز کنید. شاید رمزگذاری ارتباطات انتخابی که حساس ترین رمزگذاری قبلاً رمزگذاری نشده باشندو باید توسط SSL / HTTPS ، رمزگذاری شود. شما می توانید از طریق یک V-P-N- استاندارد بر روی مشتری، ترافیک حساس را منتقل کنید، که می تواند در حین ارتباط حساس استفاده شود یا حتی برای استفاده تمام وقت در نظر گرفته شود.

8. کل شبکه را رمزگذاری کنید

همچنین می توانید کل شبکه را رمزگذاری کنید. یکی از گزینه ها برای اینکار استفاده از IPsec است. این پروکل در اکثر تجهیزات شبکه پشتیبانی می شود.البته فرایند رمزگذاری می تواند یک سر بار برای شبکه باشد.

اگر این مقاله مورد توجهتون قرار گرفته پیشنهاد میکنم که مقاله امنیت شبکه چیست و چرا اهمیت دارد؟ را نیز مطالعه فرمایید.