عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
اصول امنيت برنامه های وب (بخش پنجم) |
مديريت وب |
15306 |
378 |
3.1 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
ماهيت و نحوه پيكربندی دستگاه های شبكه ای
اصول امنيت برنامه
های وب (بخش پنجم)
آنچه تاكنون گفته شده است :
بخش اول |
مفاهيم اوليه
|
: |
تبعيت از يك رويكرد جامع برای ايجاد برنامه های وب ايمن
|
بخش
دوم
|
لايه شبكه |
: |
بررسی
انواع تهديدات در شبكه های كامپيوتری
|
بخش
سوم |
لايه شبكه |
: |
بررسی
نكات ايمنی در خصوص بكارگيری روتر |
بخش چهارم |
لايه شبكه |
: |
بررسی نكات ايمنی در خصوص
بكارگيری فايروال |
در اين بخش
به بررسی سوئيچ ، نكات ايمنی بكارگيری آن و جمع بندی
لايه شبكه خواهيم پرداخت .
سوئيچ و نكات ايمنی در ارتباط با آن
سوئيچ مسئول فورواردينگ بسته های اطلاعاتی به يك هاست و يا سگمنت شبكه است
( در
مقابل اشتراك داده در تمامی شبكه ) . بنابراين سوئيچ
، ترافيك بين سگمنت های متفاوت شبكه را به اشتراك نمی گذارد . رويكرد فوق باعث
پيشگيری
packet sniffing بين شبكه های مختلف می گردد
.
يك مهاجم با دستيابی به اينترفيس های مديريتی سوئيچ ، استفاده از
اسامی شناخته شده نام و رمز عبور ، بسته های اطلاعاتی
SNMP ( برگرفته شده از Simple Network Management Protocol ) ،
قادر به پيكربندی مجدد سوئيچ و تغيير قوانين تعريف شده می باشد.
برای نصب و پيكربندی
سوئيچ با رعايت نكات ايمنی می بايست اقدامات متعددی را در هر يك از گروه های زير انجام
داد :
-
بهنگام سازی و نصب patches
-
شبكه های محلی مجازی ( VLAN
)
-
پيش فرض های غيرايمن
-
سرويس ها
-
رمزنگاری
بهنگام
سازی و نصب patches
با عضويت در خبرنامه شركت هائی كه از
محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری
اطلاعات استفاده شده است
، می توان به سرعت از توصيه
های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت
افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch
مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می
رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك
محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد
، اقدام به نصب نهائی
آنها در محيط واقعی نمائيد .
شبكه های
محلی مجازی (
VLAN )
با استفاده از شبكه های محلی مجازی می توان سگمنت های شبكه را از يكديگر
تفكيك و برای هر يك از آنها قوانين دستيابی بر اساس سياست های امنيتی مختص به خود
را تعريف كرد . توجه
داشته باشيد كه يك VLAN كارآئی شبكه را
بهبود می بخشد ولی الزاما" امنيت را ارائه
نخواهد كرد . با محدود سازی استفاده از
VLANs برای شبكه perimeter ( پشت فايروال ) ، امكان
استفاده تعداد زيادی از اينترفيس های غيرايمن موجود
توسط مهاجمان سلب می گردد .
پيش فرض های غيرايمن
برای اطمينان از اين موضوع كه پيش فرض های غيرايمن ، ايمن می باشند می
بايست تمامی رمز های عبور و رشته های
SNMP Community كه در شركت توليد كننده تعريف و
مقداردهی شده اند را در اولين فرصت تغيير داد . همچنين لازم است كه تمامی اسامی و
رمز عبور مستند نشده را شناسائی و نسبت به تغيير آنها اقدام نمود . اين نوع اسامی و
رمز عبور ، اغلب بر روی سوئيچ های معروف و شناخته شده تعريف و تنظيم می گردند و
مهاجمان از وجود آنها به خوبی آگاه
هستند .
سرويس ها
تمامی سرويس های غيرضروری را می بايست غيرفعال كرد . همچنين لازم است از
غيرفعال بودن پروتكل TFTP ( برگرفته شده از Trivial File
Transfer Protocol ) ، پيكربندی ليست های دستيابی برای اعمال محدوديت در
پيكربندی ، اطمينان حاصل كرد .
رمز نگاری
با اين كه بطور سنتی رمزنگاری در سوئيچ پيش بينی نشده است ولی با
رمزنگاری داده ئی كه بر روی محيط انتقال حركت می نمايد ، اين اطمينان ايجاد می
گردد كه امكان كاوش و استخراج داده موجود در هر يك از بسته های اطلاعاتی توسط
مهاجمان وجود نخواهد داشت .
خلاصه
در اين مطلب به
مسائل امنيتی مرتبط با
سوئيچ اشاره گرديد .
برای پيكربندی ايمن
سوئيچ ، اقدامات متعددی را می بايست انجام داد .
-
نصب آخرين patch
و نسخه های بهنگام شده
-
عضويت در خبرنامه امنيتی توليد كنندگان
(سخت افزار، نرم افزار )
-
ايمن سازی اينترفيس
های مديريتی
-
غيرفعال كردن
اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .
-
غيرفعال كردن سرويس
هائی كه از آنها استفاده نمی گردد .
جمع بندی ايمن سازی شبكه
امنيت شبكه ، شامل حفاظت دستگاه های شبكه ای و داده ئی است كه توسط هر
يك از دستگاه های فوق در شبكه
ارسال می گردد ، با اين
هدف كه امنيت سرويس دهندگان در شبكه افزايش يابد . روتر
،سوئيچ و فايروال مهمترين عناصر موجود در زير ساخت يك شبكه می باشند كه می بايست
نصب و پيكربندی آنها با رعايت نكات ايمنی انجام شود .
در طی پنج مقاله به مهمترين تهديدات موجود در زيرساخت شبكه اشاره و به برخی از
توصيه ها در خصوص بكارگيری ايمن
روتر ، سوئيچ و فايروال اشاره گرديد
.
جدول 1 خلاصه
اقدامات لازم جهت ايمن سازی شبكه را نشان می دهد
.
اقدامات لازم |
دستگاه |
ن صب آخرين patch
و نسخه های بهنگام شده
عضويت در خبرنامه امنيتی توليد كنندگان
(سخت افزار، نرم افزار )
بلاك كردن پورت های شناخته شده
كنترل و نظارت
بر ترافيك ورودی و خروجی شبكه
مانيتورينگ ترافيك ICMP
مديريت
و كنترل ايمن اينترفيس ها
غيرفعال كردن امكان
مديريت از طريق وب
استفاده از روتينگ
ايستا
غيرفعال كردن سرويس
های استفاده نشده نظير
bootps و Finger
استفاده از از رمزهای
عبور قدرتمند
لاگ كردن فعاليت ها
به منظور تشخيص و بررسی ادواری ترافيك غيرطبيعی
مشاهده و كنترل
ping
بسته های اطلاعاتی با ظرفيت بالا
غير فعال كردن
بسته های اطللاعاتی RIP
( برگرفته از Routing Information Protocol ) در صورت استفاده بر روی روتر
مرزی
|
روتر |
-
نصب آخرين patch
و نسخه های بهنگام شده
: نرم افزار فايروال و سيستم عامل می بايست با استفاده از آخرين نسخه های امنيتی
بهنگام گردند.
-
عضويت در خبرنامه امنيتی توليد كنندگان
(سخت افزار، نرم افزار )
-
لاگ و مميزی : تمامی ترافيك مجاز می بايست ثبت و در
فواصل زمانی مشخص بررسی گردد .
-
يكسان نمودن زمان و تاريخ فايروال
با ساير تجهيزات شبكه ای
-
استفاده از يك
سيستم فيلترينگ چند لايه
-
استفاده از شبكه های
Perimeter ( در مواردی كه لازم است چندين شبكه به
سرويس دهندگان دستيابی داشته باشند ) .
-
استفاده از فايروال
در نقاطی كه شبكه شما با يك شبكه تائيد نشده تعامل دارد .
|
فايروال |
-
نصب آخرين patch
و نسخه های بهنگام شده
-
عضويت در خبرنامه امنيتی توليد كنندگان
(سخت افزار، نرم افزار )
-
ايمن سازی اينترفيس
های مديريتی
-
غيرفعال كردن
اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .
-
غيرفعال كرد سرويس
هائی كه از آنها استفاده نمی گردد .
|
سوئيچ |
- يكسان كردن كلاك تمامی دستگاه هائی كه دارای پتانسيل ثبت لاگ می باشند
.
- استفاده از RADIUS و يا TACACS
برای تائيد كاربران اجرائی ( مديريتی)
- تعريف ساختار مناسب برای شبكه تا بتوان ليست های كنترل دستيابی را بر روی
هاست ها و شبكه ها به درستی استفاده كرد .
|
ساير |