اصول امنيت برنامه های وب (بخش پنجم)
اين مطلب از طريق سايت شرکت سخاروش در اختيار شما گذاشته شده است .

ماهيت و نحوه پيكربندی دستگاه های شبكه ای

اصول امنيت برنامه های وب (بخش پنجم)
آنچه تاكنون گفته شده است :

  بخش اول

 مفاهيم اوليه

:

 تبعيت از يك رويكرد جامع برای ايجاد برنامه های وب ايمن

  بخش دوم

 لايه شبكه   

: بررسی انواع تهديدات در شبكه های كامپيوتری
 بخش سوم

لايه شبكه

:  بررسی نكات ايمنی در خصوص بكارگيری روتر
 بخش چهارم

لايه شبكه

: بررسی نكات ايمنی در خصوص بكارگيری فايروال

در اين بخش به بررسی سوئيچ ، نكات ايمنی بكارگيری آن و جمع بندی لايه شبكه خواهيم پرداخت .

سوئيچ و نكات ايمنی در ارتباط با آن
سوئيچ مسئول فورواردينگ بسته های اطلاعاتی به يك هاست و يا سگمنت شبكه است ( در مقابل اشتراك داده در تمامی شبكه ) . بنابراين سوئيچ ، ترافيك بين سگمنت های متفاوت شبكه را به اشتراك نمی گذارد . رويكرد فوق باعث پيشگيری packet sniffing  بين  شبكه های مختلف می گردد .
يك مهاجم با دستيابی به اينترفيس های مديريتی سوئيچ ،  استفاده از اسامی شناخته شده  نام و رمز عبور ، بسته های اطلاعاتی SNMP ( برگرفته شده از  Simple Network Management Protocol ) ،  قادر به پيكربندی مجدد  سوئيچ و تغيير قوانين تعريف شده می باشد.
برای نصب و  پيكربندی سوئيچ با رعايت نكات ايمنی می بايست اقدامات متعددی را در هر يك از گروه های زير انجام داد : 

 بهنگام سازی و نصب patches
با عضويت در خبرنامه شركت هائی كه از محصولات نرم افزاری و يا سخت افزاری آنها در زيرساخت فن آوری اطلاعات استفاده شده است ،‌ می توان به سرعت از توصيه های امنيتی آنها آگاهی يافت . شركت های معتبر در صورت بروز مشكل در يك محصول سخت افزاری و يا نرم افزاری در اولين فرصت اقدام به ارائه patch مربوطه می نمايند و اين موضوع را از طريق پست الكترونيكی به اطلاع مشتركان خود می رسانند . توجه داشته باشيد كه همواره قبل از بكارگيری نسخه های بهنگام شده در يك محيط عملياتی ، آنها را تست و پس از حصول اطمينان از صحت عملكرد ، اقدام به نصب نهائی آنها در محيط واقعی نمائيد . 

شبكه های محلی مجازی ( VLAN )
با استفاده از شبكه های محلی مجازی می توان سگمنت های شبكه را از يكديگر تفكيك و برای هر يك از آنها قوانين دستيابی بر اساس سياست های امنيتی مختص به خود را تعريف كرد . توجه داشته باشيد كه يك VLAN كارآئی شبكه را بهبود می بخشد ولی الزاما" امنيت را ارائه نخواهد كرد . با محدود سازی استفاده از VLANs برای شبكه perimeter ( پشت فايروال ) ، امكان استفاده تعداد زيادی از اينترفيس های غيرايمن موجود توسط مهاجمان سلب می گردد . 

پيش فرض های غيرايمن
برای اطمينان از اين موضوع كه پيش فرض های غيرايمن ، ايمن می باشند می بايست تمامی رمز های عبور و رشته های SNMP Community كه در شركت توليد كننده تعريف  و مقداردهی شده اند را در اولين فرصت تغيير داد . همچنين لازم است كه تمامی اسامی و رمز عبور مستند نشده را شناسائی و نسبت به تغيير آنها اقدام نمود . اين نوع اسامی و رمز عبور ، اغلب بر روی سوئيچ های معروف و شناخته شده تعريف و تنظيم می گردند و مهاجمان از وجود آنها به خوبی آگاه هستند .

سرويس ها
تمامی سرويس های غيرضروری را می بايست غيرفعال كرد . همچنين لازم است از غيرفعال بودن پروتكل TFTP ( برگرفته شده از Trivial File Transfer Protocol  ) ، پيكربندی ليست های دستيابی برای اعمال محدوديت در پيكربندی ، اطمينان حاصل كرد .

رمز نگاری
با اين كه بطور سنتی رمزنگاری در سوئيچ پيش بينی نشده است ولی با رمزنگاری داده ئی‌ كه بر روی محيط انتقال حركت می نمايد ، اين اطمينان ايجاد می گردد كه امكان كاوش و استخراج داده موجود در هر يك از بسته های اطلاعاتی توسط مهاجمان وجود نخواهد داشت .

 خلاصه
در اين مطلب به مسائل امنيتی مرتبط با سوئيچ اشاره گرديد . برای پيكربندی ايمن سوئيچ ، اقدامات متعددی را می بايست انجام داد .

جمع بندی ايمن سازی شبكه
امنيت شبكه ، شامل حفاظت دستگاه های شبكه ای و داده ئی است كه توسط هر يك از دستگاه های فوق در شبكه ارسال می گردد ، با اين هدف  كه امنيت سرويس دهندگان در شبكه افزايش يابد .  روتر ،‌سوئيچ و فايروال مهمترين عناصر موجود در زير ساخت يك شبكه می باشند كه می بايست نصب و پيكربندی آنها با رعايت نكات ايمنی انجام شود . 
در طی پنج مقاله به مهمترين تهديدات موجود در زيرساخت شبكه اشاره و به برخی از  توصيه ها در خصوص بكارگيری ايمن روتر ،‌ سوئيچ و فايروال اشاره گرديد .
جدول 1 خلاصه
اقدامات لازم جهت ايمن سازی شبكه را نشان می دهد .

اقدامات لازم دستگاه
  • نصب آخرين patch و نسخه های بهنگام شده

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • بلاك كردن پورت های شناخته شده

  • كنترل و  نظارت بر ترافيك ورودی و خروجی شبكه 

  • مانيتورينگ ترافيك ICMP

  • مديريت و كنترل ايمن  اينترفيس ها 

  • غيرفعال كردن امكان مديريت از طريق وب 

  • استفاده از روتينگ ايستا

  • غيرفعال كردن سرويس های استفاده نشده نظير bootps و Finger

  • استفاده از از رمزهای عبور قدرتمند

  • لاگ كردن فعاليت ها به منظور تشخيص و بررسی ادواری ترافيك غيرطبيعی

  • مشاهده و كنترل ping بسته های اطلاعاتی با ظرفيت بالا 

  • غير فعال كردن بسته های اطللاعاتی RIP ( برگرفته از Routing Information Protocol  )  در صورت استفاده بر روی روتر مرزی

روتر
  • نصب آخرين patch و نسخه های بهنگام شده : نرم افزار فايروال و سيستم عامل می بايست با استفاده از آخرين نسخه های امنيتی بهنگام گردند.

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • لاگ و مميزی : تمامی ترافيك مجاز می بايست ثبت و در فواصل زمانی مشخص بررسی گردد .

  • يكسان نمودن زمان و تاريخ فايروال با ساير تجهيزات شبكه ای 
  • استفاده از  يك سيستم فيلترينگ چند لايه 

  • استفاده از شبكه های Perimeter ( در مواردی كه لازم است چندين شبكه به سرويس دهندگان دستيابی داشته باشند ) .

  • استفاده از فايروال در نقاطی كه شبكه شما با يك شبكه تائيد نشده تعامل دارد .

 

فايروال
  • نصب آخرين patch و نسخه های بهنگام شده 

  • عضويت در خبرنامه امنيتی توليد كنندگان (سخت افزار، نرم افزار )

  • ايمن سازی اينترفيس های مديريتی

  • غيرفعال كردن اينترفيس های مديريتی كه به وجود آنها نياز نمی باشد .

  • غيرفعال كرد سرويس هائی كه از آنها استفاده نمی گردد .

سوئيچ
  •  يكسان كردن كلاك تمامی دستگاه هائی كه دارای پتانسيل ثبت لاگ می باشند .
  • استفاده از RADIUS و يا TACACS برای تائيد كاربران اجرائی ( مديريتی)
  • تعريف ساختار مناسب برای شبكه تا بتوان ليست های كنترل دستيابی را بر روی هاست ها و شبكه ها به درستی استفاده كرد .
ساير

جدول 1 : خلاصه اقدامات لازم جهت ايمن سازی شبكه
( با هدف تامين حداقل امنيت برای برنامه های وب )

 در بخش ششم با تمركز بر روی سرويس دهنده وب به بررسی جايگاه آن در برنامه های وب و نحوه ايمن سازی آن خواهيم پرداخت .


استفاده از اين مطلب  با ذکر منبع و اهداف غيرانتفاعی بلامانع است .
http://www.srco.
ir