امن سازی زیرساخت شبکه بخش اول: مقدمه

براي دستيابي به امنيت شبكه كارا و مؤثر بايد روش دفاع در عمق به صورت يكپارچه پيادهسازي شود. اولين لايه از روش دفاع در عمق، رعايت اصول و مباني پايه امنيت شبكه ميباشد. شد مباني پايه امنيت شبكه، يك خط مشي امنيتي است كه ستون اصلي امنيت محسوب شده و ساير تمهيدات امنيتي بر روي آن سوار ميشوند. از
اينرو تهيه مباني پايه امنيت شبكه از اهميت بالايي برخوردار بوده و بسيار چالش برانگيز است. بخش اعظم اين مباني مربوط به امنيت زيرساخت شبكه است. در اين سلسله از گزارشها سعي شده است تا به گوشهاي از نيازمنديهاي پايه امنيت زيرساخت شبكه اشاره شود و چگونگي پياده سازي آنها توسط تجهيزات سيسكو
ارائه گردد.

مروري بر امن سازی زیرساخت شبکه

نيازمنديهاي پايه امنيت شبكه ش امل موارد مهم و اساسي امنيتي ميباشند كه در ايجاد و توسعه يك ساختار امنيتي قوي مورد استفاده قرار ميگيرند. تمركز اصلي بر روي امن سازي زيرساخت خود شبكه مي باشد، همچنانكه امن سازي سرويسهاي شبكه و موارد زير نيز به عنوان محدوده هاي مهم در بحث امنيت شبكه بايد مورد توجه قرار گيرند:

  • دسترسي به تجهيزات زيرساخت
  • زيرساخت مسيريابي
  • انعطافپذيري و استحكام نرمافزاري تجهيزات
  • دسترسي از راه دور به شبكه
  • اجراي سياستهاي شبكه
  • زيرساخت سويچينگ

به جز موارد پايه امنيتي كه در بالا بدان اشاره شد، معمولاً ويژگيها و تكنولوژيهاي امنيتي اضافه بر آنها مورد توجه قرار نميگيرند. براي مثال، اگر يك حساب كاربري با گذرواژه و رمز عبور پيشفرض بر روي يك دستگاه زيرساخت فعال باشد، نيازي به برنامهريزي و انجام يك حمله پيچيده براي نفوذ به دستگاه نميباشد، بلكه حمله كننده ميتواند به راحتي با اطلاعات پيشفرض كه تغيير پيدا نكردهاند به دستگاه وارد شده و برنامههاي مخرب خود را پيش ببرد. يك راهكار قابل قبول و مطمئن، استفاده از چارچوب امنيتي سيسكو (CSF) است. اين چارچوب روشهاي مختلف تشخيص و اعتبارسنجي نيازمنديهاي امنيتي يك سيستم را فراهم ميكند. معمولاً از CSFدر ايجاد مباحث پايه امنيت براي حصول اطمينان از به كارگيري نيازهاي امنيتي مربوط به بخشهاي مختلف شبكه استفاده ميشود. تمام تنظيمات نمونه كه در اين سلسله از گزارشها ذكر شدهاند، بر اساس پلتفرم IOS سيسكو و ويژگيهاي آن آورده شده است. البته رئوس كلي مطالب در هر بخش قابل تعميم به ديگر پلتفرمها نيز هستند.

ارزيابي مقدماتي طراحي شبكه

نیازمندی های پایه شبكه شامل برخي تكنيكهاي مرتبط با فيلتركردن ترافيكهاي مبتني بر آدرس IP است. براي انجام اين كار از ACL استفاده ميشود تا بتوان سياستهاي امنيتي براي دستگاههاي مديريت دسترسي، قابليت كنترل توزيع مسير و uRPF را اجرا كرد. تكنيك هاي پيشرفته تر امنيتي كه ميتوانند به عنوان لايه هاي افزوده امنيتي اضافه گردند )مانند فايروال( نيز با مكانيزم مشابه فيلتركردن ترافيك بر اساس آدرس IPعمل ميكنند.

يك طرح توزيع آدرس IPكه منطقي، خلاصه، يا تفكيك شده و مجزا باشد (همانطور كه در RFC1918 توضيح داده شده است)، ميتواند پيادهسازي تكنيك فيلتركردن ترافيك مبتني بر آدرس IPرا سادهتر و در مرحله آماده سازي به منظور توسعه مباني پايه امنيت، توصيه ميشود كه يك ارزيابي مقدماتي از طرح شبكه با هدف تسهيل در پيادهسازي آن انجام گيرد.

نكته كليدي در اين ارزيابي، بررسي كامل طرح تخصيص آدرس IPبا تكيه بر دو مورد زير است:

  • آيا طرح تخصيص آدرس IPبه خوبي انجام شده است و آيا خلاصه سازي يا تفكيك اين آدرسها به سادگي قابل انجام است؟
  • آيا RFC1918در مورد تخصيص آدرس IPبه طور مناسب پياده شده است؟

ممكن است ارزيابي طرح تخصيص آدرس IPمنجر به تغيير محدودههايي از ايـن طـرح قبـل از پيـاده سـازي مباني امنيت شود. توجه به اين موضوع اگرچه تغييراتي در شبكه بهوجود مي آورد ولي بـه طـور كلـي موجـب كنترل پذيري و قابليت اجراي بهتر سياستهاي امنيتي ميشود.

مروري بر چارچوب امنيتي سيسكو

چارچوب امنيتي سيسكو يك فرايند عملياتي امنيتي است كه با هدف اطمينان از عملكرد شبكه و سـرويسهـا، در دسترس بودن و تداوم كسب و كار سيستم استفاده ميشود. تهديدات امنيتي هميشـه در حـال رشـد مـي باشند، CSF نيز به منظور تشخيص تهديدات جـاري و همچنـين دنبـال كـردن تهديـدات جديـد و در حـال گسترش، با استفاده از راهحلهاي جامع و عملي استفاده ميشود.
CSF بر اساس دو هدف بنا شده است، با اين فرض كه تا زماني كه بر روي چيزي نظارت نباشـد و نتـوان آن را ديد يا اندازه گرفت، نميتوان آن را كنترل كرد:

  • تحصيل نظارت كامل
  • تشخيص، پايش و همبستهسازي رخدادهاي سيستم
  • حصول اطمينان از كنترل كامل

در زيرساختهاي بزرگ و پيچيده شبكه، ابتدا سيستمها و سـرويسهـا را ايزولـه كـرده و پـس از انجـام آن سياستهاي امنيتي را به منظور رسيدن به نظارت و كنترل كامل اجرا ميكننـد. تكنولـوژيهـا و قابليـتهـاي گوناگوني در طول شبكه براي نظارت كامل بر فعاليتهاي شبكه، اجراي سياستهاي امنيتي و تعيين ترافيـك همانگونه كه در شكل مشاهده ميشود، CSFبر روي شش مرحله كليدي تمركز ميكند

  • شناسايي
  • پايش
  • همبستهسازي
  • استحكام بخشيدن
  • جداسازي
  • اجرا

First-part-secure-network-infrastructure-1-Technet24

به كارگيري CSF براي شبكه نتايجي همچون شناخت تكنولوژيها و بهترين روش بـراي بـرآوردن هريـك از اين شش راه حل عملياتي را در بر خواهد داشت. با اين حال CSF يك فرايند در حال توسـعه، پويـا و سـاختار در حال بهبود محسوب ميگردد كه با تغييرات سياستهـاي امنيتـي و نيازمنـديهـاي تجـاري سـازمان بـه روزرساني مي شود.

در شكل چرخهي ارزيابي براي CSFنشان داده شده است:

First-part-secure-network-infrastructure-2-Technet24

چرخه با ارزيابي اوليه آغاز ميشود كه هدف آن مشخص كردن ظرفيت و وضعيت فعلي امنيت مـيباشـد. در ادامه در فاز تحليل، نقاط ضعف و قوت معماري كنوني آشكار ميگردد. مباحث پايه امنيت به عنوان يك مدل مرجع در طول ارزيابي اوليه و فاز تحليل مورد استفاده قـرار مـيگيـرد. اين مدل حداقل نيازمنديهاي لازم براي كنترل و مديريت پشتيباني را فراهم ميكنـد. نقـاط ضـعف و قـوت شبكههاي واقعي با مقايسه با اين مدل مرجع ميتواند مشخص شود. پس از ارزيابي اوليه و اجراي فاز تحليل، چرخه با برنامه بازسازي با هدف تامين نيازمنديهاي آينده به وسـيله بهروزرساني معماري كل شبكه ادامه پيدا ميكند.

در ادامه، مرحله تعيين توالي طرحها براي ايجاد نقشه پياده سازي براي مؤلفه هاي گوناگون براي معماري مورد نظر فراهم ميگردد. سپس فازهاي مختلف اجرا ميشوند و نتايج بهدست آمده مجدداً مورد ارزيابي قرار ميگيرند. مستند امنيت پايه شبكه، بر مبناي چارچوب CSF توسعه يافته و ارائه شده است. بر اين اساس در هـر بخـش مشخصات امنيتي پيشنهادي و نيز بهترين راهكار اجرايي براي پيادهسازي آن ارائه ميگردد.smile icon

3 دیدگاه
  1. arsalan681 says

    سپاس. ادامه بدید

  2. alirezasooni says

    سلام
    عالی بود منتظر قسمت های بعد هستیم

  3. milad says

    درود
    سپاس فراوان

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.