فیلم های آموزشی
کتاب های آموزشی
مقالات آموزشی
وقتی صحبت از امنیت شبکه می شود، روی شبکه های بی سیم مانند Wi-Fi متمرکز می شویم. زیرا هیچ نوع حصار فیزیکی ندارد و هر کسی که در محدوده آنتن شبکه باشد، می تواند به آن حمله کند. اما در دنیای تهدیدات داخلی، حملات هدفمند از خارج و همچنین هکر هایی که از مهندسی اجتماعی برای دستیابی فیزیکی به شبکه های شرکتی استفاده می کنند، همواره شبکه های سیمی یا کابلی را تهدید می کنند.
در ادامه 8 روش برای بهبود امنیت شبکه های کابلی (چه مربوط به کسب و کار های کوچک باشد یا شرکت های بزرگ) معرفی می کنیم.
1 – نقشه برداری و شناخت شبکه
اگر اخیرا این کار را انجام نداده اید، باید کمی به آن برسید. همیشه از زیر ساخت های کل شبکه مانند فایروال ها، روتر ها، سوییچ ها، کابل ها، پورت های اترنت و نقاط دسترسی بی سیم درک روشنی داشته باشید. به علاوه این که باید دقیقا بدانید که سرور ها، رایانه ها، چاپگر ها و سایر دستگاه ها به کجا متصل هستند و مسیر اتصال آن ها در شبکه در کجا قرار دارد.
در طول بررسی این فرآیند، ممکن است آسیب پذیری های امنیتی خاص و یا روش هایی را پیدا کنید که از طریق آن ها می توانید امنیت، عملکرد و قابلیت اطمینان را افزایش دهید. شاید با یک پیکربندی استباه فایروال و یا تهدید های امنیت فیزیکی رو به رو شوید.
اگر با یک شبکه کوچک مواجه هستید، می توانید عمل نقشه برداری را روی کاغذ انجام دهید. اما برای شبکه های بزرگ بهتر است تا از نرم افزار ها و شبیه ساز های مربوطه استفاده کنید تا عمل بررسی و عیب یابی راحت تر انجام شود. آن ها می توانند شبکه را اسکن کرده و شروع به تولید نقشه یا نمودار از آن بکنند.
2 – شبکه را به روز نگه دارید
امنیت شبکه های کابلی
به روزرسانی سیستم عامل یا نرم افزار را در تمام اجزای زیر ساخت شبکه بررسی کنید. برای اطمینان از تغییر یافتن گذر واژه های پیشفرض، به اجزای سازنده وارد شوید. تنظیمات مربوط به هرگونه پیکربندی ناامن را مرور کرده و سایر ویژگی های امنیتی یا عملکردی را که در حال حاضر استفاده نمی کنید، جستجو کنید.
در ادامه نگاهی به همه رایانه ها و دستگاه های متصل به شبکه بیاندازید. اطمینان حاصل کنید که اجزاء پایه از جمله بروزرسانی سیستم عامل و درایور ها و فایروال شخصی فعال است. آنتی ویروس آپدیت و در حال اجرا باشد. همچنین پسورد ها نیز تنظیم شده باشند.
3 – امنیت فیزیکی شبکه
امنیت شبکه های کابلی
اگرچه اغلب نادیده گرفته می شود یا به حداقل می رسد اما امنیت فیزیکی نیز باید به اندازه همان امنیت فایروال مهم باشد و به آن رسیدگی شود. همانطور که از شبکه در مقابل هکر ها، ربات ها، بد افزار ها و ویروس ها محافظت می کنید، باید از آن در برابر تهدیدات داخلی نیز محافظت کنید.
بدون امنیت فیزیکی قوی در ساختمان و شبکه، یک هکر در نزدیکی شکا و یا حتی یک کارمند می تواند به آن نفوذ کند. به عنوان مثال آن ها ممکن است یک روتر بی سیم را به یک پورت اترنت باز متصل کنند و به آن ها و هر کسی که در نزدیکی شما باشد، دسترسی بی سیم به شبکه را بدهند.
اطمینان حاصل کنید که یک برنامه امنیتی مناسب (از نظر ساختمانی و اتاق ها) برای جلوگیری از ورود افراد خارجی داشته باشید. سپس مطمئن شوید که تمام کمد های سیم کشی و یا سایر مکان هایی که اجزای زیر ساخت شبکه در آن قرار داده شده اند، از نظر فیزیکی از افراد و کارمندان محافظت شده باشد.
4 – فیلترینگ MAC Address
امنیت شبکه های کابلی
یک مسئله مهم امنیتی دیگر در شبکه های کابلی، عدم وجود احراز هویت سریع و آسان و یا رمزگذاری است. در شبکه های کابلی فقط کافیست تا کاربران به شبکه متصل شده و از آن استفاده نمایند. در شبکه های بی سیم مثل وای فای حداقل یک پروتکل احراز هویت WPA2-Personal (PSK) وجود دارد که می توانید از آن استفاده کنید.
اگرچه فیلتر کردن مک آدرس برای یک هکر سمج و مصمم قابل دور زدن است اما می تواند به عنوان اولین لایه امنیتی عمل کند. این کار به طور کامل هک را متوقف نخواهد کرد اما می تواند از دسترسی غیر مجاز کارمندان جلوگیری کند. همچنین می تواند کنترل بیشتر دستگاه های موجود در شبکه را به شما بدهد. اما اجازه ندهید تا احساس امنیت کاذب به شما بدهد و لیست ادرس های MAC را همیشه به روز نگه دارید.
5 – از VLAN ها برای تفکیک ترافیک استفاده کنید
اگر با شبکه های کوچکتری کار می کنید که هنوز به شبکه های مجازی (VLAN) تقسیم نشده است، تغییر را در نظر بگیرید. می توانید از VLAN برای گروه بندی پورت های اترنت، نقاط دسترسی بی سیم و کاربران در میان چندین شبکه مجازی استفاده کنید.
شاید از VLAN برای جدا کردن شبکه با توجه به نوع ترافیک (دسترسی عمومی، VoIP، DMZ، SAN) به دلایل عملکرد یا طراحی و یا نوع کاربر (کارمند، مدیر، مهمان) به دلایل امنیتی استفاده کنید. VLAN ها هنگامی که به صورت انتساب پویا پیکربندی شوند، بسیار مفید خواهند بود. به عنوان مثال می توانید لپ تاپ خود را در هر نقطه از شبکه یا از طریق Wi-Fi وصل کنید و به طور خودکار روی VLAN اختصاص داده شده قرار دهید. این را می توان از طریق برچسب گذاری آدرس MAC و یا از استفاده از 802.1X که گزینه امن تری هست، استفاده کرد.
برای استفاده از VLAN، روتر و سوییچ های شما باید از آن پشتیبانی کنند. به دنبال پشتیبانی IEEE 802.1Q باشید.
6 – از 802.1X برای احراز هویت استفاده کنید
امنیت شبکه های کابلی
احراز هویت و رمزنگاری در قسمت سیمی شبکه، اغلب به دلیل پیچیدگی هایش نادیده گرفته می شود. مسلم است که شبکه های بی سیم باید رمزنگاری شوند اما از شبکه های سیمی نیز غاقل نشوید. اگر یک هکر به صورت محلی (local) به شبکه دسترسی پیدا کند، می تواند اطلاعات را بدون هیچ مشکلی دریافت و استخراج کند.
اگرچه با استفاده از احراز هویت 802.1X ترافیک اترنت رمزگذاری نمی شود، اما حداقل تا زمانی که کسی اطلاعات ورود به سیستم را وارد نکند، نمی تواند ترافیک شبکه را مشاهده و یا از منابع استفاده کند. همچنین می توانید با استفاده از احراز هویت در شبکه های بی سیم، امنیت WPA2 در سطح سازمانی را با رمزگذاری AES پیاده سازی کنید که مزایای زیادی نسبت به PSK دارد.
یکی دیگر از مزایای مفید دیگر احراز هویت 802.1X ، امکان اختصاص پویای کاربران به VLAN ها است.
7 – از VPN ها برای رمزگذاری رایانه های شخصی و یا سرور ها استفاده کنید
اگر واقعا به دنبال ایمن سازی شبکه هستید، استفاده از رمزگذاری را درنظر بگیرید. همانطور که گفتیم، اگر هکر یا نفوذگر بتواند از سد احراز هویت نیز عبور کند، با توجه به اینکه اطلاعات رمزگذاری نشده اند، اطلاعات به راحتی در اختیار او قرار می گیرد.
شاید بخواهید تا کل شبکه را رمزگذاری کنید، اما در ابتدا بهتر است تا شبکه را آنالیز کنید. ممکن است منطقی تر باشد تا فقط بخش های (داده های) مهم تر و حساس تر را با استفاده از HTTPS/SSL (به عنوان مثال) رمزگذاری کنید. می توانید ترافیک حساس را از طریق یک VPN استاندارد بر روی کلاینت منتقل کنید که می تواند فقط در هنگام ارتباط مورد استفاده قرار گیرد یا اینکه مجبور به استفاده مداوم از آن شوید.
8 – کل شبکه را رمزگذاری کنید
امنیت شبکه های کابلی
همچنین می توانید کل شبکه را رمزنگاری کنید. یک گزینه برای این کار، IPsec است. سرور ویندوز می تواند به عنوان سرور IPsec عمل کند و همچنین صلاحیت کلاینت به طور بومی توسط ویندوز پشتیبانی می شود. با این حال، فرآیند رمزگذاری می تواند یک سربار برای شبکه باشد. نرخ توان مؤثر می تواند به طرز چشمگیری کاهش یابد. همچنین راه حل های اختصاصی رمزگذاری شبکه نیز از سمت فروشندگان تجهیزات شبکه وجود دارد که بسیاری از آن ها از لایه 2 به جای لایه 3 برای کاهش تأخیر و سربار استفاده می کنند. (مانند IPsec)
دیدگاه ها
سوالات پیش از ثبت نام یا نظرات خود را در مورد این پست مطرح نمایید.