به نام خدا

امنيت شبکه در سازمان‌ها‌‌ي متوسط

مقدمه
از آن‌جا که تمامي ارتباطات و اطلاعات سازمان‌ها اعم از کوچک، متوسط و بزرگ به صورت کامپيوتري در‌آمده است، لذا انتقال و دسترسي به آن‌ها نيز ملزم به ايجاد و نگهداري شبکه‌هايي است که اين امکان را فراهم مي‌سازند. در سازمان‌هاي با ابعاد متوسط هرچند تعداد سيستم‌ها و منابع شبکه محدود مي‌باشند اما امنيت اطلاعات و ارتباطات کامپيوتري از اهميت بالايي برخوردار است. در مستند حاضر به بررسي و ذکر مواردي پرداخته شده است که جهت ايجاد حداقل ميزان امنيت در شبکه‌هاي کامپيوتري براي سازمان‌هاي متوسط مورد نياز است. براي اين منظور کل مبحث امنيت شبکه در سازمان‌هاي متوسط به چند بخش مجزا تقسيم شده و سپس به ارائه نکات لازم به اجرا در هر کدام پرداخته شده است.

در اين مستند حداقل نيازمندي‌ها براي امن‌سازي شبکه داخلي يک سازمان متوسط ارائه شده است. اين موارد حداقل بوده و حداقل امنيت را به وجود مي‌آورد. لازم به ذکر است که مستند تنها از ديدگاه نظارتي تهيه شده و موارد مورد نياز براي مطالبه از پيمانکار بيان شده و وارد جزئيات فني نگرديده است. در اجراي اين پروژه استفاده از مشاور و يا ناظر اجباري نمي‌باشد.

امنيت در سازمان متوسط
منظور از سازمان متوسط؛ سازماني با حدود 20 تا 50 کامپيوتر است. ساختار شبکه سازمان‌هاي متوسط پيچيده نيست و از يک شبکه محلي (شامل چندين سوئيچ و حداکثر يک فايروال و روتر) تشکيل شده است که اتصال به اينترنت و شبکه دولت نيز دارد. هزينه‌ي انجام اين شرح خدمات حدود سيصد ميليون ريال (000/000/300) مي‌باشد.

براي ايجاد امنيت در شبکه‌‌هاي کامپيوتري سازمان‌هاي با ابعاد متوسط، تمامي اقدامات لازم به نُه بخش جداگانه قابل تقسيم است:

امنيت فيزيکي
امنيت ايستگاه‌هاي کاري
امنِ‌سازي سرورها
امنيت ارتباطات بي‌سيم
امنيت ساختار شبکه سازمان
دستورالعمل‌ها و روال‌هاي امنيتي
نظارت امنيتي
تست نفوذ
آموزش و فرهنگ‌سازي
امنيت فيزيکي
امنيت فيزيکي به صورت ايده‌آل موارد متعددي را در‌‌بر‌‌مي‌گيرد به همين دليل در اين ابعاد پرداختن به آن ضروري نيست. پيمانکار در اين مورد مگر براي امنيت ارتباطات بي‌سيم وظيفه اجرايي به عهده ندارد و فقط بايد موارد زير را بررسي و موارد نقض آن را به اطلاع کارفرما برساند:

امنيت فيزيکي ارتباطات
امنيت فيزيکي ايستگاه‌هاي کاري
امنيت فيزيکي سرورها، سوئيچ‌ها، روترها و فايروال‌ها
امنيت فيزيکي ارتباطات بي‌سيم
امنيت فيزيکي ارتباطات
جهت ايجاد امنيت ارتباطات در بخش امنيت فيزيکي رعايت موارد زير الزامي است:

کابل‌کشي شبکه کامپيوتري طبق استاندارد TIA/EIA-568-B
عدم وجود گره‌هاي شبکه در محل‌هايي که امکان کنترل آن‌ها وجود ندارد و يا عدم عبور کابل از محل‌هاي نزديک به گرما و برق فشار قوي و محل‌هايي که احتمال قطعي‌هاي ناخواسته دارد.

امنيت فيزيکي ايستگاه‌هاي کاري
ايجاد امنيت فيزيکي در ايستگاه‌هاي کاري يک سازمان ملزم به رعايت نکات زير است:

عدم استقرار سيستم‌ها در محل‌هاي با دسترسي بسيار سخت
استقرار سيستم‌ها به دور از محل‌هاي عبور لوله‌هاي آب و گاز يا کابل‌هاي برق بدون حفاظ
استقرار سيستم‌ها در محل‌هاي با ثبات بالا و محل‌هايي که کمتر در مسير راه افراد قرار دارند
عدم اتصال laptopهايي که محدوديت‌هاي امنيتي روي آن اعمال نشده به شبکه سازمان

امنيت فيزيکي سرورها، سوئيچ‌ها و روترها
در راستاي امن‌سازي فيزيکي سرور‌ها، سوئيچ‌ها و روترهاي شبکه يک سازمان رعايت موارد زير الزامي است:

1. استقرار آن‌ها در محلي امن و دور از دسترسي همگان

2. دسترسي آسان براي مدير يا مديران شبکه سازمان

3. استقرار آن‌ها در جعبه‌هاي محافظ (Rack)

4. عدم وجود پايانه‌هاي آب و گاز يا کابل‌هاي بدون حفاظ برق در محل نگهداري ‌آن‌ها

5. استفاده از UPS‌هاي با ظرفيت مورد نياز سازمان

6. وجود کپسول آتش‌نشاني در نزديکي محل استقرار سرور

امن‌سازي سرور‌ها
در سازمان‌هاي متوسط توصيه مي‌شود حداقل 4 عدد سرور زير نصب گردد:

1. سرور کنترلي با نصب سرويس‌هاي زير:

Domain Controller, Active Directory, Windows Service Update Server (WSUS) -

-Antivirus Server, log server

2. FTP Server, Web Server, File Server, DNS به عنوان پشتيبان سرور کنترلي

3. سرور(هاي) برنامه‌هاي کاربردي (مانند اتوماسيون اداري)

4. سرور اتصال به اينترنت (دروازه اينترنتي) و شبکه‌هاي خارجي ديگر مانند شبکه دولت (با نصب مثلا ISA Server)

سرورهاي يک، دو و سه بايد از لحاظ سخت‌افزاري کاملا قابل اطمينان (با مشخصات: دو عدد کارت شبکه , 1G دو عدد CPU 2.3G 2M cache و دو عدد , Hard SATA 300G و دو عدد Power و با قيمتي حدود بيست ميليون ريال) باشند ولي چهارمين سرور حتي مي‌تواند يک عدد رايانه شخصي مناسب هم باشد.

بر روي اين سرورها جهت اجرا و کنترل برنامه‌هاي داخلي سازمان رعايت نکات عمومي زير (جهت ايجاد و نگهداري امنيت براي اين سيستم) ضروري مي‌باشد:

داشتن دستورالعمل پيکربندي امن سرور و نصب حداقل سرويس‌هاي لازم روي آن (با جزيياتي بسيار بيشتر از تنظيمات ويندوز در امنيت ايستگاه‌هاي کاري (قسمت بعد))
نصب ابزارهايي براي ارسال log به log server
تنظيمات مناسب و امن براي به‌روزشدن آنتي‌ويروس و بسته‌هاي امنيتي سيستم عامل
داشتن تنظيمات خودکار براي پشتيبان‌گيري
داشتن رويکرد و ابزار امن براي پيکربندي سرور از راه دور

FTP Servers
1. غير فعال کردن دسترسي Anonymous

2. فعال‌سازي تنظيمات پيچيدگي انتخاب کلمات عبور

3. تنظيم Logon Event‌ها

4. فعال‌سازي سرويس Logging مربوط به FTP

5. در صورت عدم نياز به بارگذاري اطلاعات از سايت FTP، سايت را به صورت يک طرفه تنظيم نماييد (فقط امکان ارسال يا نوشتن اطلاعات در سرور)

6. فعال‌سازي سرويس Disk Quota

7. اعمال محدوديت‌هاي زماني براي شناسه‌هاي کاربري

8. فعال‌سازي سرويس‌هاي Account Lockout و Account Lockout Threshold

9. افزايش ميزان پيچيدگي و دشواري ACL‌ها

Web Servers
1. استفاده از سرورهاي مجزا براي برنامه‌هاي داخل شبکه و خارج از شبکه محلي

2. امکان مميزي عملکرد‌هاي وب سايت و نگهداري Log‌ها در يک محل امن

3. استفاده از پويشگر برنامه (Application Scanner)

امن سازي [DC[1

به منظور ايجاد امنيت در Domain Controller شبکه سازمان رعايت اصول زير الزامي است:

1. امنيت فيزيکي DC

2. بستن دسترسي کاربر Anonymous

3. ساخت يک شناسه کاربري با دسترسي محدود و استفاده مدير شبکه از آن و استفاده از حساب کاربري Administrator فقط در مواقع ضروري

4. نصب فايروال و آنتي‌ويروس‌ قابل مديريت

5. دور نگه داشتن DC از حملات راه دور مانند عدم دسترسي به اينترنت يا مودم

6. ايجاد امنيت بيشتر روي حساب‌هاي کاربري داخل DC

7. جا به جا کردن محل ذخيره بانک‌هاي اطلاعاتي Active Directory

امن‌سازي [DNS[2
پيروي از دستورات زير جهت امن‌سازي سرويس‌دهنده‌هاي DNS الزامي است:

1. استفاده از DNS Forwarder‌ها

2. استفاده از سرويس‌دهنده‌هاي Cache-Only DNS

3. استفاده از DNS Advertiser‌ها

4. استفاده از DNS Resolver‌ها

5. حفاظت و کنترل Cache Pollution

6. فعال کردن DDNS

7. غير‌فعال کردن Zone Transfer

8. نصب و پيکر‌بندي فايروال روي سيستم سرويس‌دهنده DNS

9. تنظيم کنترل دسترسي روي اطلاعات و ورودي‌هاي DNS در رجيستري

10. تنظيم کنترل دسترسي روي اطلاعات و ورودي‌هاي DNS در فايل سيستم‌

11. استفاده از DNS Root و Namespace داخلي براي شبکه سازمان

امنيت ايستگاه‌هاي کاري
پيمانکار موظف است به منظور امن‌سازي ايستگاه‌هاي کاري در شبکه، موارد زير را براي تمام دستگاه‌هاي شبکه اجرا نمايد:

تنظيمات ويندوز
داشتن دستورالعمل پيکربندي امن ويندوز شامل:

1. استفاده از فايل سيستم NTFS براي کليه پارتيشن‌ها

2. غير‌فعال کردن Simple File Sharing

3. استفاده از کلمه عبور براي کليه حساب‌هاي کاربري (مخصوصا administrator که به صورت پيش‌فرض بدون پسورد ايجاد مي‌شود)

4. غير‌فعال کردن حساب کاربري Guest و بقيه حساب‌هاي کاربري بلااستفاده

5. تنظيم محافظ صفحه با کلمه عبور

6. غير‌فعال کردن Remote Desktop براي کليه سيستم‌ها

7. فعال و تنظيم کردن Audit و Log‌ها براي کليه سيستم‌ها

8. غير‌فعال کردن قابليت راه‌اندازي سيستم عامل توسط Floppy يا CD ROM

9. غير‌فعال کردن auto play براي flash drive , CD

10. تنظيمات مناسب و يا نصب ابزارهايي براي ارسال log به log server

11. تنظيمات مناسب و امن براي به‌روزشدن بسته‌هاي امنيتي سيستم عامل

12. داشتن رويکرد و ابزار امن براي پيکربندي ايستگاه کاري از راه دور

تنظيمات آنتي‌ويروس
پس از پيکر‌بندي سيستم‌ عامل مطابق با شرايط فوق نصب و پيکربندي يک آنتي‌ويروس مناسب براي کليه ايستگاه‌هاي کاري با رعايت نکات زير الزامي است:

1. استفاده از آنتي‌ويروس دارايLicense معتبر

2. نصب آنتي‌ويروس براي کليه سيستم‌هاي سازمان، بدون استثنا

3. تنظيم ثبت مرتب و خودکار Log‌هاي آنتي‌ويروس

4. تنظيم به‌روزرساني منظم و خودکار آنتي‌ويروس

5. استفاده از آخرين نسخه آنتي‌ويروس

6. تنظيم شناسايي و حذف خودکار ويروس‌هاي يافت شده توسط آنتي‌ويروس

امنيت ارتباطات بي‌سيم
در صورتي که در ساختار شبکه يک سازمان از تکنولوژي ارتباطات بي‌سيم جهت انتقال اطلاعات استفاده شود، رعايت موارد زير الزامي است:

استفاده از تکنولوژي رمزنگاري WEP
تغيير تنظيمات پيش‌فرض SSID
اختصاص آدرس‌هاي IP به ايستگاه‌هاي کاري بي‌سيم به صورت دستي نه DHCP
غير فعال کردن حالت Ad-Hoc در صورت استفاده از Access Point
ايجاد ACL‌هاي مخصوص سازمان
ثبت MAC آدرس‌هاي تک تک ايستگاه‌هاي کاري در ACL‌هاي مربوط به Access Point‌ها
غيرفعال‌سازي سرويس File and Printer sharing در صورت عدم نياز به استفاده از آن‌ها.
چيدمان صحيح نقاط دسترسي (Access Point) به گونه‌اي که گستره امواج راديويي تنها در دامنه تعيين شده شبکه سازمان باشد

جدا ساختن شبکه‌هاي بي‌سيم و سيم‌کشي شده توسط فايروال.

آموزش و اطلاع‌رساني کاربران در مورد اهميت امنيت ارتباطات بي‌سيم

امنيت ساختار شبکه سازمان
پيمانکار موظف است پس از بررسي ساختار فعلي شبکه و نيازهاي سازمان، طراحي امني براي شبکه سازمان ارائه و آن را اجرا کند. لازم به ذکر است که پيش از طراحي امن ، پيمانکار بايد ارزيابي امنيتي موردي انجام دهد. در تهيه ساختار امن شبکه و پياده‌سازي آن بايد موارد بيان شده در اين فصل لحاظ گردد. پس از طراحي امن، پيمانکار موظف است RFP براي خريد تجهيزات سخت‌افزاري تهيه نمايد و پس از خريد توسط کارفرما آن تجهيزات را تست کند و تحويل بگيرد.

طراحي امن شبکه
در طرح شبکه موارد زير بايد لحاظ گردد:

1. در صورت وجود سرورهايي که به خارج از سازمان سرويس مي‌دهند بايد ناحيه DMZ ايجاد شود.

2. در صورت نياز بايد سرور يا شبکه VPN ايجاد شود.

3. سرور‌هاي داخلي يا خارجي بايد از هم مجزا باشند.

4. بين شبکه اينترنت و شبکه DMZ بايد از يک مسيرياب يا فايروال استفاده کرد.

5. بين شبکه DMZ(و در صورت عدم وجود اينترنت) و شبکه داخلي سازمان بايد از فايروال استفاده کرد.

6. در صورتي که نياز سازمان به چند ناحيه مجزا باشد اين نواحي بايد ايجاد و بين آن‌ها مسيرياب يا فايروال قرار گيرد.

7. نواحي مختلف شبکه داخلي، DMZ و ورود شبکه اينترنت به سازمان بايد در لايه فيزيکي از هم مجزا شوند (يا به صورت فيزيکي و يا VLAN)

8. در صورت وجود ارتباط بي‌سيم بايد در ناحيه جدا قرار گرفته و از مسيرياب و VPN استفاده شود.

9. ساختار IP و Subnet Mask و IP Routing طراحي و اجرا شود.

امنيت VPN
تکنولوژي VPN اين امکان را فراهم مي‌آورد تا بتوانيم از شبکه‌هاي عمومي مانند اينترنت به صورت امن به جاي شبکه‌‌هاي خصوصي استفاده کنيم. در موارد زير استفاده از VPN ضروري است:

1. لازم باشد مدير يا کارمندي از راه دور مثلاً منزل يا محل مسافرت به منابع شبکه داخلي سازمان دسترسي داشته باشد

2. سازمان داراي نماينده يا نمايندگاني در مکان‌هاي دور از سازمان يا شهرها و کشور‌هاي ديگر باشد

3. پشتيباني توسط کارشناسان يا مديران شبکه خارج سازمان

4. وجود ارتباط بي‌سيم

در صورت نياز به استفاده از VPN مي‌توان از سرويس دهنده ISA استفاده نمود که رعايت موارد زير در اين مورد الزامي است:

1. تنظيم پيچيدگي انتخاب کلمات عبور

2. استفاده از پروتکل‌هاي MS-CHAP v2 و EAP به جاي پروتکل‌هاي PAP، SPAP و CHAP

3. غير‌فعال کردن پروتکل‌هاي PAP، SPAP و CHAP

4. استفاده از پروتکل L2TP به جاي IP در ارتباطاتي که از IPSec استفاده مي‌کنند

5. انتقال کليه کاربران داراي سطح دسترسي از راه دور به يک گروه کاربري جهت مديريت متمرکز

6. تعيين سطح دسترسي‌هاي مورد نياز کاربر يا گروه‌هاي کاربران به فايل‌ها، برنامه‌ها و منابع شبکه داخلي با توجه به نياز آن‌ها

7. فعال‌سازي و تنظيم دقيق Event Log جهت کنترل دقيق ارتباطات VPN

فايروال
در صورت نياز به فايروال مي‌توان از فايروال‌هاي سخت‌افزاري يا نرم‌افزاري متناسب همانند ISA يا لينوکس استفاده کرد. در صورت استفاده از سرويس‌دهنده ISA جهت مديريت امنيت شبکه سازمان، رعايت موارد زير کاملاً ضروري است:

تنظيمات لازم مربوط به سيستم عامل
1. عدم نصب ISA Server روي Domain Controller

2. عدم نصب سرويس يا برنامه‌هاي کاربردي روي سيستم سرويس‌دهنده ISA

3. افزايش ميزان دشواري کلمات عبور کاربران سيستم سرويس‌دهنده ISA

4. حذف کليه سرويس‌هايي که مورد استفاده سيستم عامل و ISA قرار نمي‌گيرند

5. به‌روز‌رساني و نصب بسته‌هاي امنيتي سيستم‌عامل و ISA به طور مرتب

6. غيرفعال کردن سرويس File and Printer Sharing روي کارت شبکه خارجي[3]

7. غير‌فعال کردن سرويس Client for Microsoft Networks روي کارت شبکه خارجي

8. غير‌فعال کردن NetBIOS مربوط به TCP/IP روي کارت شبکه خارجي

تنظيمات لازم مربوط به ISA Server
1. فعال کردن Packet Filtering

2. فعال کردن Fragment Filtering

3. فعال کردن Filtering of IP options

4. فعال کردن Intrusion Detection

5. حذف کليه دسترسي‌ها از قسمت Site and Content Rule يا تنظيم دسترسي‌هاي اين قسمت براي کاربر يا گروهي از کاربران

6. حذف کليه Web Proxy listener‌ها در صورت عدم نياز به استفاده از Web Publishing Rules

7. ايجاد Protocol Rule‌هاي لازم جهت دسترسي‌هاي برون سازماني

8. محدود‌سازي دسترسي کاربران به پروتکل‌ها و تنظيم امکان دسترسي افرادي که به آن‌ها نياز دارند

9. تنظيم ارسال هشدارهاي امنيتي ISA Server به E-Mail مدير شبکه

10. بازبيني مرتب و منظم Event Log‌ها

11. ذخيره دقيق و منظم Log‌ها روي يک حافظه جداگانه و کپي‌برداري روزانه از آن‌ها

12. فعال کردن فيلترهاي DNS ، POP و SNMP

13. غير فعال کردن فيلتر SOCKS

14. فقط قراردادن آدرس‌هاي شبکه داخلي در LAT

15. فقط قرار دادن دامنه‌هاي[4] شبکه داخلي در LDT

16. استفاده از سياست‌هاي[5] RRAS در کنترل دسترسي‌ها و مديريت VPN

17. استفاده از کلمات عبور پيچيده، به خصوص اگر از PPTP استفاده مي‌شود

18. اقدام به استفاده از L2TP/IPSec در اولين زمان ممکن

مستندسازي و تدوين دستورالعمل‌ها و روال‌هاي امنيتي
مهم‌تر از ايجاد امنيت در شبکه سازمان حفظ و تداوم امنيت مي‌باشد، به همين منظور معمولا تشکيلاتي در سازمان براي اين هدف تشکيل مي‌گردد. اما در سازمان‌هايي با اين ابعاد مستندسازي و تهيه و اجراي دستور العمل‌ها و روال‌هايي براي امنيت کفايت مي‌کند.

پيمانکار موظف است مستندات زير را در صورت عدم وجود تهيه و در صورت وجود به‌روز‌رساني و سازگار کند:

1. نقشه شبکه سازمان

2. مستندات مربوط به محل قرار گيري سخت‌افزار‌ها و شماره‌هاي آن‌ها (اموال سازمان)

3. مستندات مربوط به کابل‌کشي‌ها و محل قرار گيري سرورها، سوئيچ‌ها و روترها

پس از مستندسازي شبکه سازمان بايد دستورالعمل‌هايي وجود داشته باشد که با پيروي از آن‌ها اين امنيت ايجاد شده پايدار بماند.

اين دستورالعمل‌ها توسط پيمانکار تهيه و بعدا توسط پرسنل کارفرما اجرا خواهند شد. هر کدام از آن‌ها حداقل يکبار توسط پيمانکار نيز بايد اجرا شوند. حداقل دستورالعمل‌هاي مورد نياز در زير آمده‌اند.