SRE at Asa Co. / Agah Group
پروازی بر دنیای امنیت شبکه (قسمت پنجم) – دستورالعمل ها
با سلام و عرض خسته نباشید خدمت تمام نتورکباز های عزیز! ضمن عرض تبریک به مناسب عید نوروز، در ادامه قسمت قبلی از این سری آموزشی، در این پست میخواهیم درمورد دستورالعمل ها صحبت کنیم.
شما در مراحل اولیه ی طراحی شبکه و پیاده سازی آن، به یکسری اصول برای طراحی و یکسری دستورالعمل نیاز دارید؛در این پست کوتاه، به تعدادی از دستورالعمل های کلیدی که میبایستی با آنها آشنا باشید، اشاره میکنیم.
- قانون کمترین دسترسی(Rule of least privilege): این قانون به این صورت شرح داده میشود که شما فقط دسترسی های لازم را به منابع شبکه فراهم کنید و سپس تمام موارد ممکن برای دسترسی های دیگر را مسدود میکنید،یعنی به این صورت که در شبکه تمام ارتباطات Block شوند و فقط به ارتباط مورد نیاز دسترسی داده شود ؛برای بهتر متوجه شدن موضوع ، به عنوان مثال، وقتی که یک Access List بروی Device خود تعریف میکنید ، در شروط آن ذکر میشود که فقط به بسته های با مقصد x و پروتکل y اجازه ی عبور داده شود و سپس تمامی موارد دیگر را Deny و مسدود کن(منظور همان دستور Deny all میباشد). مسلما این روش بسیار بهتر از این است که شما در ACL خود ، تمامی ارتباطات رو Permit all کنید و مواردی که نیاز است مسدود شوند را Block و Deny کنید ، چراکه ممکن است دهها راهه گریز دیگری وجود داشته باشد که حواستان به آنها نبوده است که مسدودشان کنید.
- دفاع در عمق ویا دفاع عمقی(defense in depth): این مفهوم به شما پیشنهاد میدهد که دیدگاهها و پیادهسازی موارد امنیتی خودرا بروی تمامی تجهیزات و نقاط شبکه ی خود پیاده سازی کنید و فقط به یک دستگاه(عموما فایروال) اکتفا نکنید. به عنوان مثال در یک ارتباطه بین کلاینت و سرور، علاوه بر اینکه بروی روتر Filtering انجام میدهید، در ادامه اینکار را بروی Firewall هم انجام دهید، از IPS برای آنالیز ترافیک ارسالی به سمت سرور ها استفاده کنید، و اقدامات احتیاطی و موارد امنیتی مربوط به خود سرورها راهم بروی سرورها پیاده سازی کنید و درکنار اینها از سیستم های امنیتی دیگر مانند راهکارهای e-mail Security ، content security ، malware protection ، مانیتورینگ ، سیستم های اکانتینگ/تایید دسترسی و... هم استفاده کنید. مفهوم کلی ای که این defense in depth بروی آن بنا شده است این است که درصورتی که یک تکنولوژی امنیتی در یکجای شبکه شما از بین رفت و شکست خورد، سطح ها و مکانیزمهای امنیتی دیگری نیز از شبکه،داده ها و دیوایسهای شما محافظت خواهند کرد.
- تقسیم وظایف(Separation of duties): وقتی شما اشخاص خاصی را برای یکسری وظایف خاص مشخص و انتخاب میکنید ، دیدگاهها و قوانین امنیتی پیاده سازی شما همیشه بدرستی و بدقت مورد بررسی و تحقیق قرار میگیرد.چراکه هرشخص وظیفه ی مشخص شده ای دارد و سعی میکند که برای وظایفی که برای اون مشخص شده است بهترین عملکرد و بازخورد را داشته باشید، مسلما این راهکار بسیار بهتر از این است که فقط یکنفر تمامی وظایف مربوط به موارد امنیتی(پیادهسازی،بررسی،توسعه و...) را بر عهده داشته باشد؛ همچنین وظایف اشخاص هر چندوقت یکبار میبایستی بایکدیگر تعویض گردد، چراکه وقتی به یک شخص وظایف جدیدی داده میشود او میبایستی تمامی موارد پیادهسازی شده از قبل را دوباره بررسی و چک کند تا متوجه شود که چگونه باید عمل کند و چه چیزی در راهکارهای پیادهسازی شده ی قبلی کم است! با این کار همیشه راهکارها و پالیسی هایتان توسط نیروهای گوناگونه شما بررسی و رفع اشکال میگردد و بالاخره به نقطه ای میرسد که هربخش ، به بهترین نحو ممکن عمل خواهد کرد!
- حسابرسی(Auditing): این مورد به شما پیشنهاد میدهد که از هرگونه تغییری که در شبکه ی شما رخ میدهد ، log و record داشته باشید؛این کار براحتی میتواند توسط سیستم AAA در سیسکو پیاده سازی شود تا هرزمان ، هررویدادی در شبکه اتفاق بیافتد جزئیات آن در یک سرور نگهداری شوند.
ممنون از وقتتون؛ موفق باشید.
مطلبی دیگر از این انتشارات
مهندسیشبکه: از کدام روتینگپروتکل استفاده کنیم؟
مطلبی دیگر از این انتشارات
آشنایی با QoS – بخش هفتم (Congestion Avoidance) - قسمت نهایی
مطلبی دیگر از این انتشارات
پروازی بر دنیای امنیت شبکه (قسمت هفتم) – فایروال (2)