کنترل امنیت شبکه های کامپیوتری شماره ۱۲ : دفاع از مرزها (Boundary Defense)

تاریخ انتشار: آخرین بروزرسانی:
کنترل امنیت شبکه های کامپیوتری شماره ۱۲ : دفاع از مرزها (Boundary Defense)
تصویر شاخص امنیت تجهیزات Edge

دفاع از مرزهای شبکه هنوز یکی از پایه‌های مهم امنیت است؛ فقط شکل مرزها نسبت به چند سال قبل عوض شده. قبلاً مرز شبکه را بیشتر همان لینک اینترنت، فایروال و DMZ می‌دانستیم. امروز همان سازمان ممکن است چند شعبه، کاربر دورکار، سرویس ابری، VPN، پنل مدیریتی، API عمومی و چند مسیر خروجی اینترنت داشته باشد. اگر این مرزها درست دیده و کنترل نشوند، فایروال مرکزی به‌تنهایی تصویر کاملی از ریسک نمی‌دهد.

منظور از Boundary Defense این نیست که همه چیز را پشت یک دیوار بگذاریم و خیالمان راحت باشد. هدف این است که مسیرهای ورود و خروج شبکه مشخص باشند، ترافیک مهم لاگ شود، دسترسی‌ها حداقلی باشد و اگر دستگاهی آلوده شد یا ترافیک غیرعادی داشت، زودتر دیده شود.

مرز شبکه دقیقاً کجاست؟

در یک شبکه عملیاتی، مرز فقط یک نقطه نیست. این موارد معمولاً باید به‌عنوان مرز بررسی شوند:

  • ارتباط اینترنت و فایروال لبه شبکه
  • DMZ و سرورهایی که از بیرون در دسترس هستند
  • VPN کاربران، پیمانکاران و شعب
  • ارتباطات بین دیتاسنتر، شعبه و سرویس‌های ابری
  • پنل‌های مدیریتی تجهیزات شبکه و امنیت
  • مسیرهای خروجی کاربران به اینترنت، به‌خصوص DNS، HTTP و HTTPS

چک‌لیست عملی برای دفاع از مرزها

برای شروع، این موارد ساده‌تر از خرید ابزار جدید جواب می‌دهند و معمولاً سریع‌تر ریسک را کم می‌کنند:

  1. نقشه مسیرهای ورودی و خروجی را به‌روز کنید. اگر نمی‌دانیم ترافیک از کجا وارد و از کجا خارج می‌شود، نوشتن Rule دقیق تقریباً غیرممکن است.
  2. سیاست پیش‌فرض را روی حداقل دسترسی بگذارید. دسترسی‌ها باید بر اساس نیاز واقعی سرویس باز شوند، نه بر اساس «فعلاً باز باشد تا کار راه بیفتد».
  3. مدیریت تجهیزات را از اینترنت جدا کنید. پنل فایروال، روتر، سوئیچ، iLO/iDRAC و کنسول‌های مدیریتی نباید مستقیم در اینترنت دیده شوند.
  4. VPN را با MFA و محدودیت دسترسی اجرا کنید. اتصال VPN نباید به معنی دسترسی آزاد به کل شبکه داخلی باشد.
  5. DMZ را واقعاً از LAN جدا نگه دارید. سرور عمومی اگر آسیب ببیند، نباید مسیر راحتی به دیتابیس، فایل‌سرور یا شبکه کاربران داشته باشد.
  6. برای ترافیک خروجی هم قانون داشته باشید. خیلی از نشت‌ها و ارتباطات بدافزار از مسیر خروجی اتفاق می‌افتد؛ فقط کنترل ورودی کافی نیست.
  7. لاگ‌ها را قابل استفاده نگه دارید. لاگ زیاد ولی بی‌کیفیت کمکی نمی‌کند. لاگ فایروال، VPN، DNS، Proxy و IDS/IPS باید زمان درست، IP درست و شناسه کاربر قابل پیگیری داشته باشد.

جای درست IDS و IPS

IDS برای دیدن و هشدار دادن است و IPS برای جلوگیری فعال. در خیلی از شبکه‌ها ترکیب هر دو لازم است، اما جای قرارگیری و سطح حساسیت مهم‌تر از اسم ابزار است. اگر IDS قبل از فایروال قرار بگیرد، حجم زیادی از اسکن‌ها و ترافیک حذف‌شده را هم می‌بیند. اگر بعد از فایروال یا در مسیرهای داخلی باشد، دید بهتری روی ترافیکی دارد که واقعاً وارد شبکه شده است.

IPS هم باید با دقت فعال شود. روشن کردن همه Signatureها بدون تست، ممکن است سرویس‌های واقعی را قطع کند. بهتر است ابتدا در حالت مانیتور بررسی شود، سپس برای حملات واضح و پرریسک به حالت جلوگیری فعال برسد.

DMZ؛ جایی برای کم کردن خسارت

DMZ نباید فقط یک VLAN با چند سرور باشد. باید برای آن Rule جدا، لاگ جدا، محدودیت ارتباط به داخل و مانیتورینگ مشخص تعریف شود. اگر وب‌سرور در DMZ قرار دارد، ارتباط آن با دیتابیس باید محدود، مستند و قابل لاگ‌گیری باشد. دسترسی ادمین به سرورهای DMZ هم بهتر است از مسیر Bastion یا VPN کنترل‌شده انجام شود، نه مستقیم از هر سیستم داخلی.

چند اشتباه رایج در دفاع از مرز شبکه

  • باز گذاشتن Any به داخل برای تست و فراموش کردن حذف آن
  • استفاده از یک Rule کلی برای چند سرویس متفاوت
  • نداشتن Object و Naming درست در فایروال
  • ثبت نکردن دلیل ایجاد Rule و مالک سرویس
  • فعال نبودن لاگ روی Ruleهای حساس
  • در دسترس بودن پنل مدیریتی از اینترنت یا شبکه کاربران
  • نبود بازبینی دوره‌ای برای Ruleهای قدیمی

بازبینی دوره‌ای Ruleها

یکی از کارهایی که در پروژه‌های امنیتی زیاد جواب می‌دهد، بازبینی Ruleهای قدیمی است. معمولاً بعد از چند سال، تعداد زیادی Rule باقی می‌ماند که سرویس آن حذف شده، مالک آن مشخص نیست یا بیش از حد باز نوشته شده است. بهتر است برای هر Rule حداقل این موارد مشخص باشد: هدف، مالک، تاریخ ایجاد، تاریخ آخرین بازبینی، سرویس و مبدأ/مقصد دقیق.

ابزارهایی که کمک می‌کنند

ابزار به‌تنهایی امنیت نمی‌آورد، اما برای اجرای درست این کنترل‌ها معمولاً از این دسته‌ها استفاده می‌شود:

  • فایروال نسل جدید مثل FortiGate، Palo Alto، Cisco Firepower، Juniper SRX یا Check Point
  • IDS/IPS مثل Snort، Suricata، Security Onion یا قابلیت‌های داخلی فایروال‌ها
  • SIEM برای همبسته‌سازی لاگ‌ها
  • Proxy یا Secure Web Gateway برای کنترل ترافیک خروجی وب
  • NAC برای کنترل اتصال دستگاه‌ها به شبکه داخلی
  • NetFlow/sFlow برای دیدن الگوی ترافیک و ارتباطات غیرعادی

جمع‌بندی

دفاع از مرزها یعنی بدانیم مرزهای واقعی شبکه کجا هستند، چه چیزی از آن‌ها عبور می‌کند و اگر رفتار غیرعادی دیدیم چقدر سریع می‌توانیم آن را پیگیری کنیم. در عمل، ترکیب فایروال درست، DMZ تمیز، VPN کنترل‌شده، لاگ قابل استفاده و بازبینی دوره‌ای Ruleها از بسیاری از خریدهای عجولانه مؤثرتر است.

مطالب مرتبط

راهنماهای مرتبط F5 و FortiGate

  • علیرضا عربیان
  • هیچ
  • 3,249 views
  • 11 دسامبر 18
برچسبها
مطالب مرتبط
کنترل‌های حساس امنیت شبکه؛ نقشه راه عملی برای کاهش ریسککنترل‌های حساس امنیت شبکه؛ نقشه راه عملی برای کاهش ریسک
2,228 views
نگهداری، پایش و تحلیل لاگ؛ حافظه قابل اعتماد برای امنیت شبکهنگهداری، پایش و تحلیل لاگ؛ حافظه قابل اعتماد برای امنیت شبکه
3,874 views
کنترل امنیت شماره ۱۸: امنیت نرم‌افزارهای کاربردیکنترل امنیت شماره ۱۸: امنیت نرم‌افزارهای کاربردی
5 views
تبدیل کانفیگ FortiGate به Juniper با Python؛ تجربه یک مهاجرت واقعی فایروالتبدیل کانفیگ FortiGate به Juniper با Python؛ تجربه یک مهاجرت واقعی فایروال
31 views
هاردنینگ Cisco؛ فیلتر کردن بسته‌های TTL پایین در مرز شبکههاردنینگ Cisco؛ فیلتر کردن بسته‌های TTL پایین در مرز شبکه
2,375 views
محافظت از ایمیل و مرورگر وب؛ کنترل مسیرهای رایج فیشینگ و بدافزارمحافظت از ایمیل و مرورگر وب؛ کنترل مسیرهای رایج فیشینگ و بدافزار
2,608 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.