شبکه

بهترین روش برای تقسیم بندی شبکه

تقسیم بندی شبکه برای محدود کردن خطرات ، در هنگام نفوذ به شبکه حیاتی است. هدف این است که جنبش تهدید را در داخل شبکه بسیار دشوار بکنیم و به مزاحمان اجازه ندهیم که امکان دسترسی به داده های حیاتی ما را داشته باشند.

برای مثال با استفاده از برنامه فیشینگ، نفوذگر میتواند به داده های بسیار حیاتی و مهم دست پیدا کند. هدف ما این است که نفوذگر را در یک شبکه بی ضرر زندانی کنیم و در این امر تقسیم شبکه ایمن می تواند کمک کند.

یک نمونه از تقسیم بندی شبکه منطقی پیشنهاد شده:

:نمونه ای از پروتکل های مهم در تقسیم بندی یک شبکه ایمن را میتوان به صورت زیر دسته بندی کرد

InternetDMZHTTP, HTTPS, SMTP, SSH, DNS
DMZInternetDNS, SMTP
DMZApplication ServerHTTP, HTTPS, SMTP
Application ServerDBSQL
Security GatewayApplication ServerSSH, HTTP, HTTPS, SQL,SMTP
InsideHTTP ProxyHTTP, HTTPS
InsideSecurity GatewaySSH, HTTP, HTTPS, SQL
InsideManagementKerberos, Ldap, HTTPS, Radius
InsideIntranetHTTP, HTTPS, SMTP
IntranetDBSQL

DMZ Segment Network

در شبکه های کامپیوتری محلی را به نام (DMZ (Zone Demilitarized تعریف می کنیم . و به معنی منطقه غیرنظامی است. در زمنیه دیواره آتش به قسمتی از شبکه گفته می‌شود که نه قسمتی از شبکه داخلی و نه قسمتی از اینترنت است. در حقیقت یک زیرشبکه منطقی یا فیزیکی است که خدمات خارجی یک سازمان را برای یک شبکه نامطمئن و بزرگتر خارجی، معمولا اینترنت، به نمایش می‌گذارد. هدف DMZ افزودن یک لایه امنیتی اضافی به یک LAN است. یک مهاجم خارجی تنها به تجهیزات موجود در DMZ دسترسی دارد و نمی‌تواند به کل شبکه دسترسی داشته باشد.

در واقع DMZ ناحیه ای بین شبکه داخلی شما (trusted) و شبکه عمومی (untrusted) است .

سرور هایی را که باید از اینترنت قابل دسترسی باشند (مانند Web Server، Mail server، Server FTP و DNS Server) را در DMZ قرار می دهیم . این سیاست مطابق الگوی دفاع لایه به لایه است . به این ترتیب می توانیم راه برقراری ارتباط از اینترنت به داخل شبکه را به طور کامل مسدود کنیم . برای ایجاد لایه های بیشتر می توان بیش از یک DMZ در شبکه ایجاد کرد .

تعداد Device های امنیت شبکه به تعداد dmz ها و موارد دیگری بستگی دارد و با توجه به ساختار شبکه ی هر سازمان، میزان حساسیت و برخی پارامتر های دیگر تعیین می شود.

WebApp Segment Network

در این بخش پیشنهاد میشود که تمام برنامه کاربردی وب میزبانی شده توسط سرورهای برنامه را قرار دهید. و فقط پورت های خدمات داخل DMZ باید باز باشند. برنامه کاربردی وب یا web application یک برنامه‌ است که می‌توان به آن از طریق اینترنت یا اینترانت دسترسی داشت. همچنین به معنی یک برنامه ‌ایست که توسط یک مرورگر پشتیبانی می‌شود.

Proxy Network

پراکسی یا پراکسی سرور برنامه واسطه‌ای بین کاربر داخلی شبکه و اینترنت است که قابلیت‌های فراوانی در راستای حفظ امنیت، نظارت مدیریتی، کنترل کاربران و سرویس‌های ذخیره‌سازی دارد. پراکسی سرور امکان ایجاد فیلترهایی خاص را برای امنیت بیشتر در شبکه فراهم می‌کند، قابلیت ذخیره‌سازی، سرعت دستیابی به اطلاعات را بالا می‌برد و با سیستم‌های تصدیق هویت و تغییر هویت، ضامن امنیت در شبکه داخلی سازمان است و نیز امکان ثبت گزارش کامل کارکردش را دارد. همچنین قابلیت مسدود کردن محتویات آسیب‌رسان و بررسی تبعیت از قوانین برقرار شده در شبکه را دارا می‌باشد. پراکسی سرور امکان استفاده از اکثر پروتکل‌های محلی را فراهم می‌آورد و امکان رمز کردن داده‌ها را نیز دارد. پراکسی‌ها انواع مختلفی دارند که هر یک کار خاصی را انجام می‌دهد، که از آن جمله می‌توان FTP، HTTP، SMTP و DNS را نام برد.

Conclusions

تقسیم بندی شبکه باعث میشود تا انتشار بدافزار ها در شبکه به سختی صورت گیرد. و برای مثال در صورت نیودن یک تقسیم بندی مناسب هر کس در یک شبکه ضعف می توانید با کلیک بر روی ضمیمه دریافت از طریق ایمیل و یا بر روی لینک های دریافت شده توسط فیس بوک یا توییتر و.. اگر آنتی ویروس آن را تشخیص ندهد این بدافزار در شبکه گسترش خواهد یافت. تقسیم شبکه خوب، به ما کمک می کند تا مقابله با این حملات را افزایش دهیم.

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا