کامل ترین چک لیست امنیت شبکه

چک لیست امنیت شبکه

قرن ها پیش، متخصصان امنیتی برای محافظت از قلعه های خود به ایجاد خندق یا پل های متحرک میپرداختند. امروزه ما اگر شبکه خود را به قلعه تشبیه کنیم، با اینکه تجهیزات به کلی تغییر کرده اند اما بحث به همان شکل باقی مانده است. در این مقاله به معرفی کامل ترین چک لیست امنیت شبکه می پردازیم.

هدف از چک لیست امنیت شبکه چیست؟

هدف از این چک لیست امنیت شبکه ارائه نکاتی در مورد زمینه های کلیدی امنیت شبکه است که باید روی آنها تمرکز کنید. چرا که اگر شما صاحب شبکه ای باشید، حتما میدانید که حملات می توانند از همه جهات انجام شوند و با رشد شبکه شما و افزودن دستگاه های بیشتر، افزایش تعداد کاربران و استفاده از برنامه های جدید، سطح تهدید به سرعت رشد می کند و شبکه شما برای دفاع پیچیده تر می شود.

ما این چک لیست امنیت شبکه را به چندین گروه دسته بندی کرده ایم که در ادامه به طور کامل موارد لازم برای هر کدام را لیست خواهیم کرد.

فایروال ها در چک لیست امنیت شبکه

فایروال از محیط شبکه شما با فیلتر کردن ترافیک ورودی و خروجی بر اساس سیاست های امنیتی از قبل تعیین شده محافظت می کند. اساساً یک فایروال به عنوان یک مانع بین شبکه داخلی امن و اینترنت عمل می کند. فایروال ها می توانند سخت افزاری یا نرم افزاری باشند و از نظر قابلیت ها متفاوت باشند.

از جمله مواردی که باید در خصوص فایروال ها در شبکه خود رعایت کنید موارد زیر می باشند:

1. روترهای خود را به آخرین نسخه فریمور آن به روز کنید.
2. قابلیت SPI یا stateful packet inspection را فعال کنید.
3. پاسخ پینگ (ICMP) را در پورت WAN غیرفعال کنید.
4. قابلیت UPnP یا universal plug-and-play را غیرفعال کنید.
5. IDENT (پورت 113) را غیرفعال کنید.
6. مدیریت از راه دور روتر را غیرفعال کنید.
7. رمز عبور پیش فرض ادمین را تغییر دهید.
8. تنظیمات خط مشی فایروال باید تا حد امکان خاص باشد. از 0.0.0.0 به عنوان آدرس استفاده نکنید.
9. سیاست امنیتی مربوط به ترافیک ورودی و خروجی را بررسی کنید.
10. به روز رسانی سیستم عامل و فایروال را بررسی کنید.
11. فقط دسترسی HTTPS را به رابط کاربری گرافیکی و دسترسی SSH به CLI را مجاز کنید.
12. ورود مجدد HTTP GUI را به HTTPS هدایت کنید.
13. پورت های دسترسی مدیریت HTTPS و SSH را به پورت های غیر استاندارد تغییر دهید.
14. محدود کردن ورود از میزبان های شناخته شده.
15. احراز هویت دو مرحله ای را برای مدیران تنظیم کنید.
16. ایجاد چندین حساب مدیر به جای یک حساب توصیه می شود.
17. مدت زمان قفل شدن حساب مدیر را تغییر دهید.
18. بررسی کنید که آیا تمام دسترسی مدیریت از اینترنت خاموش باشد، در صورتی که نیاز به این دسترسی ندارید.
19. مطمئن شوید که تنظیمات SNMP شما از SNMPv3 با رمزگذاری استفاده می کند و نمایه های UTM خود را پیکربندی کنید.
20. تمام خط مشی های فایروال باید هر 3 ماه یکبار بررسی شده و طبق نیاز سازمان باشد.

روترها در چک لیست امنیت شبکه

روترها دستگاه های شبکه ای هستند که در لایه 3 یا یک لایه شبکه از مدل OSI کار می کنند. آنها مسئول دریافت، تجزیه و تحلیل و ارسال بسته های داده در بین شبکه های کامپیوتری متصل هستند. هنگامی که یک بسته داده وارد می شود، روتر آدرس مقصد را بررسی می کند، با جداول مسیریابی آن برای تصمیم گیری مسیر بهینه مشورت می کند و سپس بسته را در این مسیر منتقل می کند.

برای روترهای خود در شبکه حتما موارد امنیتی زیر را رعایت کنید:

1. از رمز عبور پیش فرض برای روتر خود استفاده نکنید.
2. بررسی کنید که آیا روتر دسترسی به مودم را با آدرس IP مسدود می کند یا خیر.
3. اطمینان حاصل کنید که مدیر روتر هنگام پیوستن یک دستگاه جدید به شبکه هشدار دریافت می کند.
4. اکثر روترها به شما امکان می دهند UPnP را در سمت LAN غیرفعال کنید.
5. ارسال پورت و فیلتر IP را برای روتر خود فعال کنید.
6. 6. بررسی کنید که آیا روتر از HTTP پشتیبانی می کند یا خیر، در برخی از روترها به طور پیش فرض غیرفعال است.
7. اگر HTTPS پشتیبانی می شود، آیا می توان دسترسی ادمین را منحصراً به HTTPS محدود کرد؟
8. بررسی کنید که آیا پورت TCP/IP مورد استفاده برای رابط وب قابل تغییر است یا خیر.
9. برای اینکه واقعاً از دسترسی ادمین محلی جلوگیری کنید، آدرس IP LAN را به یک آدرس IP منفرد محدود کنید که هم خارج از محدوده DHCP است و هم معمولاً اختصاص داده نمی شود.
10. بررسی کنید که آیا دسترسی مدیریت می تواند فقط به اترنت محدود شود.
11. بررسی کنید که آیا دسترسی روتر می تواند توسط SSID و یا VLAN محدود شود.
12. روتر نباید به چندین رایانه اجازه ورود همزمان با استفاده از شناسه کاربری یکسان را بدهد.
13. بررسی کنید که آیا پس از تلاش های ناموفق زیاد برای ورود به رابط وب، نوعی قفل وجود دارد یا خیر.
14. مطمئن شوید که تنظیمات مدیریت از راه دور به طور پیش فرض خاموش هستند.
15. بررسی کنید که آیا شماره پورت را می توان از راه دور تغییر داد.
16. اگر فراموش کردید از روتر خارج شوید، در نهایت جلسه شما باید به پایان برسد، و باید بتوانید محدودیت زمانی را تعیین کنید، هر چه کوتاهتر و ایمن تر باشد.
17. WAN ورودی: چه پورت هایی در سمت WAN یا اینترنت باز هستند؟ مطمئن ترین پاسخ هیچکدام است و باید انتظار داشته باشید که هر روتری که توسط یک ISP ارائه نشده است، هیچ پورت باز در سمت اینترنت نداشته باشد.
18. LAN ورودی: چه پورت هایی در سمت LAN باز هستند؟ انتظار می رود پورت 53 برای DNS (احتمالا UDP، شاید TCP) باز باشد.
    19. Outbound: آیا روتر می تواند قوانین فایروال خروجی ایجاد کند؟ انواع حملاتی وجود دارد که با قوانین فایروال خروجی می توان آنها را مسدود کرد. به طور کلی، روترهای مصرف کننده قوانین فایروال خروجی را ارائه نمی دهند در حالی که روترهای کلاس تجاری ارائه می دهند. علاوه بر مسدود کردن، خوب است که بلوک ها برای اهداف ممیزی ثبت شوند. البته توجه داشته باشید که دستگاه‌های متصل به Tor یا VPN از قوانین فایروال خروجی تبعیت نمی‌کنند.

سوئیچ ها در چک لیست امنیت شبکه

سوئیچ شبکه، دستگاه‌های درون یک شبکه را به هم متصل می‌کند و بسته‌های داده را برخلاف روتر، فقط به دستگاهی که برای آن در نظر گرفته شده است (که ممکن است سوییچ دیگر، روتر یا کامپیوتر کاربر باشد) ارسال می کند.

موارد لازم برای امنیت سوئیچ ها در شبکه به صورت زیر می باشند:

1. بررسی کنید که آیا از آخرین فریمور استفاده شده است یا خیر.
2. راهنمای کاربر سوئیچ را برای ویژگی های امنیتی بررسی کنید و ببینید آیا موارد مورد نیاز به درستی اجرا شده اند یا خیر.
3. یک Enable Secret Password در سوئیچ ایجاد کنید.
4. از یک سرور AAA خارجی برای احراز هویت کاربر استفاده کنید.
5. ایجاد حساب‌های محلی جداگانه برای تأیید هویت کاربر و پیکربندی حداکثر تلاش‌های تأیید هویت ناموفق.
6. محدود کردن دسترسی مدیریت به دستگاه ها فقط به IP های خاص.
7. می توانید ورود به بافر داخلی دستگاه یا سرور Log خارجی را فعال کنید.
8. فعال کردن پروتکل زمان شبکه (NTP) – شما باید تنظیمات ساعت دقیق و یکنواختی را در تمام دستگاه های شبکه داشته باشید تا داده های گزارش با زمان و منطقه زمانی صحیح مهر شوند.
9. در صورت امکان از پروتکل های مدیریت امن استفاده کنید.
10. دسترسی SNMP را محدود و ایمن کنید.

سرورهای لینوکس در چک لیست امنیت شبکه

بر کسی پوشیده نیست که سیستم عاملی که انتخاب می‌کنید، تعیین‌کننده کلیدی امنیت آنلاین شما است. از این گذشته، سیستم عامل شما حیاتی ترین نرم افزاری است که روی رایانه شما اجرا می شود، حافظه و فرآیندهای آن و همچنین تمام نرم افزار و سخت افزار آن را مدیریت می کند. در ادامه عوامل کلیدی را لیست کردیم که به امنیت سرور لینوکس شما کمک می‌کنند و سطح محافظت آن را در برابر آسیب‌پذیری‌ها و حملات ارتقا می دهد.

1. لیست بسته خود را به روز کنید و سیستم عامل خود را ارتقا دهید.
2. بسته های غیر ضروری را حذف کنید.
3. رمزهای عبور ضعیف را شناسایی کرده و تغییر دهید.
4. بررسی کنید که هیچ حساب کاربری رمز عبور خالی نداشته باشد.
5. قوانین رمز عبور را تنظیم کنید.
6. انقضای رمز عبور را در login.defs تنظیم کنید.
7. دستگاه های USB را غیرفعال کنید.
8. بررسی کنید که کدام سرویس ها در زمان بوت اجرا می شوند.
9. همه فایل های قابل نوشتن در جهان را شناسایی کنید.
10. iptables را برای جلوگیری از حملات رایج پیکربندی کنید.
11. رمز عبور بوت لودر GRUB را تنظیم کنید.
12. راه اندازی کلید میانبر تعاملی را در هنگام بوت غیرفعال کنید.
13. Audited را برای بررسی رویدادهای خواندن یا نوشتن فعال کنید.
14. سرورهای آپاچی را ایمن کنید.
15. UFW را نصب و پیکربندی کنید.
16. SSH را ایمن پیکربندی کنید.
17. Telnet را غیرفعال کنید.
18. sysctl را به صورت ایمن پیکربندی کنید.
19. حساب های کاربری را پس از تلاش های ناموفق با Fail2Ban قفل کنید.
20. تایم اوت کاربر ریشه را پیکربندی کنید.
21. پورت های باز مخفی را با netstat بررسی کنید.
22. مجوزهای ریشه را برای فایل های سیستم اصلی تنظیم کنید.
23. برای روت کیت ها سرور خود را اسکن کنید.
24. بررسی کنید که حالت خاموش برای هشدارهای ثبت رویداد حساس فعال باشد.
25. بررسی کنید که از تمام داده های گزارش رویداد به طور ایمن نسخه پشتیبان تهیه شده باشد.
26. فرآیند نظارت بر گزارش رویداد را ارزیابی کنید.
27. مراقب ورود کاربرانی باشید که تحت شرایط مشکوک وارد سیستم می شوند.
28. گزارش های دسترسی از راه دور را به طور منظم بررسی کنید.
29. در صورت فعالیت دسترسی از راه دور: مطمئن شوید که فعالیت مشکوک علامت گذاری شده و مستند شده باشد.
30. مطمئن شوید که امتیازات حساب مشکوک به طور موقت مسدود شده است.
31. فرآیند کنترل پیکربندی سرور را ارزیابی کنید.
32. سرویس پک ها و وصله های نرم افزاری را به روز کنید.
33. بررسی کنید که نظارت بر گزارش رویداد به درستی پیکربندی شده است.
34. بررسی کنید که همه ورود به حساب کاربری در حال ثبت است.
35. بررسی کنید که تمام تغییرات پیکربندی سیستم در حال ثبت است.
36. مطمئن شوید که فرآیندی برای تغییر تنظیمات سیستم وجود دارد.
37. مطمئن شوید که فرآیندهای راه اندازی به درستی پیکربندی شده اند.
38. فرآیندهای راه اندازی غیر ضروری را حذف کنید.
39. اطمینان حاصل کنید که کاربران عادی نمی توانند پیکربندی راه اندازی سیستم را تغییر دهند.
40. نرم افزارها و سرویس های استفاده نشده را حذف کنید.
41. اسکن کامل آنتی ویروس برای سیستم را اجرا کنید.
42. تنظیمات امنیتی فایروال سرور خود را بررسی کنید و مطمئن شوید که همه چیز به درستی پیکربندی شده است.
43. غیرفعال کردن یا حذف تمام حساب های کاربری که در 3 ماه گذشته فعال نبوده اند.

سرورهای ویندوزی در چک لیست امنیتی شبکه

1. آخرین سرویس پک ها و پچ های مایکروسافت را نصب کنید.
2. اعلان خودکار در دسترس بودن پچ ها را فعال کنید.
3. حداقل طول رمز عبور را تنظیم کنید.
4. الزامات پیچیدگی رمز عبور را فعال کنید.
5. رمزهای عبور را با استفاده از رمزگذاری برگشت پذیر ذخیره نکنید.
6. سیاست قفل حساب را پیکربندی کنید.
7. امکان دسترسی به این رایانه از شبکه را به Administrators و Authenticated Users محدود کنید.
8. به هیچ کاربری حق “عمل به عنوان بخشی از سیستم عامل” را ندهید.
9. دسترسی Login را به Administrators محدود کنید.
10. امکان ورود به حساب‌های مهمان به عنوان یک سرویس، کار دسته‌ای، محلی یا از طریق RDP را رد کنید.
11. برای کاربرانی که قصد ورود به سیستم را دارند، بنر هشدار را در متن پیام قرار دهید.
12. کاربران را از ایجاد و ورود به حساب های مایکروسافت منع کنید.
13. اکانت مهمان را غیرفعال کنید.
14. برای ورودهای تعاملی به Ctrl+Alt+Del نیاز دارید.
15. محدودیت عدم فعالیت دستگاه را برای محافظت از جلسات تعاملی بدون استفاده پیکربندی کنید.
16. Microsoft Network Client را پیکربندی کنید تا همیشه به صورت دیجیتالی امضا شود.
17. Microsoft Network Client را برای امضای دیجیتالی ارتباطات در صورت موافقت سرور پیکربندی کنید.
18. ارسال رمزهای عبور رمزگذاری نشده به سرورهای SMB شخص ثالث را غیرفعال کنید.
19. سرور شبکه مایکروسافت را طوری پیکربندی کنید که همیشه ارتباطات دیجیتالی را امضا کند.
20. سرور شبکه مایکروسافت را برای امضای دیجیتالی ارتباطات در صورت موافقت کلاینت پیکربندی کنید.
21. ترجمه SID/نام ناشناس را غیرفعال کنید.
22. به شمارش ناشناس حساب های SAM اجازه ندهید.
23. اجازه ندهید همه مجوزها برای کاربران ناشناس اعمال شود.
24. به سیستم محلی اجازه دهید از هویت رایانه برای NTLM استفاده کند.
25. بازگرداندن جلسه NULL سیستم محلی را غیرفعال کنید.
26. انواع رمزگذاری مجاز را برای Kerberos پیکربندی کنید.
27. مقادیر هش LAN Manager را ذخیره نکنید.
28. سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط به NTLMv2 اجازه دهد و LM و NTLM را رد کنید.
29. فایروال ویندوز را در همه پروفایل ها (دامنه، خصوصی، عمومی) فعال کنید.
30. فایروال ویندوز را در تمام پروفایل ها پیکربندی کنید تا ترافیک ورودی به طور پیش فرض مسدود شود.
31. فایروال ویندوز را برای محدود کردن خدمات دسترسی از راه دور (VNC، RDP، و غیره) به شبکه های فقط سازمان مجاز پیکربندی کنید.
32. فایروال ویندوز را برای محدود کردن خدمات دسترسی از راه دور (VNC، RDP و غیره) به VPN سازمان پیکربندی کنید.
33. تعداد لاگین های قبلی را در حافظه پنهان پیکربندی کنید.
34. سیاست حسابرسی ورود به حساب را پیکربندی کنید.
35. سیاست حسابرسی مدیریت حساب را پیکربندی کنید.
36. سیاست حسابرسی Logon/Logoff را پیکربندی کنید.
37. روش و اندازه نگهداری گزارش رویداد را پیکربندی کنید.
38. سرویس های استفاده نشده را غیرفعال یا حذف نصب کنید.
39. حقوق کاربر را پیکربندی کنید تا حد امکان ایمن باشد.
40. سیستم فایل و همچنین مجوزهای رجیستری را پیکربندی کنید.
41. در صورت عدم نیاز، دسترسی به رجیستری از راه دور را مجاز نکنید.
42. تاریخ/زمان سیستم را تنظیم کنید و آن را برای همگام سازی با سرورهای زمان سازمان پیکربندی کنید.
43. نرم افزارهای آنتی ویروس را نصب و فعال کنید.
44. نرم افزاری را برای بررسی یکپارچگی فایل های حیاتی سیستم عامل نصب کنید.
45. اگر از RDP استفاده می شود، سطح رمزگذاری اتصال RDP را روی بالا تنظیم کنید.

نتیجه گیری

عوامل زیادی در امنیت شبکه شما میتوانند دخیل باشند که در این چک لیست امنیت شبکه سعی شد تا مهم ترین آنها ذکر شود. اگر شما دوست دارید میتوانید موارد مورد نظر خود را در قسمت کامنت ها مطرح کنید.

برای مطالعه بیشتر:

• امنیت (سکوریتی) چیست؟
• چگونه هک نشویم؟ نکات امنیتی مهم برای حفظ حریم خصوصی
• مرکز عملیات امنیتی (SOC) چیست و چه وظیفه ای دارد؟