فناوری و اطلاعات - اداره حراست
فناوری و اطلاعات
برای داشتن یک شبکه امن و قابل اعتماد رعایت موارد ذیل می تواند مثمر ثمر باشد؛ گاهی رعایت اصول امنیتی بسیار ساده تر از احیای فاجعه است لذا برای برخورداری از اطمینان خاطر از پیوستگی کار در شبکه لیستی از اقدامات امنیتی ساده، در اینجا ذکر می شود.
۱-حتی المقدور دسترسی فیزیکی به سرورها و تجهیزات شبکه را محدود کنید.
۲-دسترسی به رسانه های ذخیره سازی نظیر فلش و هارد اکسترنال را محدود کنید.
۳-به هیچ عنوان با اکانت Admin وارد سیستم نشوید و با runas و یا su کار کنید .
۴-رمز عبور پیچیده و حرفه ای انتخاب کنید.
۵-فایروال سیستم ها را غیر فعال نکنید.
۶-از آنتی ویروس بروز و نسخه اصلی استفاده کنید.
۷ -سیستم های خود را مرتب بروزرسانی کنید.
۸-اینترفیس های بلااستفاده را disable و یا shutdown کنید.
۹-از هیچ نوع crack ای استفاده نکنید.
۱۰-از سایت های رسمی دانلود کنید.
۱۱-ایمیل های مشکوک و پست ها و ایمیل های دارای لینک را به هیچ وجه باز نکنید.
۱۲-لاگ های امنیتی را مرتب بخوانید.
۱۳-حتی اگر برای لحظه ای کوتاه با سیستم خود کار ندارید ،سیستم را lock کنید.
۱۴-از پروتکل های ارتباطی امنیتی نظیر IPSec , SSL ,SSTP ,IKE ,SSH و … در جای مناسب خود استفاده کنید.
۱۵-از روش های رمزنگاری اطلاعات مثل EFS ,BitLocker و … درجای مناسب خود استفاده کنید.
۱۶-سرویس ها و برنامه های غیر ضروری را disable و یا uninstall کنید.
۱۷-نصب و بروزرسانی patch ها را در اولویت های خود قرار دهید.
۱۸ -از پروتکل ها و تکنولوژی های محدود کننده ارتباطات نظیر vlan ،port security,DMZ,… استفاده کنید.
۱۹-از سیستم عامل های حرفه ای نظیر Open BSD ،Free BSD ،sun solaris و قابلیت های حرفه ای آن استفاده کنید.
۲۰ -تست های نفوذ و ادواری را به شکل مرتب انجام دهید.
۲۱-دفاع در عمق را به شکل عملی و در هر ۷ لایه شبکه پیاده سازی کنید.
۲۲-دانش خود را بروزرسانی کنید.
۲۳ -از سایت های حرفه ای امنیت و ضد امنیت بازدید کنید.
۲۴-مستند سازی امنیتی را همواره مدنظر داشته باشید.
۲۵-از تکنولوژی های واسط ارتباط مثل state full firewall , proxy server ,UTM ,NAPT ,… استفاده مناسب کنید.
۲۶-نظارت تصویری را جدی بگیرید.
۲۷-در مسائل امنیتی تسامح و تساهل را کنار بگذارید.
۲۸ -فرآیندهای AAAA سازمان را بروزرسانی کنید.
۲۹-الگوریتم های پیشرفته رمزنگاری در احراز هویت نظیر AES را مد نظر داشته باشید.
۳۰ -پورت های Listen خطرناک می باشند آن ها را بلاک کنید.
۳۱-پروتکل های قدیمی نظیر WEP ، NetBt , LANMAN و … را کنار بگذارید.
۳۲-پورت های Net BIOS از سمت اینترنت به داخل شبکه خود را مسدود کنید (پورتهای ۱۳۵ تا ۱۳۹ ؛TCP و UDP)
۳۳-پورت Sharing را از سمت اینترنت به شبکه داخلی مسدود کنید (TCP ۴۴۵)
۳۴- تمامی ACL ها و VLAN MAP های خود را بررسی و بروز رسانی کنید.
۳۵-با مجموعه ابزارهای Vmware vshield ماشین های مجازی خود را امن کنید.
۳۶-از پیکربندی vlan ,pvlan ,vvlan های خود مطمئن شده و nvlan های خود را چک آپ کنید.
۳۷-دسترسی کاربران خود به منابع محلی و شبکه ای را با SACL , Rights های حرفه ای محدود کنید.
۳۸-از فرآیندهای PKI در انواع ارتباطات خود نظیر DirectAccess , Tunnel ,IPSec ، https ,ftps ,ssh و دیگر ارتباطات حساس استفاده کنید.
۳۹-سرویس DNS خود را با Directiry Service سازمان یکپارچه نموده ،فرآیندهای DNS SEC و Dynamic DNS خود را بررسی کنید.
۴۰-سرویس DHCP خود را Authorized و خطرات DHCP snoop را مد نظر داشته باشید. بر فرآیند dns dynamic update از طریق dns update proxy نظارت کنید.
۴۱-بر فرآیند service localization و FSMO سازمان نظارت دستی داشته باشید.
۴۲-تمامی site link های سازمان را دستی ایجاد نموده و از site link های پیش فرض استفاده نکنید. بر مدیریت Replication خود نظارت کنید و از ساختارهای DFS-R در Reolication های خود استفاده کنید.
۴۳-از NAP در RDP،DHCP ،RAS و DirectAccess استفاده کنید.
۴۴-از NAC و امکانات حرفه ای آن در شبکه خود بهره ببرید.
۴۵-بجای استفاده از روتینگ های ساده و مبتنی بر مقصد از policy routing استفاده کنید
۴۶-مراقب ساختارهای +PVST و BPDU Gaurd های سازمان خود باشید.
۴۷-مراقب تنظیمات پیش فرض و وضعیت پورت های روتر ها و سوئیچ های خود باشید.
۴۸-از ACL های حرفه ای در NAPT خود استفاده کنید.
۴۹-مراقب SNMP و SNMP Trap ها در تجهیزات شبکه خود باشید.
۵۰-محافظت های لازم از سرورهای SSO ، LDAP , Kerberos و سرورهای GC خود بعمل آورید.
۵۱-مراقب RDP Broker های خود باشید.
۵۲-سرورهای RDP Gateway خودرا بازبینی امنیتی کنید.
۵۳-ساختارهای Proxy RADIUS سازمان خود را بررسی و گاردهای لازم را برروی UDP ۱۸۱۲,۱۸۱۳,۱۶۴۵,۱۶۴۶ پیاده سازی کنید.
۵۴-سیاست های امنیتی را در GPO جدی بگیرید.
۵۵-فرآیندهای Account Lockout را جدی بگیرید.
۵۶-سیاست های بازرسی را در سیستم ها فعال کنید.
۵۷-در سوئیچینگ خود DAI را پیاده سازی کنید.
۵۸-مراقب vlan hopping باشید.
۵۹-از روش های basic authentication و windows authentication در وب سرور خود به هیچ وجه استفاده نکنید.
۶۰-متدهای وب را در ساختار وب خود محدود و مدیریت کنید.