طراحی شبکه

طراحی شبکه یکی از مقولاتی است که نقش بسیار مهمی در بازدهی و کارکرد شبکه داشته و لزوم پیاده سازی و اجرای یک شبکه طبق استانداردهای لازم، شبکه را از بوجود آمدن مشکلات احتمالی در آینده مصون داشته و باعث شدن تا بتوان سرویس ها و فناوری های نوین را راحت تر در بستر شبکه بدون مشکل پیاده سازی نمود. اگر طراحی شبکه و یا معماری و توپولوژی شبکه در ابتدا به ساکن، صحیح و اصولی اجرا نشود و کارفرما پس از مدتی تصمیم به اصلاح ساختار شبکه بگیرد بایستی هزینه طراحی و اصلاح ساختار شبکه را پرداخته و چه بسا نیاز به تعویض و خرید تجهیزات شبکه نیز باشد.

اگر بخواهیم کمی تخصصی تر در زمینه طراحی شبکه و دیتاسنتر صحبت کنیم موارد بسیار زیادی بایستی در نظر گرفته شوند تا همه ابعاد یک پیاده سازی استاندارد شبکه رعایت شود. مواردی چون طراحی امنیت شبکه، مدل سه لایه ای سیسکو در ساختار سوئیچ های شبکه، در دسترس پذیری سرورها و سرویسهای شبکه، طراحی server farm یا بلاک سرورها، پیاده سازی اصول کابل کشی ساخت یافته، طراحی DMZ شبکه و ساختار مجازی سازی شبکه و سرورها بخشی از موضوعات مورد بحث در طراحی شبکه میباشند. اگر بخشی از شبکه بصورت وایرلس باشد نیز تنظیم پارامترهای امنیتی شبکه وایرلس، رعایت نکات فرکانسی و تداخل فرکانسی، نوع اکسس پوینت مورد استفاده، جانمایی اکسس پوینت ها و برد شبکه وایرلس بایستی بصورت تخصصی طراحی و پیاده سازی گردد. شبکه ای که طراحی خوب و استانداردی داشته است دارای ویژگی های زیر میباشد :

• در صورت قطع شدن کابل یا لینکی در شبکه ارتباطات شبکه دچار اختلال نشده یا بخش کوچکی فقط دچار مشکل میشود.
• امنیت شبکه تا حدی وابسته به پیاده سازی صحیح ساختار شبکه میباشد، پس پیاده سازی ساختار شبکه بدون در نظر گرفتن امنیت شبکه کاری بیهوده میباشد.
• سرعت دسترسی به سرویس های و سرورها کم نمیباشد و کمتر منابع به اشتراگ گذاشته شده از دسترس خارج میشوند.
• رعایت نکات فرکانسی و تداخل امواج و موارد امنیتی در شبکه های وایرلس
• متناسب با هزینه و نیاز کارفرما خرید تجهیزات انجام شده باشد.( نیازی به خرید تجهیزات شبکه گران قیمت در هر پروژه ای نمیباشد)
• در صورت پاک شدن داده ها و اطلاعات  کاربران، به آسانی و سرعت بالا اطلاعات قابل بازیابی از بک آپ میباشد

طراحی امنیت شبکه

امنیت شبکه یا Network Security یکی از موضوعات بسیار مهم شبکه ها بوده که راهکارهای تخصصی جهت مقابله با تهدیدات داخلی و خارجی شبکه را مطرح میکند. با توجه به فراگیر شدن اینترنت و گسترش بدافزارها، ویروس ها و تروجان ها و آلوده سازی شبکه و سیستمهای آن و خطر نشت، درز اطلاعات و یا از بین رفتن اطلاعات سازمانی وجود راهکارهای امنیت شبکه که در لایه های مختلف در شبکه پیاده سازی میشود امری الزامی میباشد. راهکارهای مذکور بصورت مجموعه ای از تجهیزات سخت افزاری و تنظیمات نرم افزاری بوده که در لایه های مختلف شبکه و دیتاسنتر پیاده سازی میگردد. خلاصه ای از راهکارهای امنیت شبکه میتواند شامل موارد زیر باشد:

• استفاده از نرم افزارهای آنتی ویروس و ضد بدافزار بر روی کلاینت ها و سرور
• استافاده از راهکارهای DLP یا Data loss prevention  جهت جلوگیری از درز اطلاعات سارمانی به خارج از سازمان
• استفاده از فایروال های نسل جدید در لبه شبکه
• سگمنت بندی شبکه جهت جدا کردن و ایزوله سازی ترافیک های شبکه
• امن سازی لایه دو مدل OSI شبکه جهت جلوگیری از حملات در این لایه
• پیاده سازی سیستم احراز کاربران هویت مانند اکتیودایرکتوری و امن سازی آن
• استفاده از رمزهای عبور پیچیده و غیرقابل حدس در شبکه
• استفاده از تکنولوژِی IDS و IPS در شبکه
• استفاده از پروتکل 802.1X در احراز هویت کاربران شبکه LAN و وایرلس
• پیاده سازی اسپم فیلترینگ روی سرور ایمیل
• پشتیبان گیری مرتب از داده ها بر روی tape و ذخیره سازهایی که به شبکه متصل نباشند
• آپدیت نمودن سیستم عامل  سرورها و کلاینتهای شبکه جهت رفع آسیب پذیری های کشف شده
• استفاده از پروتکل های امن مانند ipsec و ssl در هنگام اتصال از راه دور به شبکه در اتصالات vpn
• پیاده سازی hardening سیستم عامل سرورها با استفاده از گروپ پالیسی ها و تنظیمات امنیتی مختلف
• استفاده از راهکارهای NAC یا network access control در شبکه مانند نرم افزار  cisco ise در افزایش امنیت شبکه و end user ها
• انجام تست های نفوذپذیری به شبکه یا Pen Test جهت یافتن آسیب پذیری در شبکه

امروزه در اکثر شبکه ها و دیتاسنترها سوئیچ های سیسکو مورد استفاده میباشند. گاه دیده شده که تنظیمات امنیتی روی سوئیچ ها اعمال نشده و خطر حملات در این لایه از شبکه میتواند اتفاق بیفتد. در زیر نمونه ای از راهکارهای افزایش امنیت روی سوئیچ های سیسکو و لایه 2 مدل OSI بیان میگردد.

امنیت در سوئیچ سیسکو

• فعال سازی login banner یا MOTD banner روی سوئیچ ها جهت نمایش پیغام امنیتی هنگام لاگین به سوئیچ
• امن سازی پورت کنسول سوئیچ و ورودی های vty در هنگام لاگین به سوئیچ
• استفاده از ssh بجای telnet  در اتصال و ریموت به سوئیچ
• امن سازی مد Privileged EXEC با دستور enable secret
• استفاده از دستور service password-encryption برای رمز نمودن پسوردهای clear text
• غیر فعال نمودن دسترسی به سوئیچ از طریق پروتکل http و https
• غیر فعال نمودن پروتکل CDP روی اینترفیس هایی که شبکه ما را به یک شبکه untrust متصل میکند
• محدود کردن دسترسی به سوئیچ در هنگام  ssh به سوئیچ از طریق نوشتن accessl list و اجازه اتصال به ip های مورد اعتماد
• استفاده از vlan اختصاصی جهت مدیریت سوئیچ
• عدم استفاده از vlan id 1 به هیچ وجه
• غیر فعال کردن پروتکل DTP یا dynamic trunking protocol روی اینترفیس هایی که trunk نیستند
• shout down نمودن پورت هایی که روی سوئیچ مورد استفاده نمیباشند و قرار دادن آنها در vlan های مرده
• فعال نمودن port security روی پورت های access برای جلوگیری از حملات MAC flooding
• فعال سازی logging یا syslog و ارسال آنها به یک سرور syslog جهت ذخیره لاگ های سوئیچ
• تنظیم ntp روی سوئیچ جهت sync شدن تایم با تایم سرور
• فعال نمودن bpduguard روی پورت های access با دستور spanning-tree bpduguard enable
•  غیر فعال سازی Packet Assembler/Disassembler (PAD) با دستور no service pad
• فعال نمود timeout برای session ها با دستور exec-timeout که برای کنسول یا ورودی های vty فعال میکنیم
• غیرفعال سازی smart install با دستور no vstack

نکات امنیتی در سرورهای ویندوزی

• رفع آسیب پذیری های سیستم عامل با آپدیت نمودن سرورهای ویندوزی با استفاده از windows update
• فعال نمودن فایروال ویندوز و تعریف rule های امنیتی روی فایروال
• تعریف password policy قوی تا کاربران نتوانند پسوردهای ساده و قابل حدس تعریف کنند
• غیرفعال نمودن file sharing روی سرورهایی که به آن نیاز نداریم
• پرهیز از نصب هرگونه نزم افزار اضافی یا جانبی روی ویندوز سرور
• rename کردن اکانت administrator و استفاده از پسوردهای پیچیده برای اکانت های با دسترسی administrator
• استفاده از lockout policy در شبکه و سرورها
• در صورت نیاز به استفاده از remote desktop روی سرور پورت پیش فرض آن را تغییر دهید
• در صورت باز بودن ریموت دسکتاپ روی سرورها از روی اینترنت، حتما سرویس  emote desktop gateway را پیاده سازی نمایید
• پیاده سازی ntp سرور در شبکه
• غیر فعال سازی پروتکل SMB ورژن 1 روی سرورها
• غیر فعال کردن سرویس های غیر ضروری داخل ویندوز سرور