شبکه امن اندیشه فردا
     * Aparat Aparat
     * Facebook Facebook
     * Twitter Twitter
     * Linkedin Linkedin

     * English
     * تماس با ما
     * نقشه سایت
     * صفحه اصلی

   جستجو در سا_________ Submit
     * راهکارها
       ارائه سرويسهاي فایروال جایگزین و موقت امنیت شبکه سوئیچینگ احراز
       هویت ارتباطات راه دور AppSecure مرکز عملیات امنیت امنیت شبکه

امنیت شبکه
       . سوئیچینگ

سوئیچینگ
       . احراز هویت

احراز هویت
       .
     * محصولات
       JUNIPER FORTINET CISCO ARRAY HP EXTREME JUNIPER

JUNIPER
       FORTINET

FORTINET
       CISCO

CISCO
     * خدمات
       نصب و راه اندازی پشتیبانی و نگهداری آموزش مشاوره و طراحی نصب و راه
       اندازی

نصب و راه اندازی
       پشتیبانی و نگهداری

پشتیبانی و نگهداری
       آموزش

آموزش
     * پشتیبانی
       سوالات فنی پایگاه اطلاعات دانلود سوالات فنی

سوالات فنی
       پایگاه اطلاعات

پایگاه اطلاعات
       دانلود

دانلود
     * آموزش
       Juniper Fortinet Cryptography IP Planning Architecture of Switches
       & Routers Security Policy
     * درباره شبکه امن
       معرفی شرکت اهداف کاری استانداردها و گواهینامه ها مشتریان معرفی
       مدیران دپارتمان ها معرفی شرکت

معرفی شرکت
       اهداف کاری

اهداف کاری
       معرفی مدیران

معرفی مدیران

   جونیپر srx300 دوره های آموزشی فورتیگیت دوره های آموزشی جونیپر juniper
   cisco fortinet

   صفحه اصلی » راهکارها » احراز هویت

[mosalas.png] راهکارها

     * احراز هویت

احراز هویت

   احراز هویت

   امروزه دغدغه اصلی مدیران موفق در سازمانها و شرکتها مسئله امنیت ارتباطات
   در شبکه میباشد و با توجه با اینکه درصد بالایی از تهدیدات و حملات
   (خواسته و یا نا خواسته) توسط کاربران داخل شبکه صورت میپذیرد ، ارائه
   راهکارهای مناسب این بخش از نیازهای اصلی هر شبکه ای میباشد.

   بر اساس آمار مطابق شکل ذیل درصد بالایی از تهدیدات شبکهای توسط کاربرانی
   ایجاد میشود که بعنوان میهمان وارد مجموعه میشوند.(حدود (58% همچنین
   کاربرانی که از راه دور به منابع شبکه دسترسی پیدا میکنند در رتبه بعدی
   تهدید ها (57%)به حساب میآیند.از طرف دیگر نزدیک به 50 درصد تهدیدات شبکه
   ای نیز توسط کاربران بی سیم ایجاد میشوند.


   از طرفی با توجه به همگانی شدن شبکه جهانی اینترنت و تلاش سازمانها به
   ارائه سرویسهای تحت اینترنت، نگرانی بسیاری را نیز در خصوص امنیت این
   ارتباطات بوجود میآورد.

   در این خصوص شرکت شبکه امن با ارائه راهکارهای مناسب احراز هویت در شبکه ،
   این امکان را فراهم میسازد تا سازمانها و شرکتها به سادگی هر چه بیشتر به
   درصد بالایی از امنیت در شبکه دست یافته و تا حد بالایی از میزان تهدیدات
   شبکهای بکاهند.

   با توجه به موارد فوق راهکارهای مناسب امنیت شبکه بر مبنای نیاز سازمان
   ارائه میگردد :

   نیاز 1 : کنترل استفاده از UserName  و Password   کاربران شبکه:

    با استفاده از Active Directory میتوان سطح دسترسی کاربران را تعیین
   نمود. در واقع درشبکههای امروزی میتوان گروههای کاری مختلف با حق دسترسی
   مشخص ایجاد کرد. در شبکههایی که بر مبنای Active Directory پایه گذاری
   میشوند، UserName  و Password از اهمیت بسیار بالایی برخوردار خواهند بود.
   به عنوان مثال در صورتیکه UserName و Password کاربری که حق دسترسی بالایی
   دارد به دست فرد یا افراد غیر مجاز بیفتد، آن شخص قادر به اعمال تغییرات و
   تاثیرات بسیار در اطلاعات و دادههای سازمان خواهد بود.

   چه راه حلی جهت کنترل UserName و Password   کاربران موجود در شبکه وجود
   دارد به نحوی که کاربران امکان استفاده از نام کاربری یکدیگر را بدون
   اطلاع هم نداشته باشند ؟

   راهکار 1 :

   در شبکههای مبتنی برActive Directory ، بهترین روش جهت کنترل هویت کاربران
   استفاده از مکانیزم "احراز هویت دو وجهی" یا Two-Factor Authentication می
   باشد .اساس کار این سیستم بر دو محور است :

   1 چیزی که دارید (OTP)

   2 چیزی که میدانید

   در اینصورت جهت حداکثر امنیت در حوزه احراز هویت (Authentication) به هر
   کاربر شبکه یک عدد OTP داده خواهد شد و کاربران در کنار UserName و
   Password خود میبایست کد تولید شده توسط OTP را نیز جهت Login به شبکه
   وارد نمایند .

   OTP(One-Time Password) ها سخت افزار هایی هستند (مطابق شکل ذیل) که با
   فشار دادن کلید روی آن یک کد 6 رقمی تولید خواهد شد که فقط در همان زمان و
   یا در همان یک ارتباط معتبر هستند و کاربر امکان خواهد داشت تا با استفاده
   ار UserName و Password مربوط به Active Directory به همراه این کد به
   شبکه وارد شده و از منابع آن استفاده نماید.

   با استفاده از این مکانیزم حتی اگر UserName و Password یک کاربر دزدیده
   شود امکان Login به شبکه را نخواهد داشت به این دلیل که جهت Login به شبکه
   علاوه بر دانستن UserName و Password میبایست OTP متناظر آن Username را
   نیز دارا بود.

   نیاز 2 : کنترل دسترسی و مدیریت تجهیزات شبکه

   در هر سازمان و مجموعهای استفاده از انواع switch ها، روترها، firewallها،
   access pointها و IPS/IDSها بدیهی میباشد و جهت پیکربندی و مدیریت این
   تجهیزات میتوان با ابزار هایی نظیر  Telnet ، SSH ، WebUI و …… به آنها
   متصل شده و تغییرات مورد نیاز را اعمال نمود. مدیران شبکه برای کنترل این
   منابع،گروههای کاری مختلف با حق دسترسی متفاوت ایجاد  میکنند.

   کاربران این گروه ها را میتوان به صورت locally و یا از کاربران Active
   directory  انتخاب نمود. کاربرانی که حق دسترسی به این منابع در شبکه را
   دارند معمولا از مدیران و یا کاربرانی با سطح دسترسی بالا در شبکه میباشند
   که لو رفتن نام کاربری و کلمه عبور آنها تهدیدی جدی برای شبکه و سازمان
   بشمار میرود، به این دلیل که در صورت دارا بودن حق  دسترسی ( UserName &
   Password )به تجهیزاتی نظیر سوییچ ،روتر و یا فایروال شبکه، میتوان با
   اعمال تغییرات و یا پاک کردن بخشی از پیکربندیها مشکلات بسیاری را ایجاد
   نمود. لذا حفاظت و مدیریت دسترسی ها به تجهیزات شبکه نظیر سوييچ ها ، روتر
   ها و … از اهمیت بسیار بالایی برخوردار میباشد.

   چگونه میتوان نحوه دسترسی به این تجهیزات (Switch,Router,Firewall,…) را
   به حداکثر رساند به گونهای که فقط و فقط کاربران مجاز قادر به برقراری
   ارتباط با آن باشند و حتی در صورت دزدیده شدن UserName و Password امکان
   Login کردن به آن تجهیزات وجود نداشته باشد؟

   راهکار 2 :

   از آنجا که دسترسی به سوییچها ، روتر ها و فایروالهای یک سازمان، میتواند
   به منزله دسترسی به کلیه اطلاعات مربوط به آن سازمان باشد، کنترل این
   دسترسیها و اینکه چه کسی حق دسترسی به آنها را داشته باشد از مهمترین
   بخشهای امنیت آن سازمان خواهد بود. بعنوان مثال در صورتیکه فردی با
   استفاده از اطلاعات Login  مسئول این تجهیزات وارد آنها شده و با استفاده
   از چند دستور ساده این امکان را فراهم آورد که یک کپی از اطلاعات یک سرور
   خاص و یا یک Vlan خاص را در کامپیوتر خود ذخیره نماید ، میتواند مخاطرات
   بسیاری را برای آن مجموعه فراهم آورد
   .


   بهترین راهکار جهت حل این مسئله استفاده از مکانیزم " احراز هویت چند وجهی
   " میباشد.در این راهکار شما میتوانید کاربران خود را مجاب به استفاده از
   OTP برای Login به سخت افزارهای شبکه و کنترل آنها کرده و کاربران در کنار
   UserName و Password خود میبایست کد تولید شده توسط OTP را نیز جهت Login
   به این دستگاه ها وارد نمایند. در این حالت تنها کاربرانی امکان Login
   کردن به این تجهیزات را خواهند داشت که علاوه بر دانستن UserName و
   Password ، OTP متناظر آن Username را نیز دارا بوده و با استفاده از آن
   به این تجهیزات متصل شوند .

   نیاز 3 :امنیت اتصال به شبکه داخلی سازمان از طریق اینترنت

   اینترنت بعنوان یک بستر عمومی و ارزان امکانات بسیاری را برای شرکتها و
   سازمانها فراهم میآورد. سرویس دهی از راه دور یکی از این امکانات می
   باشد.سرویس دهی از راه دور به سازمانها این امکان را میدهد که بتوانند از
   راه دور به سرویسهای داخلی سازمان نظیر پورتال داخلی، اتوماسیون اداری،
   ایمیل اختصاصی، سرور ها و سخت افزارهای موجود در شبکه داخلی وصل شده و به
   کارهای روزمره خود بپردازند.

   مسئله اصلی در خصوص اتصال به شبکه داخلی سازمان از طریق بسترهای عمومی
   نظیر اینترنت، امنیت این ارتباطات خواهد بود .

   راهکار 3 :

    در سازمانهایی که شبکه آنها به شبکههای خارجی دیگر نظیر اینترنت، MPLS ،
   Wireless و …. متصل میشوند ، از سه ناحیه قابل بررسی خواهند بود :

       Untrust Networks به هرگونه شبکهای که کنترل آن به عهده سازمان نباشد
   اطلاق میشوند. شبکههایی نظیر اینترنت ، MPLS  و … از نوع شبکههای Untrust
   بوده و میبایست در نقطه ورودی این شبکه ها به سازمان حداکثر امنیت را در
   نظر گرفت.

       Semi-Untrust Networks به بخشی از شبکه سازمان گفته میشود که به
   کاربران خارج از سازمان سرویس دهی میکنند. بعنوان مثال میتوان به بخش DMZ
   یک سازمان اشاره کرد که وظیفه آن ارائه سرویس هایی نظیر Mail و Web به
   کاربران خارجی میباشد.

       Trust Networkبخشی از شبکه سازمان خواهد بود که هیچگونه ورودی از شبکه
   های بیرونی نظیر اینترنت و … به آن وجود نداشته و تنها در صورت نیاز می
   توانند از سرویسهای بیرون از سازمان استفاده کنند.

   در حالت عادی اتصال از شبکه Untrust به شبکه Trust بدون در نظر گرفتن
   Authentication  و Encryption بسیار پرمخاطره بوده و میتواند عامل بروز
   انواع تهدیدات گردد. لذا در صورت نیاز به اتصال به سرویسهایی نظیر Portal
   داخلی ، Email server  داخلی، اتوماسیون و … میبایست از VPN استفاده نمود.

   VPN در واقع ایجاد یک شبکه اختصاصی در داخل یک شبکه عمومی میباشد که بسته
   به نیاز سازمانها میتوان از IPSEC-VPN و یا SSL-VPN استفاده نمود



   نیاز 4 :ارتباط از راه دور با شبکه داخلی از طریق VPN:

   امروزه استفاده از VPN در خصوص سازمانهایی با مشخصات ذیل الزامیست :

   سازمانهایی که مدیران و کارشناسان آن مجبور به مسافرت های متعدد میباشند
   (Mobile User) و لذا لازم است تا جهت بررسی و پاسخگویی به نامههای داخلی
   سازمان به شبکه داخلی متصل شوند.

   پشتیبانی از راه دور نرم افزارهای سازمان توسط شرکت تهیه کننده آن

   اتصال کارشناسان شبکه جهت رفع اشکالات سیستم عاملها و یا تجهیزات از راه
   دور

   و موارد مشابه

   در اینصورت استفاده از کدام VPN توصیه میگردد؟ SSL-VPN و یا IPSEC-VPN ؟

   راهکار 4 :

   در ارتباط Site-2-Site یعنی حالتی که کاربران دو یا چند ساختمان با
   استفاده از بستر شبکه عمومی نظیر اینترنت ، MPLS  و… به یکدیگر متصل می
   شوند ، استفاده از IPSEC-VPN پیشنهاد میگردد ولی در غیر از این پیشنهاد می
   شود تا از ارتباطات SSL-VPN جهت این امر استفاده شود.

   برخی از مزایای استفاده از SSL-VPN به شرح ذیل میباشد :

   کاهش هزینه های نگهداری و پیکربندی در صورت استفاده از SSL-VPN. استفاده
   از IPSEC-VPN بر روی کامپیوتر کاربران مستلزم نصب نرم افزار VPN-Client می
   باشد. نیاز به نصب نرم افزار اضافی بیانگر پیکربندی پیچیده نرم افزار و در
   نهایت افزایش هزینه نگهداری میباشد.در صورت استفاده از SSL-VPN  کاربر
   تنها با استفاده از Browser و با استفاده از پروتکل SSL میتواند ارتباط
   امن را برقرار سازد.

   افزایش کارایی و مدیریت دسترسی کاربران با ایجاد حق دسترسیها و گروههای
   کاری، به این صورت کاربران بر مبنای سطح دسترسی خود امکان استفاده از
   سرویسهای سازمان را خواهند داشت.

   کاهش محدودیت در نوع سخت افزارها و سیستم عاملهای کاربران به این مفهوم که
   چون تنها نیاز کاربران جهت اتصال به شبکه سازمان، استفاده از  WEB-Browser
   میباشد لذا کاربران از هر نقطهای و هر سخت افزاری که امکانWeb-Browsing را
   بدهد ( نظیر Mobile ها  ،KIOSK ها و (…

   عدم انتقال مخاطرات به بخش Server Farm توسط کاربرانی که آلوده به انواع
   تهدیدات نظیر Worm ، Virus و … هستند. با استفاده از SSL-VPN کاربران تنها
   با استفاده از پروتکل HTTPS و بوسیله Browser  خود از سرویسهای ارائه شده
   استفاده میکنند و بر خلاف IPSCE-VPN هیچگونه ارتباط مستقیمی با سرورها
   نخواهند داشت.

   جهت افزایش امنیت میتوان با استفاده از مکانیزمهای Multi-Factor
   Authentication نظیر OTP و TOKEN به کاربران اجازه داد تا پس از احراز
   هویت از سرویسهای ارائه شده استفاده نماید. در این حالت در صورت دزدیده
   شدن Username  و Password هم امکان اتصال به سیستم وجود نخواهد داشت.



     * اخبار
     * مقالات آموزشی
     * عضویت در خبرنامه
     * گالری
     * دانلود کاتالوگ
     * نظرسنجی
     * لینک های مفید
     * سوالات متداول
     * همکاری با ما
     * حریم شخصی کاربران

   طراحی سایت توسط شبکه امن
   Aparat Aparat Facebook Facebook Twitter Twitter Linkedin Linkedin