• 0 342 317 1951

من الضروري أن تتم إدارة كل جهاز في شبكة الشركة والشبكة نفسها في سياق معيار موثوق وقابل للتطوير. خاصةً بالنسبة للبنى التحتية مثل البنوك ومشغلي الإنترنت/الاتصالات والشركات القابضة والبنى التحتية المماثلة، هناك حاجة إلى نموذج أساسي لأمن الشبكة.

في هذه المقالة، سنقدم في هذه المقالة خط أساس لأمن الشبكة يمكنك تشكيله وفقاً لبنية مؤسستك الخاصة.

 

إدارة الأجهزة

إذا كانت المؤسسة لا تحتاج إلى مصادقة، يجب إيقاف تشغيل إدارة الجهاز مع خدمة HTTP.

إذا كانت إدارة الجهاز مطلوبة مع خدمة HTTP، فيجب استخدام خدمة HTTPS.

يجب إيقاف تشغيل Telnet للوصول إلى سطر الأوامر.

يجب فتح SSHv2 للوصول إلى سطر الأوامر.

إذا أمكن، يجب استخدام الوصول إلى سطر الأوامر فقط على شبكة الإدارة أو على منفذ غير متصل بالشبكة.

يجب إيقاف تشغيل SCP على الأجهزة، خاصة لعمليات تشغيل الملفات.

يجب فتح الوصول المقيد باستخدام سنمبv3 إذا كان مدعوماً من قبل أدوات إدارة المؤسسة.

يجب فتح الوصول المقيد باستخدام SNMPv2c إذا لزم الأمر.

يجب أن يُسمح فقط لشبكة الإدارة بالوصول المقيد باستخدام واجهة المستخدم الأساسية والويب.

يجب أن تدعم التطبيقات الإدارية الممنوحة وصولاً مقيداً باستخدام SNMPv2c.

 

التحكم في المصادقة لإدارة الأجهزة

يجب أن تستخدم كلمات المرور المستخدمة للخصوصية خوارزميات تشفير قوية.

يجب استخدام خوادم مصادقة مركزية (تاكاكس).

يجب توفير استخدام كلمة مرور محلية فقط في حالة عدم وجود وصول إلى نظام المصادقة المركزي.

يجب إجراء فحوصات إعادة مصادقة الجهاز والمستخدم على فترات منتظمة.

 

إمكانية تدقيق الجهاز

من أجل تكوين السجلات الموجودة بشكل صحيح، يجب تكوين ساعة آمنة على أجهزة الشبكة.

يجب إرسال رسائل سجلات الأرشيف إلى خادم سجلات نظام التشغيل الخارجي.

 

طبقة وصول الشبكة المحلية

لأمان جدول ماك، يجب تمكين أمان المنفذ في المحولات.

يجب تمكين دكب التطفل لتوفير ضمان ضد خدمات دكب المزيفة.

من أجل استخدام حركة المرور الحالية، يجب تفعيل فحص ARP الديناميكي ARP للحد من عناوين ARP.

يجب تمكين حارس مصدر الملكية الفكرية لحماية عناوين الملكية الفكرية الخاصة بالمستخدم.

لغرض إتاحة الشبكة، يجب تفعيل وحدة بيانات بروتوكول الجسر الممتد (BPDU).

 

طبقة 3 لان لقد شبكه عالميه موجه شبكه عالميه

من الضروري التحقق من الموجه المجاور المستخدم عن طريق تعيين الواجهة السلبية الافتراضية.

المصادقة مطلوبة لجميع جيران التوجيه.

 

بروتوكول التوجيه متعدد الإرسال

يوصى بتأمين بروتوكول توجيه البث المتعدد المستخدم في الشبكة المحلية والشبكة الواسعة.

يجب اتخاذ تدابير ضد مصدر حركة مرور البث المتعدد المارقة.

يجب توفير فحوصات الحماية ضد كل من نقطة الالتقاء الثابتة (RP) وتكوين بروتوكول التوجيه التلقائي.

 

أنظمة التشغيل (نظام التشغيل)

يجب أن تكون أنظمة تشغيل جميع الأجهزة والأنظمة المستخدمة محدثة ومستقرة ومصححة.

 

تثبيت البرامج وإعدادها

يجب حماية منتجات الشبكة أثناء التثبيت.

يجب تثبيت أي برنامج بعد التحقق من صحة مصدره.

 

 

النسخ الاحتياطي والاسترداد

يجب إنشاء نظام نسخ احتياطي روتيني.

يجب تكوين النظام بحيث لا يتأثر بإعادة التشغيل أو انقطاع التيار الكهربائي.

يجب أن يكون هناك توثيق واختبارات لإجراءات الاسترداد.

 

امتيازات المستخدم وكلمات المرور

يجب دمج المستخدمين في النظام مع خادم أأأ (المصادقة والتفويض والمحاسبة).

يجب تخصيص حسابات فردية للمستخدمين.

يجب إعداد حسابات المستخدمين مع تخصيص الحد الأدنى من الامتيازات واستخدامها فقط للاحتياجات التشغيلية.

يجب تقليل عدد المستخدمين ذوي الامتيازات إلى الحد الأدنى.

يجب على المستخدمين إعادة المصادقة بعد وقت الخمول.

يجب تشفير جميع كلمات المرور المخزنة على أجهزة الشبكة.

يجب عدم إرسال كلمات المرور غير المشفرة على الشبكة.

يجب تحديد قوة/قوة كلمات المرور وفقاً للسياسة التنظيمية.

يجب تغيير كلمات المرور الافتراضية بشكل دوري.

يجب استخدام أنظمة أمان الحسابات ذات الامتيازات. انظر لأمن الحسابات المميزة على شبكات الشركات ل.

 

 

 

الوصول إلى وحدة التحكم

يجب تأمين اسم المستخدم وكلمة المرور مع مهلة للوصول إلى وحدة التحكم.

 

الواجهات غير المستخدمة

يجب تعطيل الواجهات غير المستخدمة أو تأمينها.

 

لافتات التحذير

يجب أن تكون لافتات التحذير على جميع أجهزة الشبكة.

 

الخدمات غير الضرورية

يجب إيقاف تشغيل جميع الخدمات غير الضرورية على أجهزة الشبكة. قد تختلف هذه الخدمات حسب البنية التحتية للشركة. على سبيل المثال، CDP، وإل دي بي، وخوادم برنامج التعاون الفني وUDP الصغيرة، وأصابع، وخادمحبل التمهيد، وخدمة التعريف، وخادم HTTP-/HTTPS، وتفتب، وتفتب، وTelnet، والبحث عن اسم المجال، وسنمب، وICMP، وICMP، وICMP، ودكب، وضمادة، ومجمع/مفكك الحزم.

يجب تمكين برنامج التعاون الفني البقاء على قيد الحياة.

 

مزامنة الوقت

يجب مزامنة نظام توقيت الساعة للأجهزة.

يجب أن يكون هناك 3 مصادر زمنية موثوقة على الأقل.

 

 

 

سنمب

يجب تنفيذ الإصدار الجديد من سنمب.

يجب تصفية جميع عمليات وصول سنمب باستخدام الرباط الصليبي الأمامي وقصرها على أنظمة الإدارة أو المناطق المصرح بها.

يجب أن يكون هناك وصول للقراءة فقط.

يجب أن يتم إنشاء سلاسل المجتمع بشكل عشوائي أو لا يمكن تخمينها بسهولة.

يجب تحديد قوة/قوة كلمات المرور وفقاً للسياسة التنظيمية.

يجب تشفير مصادقة سنمب والحزم.

 

قوائم الوصول

يجب حظر الوصول غير المصرح به وحركة المرور غير الضرورية باستخدام قوائم الرباط الصليبي الأمامي.

 

التسجيل

يجب تشغيل التسجيل على جميع أجهزة الشبكة.

يجب إرسال السجلات إلى المصادر المعينة.

يجب تكوين رسائل التصحيح والسجلات بحيث تحتوي على طوابع زمنية.

يجب تكوين تسجيل المخزن المؤقت.

يجب أن تسجل الأحداث مشاكل الأداء والاختلالات الوظيفية.

 

حالة التكوين والنشاط

يجب مراقبة جميع الحالات والأنشطة مثل بدء تشغيل النظام وإنهائه، وتسجيل الدخول والخروج من الحساب وتسجيل الخروج، وأخطاء تسجيل الدخول، وتغيير الحساب المحلي وتغيير الامتيازات المعينة، وتغيير البرامج والتكوين، وتغيير حالة الشبكة والواجهة، واستيراد البيانات وتصديرها إلى الأجهزة.

يجب إنشاء حواجز باستخدام المرشحات (رفض الوصول/الإسقاط).

 

 

 

شبكة محلية شبكة محلية ظاهرية أصلية

يجب عدم استخدام شبكة محلية ظاهرية 1.

 

بروتوكول الربط الديناميكي

يجب إيقاف تشغيل الربط الديناميكي أو يجب إيقاف تشغيل التفاوض.

يجب عدم استخدام الربط التلقائي.

 

بروتوكول ربط شبكة محلية ظاهرية شبكة محلية ظاهرية

يجب إيقاف تشغيل تكوين شبكة محلية ظاهرية معلنة والمزامنة التلقائية أو تجاهلها.

 

فحص القيثارة الديناميكي

يجب تنفيذ وظائف تسميم القيثارة

 

قوائم التحكم في الوصول إلى المنافذ الديناميكية

يجب استخدام قائمة التحكم في الوصول إلى المنفذ الديناميكي.

 

تحديد عناوين مباراة لكل منفذ

يجب أن يقتصر وصول مباراة على 1.

 

 

 

تجنب الحلقات

يجب تنفيذ الميزات الوظيفية لتجنب حلقات الشبكة.

 

أشياء يجب القيام بها خاصة بال

تصفية العناوموجهين

يجب أن تحدد تصفية العناوين سياسة التحكم في التدفق.
يجب منع الوصول غير المصرح به إلى الأجهزة عن طريق التصفية.

 

شظايا حبل

يتم إسقاط شظايا حبل مع الرباط الصليبي الأمامي.

 

خيارات حبل

يجب إسقاط الحزم التي تحتوي على خيارات حبل مع الرباط الصليبي الأمامي

 

ICMP

يجب أولاً التعامل مع رسائل ICMP بحذر.

يجب إيقاف تشغيل ICMP يتعذر الوصول إليه.

يجب إيقاف تشغيل عمليات إعادة توجيه ICMP.

 

 

 

الرد على قناع حبل

يجب إيقاف تشغيل رد قناع حبل

 

تتبع التتبع

يجب تعطيل التتبع الداخلي للتتبع الوارد

 

توجيه مصدر حبل

يجب إيقاف تشغيل توجيه المصدر.

 

حبل وكيل القيثارة

يجب إيقاف تشغيل حبل الوكيل القيثارة على جميع الواجهات.

 

تكرار القفزة الأولى

يجب إنشاء إطار عمل بين موجهات الشبكة للوصول إلى تجاوز الفشل إلى البوابة الافتراضية.

يجب تصفية رسائل فرب والمصادقة عليها.

 

واجهات النفق

يجب أن تنتهي واجهات النفق في حالة التوجيه الخاصة بها وأن تكون مقيدة بـ الرباط الصليبي الأمامي.

بالإضافة إلى هذا المرجع، الذي يستند إلى سنوات من الخبرة في إدارة الشبكات، يمكنك أيضاً الاستفادة من كتاب سيسكو المفصل عن خط الأساس لأمن الشبكات. 

 

https://www.sibergah.com/network-guvenligi/kurumsal-altyapilar-icin-network-security-baseline/

09 تموز
أدوات التعلم العميق
09 تموز
أسرع طريقة لتقييم أمان تطبيق الويب
09 تموز
خط الأساس لأمن الشبكات للبنى التحتية للمؤسسات
09 تموز
ما هو هتاكسس
09 تموز
ما هو برنامج التعاون الفني/حبل
09 تموز
ما هو الصوت عبر بروتوكول الإنترنت (الصوت عبر بروتوكول الإنترنت)
الكل | 10
10 تموز
مقارنة بين برامج عقد المؤتمرات عبر الإنترنت
10 تموز
كيفية إزالة المحتوى والمعلومات الشخصية من جوجل
10 تموز
طرق المصادقة القوية للمؤسسات
10 تموز
محرك البحث عن الثغرات الأمنية - قاعدة بيانات جميع الثغرات الأمنية
10 تموز
تقنيات منع برامج الفدية الخبيثة والتخفيف من آثارها
10 تموز
الذكاء الاصطناعي الإنساني
الكل | 9
الكل | 0
الكل | 0