تا %60 تخفیف خرید برای 4 نفر با صدور مدرک فقط تا
00 00 00
مسعود رئیسی فرد نیاسری

راهکارهای پیشنهادی برای الزامات شبکه یک سازمان

سلام خدمت همه دوستان

یک سازمان برای ایجاد امنیت شبکه شون یکسری نیازهایی داره که برای هر کدوم یک راه حلی میخاد .

میخاستم با راهنمایی های شما ببینم کدوم مورد امکان پذیره و چه راه حل های پیشنهادی ارائه میدین .

1 ) هر کاربر در شبکه تنها بتواند با یک شناسه و رمز یکتا به اسناد و فایل های مرتبط دسترسی داشته باشد.

2) اتصال هر وسیله جانبی (USB Wireless، تلفن همراه، مبدل ها و ...) تنها با مجوز مسئول مربوطه امکانپذیر باشد. باید توجه داشت که ممکن است برخی از نرم افزارها بتوانند مانع از ارتباط دستگاه های ذخیره ساز (مانند فلش مموری ها) گردند اما امکان کنترل ارتباط مبدل ها و یا تجهیزات وایرلس که با پورت USB کار می کنند را، نداشته باشند و به همین دلیل لازم است قید بیان شده در زمان بررسی لحاظ گردد.

3) رایانه های شبکه داخلی امکان اتصال به هیچ شبکه دیگری غیر از شبکه داخلی تعریف شده را نداشته باشند. طبعتاً در این مورد لازم است تدابیری بر روی سیستم عامل (چه با تغییر Policies های ویندوز و چه با نصب برنامه های امنیتی و یا هر روش دیگری) اتخاذ نمود .

4 ) هر کامپیوتر در شبکه داخلی تنها بتواند از طریق یک سوکت مشخص و انحصاری به شبکه وصل گردد و امکان ارتباط از طریق دیگر سوکت ها امکان پذیر نباشد. این مورد برای این در نظر گرفته شده که اگر سطوح دسترسی در سطح سوییچ شبکه تعریف شده است، شخص دیگری این امکان را نداشته باشد که با تغییر سوکت سطح دسترسی خود را تغییر دهد و یا به اطلاعات طبقه بندی شده ای دسترسی نماید.

5 ) افراد تنها بتوانند با مجوز مسئول مربوطه ، ورود و خروج اطلاعات را از طریق دستگاه های ذخیره ساز (فلش مموری،تلفن همراه، پرینتر ، CD/DVD) به انجام رسانند .

6 ) هیچ کامپیوتری غیر از کامپیوترهای تایید شده حق دسترسی به شبکه داخلی را ندارند.

7 ) دسترسی هر کاربر به اطلاعات قابل تعریف باشد.

برای هر کدوم از این موارد چه راه حلی رو پیشنهاد میدین ؟ و چگونه میشه اونو پیاده سازیش کرد توی سازمان ؟

لازم به ذکر هست که سوییچ تهیه شده برای سازمان میکروتیک میباشد .

ممنون میشم راهنمایی کنید .

این سوال 1 پاسخ دارد.
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.
رسول دانش

سلام

دوست عزیز شما با راه اندازی نرم افزار gfi end point security میتونید usb ها رو در شبکه مدیریت کنید

برای یوزر ها هم دومین کنترلر نصب کنید

برای ارتباطات کابل و اینکه هر دستگاه فقط روی یک کابل جواب بده و دستگاه دیگه ای هم نشه به اون کابل وصل کرد. باید قابلیت ipsec رو روی سوئیچها فعال و کانفیگ کنید تا برای هر پورت فقط mac آدرسی که شما تعریف میکنید قابل دسترسی باشه

خیلی چیزا بلد نیستم ، کاش عمرم برای یادگیری کفایت میکرد، دارم به این نتیجه میرسم که توی این عمر کوتاه هر چیزی ارزش یادگیری نداره و فقط چیزای مهم رو باید آموخت...

خب من تا اونجا که دانش ناقصم قد میکشه راهنماییتون میکنم:

1. این کاری که میگین نشدنیه، ما نمی تونیم برای مثلا Share Folder A برای هر یوزر یه پسورد تعریف کنیم که بتونه با پسورد خودش به این فولدر وصل بشه، اما مایکروسافت یه راهکار بهتر رو ارائه داده. DAC یا Dynamic Access Control که نام یه قابلیت هست که با راه اندازی اون روی سرور مثلا میشه روی Share Folder تنها به یک یوزر یا گروه خاصی از یوزرها دسترسی داد که هیچ کس دیگه ای به جز اون یوزر یا گروه خاص یوزرها نه قادر باشه توی شبکه اون Share Folder رو رویت کنه و نه دسترسی داشته باشه بهش. پس شما میتونین به کمک DAC مثلا 50 تا فولدر رو برای 50 تا یوزر طوری Share کنین که هر یوزر با زدن مسیر UNC تنها به فایل های Share شده مخصوص خودش دسترسی داشته باشه.

2. برای اینم که برای یوزرای هر بخش یک سری محدودیت هایی رو ایجاد کنین که مثلا نتونن فلش یا حافظه جانبی به کامپیوتر وصل کنن میتونین این کار رو از طریق گروپ پالیسی های تحت دومین انجام بدین. توی این ویدئو آموزشی این کار و چگونگی مسدود کردن حافظه های جانبی از طریق گروپ پالیسی های تحت دومین آورده شده که میتونین بهش مراجعه کنین.

3. برای اینم که کلاینت های شبکه نتونن به هیچ شبکه ای بجز شبکه خودشون وصل بشن کافیه تا شما Gateway روی کارت شبکشون رو بردارین. به همین راحتی! توضیح اینکه وقتی Gateway از روی کامپیوتر یه کلاینت برداشته بشه، اون کلاینت دیگه تنها قادر به ارتباط توی همون شبکه ای که قرار گرفته خواهد بود و بس. نه کمتر نه بیشتر! نه اینترنت، نه هیچ شبکه خارجی دیگه ای.

4. منظورتون از سوکت چیه؟ چیزی که من متوجه شدم این بود که بعضا برخی از کلاینت های به جای یک کارت شبکه چند کارت شبکه دارن و شما میخاین کاری کنین که تنها به واسطه یکی از اون کارت شبکه ها قادر به اتصال به شبکه باشن و حتی اگر کارت شبکه های متعدد دیگه هم داشته باشن نتونن از طریق اونا با شبکه شما ارتباط برقرار کنن. اگر اینه هدفتون، خب میتونین این کار رو از طریق روتر شبکه انجام بدین. اگرم روتر ندارین میتونین با نصب DHCP Server روی سرور شبکه و متعاقبا انجام کانفیگ های مرتبط به این مهم دست پیدا کنین. نحوه کار و پیکربندی DHCP Server توی این چهار ویدئو اومده (پارت اول، پارت دوم، پارت سوم، پارت چهارم) که میتونین بهش مراجعه کنین.

5. مورد پنج رو هم میتونین از طریق راهکار شماره دو که بهتون دادم اجرایی کنین (بستن USB برای یوزرهای بخش های مختلف شرکت). به این صورت که از طریق گروپ پالیسی به یک سری افراد یه بخش خاص اجازه دسترسی به حافظه های USB رو میدین و به بقیه نه! اگرچه این کار به واسطه نصب و پیکربندی رول ADRMS هم قابل انجامه، اما خب پیچیدگی های خودش رو هم داره که ممکنه سر در گمتون بکنه.

6. برای اینکه تنها یک سری کامپیوترهای خاص اجازه دسترسی به اطلاعات شبکه شما رو داشته باشن و یک اگر مثلا کسی لب تاپ وصل کرد به سوییچ شبکه نتونه از اطلاعات شبکه شما استفاده کنه هم باید رول NAP (Network Access Protection) رو نصب و پیکربندی کنین که اینم باز مثل رول ADRMS پیچیدگی های خودشون داره، اما کاملا چیزی رو که گفتین به نحو احسن براتون انجام خواهد داد.

7. منظورتون از دسترسی به اطلاعات دقیقا چه نوع اطلاعاتیه؟ آیا مورد یک که گفتم جواب کارتون رو نمیده؟ اگر نه که باید با گروپ پالیسی بقیه محدودیت ها رو اعمال کنین.

No Legacy Is So Rich As Honesty (William Shekespears) <==> هیچ میراثی بالاتر از راستی نیست (ویلیام شکسپیر)
  • انتخاب شده به عنوان جواب توسط 1 نفر

مورد 4 رو اشتباه برداشت کردید . منظورم اینه که کابر اگه سوکت شبکه رو به یک لبتاپ یا پی سی دیگه ای زد باز هم نتونه متصل بشه به شبکمون . یعنی هر پورت مخصوص یک کامپیوتر و یک سوکت .

مورد 7 هم چرا همون مورد 1 جواب کارمون رو میده .

در ضمن اضافه کنم که ما اصلا تو سازمان اینترنت نداریم این موردی که rasool1 گفتن فکر کنم باید بین دو شبکه wan اتفاق بیوفته اگر اشتباه نکنم برای استفاده از ipsec

رسول دانش

دوست عزیز راهنمایی که خدمت شما عرض کردم کامل و جامع بود اما مختصر و مفید که برای هر کدومش باید یک صفحه توضیح میدادم

دوست عزیز ipsec مربوط به سوئیچهای منیج مثل سیسکو و میکروتیک است و ارتباطی به wan نداره همین مورد 4 که شما فرمودین که کابل فقط به یک دستگاه بخوره و هر سوکت مخصوص یک دستگاه باشه ، باید توسط همین ipsec انجام بشه

خیلی چیزا بلد نیستم ، کاش عمرم برای یادگیری کفایت میکرد، دارم به این نتیجه میرسم که توی این عمر کوتاه هر چیزی ارزش یادگیری نداره و فقط چیزای مهم رو باید آموخت...

مورد 5: منظورتون اینه که اگر کابل شبکه رو از یه کامپیوتر جدا کردیم و بردیم زدیم به یه کامپیوتر دیگه، اون کامپیوتر دیگه نتونه وصل بشه به شبکه شما؟ اگه همچین چیزی مد نظرتون هست خب اینو که میتونین با MAC Filter به اضافه تنظیمات Reservation انجام بدین. ینی یه IP رو تنها اختصاصی برای یه MAC Address در نظر بگیرین که اگر کابل شبکه به هر کارت شبکه ای به غیر از اونی که ما توی MAC تعریف کردیم بخوره، هیچ IP بهش داده نشه و نتونه به شبکه شما متصل بشه.

No Legacy Is So Rich As Honesty (William Shekespears) <==> هیچ میراثی بالاتر از راستی نیست (ویلیام شکسپیر)

این تنظیمات MAC Filter رو چجوری و با چی میتونم انجام بدم ؟

MAC Address Filetering هم از طریق تنظیمات خود مودم یا روتر قابل انجام و دسترسی هست، و هم از طریق نصب و پیکربندی رول DHCP بر روی ویندوز سرور. برای درک بهتر این موضوع بر روی ویندوز سرور 2012 میتونین این سه ویدئو (جلسه 20، جلسه 21، جلسه 22 جلسه 23) که به آموزش نصب و پیکربندی DHCP Server بر روی ویندوز سرور 2012 پرداخته مراجعه بفرمایین.

No Legacy Is So Rich As Honesty (William Shekespears) <==> هیچ میراثی بالاتر از راستی نیست (ویلیام شکسپیر)
رسول دانش

برای تنظیمات mac و محدود کردن کلاینتها به mac باید از سوئیچهای منیج مثل سیسکو استفاده کنید و قابلیت ipsec رو در اونها فعال کنید تا به خواسته خودتون برسین

خیلی چیزا بلد نیستم ، کاش عمرم برای یادگیری کفایت میکرد، دارم به این نتیجه میرسم که توی این عمر کوتاه هر چیزی ارزش یادگیری نداره و فقط چیزای مهم رو باید آموخت...
پاسخ شما
برای ارسال پاسخ خود وارد شوید.