امن سازی - هاردنینگ

امن سازی HARDENING

امن سازی شبکه ها و سرویس ها

با توجه به این که امروزه تهدیدهای متعددی متوجه دارایی ها و سرمایه های سازمانی هستند، برای هدفمند و قانونمند شدن فرآیند امن سازی، کارشناسان شرکت بهین راهکار با تکیه بر استانداردهای امن سازی CIS، مستندات امن سازی ارائه‌شده توسط vendor هایی چون Cisco، Micrososft و... و توصیه ها و مستندات افتای ریاست جمهوری اقدام به امن سازی در هر بخش از تجهیزات شبکه و زیر ساخت به عنوان مرجعی کامل و مفید که مورد تایید اغلب کارشناسان این حوزه می باشد، نموده اند.

تعریف Hardening

امن‌سازی به فراهم نمودن و ارائه ابزارهای مختلف به منظور حفاظت از یک سیستم کامپیوتری اشاره دارد. به عبارت دیگر حفاظت در لایه های مختلفی ارائه شده و اغلب به عنوان دفاع در عمق شناخته می شود. منظور از حفاظت در لایه های مختلف، حفاظت در سطح میزبان، سطح برنامه کاربردی، سطح سیستم عامل، سطح کاربر، سطح فیزیکی و تمامی سطوح پایینی آن می باشد. هر یک از سطوح نیازمند روش منحصر بفردی از امن سازی می باشد.

اهداف Hardening

icon hardening از بین بردن بسیاری از خطرات و تهدیدات متوجه سیستم های کامپیوتری

icon hardening ایجاد لایه های مضاعف حفاظتی و امنیتی در سطوح مختلف زیرساخت فناوری اطلاعات سازمان

فعالیت های امن سازی

به‌روزرسانی وصله های امنیتی به صورت مداوم

با توجه به این که Vendor به صورت دوره ای وصله های امنیتی را برای بروزرسانی نقاطی که به عنوان آسیب پذیری و هدف مهاجمان شناخته شده است، منتشر می کند، باید در بازه های زمانی مشخصی به‌روز رسانی وصله های امنیتی برای جلوگیری از اهداف مخربانه مهاجمان بپردازد.

پيکربندی ايمن ليست های کنترل دسترسی و قوانین ديواره‌های آتش

با توجه به این که قوانین دیواره های آتش اطلاعات بسته های عبوری را بررسی می کنند. قوانین باید بر اساس قواعدی که تعریف شده اند، بسته ها را مسدود یا مجوز عبور دهند. همچنین با تعریف لیست کنترل دسترسی امکان ایجاد محدودیت ترافیک به داخل شبکه، محدودسازی دسترسی کاربر به شبکه، جلوگیری از خروج ترافیک از شبکه، را فراهم می کند.

غیرفعالسازی سرویس های غیرضروری

هر سرویس ممکن است دارای نقص یا ضعف هایی در پیکربندی باشد که با نمایان ساختن آسیب پذیری های امنیتی منجر به خطر افتادن سیستم شود. بنابراین، سرویس های غیرضروری باید حذف یا غیرفعال شود تا ریسک ناشی از خطرات متوجه آن کاهش یابد.

غیرفعالسازی پورت های غیرضروری

پورت ها می توانند خطر امنیتی ایجاد کنند زیرا هر پورت باز در یک سیستم ممکن است به عنوان نقطه ورود مهاجمان مورد استفاده قرار گیرد. اگر پورتی نیاز نباشد، برای جلوگیری از حملات هدفمند غیرفعال می شود زیرا پورت به شما امکان برقراری ارتباط با سیستم را می دهد.

اعمال سياست‌های ايمن برای انتخاب و تغییر کلمه عبور

با توجه به این که اطلاعات هویتی اولین هدف مهاجمان و آسان ترین راه برای دسترسی به شبکه و سرقت اطلاعات محرمانه می باشد، تعریف کلمات عبور ساده، رایج و عدم وجود احراز هویت چندعاملی، مشکل ساز می باشد بنابراین توصیه می شود که سیاست های مناسبی برای انتخاب کلمه عبور مناسب تعریف شود.

غیرفعالسازی و یا تغییر حساب های کاربری شناخته‌شده و پیش فرض

غیرفعالسازی حساب های کاربری شناخته شده و پیش فرض مانند حساب کاربری ادمین که امکان اجرای تمامی برنامه های کاربردی را با سطح دسترسی مدیریتی دارد، ضروری است.

تنظیمات و پیاده سازی پیکربندی مناسب مطابق با مستندات امن سازی CIS

انجام پیکربندی های مناسب بر اساس مستندات امن سازی که بسیاری از مشکلات ساختاری تجهیزات و سیستم های کامپیوتری را رفع می کند.

1
2
3
4
5
6
7

خدمات پیکربندی امن

پیکربندی امن

Operating System

Windows

Account Policies
Local Policies
Event Log
Restricted Groups
System Services
Registry
File System
Wired Network (IEEE 802.3) Policies
Windows Firewall With Advanced Security
Network List Manager Policies

Wireless Network (IEEE 802.11) Policies
Public Key Policies
Software Restriction Policies
Network Access Protection NAP Client Configuration
Application Control Policies
IP Security Policies
Advanced Audit Policy Configuration
(Administrative Templates (Computer
(Administrative Templates (User

Operating System

پیکربندی امن

Operating System

Linux

Patching and Software Updates
Filesystem Configuration
Secure Boot Settings
Additional Process Hardening
OS Services
Special Purpose Services
Network Configuration and Firewalls
Logging and Auditing
System Access, Authentication and Authorization
User Accounts and Environment

Warning Banners
Verify System File Permissions
Review User and Group Settings

Operating System

پیکربندی امن

Web Server

Apache

Minimize Apache Modules
Principles, Permissions, and Ownership
Apache Access Control
Minimize Features, Content and Options
Operations - Logging, Monitoring and Maintenance
SSL/TLS Configuration

Information Leakage
Denial of Service Mitigations
Request Limits
Enable SELinux to Restrict Apache Processes
Enable AppArmor to Restrict Apache Processes

Web Server

پیکربندی امن

Web Server

IIS

Basic Configurations
Configure Authentication
ASP.NET Configuration Recommendations
Request Filtering and Restrictions
IIS Logging Recommendations
FTP Requests
Transport Encryption

Web Server

پیکربندی امن

Database

SQL Server

Installation, Updates and Patches
Surface Area Reduction
Authentication and Authorization
Password Policies
Auditing and Logging
Application Development
Encryption
Appendix: Additional Considerations

پیکربندی امن

Database

MySQL

Operating System Level Configuration
Installation and Planning
File System Permissions
General
MySQL Permissions
Auditing-and-Logging
Authentication
Network
Replication

پیکربندی امن

Database

Oracle

Oracle Database Installation and Patching Requirements
Oracle Parameter Settings
Database settings
Oracle Connection and Login Restrictions
Oracle User Access and Authorization Restrictions
Audit/Logging Policies and Procedures
Establishing an Audit/Scan User

پیکربندی امن

Infrastructure Services

DNS

Architecture and Foundation
Installing BIND (Berkeley Internet Name Domain)
Security Configurations
Administration

Infrastructure Services

پیکربندی امن

Wireless

Wireless

Wireless_LAN
Wireless_Addendum_Cisco
Wireless_Addendum_DLink
Wireless_Addendum_Linksys

Wireless

پیکربندی امن

Cisco devices

Cisco

Cisco_Firewall
(Cisco_IOS (Switch, Router

Cisco devices