می 9, 2023 توسط sobhan 0

الزامات و استانداردهای امنیت LAN و WLAN

تعیین الزامات و استانداردهای پیاده سازی شبکه‏های  LAN و WAN

در شبکه‏های LAN بهتر است از استاندارد‏های IEEE سری 802.1Q، 802.1ar و 802.1ae استفاده شود.

پروتکل‏های ارتباطی در LAN استاندارد‏های ISO و FIPS 146-1 و IS 7498/2 هستند.

در امنیت LAN با ابتدا شبکه را شناخت. لذا پیرامون LAN:

  1. اجزای LAN. اجزای مهم عبارتند از: PCها، کابل ها، نرم افزار ها، بردهای واسط، مودم، خطوط تلفن و سرورها.
    1. دسترسی از طریق خط تلفن و مودم (dial-in)
    1. توپولوژی شبکه. (star، ring، bus)
    1. پروتکل ها (استاندارد IS 7498/2)
    1. کاربردها و ایمیل
    1. اجتماع Lan ها (DHHS-DIMES)
    1. مدیریت شبکه
    1. مکانیزم کنترل دسترسی
    1. آسیب پذیری ها. بزرترین آسیب پذیری در LAN مربوط به کنترل دسترسی است (DHHS AIS AIS-STOP)
  2. در شبکه LAN نیاز به آموزش امنیت و راهنمایی‏های لازم و مداوم می باشد.
  3. جهت حفاظت از دسترسی غیر مجاز و سوء استفاده در LAN، کنترل نرم افزار و سخت افزار بایستی بر اساس استاندارد OMB Bulletin 90-08 انجام شود.
  4. جهت جلوگیری از تغییر غیرمجاز از MAC ها استفاده می شود (FIPS 113).
  5. در حفاظت‏های عملیاتی (نظیر backup، UPS، حفاظت فیزیکی و …) بایستی الزامات OMB 90-08 رعایت شود.
  6. حفاظت در برابر ویروس ها در کتاب راهنمای DHHS AISSP-OPDIV الزام گذاری شده است.
  7. بازدید امنیتی غیر رسمی برای سیستم‏های سطح 1 و ارزیابی ریسک رسمی برای سیستم‏های سطح 2 و 3 مورد نیاز است (DHHS AISSP- OMB A-13)
  8. مشخص کردن مسئولیت ها (فصل 1 کتاب AISSP و استانداردهای ITU مروبط به LAN)
  9. تعیین حفاظت‏های مورد نیاز در هر سه سطح 1و 2و 3 (فصل 2و 3 کتاب AISSP DHHS)
  10. ابزارهای فراهم کردن امنیت (OMB Bulletin 90-08)
  11. ارزیابی ریسک. در کتاب AISSP و FIPS PUB 65 الزامات بیان شده اند.
  12. طرح عملیات احتمالی که الزامات در کتاب AISSP، OMB A-130 و FIPS 87 بیان شده اند.
  13. بازنگری و آموزش سالیانه بایستی انجام شود.
  14. مدیریت بروزرسانی و هزینه ها: بایستی بطور سالیانه بروزرسانی و بازنگری در قسمت‏های مختلف (پروژه ها، توصیف ها، مسئولیت ها، روال ها و هزینه ها) انجام گردد.
  15. دستور العمل DoD 8420.01 امنیت سطح 2 را برای LAN بیسیم بیان می کند.
  16. غیرفعال نمودن متن 32 بیتی SSID MAC. در این حالت تنها کلاینتی که SSID شناخته شده و صحیحی دارد می تواند با AP ارتباط برقرار کند.
  17. اکثر حمله کننده‏های پیشرفته، فقدان انتشار SSID را با تحلیل فریم‏های امضا تحلیل کرده و متن SSID را بدست می آورد. به منظور جلوگیری از حملات پسیو، بسته اصلی را در پهنای باند بالاتر و کاهش فرکانس تکرار آن پخش نمود. 
  18. استفاده از SSID‏های غیر استاندارد. از هر مشخصه ای مثلا نام مرکز، آدرس یا هرچیزی که منتج به حدس اطلاعات سازماندهی شده شود باید پرهیز کرد.
  19.  از SSID‏هایی که می تواند توسط حمله کننده ها، مورد حمله قرار گیرد استفاده نشود. از پسورد‏های قوی جهت تولید SSID ها که قابل حدس زدن نباشد بایستی استفاده شود.
  20.  همیشه از گزینه 128 بیت رمزنگاری توسط بروز ترین الگوریتم استاندارد استفاده شود. به عنوان مثال از AES-WEP.
  21. از کلید رمزنگاری قدرتمند در تمام ابزارهای بیسیم استفاده شود و بطور دوره‏ای با توجه به تاریخ انقضا آن، تعویض گردد.
  22. تمام پسوردهای پیشفرض فروشنده تعویض گردند.
  23. از پروتکل‏های SSH یا HTTPS به جای telent و HTTP استفاده شود.
  24. از مکانیزم‏های قوی مانند RADIUS، LDAP و غیره استفاده شود. استفاده از VPN نیز توصیه می شود.
  25. در صورت اتصال شبکه مرکز به شبکه دیگر، فایروال بکار گرفته شود.
  26. سیستم آشکار سازی نفوذ IDS  و جلوگیری IPS یا بطور کلی IDPS نیز بایستی افزوده شود.
  27. استفاده از DHCP به منظور کنترل و سازماندهی IP‏های استفاده کنندگان.
  28. شناخت ابزارهای مخرب مانند Airsnort، Netstumbler، MacStumbler، Kismet، Ethereal، AirDefense IDS.
  29. تمام دستگاه ها و سیستم‏هایی که به شبکه وصل می شوند بایستی تحت نظارت و مدیریت باشند. بدین منظور باید از SSH ورژن 2  یا بالاتر استفاده شود.
  30. الگوریتم رمزنگاری بکارگرفته در این ارتباطات بایستی AES با 256 بیت یا بیشتر استفاده گردد.
  31.             بین سرور و کاربر بایستی امضا و تصدیق متقابل باشد.

ارتباطات بیسیم Wi-Fi بایستی با دسترسی حفاظت شده WPA2، که حفاظت از داده‏های اصلی و کنترل دسترسی به شبکه را فراهم می کند، رمزنگاری شوند. WPA2 با استانداردهای منابع کامپیوتری FIPS 140-2 که از الگوریتم AES جهت رمزنگاری استفاده می کند، سازگار است. 802.11g و بیشتر، اجازه می دهد تا برای تولید خودکار کلیدی برای هر کاربر ، از طریق X802.1 در هر جلسه تولید نماید. علاوه بر این ، کلید را می توان برای افزایش امنیت احیا شده (دوباره کلید زنی) به صورت دوره ای تولید شود (P800 – S820).

امنیت WLAN در 82.11 در سه مورد لازم به تامین است: کنترل دسترسی، تصدیق و  حسابرسی.

  • در شبکه‏های WLAN جهت افزایش امنیت از 802.11i استفاده گردد. همچنین جهت برقراری ارتباط A.P ها با کاربران علاوه بر مراحل اجباری (جستجوی کانال، احراز هویت و تخصیص شبکه) مراحل اختیاری آن بخصوص رمزنگاری نیز انجام گردد.
  • در شبکه‏های بزرگ با چند صد کاربر بجای استفاده از WEP از استاندارد 802.1X استفاده شود.
  •  در شبکه‏های WLAN حتی المقدور از شبکه‏های مبتنی بر Infrastructure استفاده شده و از شبکه‏های Add hoc فقط جهت پشتیبانی استفاده شود.
  • در شبکه‏های WLAN در صورتی که 802.11b پاسخگوی نیاز بود از 802.11n بهتر است استفاده نشود.
  • در تامین امنیت شبکه‏های بیسیم مبتنیIEEE 802.11 بایستی استاندارد SP 800-48 را اجرا نمود.

در ارتباط پیاده سازی و رعایت جوانب امنیتی WLAN، دو استاندارد مهم DODI8420.01 و SP 800-153 وجود دارد که در ادامه مهمترین الزامات مندرج در این دو استاندارد بیان می شود.

2-4-1- الزامات WLAN مندرج در استاندارد DODI 8420.01

  • فقط تجهیزات، سیستم ها و تکنولوژی‏های WLAN که با IEEE802.11 سازگار هستند انتخاب شوند.
  • تمام کاربران بایستی از آموزش‏های لازم برخوردار باشند( DODD 8570.01).
  • در شبکه‏های WLAN جهت حفظ امنیت بیشتر AP ها از جستجوی کانال به روش پسیو استفاده نگردد.
  • در شبکه‏های WLAN به منظور دسترسی به ایمیل بایستی الزامات DODI 8520.2 رعایت شوند.
  • ارزیابی معماری سیستم‏های WLAN طبق الزامات DODD 5000.01 و DODI 5000.02 صورت گیرد [34-35].
  • تجهیزات WLAN جدید بایستی از CCMP پیروی کنند که رمزنگاری AES را شامل می شود.

استاندارد DOD-8420.01 بسته‏های WLAN را در دو مقوله غیر طبقه بندی و طبقه بندی، دسته بندی کرده و الزامات آن ها را بطور مجزا بیان می کند. لذا در پیاده سازی و طراحی این استاندارد نیز بایستی مدنظر قرار گیرد.

  • برای WLAN غیر طبقه بندی:
  • در سیستم‏های WLAN غیر طبقه بندی شده بایستی بر اساس استاندارد IEEE 802.11 باشند.
  • در سیستم‏های WLAN غیر طبقه بندی شده با PED‏های فعال شده بایستی از نرم افزارهای آنتی ویروس، فایروال، رمزگذاری و بکارگیری I&A قوی به منظور دسترسی به تجهیزات وشبکه استفاده کنند. (DODI 8420.01)
  • کار گروه مهندسی اینترنت (IETF) استانداردهای 4017  و RFC.2716 را استفاده کنند.
  • در ارتباطات Wi-Fi که شامل استانداردها 802.11a و 802.11b و 802.11g و 802.11n در لایه فیزیکی هستند بایستی از WPAZ استفاده نمایند.
  • تجهیزات WLANها باید گواهی و اعتبار داشته باشند(DoDI 8510.01).
  • در رمزنگاری WLANها با PEDهای فعال شده بایستی استاندارد FIPS-140 اجرا شود.
  • کنترل کننده WLAN/AP در WLAN طبقه بندی نشده بایستی از استاندارد FIPA-140 تبعیت کند. تمام تجهیزات زیرساخت بایستی رمزنگاری AES-CCMP را بکار گیرند.
  • رمزنگاری Data-at-rest بایستی طبق استاندارد FIPS-140 برده و DoD CIO/ASD NII را اجرا نماید.
  • WLAN طبقه بندی نشده جهت تصدیق صحت باید از روال NIST CMVP FIPS.140 تبعیت کند (هم در بخش کاربر و هم سرور).
  • APهای استفاده شده در WLANهای غیرطبقه بندی شده بایستی در مکان امنی باشند. در این خصوص استاندارد FIPS140-2 سطح 2 جهت تامین حداقل امنیت بایستی اجرا شود.
  • جهت اعتبار سنجی بایستی NIAP CC رعایت شود.
  • به منظور گواهی تصدیق (Aathenticetion) الزامات  DoDD 8100.02 در نظر گرفته شود [36].
  • برای WLANهای طبقه بندی شده:
    • در سیستم‏های WLAN طبقه بندی شده، باید از رمزگذاری تایید شده آژانس NSA بصورت سرتاسری و نیز امنیت امنیت فیزیکی قوی استفاده نمود.
    • در سیستم‏های WLAN  طبقه بندی شده، بایستی ذخیره سازی، پردازش، وصول و انتقال اطلاعات در بستر رمزگذاری NSA و با کلید قوی مناسب این اطلاعات انجام شوند.
    • در سیستم‏های WLAN  طبقه بندی شده، بکارگیری پیشگیری ها و اقدامات آژانس CNSS (N0 17) مدنظر قرار گیرد.
    • تمام LAN‏های طبقه بندی شده و غیر طبقه بندی شده سیمی و بیسیم بایستی دارای قابلیت آشکارسازی نفوذ بوده تا به منظور مانیتورینگ فعالیت ها و هویت در WLAN استفاده گردند.
    • الزامات DoDI 8510.01 مربوط به تجهیزات و نیازمندی‏های امنیتی بایستی رعایت شود [37].
    • تجهیزات WLAN، سیستم‏ها و تکنولوژی استفاده شده جهت انتقال، ذخیره و پردازش اطلاعات طبقه بندی شده بایستی توسط NSA تایید شده باشند.
    • APها بایستی از لحاظ فیزیکی امنیت داشته باشند(DOD 520008-R).
    • APها بایستی برای حداقل توان انتقال تنظیم شوند.
    • تجهیزات، سیستم ها و تکنولوژی‏های بکار رفته در WLAN طبقه بندی شده بایستی الزامات بخش 4.c استاندارد DODI 8420.01 را رعایت نمایند.
    • در حفاظت از اطلاعات Data-at-Rest سیستم‏های WLAN با PEDهای فعال شده بایستی الزامات بخش 4.d استاندارد DODI840.01 رعایت شوند.
    • آشکارسازی نفوذ در WLAN(WIDS)، STIG [38].
    • الزامات مربوط به طیف و تشعشع در WLAN (DODD4650.01 و DODD3222.3 و MIL-STD461F و MIL-STD464A)
    • سایر الزامات جانبی WLANها در بخش‏های 8 و 9 استاندارد DODI8420.1 آمده است.

2-4-2- الزامات WLAN مندرج در SP 800-153

امنیت WLAN به شدت وابسته به سطح عملکرد و کنترلی اجزای آن است بدین صورت که تجهیزات کاربر(لپ تاپ‏ها و smartphoneها)، APها و سوئیچ‏های بیسیم دارای چه سطح امنیتی از لحاظ طول عمر،طراحی اولیه WLAN و نیز تعمیر و نگهداری و مانیتورینگ دارند.

  1-در نظر گرفتن استاندارد مناسب و انجام پیکربندی امنیتی تجهیزات اعم از تجهیزات کاربر، APها و سایر

  2-هنگام طراحی و نقشه کشی امنیتی WLAN، تنها امنیت خود WLAN مدنظر قرار نگیرد بلکه اثرات امنیتی آن روی سایر شبکه ها ارزیابی و مد نظر قرار گیرد.

 یک WLAN معمولاً به یک شبکه سیمی تشکیلات متصل است،WLAN ها نیز ممکن است با یکدیگر ارتباط داشته باشند. به WLANهایی که به دسترسی شبکه سیمی نیاز دارند،تجهیزات کاربر بایستی تنها به هاست مورد نیاز خود (تحت پروتکل مورد نیاز) دسترسی داشته باشد.بعنوان مثال یک مرکز می تواند WLANها را بصورت منطقی به دو دسته استفاده خارجی (مثلا مهمان ها) و استفاده داخلی تقسیم کند.

  3-سیاست و خط مشی واضحی پیروی شود تا ارتباطات دوگانه برای تجهیزات کاربران WLAN به وضوح بیان شده و کنترل صحیح امنیتی انجام شود.

 ارتباطات دو گانه منظور تجهیزات کاربری (client device) هستند که بطور همزمان هم به شبکه سیمی نیز حمله کند.

  4-اطمینان حاصل شود که تشکیلات پیکره بندی تجهیزات کاربر و APها از پیکربندی مورد تایید مرکز سیاست گذاری WLAN تبعیت کامل دارد.

 مراکز بایستی استاندارد کردن،خودکار کردن و مرکزیت دادن پیکربندی امنیتی WLANها را کاملاً منطبق بر پیاده سازی عملی مدون و تنظیم کنند. در این صورت دستکاری تنظیمات سریعاً آشکار خواهد شد.

  5- مانیتورینگ حمله و نیز مانیتورینگ آسیب زدن بطور همزمان بکار گرفته شود.

  6- اجرای منظم و دوره ای ارزیابی امنیتی. دوره ارزیابی امنیتی بایستی بصورت حداقل سالی یکبار انجام شود و در صورتی که مانیتورینگ امنیت WLAN اطلاعات کافی در مورد حملات و تخریب بدست نمی دهد بایستی این دوره بعد از 3 ماه یک بار باشد.

  • قبل از طراحی معماری امنیتی یک WLAN یا پیکربندی امنیتی تجهیزات بایستی اطلاعات مورد نیاز راجمع آوری نمود (sp800-94 ). بعلاوه در این گام بایستی تهدیدات نیز شناسایی شده و برآورد امنیتی داشت (sp800-34 و sp800-153-201 ).
  • پس از تدریس بند فوق، پیکربندی بایستی بر اساس ارتباطات لازم صورت گیرد بدین ترتیب که علاوه بر تامین امنیت WLAN، امنیت ارتباطات با سایر قسمت ها بصورت داخلی و خارجی طراحی و برآورده شود.( GAO-11-4|3 ) ( sp800-153-2.1 )
  • بکارگیری پیکره بندی، ارزیابی و تعمیر و نگهداری بایستی طبق sp800-153 بخش 2.2 انجام گیرد.
  • مانیتورینگ امنیتی WLAN بایستی در دو دسته ارزیابی و مانیتورینگ پیوسته انجام شود.ارزیابی امنیتی بصورت دوره ای انجام می شود (sp800-115 ، sp800-53A ). مانیتورینگ پیوسته موارد اطلاع از پیشرفت امنیت اطلاعات، آسیب پذیری و تهدیدات به منظور اتخاذ تصمیمات مدیریت ریسک را شامل می شود (sp800-137 )
  • به منظور تامین امنیت 802.11 WLAN استاندارد SP800-48 بایستی اجرا گردد.
  • مراکز بایستی بصورت مداوم و بطور خاص WLANها را و به طور عام شبکه‏های سیمی را تحت مانیتورینگ حملات قرار دهند (sp800-53) و (sp800-94). این حملات در دو دسته پسیو و اکتیو قرار می‏گیرند. ابزارهای مانیتورینگ WIDPS را اجرا می کنند که توسط سنسورگذاری در موقعیت‏های مناسب انجام می شوند. این سنسورها می توانند دارای مکان ثابت یا متحرک باشند. سنسورهای ثابت معمولا به زیرساخت‏های مرکز نظیر تغذیه و دسترسی به شبکه سیمی بستگی دارند. سنسورهای متحرک(قابل حمل) به عنوان مثال می توانند یک سنسور موبایل باشند که مجری می تواند با راه رفتن بین سازه ها، APهای نفوذی را شناسایی کند (sp800-94).
  • مراکزی که از WLAN استفاده می کنند باید قابلیت شناسایی موقعیت فیزیکی نفوذ را داشته باشند. چیدمان سنسورها و تقسیم منطقه جهت مشخص نمودن محل دقیق حادثه بایستی توجه شود.
  • مانیتورینگ مداوم بایستی قابلیت آشکارسازی موارد زیر را داشته باشد:
  • تجهیزات WLAN غیر مجاز ، شامل APهای نفوذی و تجهیزات کاربری غیر مجاز
  • تجهیزات WLAN که دارای ضعف پیکربندی هستند و یا از پروتکل ضعیفی استفاده می کنند.
  • استفاده پترن غیر معمولی در WLAN
  • استفاده از اسکنرهای اکتیو در WLAN که موجب ترافیک می شوند( مانند war driving tools). سنسورهای پسیو قابل آشکارسازی از طریق کنترل‏های مانیتورینگ نیستند.
  • حملات DOS و وضعیت ها (نظیر تداخل شبکه)
  • جعل هویت و حملات ملاقات در وسط. برای مثال برخی سنسورهای WIDPS می توانند تجهیزاتی که سعی در جعل شناسایی دارند را شناسایی می کنند.
  • در تعین دوره ارزیابی مکان فیزیکی از لحاظ تردد و تهدیدات مدنظر قرار گیرد.
  • در تعین دوره ارزیابی سطح امنیت اطلاعاتی که در WLAN انتقال می یابند نیز بایستی در نظر گرفته شود.
  • در تعین دوره ارزیابی اینکه هرچند وقت یکبار تجهیزات کاربری به یک محیط وصل یا قطع می شوند و اینکه سطح ترافیک فیزیکی این تجهیزات (فعالیت اتفاقی یا فعالیت مداوم) چگونه است در نظر گرفته شود. زیرا تنها تجهیزات کاربری WLAN اکتیو با استفاده از اسکن WLAN قابل کشف هستند لذا محل فیزیکی نیز بایستی پایش شود.

الزامات امنیت APها (SP 800-48):

1-       مدیریت AP (بخش 6.3.3.1 از SP 800-48)

1-       پیکره بندی دسترسی Administrator: تنظیمات پیش فرض تغییر داده شود پسورد قوی انتخاب شود و رمزنگاری قوی بکار رود.

2-       کلید ریست APها به تنظیمات پیش فرض کنترل شود.عدم کنترل و نظارت ممکن است باعث DOS شود بعلاوه بایستی حفاظت فیزیکی نیز به منظور عدم امکان ریست انجام گردد.

3-       استفاده از SNMPV3 : برخی از APها پروتکل مدیریت شبکه SNMP اشاره می کند که ورژن 3 آن امنیت قوی ای را ایجاد می مند.

4-       استفاده از HTTP : استفاده از HTTP هنگامی که نیاز است بایستی فعال گردد و بایستی SSL حفاظت شود (HTTPS)

5-       لاگ برداری فعال شود: جهت بازنگری حوادث گذشته این مورد مفید است.

2-       پیکره بندی WLAN:

1-     تغییر کانال و توان خروجی پیش فرض

2-     تغییر SSID

3-     اجتناب از PSK

4-     استفاده از عاملیت MAC ACL

5-     استفاده از DHCP

6-     ماکسیمم کردن فاصله زمانی beacon

الزامات امنیت تجهیزات بیسیم کاربر (SP 800-48):

  1. اتصال اتوماتیک. تجهیزات کاربر بایستی طوری پیکربندی شوند که امکان اتصال بصورت اتوماتیک را نداشته باشند.
    1. فایروال شخصی. تهیزات کاربر بایستی به فایروال مجهز باشند و سیاست ها WLAN را پیروی نمایند.
    1. IDPS مبتنی بر هاست. این نرم افزار متمم فایروال‏های شخصی است.
    1. آنتی ویروس. تجهیزات کاربر بایستی به آنتی ویروس مجهز باشد تا علاوه بر پیشگیری، مانع از گسترش آنتی ویروس ها و سایر مخرب ها شوند.
    1. مود Ad hoc. در صورتی که به استفاده از این مود نیاز نیست بایستی غیر فعال شود تا اتصال تجهیزات کاربر به کاربر مسدود شود.
    1. مدیریت رادیو در IEEE 802.11 باید غیر فعال شود.
    1. اجرای سیاست. تجهیزات کاربر بایستی از سیاست‏های WLAN بکارگرفته شده پیروی کنند [40].

الزام بروزرسانی، ارتقا و Patchها: مدیر شبکه بایستی به طور منظم با فروشنده به منظور اطلاع از Patch‏های جدید، ارتقا جدید و بروزرسانی همراه باشد که در سورت لزوم آنها را بکار گیرد [41].

الزام تعیین اعتبار و صحت: استاندارد FIPS PUB 196 بایستی اجرا شود [42].

علاوه بر تامین امنیت بیسیم، میتوان از VPN نیز جهت افزایش امنیت استفاده نمود (NIST SP 800-77).

2-5- تعیین الزامات و استانداردهای پارامترهای  FCAPS

مديريت براي سرويس‏هاي اطلاعات شبكه‏بندي شده، هم مديريت منابع سيستم و هم مديريت شبكه را شامل مي‏شود. FCAPS یک چارچوب مدیریت شبکه است که توسط سازمان بین المللی استاندارد (OSI) تهیه شده است. FCAPS موضوعات مربوط به مدیریت شبکه را در پنج سطح دسته بندی می‌کند (ITU-T 3400 and X.700):

  1. مديريت کارایی
  2.  مديريت خطا
  3.  مديريت پيكربندي
  4.  مديريت حساب ها
  5.  مديريت امنيت

ترجمه و تدوین : همیار امنیت

دسته بندیاستانداردها و الزامات امنیتی رهنمودهای تخصصی
برچسب هااستاندارد امنیت lan استاندارد امنیت wlan الزامات امنیت LAN الزامات امنیتی شبکه های بیسیم امنیت lan امنیت wlan

درباره نویسنده

متخصص رمزنگاری و امنیت

دیدگاهتان را بنویسید