يمكنك تحميل اﻟﺴﻴﺎﺳﺎت اﻟﻮﻃﻨﻴﺔ ﻷﻣﻦ وﺳﻼﻣﺔ اﻟﻤﻌﻠﻮﻣﺎت pdf عبر الضغط على هذا الرابط
نظرة عامة
لا توجد آلية محددة لحماية الشبكة لأن أي نظام أمني يمكن أن يتعرض للتخريب أو الاختراق، إن لم يكن من الخارج فمن المؤكد أنه من الداخل، في نهاية المطاف لتأمين شبكة يجب تنفيذ طبقات مختلفة من الأمن بحيث يجب على المهاجم اختراق نظامين أو أكثر للوصول إلى الأصول الهامة، الخطوة الأولى في تطبيق السياسات هي تحديد السياسات التي سيتم تنفيذها، وغالبا ما تقيد التدابير الأمنية الأفراد في ممارساتهم التشغيلية مما يؤدي إلى تعزيز اللوائح الأمنية لذا، تحكم سياسات الشبكة كيفية تنفيذ الشبكة وتهيئتها لتبسيط عمل الموظف في الظروف العادية، وكذلك إرشادات كيفية التفاعل أو التعامل أثناء حدوث الحوادث. في هذا السياق، يشرح القسم التالي فرض مقاييس السياسات لكل مصطلح أو مبدأ أمن الشبكة لحماية المعلومات والنظم.
سياسات جهاز التوجيه ومبدل (Router and Switch) الشبكة
مقدمة
توفر أجهزة التوجيه ومبدلات الشبكة وظائف أمان مهمة داخل الشبكة إذا ما تم تهيئتها بشكل صحيح، فهما ضمن العديد من الأجهزة والبرامج المتوفرة والتي تساعد في إدارة وحماية الشبكة الخاصة من الشبكة العامة. تحدد سياسة أمن الموجه ومبدل الشبكة متطلبات التهيئة لتلبية معايير الأمان ومتطلبات إدارة التغيير والمتطلبات التشغيلية.
الغرض
هذه الوثيقة مصممة لحماية معدات وبيانات (جهة العمل) وشركائها التجاريين أو أي بيانات مملوكة أو تحت تصرف (جهة العمل) من خلال تحديد الحد الأدنى لمعايير التكوين والضبط لجميع أجهزة التوجيه والمبدلات التي تتصل بشبكة (جهة العمل).
النطاق
يجب على جميع الموظفين والمتعاقدين والمستشارين والعاملين المؤقتين وغيرهم ممن يستخدمون أجهزة الشبكة مثل الموجه و/ أو المبدل الالتزام بهذه السياسة، كما تخضع لهذه السياسة جميع أجهزة التوجيه والمبدلات المتصلة بالشبكة.
السياسة
يجب أن يستوفي كل جهاز توجيه / مبدل معايير التهيئة التالية:
- لا يتم تكوين أي حسابات مستخدمين محليين على جهاز التوجيه و/ أو التبديل نفسه، بل يجب أن تستخدم أجهزة التوجيه والمبدلات خادم AAA مخصصًا لهذا الغرض مثل (TACACS +) للقيام بجميع مصادقات المستخدمين.
- يجب استخدام كلمة السر (enable secret) بدلاً من تمكين كلمة المرور (enable password).
- يجب الحفاظ على كلمة السر (enable secret) مشفرة ومؤمنة على جهاز التوجيه أو المبدل.
- يجب تعطيل الخدمات أو الميزات التالية:
- البث الموجه عبر بروتوكول الإنترنت (IP directed broadcasts) (يمكن تفعيل البث الموجه نحو بروتوكول الإنترنت عند الرغبة في تنفيذ خدمات الإدارة أو الإدارة عن بعد مثل النسخ الاحتياطية على الأجهزة المضيفة في شبكة فرعية ليس لديها اتصال مباشر بالإنترنت)
- الحزم الواردة لجهاز التوجيه/التبديل والقادمة من مصادر ذات عناوين غير صالحة مثل عناوين RFC1918.
- خدمات TCP الصغيرة (TCP small services).
- خدمات UDP الصغيرة (UDP small services).
- جميع خدمات الويب التي تعمل على جهاز التوجيه.
- التكوين التلقائي (Auto-configuration).
- بروتوكول استكشاف الأجهزة للطبقة الثانية (مثل CDP وLLDP) وبروتوكولات الاكتشاف الأخرى.
5. يجب عدم سماح ما يلي على واجهة منافذ أجهزة التوجيه/التبديل:
- نيابة عن (وكيل) بروتوكول حل العناوين (Proxy-ARP).
- رسائل (ICMP) الغير قابلة للوصول.
- التبديل السريع (Fast switching) والتبديل الذاتي (autonomous switching).
- التخزين المؤقت للمسار متعدد البث (Multicast).
- بروتوكول عمليات الصيانة (MOP).
6. يجب ضبط الخدمات التالية:
- تشفير كلمة المرور.
- مزامنة الوقت (NTP). يجب مزامنة جميع ساعات الشبكة مع مصدر زمن مشترك.
7. جميع تحديثات التوجيه (Routing) يجب أن تتم باستخدام تحديثات التوجيه الآمن.
8. استخدام نصوص SNMP الموحدة لـ(جهة العمل). يجب إزالة النصوص الافتراضية، مثل العامة أو الخاصة (public وprivate). يجب تهيئة SNMP لاستخدام النسخة الأكثر أماناً من البروتوكول المدعومة من كلا الطرفين؛ الجهاز وأنظمة الإدارة.
9. يجب استخدام قوائم التحكم في الوصول (Access control lists) للحد من مصدر ونوع حركة المرور التي يمكن أن تصل للجهاز نفسه.
10. يجب أن يحتوي كل جهاز توجيه (Router) على إشعار تنبيه يظهر في نافذة أو محث أوامر الدخول للنظام يحوي على معلومات تفيد أن الدخول هنا مسموح به للمستخدمين المصرح لهم بذلك فقط لا غير. البيان التالي يجب أن يظهر عند استخدام أي شكل من أشكال تسجيل الدخول سواء كانت محلية أو عن بعد:
- “يحظر الدخول لهذا الجهاز لغير المصرح لهم.
- يجب أن يكون لديك إذن للدخول إلى هذا الجهاز أو ضبطه. أي أجراء أو تغيير تقوم به يكون عرضة للتوثيق والحفظ وإذا ما ارتكبت أي مخالفات للسياسات المعتمدة فسوف تتعرض لاتخاذ إجراءات عقابية صارمة ضدك حسب اللوائح المعمول بها.
- ليس لك أي حق في الخصوصية على هذا الجهاز. استخدامك لهذا النظام يعد موافقة تلقائية على مراقبة ما تقوم به.”
11. لا يجوز أبداً استخدام بروتوكول Telnet عبر أي شبكة لإدارة جهاز توجيه، ما لم يكن هناك نفق آمن يحمي مسار الاتصال بالكامل، الإصدار 2 من بروتوكول (SSH) هو بروتوكول الإدارة المفضل.
12. ينبغي وضع أجهزة التوجيه والمبدلات في مكان يقتصر فيه الدخول على الأشخاص المرخص لهم فقط.
13. يجب أن يقوم المبدل بتعطيل منفذ أو مجموعة من المنافذ في حالة ظهر بها عناوين أجهزة (MAC) جديدة أو غير مسجلة مسبقاً على المنفذ إذا كانت هذه الميزة متاحة.
14. يجب أن يقوم المبدل بتوليد رسائل (SNMP TRAP) إذا وقع الاتصال وتم إعادة توليده في حال توفرت هذه الميزة.
15. يجب أن تستخدم بروتوكولات التوجيه الديناميكية المصادقة عند إرسال تحديثات التوجيه إلى الأجهزة المجاورة. (يجب تمكين ميزة تحويل كلمة المرور بدالة الاختزال (Hashing) في نص المصادقة عند دعمها.
16. من خلال المعيار المعتمد لدى (جهة العمل) يتم تحديد فئة من الأجهزة تعتبر ذات وضع حساس نظراً لطبيعة عملها، وبذلك فإنها ستحتاج إلى خدمات وضبط إضافي والذي يجب أن يشمل:
- متابعة ومراقبة لقوائم التحكم في الوصول لبروتوكول الإنترنت (IP Access List Accounting).
- تسجيل وتوثيق أحداث الجهاز (Device logging).
- يجب إسقاط الحزم الواردة للموجه التي يكون مصدرها من عناوين غير صالحة، مثل عناوين RFC1918 أو تلك التي يمكن استخدامها لخداع (Spoof) حركة مرور الشبكة.
17. يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:
- رسم تخطيطي للشبكة.
- ضوابط النظام (System configurations).
- قواعد الجدار الناري.
- عناوين بروتوكولات الأنترنت (IP Addresses).
- قوائم التحكم في الوصول.
سياسة الاتصالات اللاسلكية
مقدمة
مع الانتشار المتسارع للهواتف الذكية والأجهزة اللوحية، فإن الاتصال اللاسلكي أصبح واسع الانتشار وهو ما أصبح أمراً مسلماً به ولا تخلو منه أي مؤسسة. يمكن للضبط اللاسلكي الغير الآمن توفير باب مفتوح وسهل للمخترقين والقراصنة.
تعد سياسة الاتصالات اللاسلكية ضرورية لأمن الكمبيوتر نظراً لوجود طلب متزايد على المعدات اللاسلكية في كل (جهة عمل) اليوم. قد تحدد سياسة الاتصال اللاسلكي أنه لا يجب استخدام أي معدات لاسلكية، لكن ذلك لن يكون عملياً وواقعياً لأن ذلك قد يؤدي للجوء بعض الإدارات أو الأفراد إلى انتهاك لهذه السياسة، لذا كان من الأفضل تحديد الشروط وتحديد المعدات المعتمدة للاستخدام اللاسلكي لتقليل مخاطر الأمان المرتبطة باللاسلكي الذي لابد منه.
الغرض
الوصول إلى هذه الموارد كامتياز ويجب أن تدار هذه الموارد بطريقة مسؤولة للحفاظ على سرية ونزاهة وتوافر جميع الأصول المعلوماتية.
كما تحدد هذه السياسة الشروط التي يجب أن تستوفيها أجهزة البنية التحتية اللاسلكية للاتصال بشبكة (جهة عمل)، بحيث لا تتم الموافقة إلا على أجهزة البنية التحتية اللاسلكية التي تفي بالمعايير المحددة في هذه السياسة أو تلك التي تم منحها استثناء من قبل إدارة أمن المعلومات للاتصال بشبكة (جهة عمل).
النطاق
تنطبق هذه السياسة على جميع أجهزة البنية التحتية اللاسلكية المتصلة بشبكة (جهة عمل) أو تكون موجودة ضمن موقع (جهة عمل) والتي توفر اتصالاً لاسلكيًا بأجهزة طرفية، بما في ذلك على سبيل المثال لا الحصر، أجهزة الكمبيوتر المحمولة وأجهزة سطح المكتب والهواتف الخلوية والأجهزة اللوحية. ويشمل في ذلك أي شكل من أشكال أجهزة الاتصال اللاسلكي القادر على نقل حزم البيانات. لذلك يجب أن يلتزم بهذه السياسة جميع الموظفين والاستشاريين والعاملين المؤقتين وغيرهم في (جهة عمل)، كما تشمل جميع الموظفين التابعين لأطراف ثالثة والموكل لها إدارة أجهزة البنية التحتية اللاسلكية بالنيابة عن (جهة عمل).
السياسة
جميع أجهزة البنية التحتية اللاسلكية الموجودة في موقع (جهة عمل) والمتصلة بشبكتها، أو التي توفر الوصول إلى معلومات مصنفة على أنها سرية يجب عليها ما يلي:
- الالتزام بالمعايير المحددة في معيار الاتصالات اللاسلكية.
- استخدام بروتوكولات المصادقة والبنية التحتية المعتمدة من قبل (جهة عمل).
- استخدام بروتوكولات التشفير المعتمدة لدى (جهة عمل).
- الحفاظ على العناوين المادية للأجهزة (MAC) التي يمكن تسجيلها وتتبعها.للحد من احتمال إساءة استخدام الشبكة اللاسلكية:
- ينبغي أن تكون هناك مصادقة سليمة للمستخدم مع الاستبدال المناسب لآلية WEP وتتبع الشذوذ (Anomaly Tracking) على الشبكة المحلية اللاسلكية.
- في نفس الوقت، القائمة التالية تحوي عدداً من الأحداث المشبوهة التي قد تقع داخل الشبكة المحلية اللاسلكية والتي ينبغي دائماً أن تأخذ في الاعتبار عند ضبط أنظمة كشف التسلل:
-
- إطارات الإرشاد (Beacon Frames) القادمة من نقطة وصول لاسلكية لم يطلب منها ذلك (unsolicited).
- فيضان الأطر غير المصادق عليها (هجوم MITM)
- اطر بيانات تحوي عنوان MAC مكرر.
- تغيير عنوان MAC بشكل عشوائي.بروتوكولات التشفير اللاسلكية:
يفضل استخدام بروتوكول حماية الوصول للواي فاي الإصدار 2 (WAP2) كبروتوكول تشفير للشبكات اللاسلكية بدلاً من بروتوكول حماية الوصول للواي فاي الإصدار الأول (WAP) وبروتوكول الخصوصية المكافئة للشبكات السلكية (WEP) وذلك لأنه يوفر خوارزمية أمان أقوى وتشفيرًا متقدمًا كما يتحقق من صحة الرسالة وتكاملها.
يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:
- رسم تخطيطي للشبكة.
- ضوابط النظام (System configurations).
- قواعد الجدار الناري.
- عناوين بروتوكولات الأنترنت (IP Addresses).
- قوائم التحكم في الوصول.
سياسة الشبكة الافتراضية الخاصة (VPN)
مقدمة
الشبكة الخاصة الظاهرية (VPN) هي شبكة اتصال خاصة آمنة توفر طريقة ملائمة للوصول إلى موارد الشبكة الداخلية عن بعد عبر الشبكة العامة (الإنترنت)، حيث توفر VPN وصولاً آمنًا من خلال توفير وسيلة لحماية البيانات أثناء انتقالها عبر شبكة غير موثوق بها.
الغرض
تهدف هذه السياسة إلى توفير إرشادات خاصة باتصالات الوصول عن بُعد عبر IPsec أو شبكة L2TP الخاصة الافتراضية (VPN) إلى شبكة (جهة عمل).
النطاق
تطبق هذه السياسة على جميع موظفي (جهة عمل) والمقاولين والمستشارين والموظفين المؤقتين وغيرهم من العمال بما في ذلك جميع الموظفين المنتسبين إلى أطراف ثالثة المستخدمين لشبكات VPN ليتمكنوا من الدخول إلى الشبكة (جهة عمل). تنطبق هذه السياسة على تطبيقات VPN التي يتم توجيهها للمرور عبر مُركِّز IPsec (IPsec Concentrator).
السياسة
- تقع على عاتق الموظفين الذين لديهم امتيازات استخدام الشبكة الافتراضية الخاصة VPN ضمان عدم السماح للمستخدمين غير المصرح لهم بالوصول إلى الشبكات الداخلية لـ(جهة عمل) عبر وصلات الـ(VPN) الخاصة بهم.
- يجب التحكم في استخدام الشبكة الافتراضية الخاصة VPN باستخدام مصادقة بكلمة المرور لمرة واحدة (one-time password) كجهاز إشارة السماح (Token Device) أو نظام المفتاح العام/الخاص مع اختيار عبارة مرور قوية passphrase)).
- عندما يكون الاتصال بشبكة (جهة عمل) نشطاً، فإن آلية الشبكات الافتراضية الخاصة (VPN) يجب أن تقوم بإجبار كل حركة المرور من وإلى الكمبيوتر عبر نفق VPN بينما يقوم بطرح وتجاهل أي حركة بيانات أخرى.
- تقاسم أو ازدواج الاتصال عبر نفق التشفير (Dual (split) tunneling) غير مسموح؛ إذ لا يسمح بحصول أكثر من اتصال شبكي واحد فقط في نفس الوقت. تقاسم أو ازدواج الاتصال عبر نفق التشفير يسمح بوجود اتصالين نشطين متزامنين في نفس الوقت، أحدهما لشبكة آمنة عبر الـ(VPN) والثاني لشبكة غير آمنة، هذا الوضع يشكل ثغرة تسهل الاتصال المباشر من الأنترنت الغير آمن إلى الشبكة المؤمنة باتصال بتقنية الـ(VPN).
- بوابات الشبكات الافتراضية الخاصة (VPN gateways) يتم أعدادها وإدارتها من قبل موظفي القسم الخاص بعمليات الشبكة لـ(جهة عمل).
- يجب على كل الأجهزة التي تتصل بالشبكة الداخلية لـ(جهة عمل) باستخدام الـ(VPN) أو غيرها من التقنيات أن تستخدم برامج مضادة للفيروسات محدثة ومطابقة للمعايير المتبعة من قبل (جهة عمل)؛ بما في ذلك الحواسيب الشخصية.
- يجب فصل مستخدمي VPN تلقائياً عن شبكة (جهة عمل) بعد ثلاثين دقيقة من عدم النشاط. ويجب على المستخدم تسجيل الدخول مرة أخرى لإعادة الاتصال بالشبكة. (يمنع استخدام pings أو عمليات شبكة مصطنعة أخرى للحفاظ على الاتصال مفتوحاً)
- يجب ضبط جهاز (VPN concentrator) بتحديد وقت أي اتصال بحيث لا يتجاوز الأربع وعشرين (24) ساعة.
- يجب على مستخدمي أجهزة الكمبيوتر التي ليست من الأجهزة التي تملكها (جهة عمل) تهيئة الأجهزة بحيث تتوافق مع سياسات الشبكة وسياسات الربط بتقنية الشبكة الافتراضية الخاصة (VPN) بـ(جهة عمل)
- باستخدام تكنولوجيا VPN مع الأجهزة الشخصية، يجب أن يعي المستخدمون أن أجهزتهم أصبحت امتداداً فعلياً وجزءاً من شبكة (جهة عمل) وبالتالي فهي تخضع لنفس القواعد واللوائح التي تنطبق على المعدات التي تستخدمها (جهة عمل).
- يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:
-
- رسم تخطيطي للشبكة.
- ضوابط النظام (System configurations).
- قواعد الجدار الناري.
- عناوين بروتوكولات الأنترنت (IP Addresses).
- قوائم التحكم في الوصول
- رسم تخطيطي للشبكة.
سياسة جدار الحماية/الناري (Firewall)
مقدمة
إذا كان الاتصال بشبكة مفتوحة وغير آمنة مثل الإنترنت يؤدي إلى احتمالية فتح مدخلاً كبيراً للهجمات السيبرانية على الشبكة الداخلية لـ(جهة العمل). وأحد أفضل الطرق للدفاع ضد هذه الهجمات هي استخدام الجدران النارية عند نقطة الاتصال بشبكة الأنترنت، حيث أنه من الضروري حماية الشبكات الخاصة الداخلية ومرافق الاتصالات الخاصة بـ(جهة العمل).
الغرض
يتم تعريف جدران الحماية (الجدار الناري) على أنها أنظمة أمان تتحكم وتقيّد اتصال الشبكة وخدماتها. جدران الحماية تنشئ نقطة تحكم يمكن عبرها فرض عناصر التحكم بالوصول. يسعى هذا المستند إلى مساعدة (جهة العمل) في فهم قدرات تقنيات جدار الحماية وسياسات جدار الحماية.
النطاق
تحدد هذه السياسة القواعد الأساسية المتعلقة بإدارة وصيانة الجدران النارية، وتنطبق على جميع الجدران النارية التي تملكها أو تؤجرها أو تتحكم بها (جهة العمل).
السياسة
- مراجعة مجموعة القواعد للتأكد من اتباعها للترتيب كما يلي:
- مرشحات مكافحة الانتحال (حجب العناوين الخاصة والعناوين الداخلية التي تظهر من الخارج).
- قواعد تصريح المستخدم (على سبيل المثال، السماح بـ HTTP إلى خادم الويب العام).
- قواعد تصريح الإدارة (مثل رسائل تنبيه (SNMP traps) لخادم إدارة الشبكة).
- الرفض والتنبيه (تنبيه مسؤولي الأنظمة حول حركة المرور المشبوهة).
- الرفض والتوثيق (حفظ سجل حركة المرور للتحليل).
2. جدار الحماية القائم على التطبيق:
- في حالة الدخول على خادم مخصص، يجب وضع جدار ناري برمجي يعمل بالنيابة (وكيل) (Application Proxy Firewall) ما بين المستخدم المتصل عن بعد والخادم المخصص وذلك لإخفاء هوية الخادم.
- التأكد من مراقبة المسؤولين لأية محاولات لانتهاك سياسة الأمن باستخدام سجلات التدقيق التي تم إنشاؤها بواسطة جدار الحماية على مستوى التطبيق.
- ضمان أن هناك آلية لتحديث وسد ثغرات الجدار الناري على مستوى التطبيقات والتحقق بأنها محدثة لسد آخر الثغرات.
- تأكد من وجود عملية لتحديث البرنامج بأحدث بصمات الهجوم.
- في حالة تنزيل التواقيع من موقع الموردين والشركات المصنعة، يجب التأكد بأنها من موقع موثوق.
- في حالة إرسال البصمات بالبريد الإلكتروني إلى مسؤول النظام، يجب التأكد من استخدام التوقيعات الرقمية للتحقق من المورد وأن المعلومات المنقولة لم يتم تغييرها أثناء النقل.
- يجب حظر الأوامر التالية لـ SMTP في جدار الحماية على مستوى التطبيق:
- EXPN (التوسيع – expand)
- VRFY (تحقق– verify)
- DEBUG
- WIZARD
- يجب حظر الأمر التالي لـ FTP:
- PUT
- مراجعة وحظر العناوين URL’s) (والتأكد بانها ملائمة، فعلى سبيل المثال. يجب حظر أي عنوان URL لمواقع المخترقين.
- التأكد من أن المستخدمين المخولين هم فقط من يتم التصديق عليهم بواسطة جدار الحماية على مستوى التطبيق.
3. تفحص بحالة الاتصال (Stateful Inspection)
- مراجعة جداول الحالة (State Tables) للتأكد من إعداد القواعد المناسبة من حيث عناوين المصدر والوجهة ومنافذ المصدر والوجهة والمهلة.
- تأكد من أن المهلة مناسبة حتى لا تعطي المتسلل الكثير من الوقت لشن هجوم ناجح.
- وبالنسبة لعناوين URL :
- في حالة استخدام خادم تصفية عناوين URL، تأكد من تحديده بشكل مناسب في برنامج جدار الحماية. (إذا كان خادم التصفية من خارج (جهة العمل)، فتأكد من أنه مصدر موثوق به).
- إذا كان الترشيح على عناوين MAC مسوح به، فيجب مراجعة المرشحات للتأكد من أنها مقتصرة على عناوين MAC المناسبة لـ (جهة العمل).
- في حالة استخدام خادم تصفية عناوين URL، تأكد من تحديده بشكل مناسب في برنامج جدار الحماية. (إذا كان خادم التصفية من خارج (جهة العمل)، فتأكد من أنه مصدر موثوق به).
4. تسجيل الأحداث:
- تأكد من تفعيل خاصية تسجيل الاحداث وأن يتم مراجعة السجلات لتحديد أي أنماط محتملة قد تشير إلى وجود هجوم.
- سجلات إدارة جدار حماية الشبكة (الأنشطة الإدارية) وسجلات الأحداث (نشاط حركة المرور) يجب أن:
- يتم تخزينها على وحدة تخزين بديلة (وليس على نفس الجهاز)
- تتم مراجعتها يوميًا على الأقل، مع الاحتفاظ بالسجلات لمدة تسعين (90) يوماً
5. التصحيحات والتحديثات:
- تأكد من اختبار وتثبيت أحدث التصحيحات والتحديثات المتعلقة بجدار الحماية الخاص بك.
- إذا تم تنزيل التصحيحات والتحديثات تلقائيًا من مواقع الويب الخاصة بالموردين، فتأكد من استلام التحديث من موقع موثوق به.
- في حالة إرسال التصحيحات والتحديثات بالبريد الإلكتروني إلى مدير النظام، تأكد من استخدام التوقيعات الرقمية للتحقق من المورد (Vendor) والتأكد من عدم تعديل المعلومات في الطريق.
6. تقييم اختبار الضعف:
- يجب التحقق ما إذا كان هناك إجراء لاختبار المنافذ المفتوحة باستخدام (NMAP)، وما إذا كانت المنافذ غير الضرورية مغلقة.
- التأكد من وجود إجراء لاختبار القواعد عند تأسيسها أو تغييرها حتى لا يؤدي إلى رفض الخدمة أو السماح باستمرار وجود نقاط الضعف دون أن يتم اكتشافها.
7. الالتزام بسياسة الأمن:
- تأكد من أن القواعد تتوافق مع سياسة أمن (جهة العمل).
8. تأكد من أن العناوين التالية الخاصة، (RFC 1918) المنتحلة والعشوائية محظورة:
- عناوين خاصة (RFC 1918)
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
- عناوين محجوزة
240.0.0.0
- عناوين غير قانونية
0.0.0.0
- echo UDP
- بث (RFC 2644) ICMP
9. الوصول عن بعد:
- في حالة استخدام الوصول عن بعد، تأكد من استخدام بروتوكول SSH (المنفذ 22) بدلاً من Telnet.
10. نقل الملفات:
- إذا كان بروتوكول FTP مطلوبا، فتأكد من وضع الخادم، الذي يدعم FTP، في شبكة فرعية مختلفة عن تلك المخصصة للشبكة المحمية الداخلية.
11. حركة البريد الإلكتروني:
- التحقق من البروتوكول المستخدم للبريد والتأكد من وجود قاعدة لحظر حركة البريد الوارد باستثناء تلك القاصدة خادم البريد الداخلي.
12. حظر حركة ICMP غير المرغوب فيها (ICMP 8, 11, 3):
- تأكد من وجود قاعدة تمنع طلبات ورسائل ارتداد ICMP.
- تأكد من وجود قاعدة تمنع أرسال رسائل تجاوز الوقت (Time Exceeded) ورسائل الإبلاغ عن عدم القدرة عن وصول للهدف (Unreachable).
13. الخوادم الحرجة والحساسة (Critical Servers):
- التأكد من وجود قاعدة تمنع حركة المرور الموجهة إلى عناوين داخلية حرجة وحساسة من مصادر خارجية. يجب أن تستند هذه القاعدة إلى المتطلبات التنظيمية، نظراً لأن بعض (جهات العمل) قد تسمح بتوجيه حركة المرور عبر تطبيق ويب وعبر المنطقة المجردة من السلاح (DMZ).
14. جدران الحماية الشخصية:
- تأكد من حصول مستخدمي الكمبيوتر المحمول على التدريب المناسب فيما يتعلق بالتهديدات وأنواع العناصر المحظورة بواسطة جدار الحماية والمبادئ التوجيهية لتشغيل جدار الحماية الشخصي. هذا العنصر ضروري، حيث تعتمد الجدران النارية الشخصية أحيانًا على مطالبة المستخدم بالرد على الهجمات. على سبيل المثال، ما إذا كنت تريد قبول / رفض طلب من عنوان معين.
- قم بمراجعة إعدادات الحماية الخاصة بجدار الحماية الشخصي للتأكد من أنه يقيد الوصول إلى منافذ معينة، ويحمي من الهجمات المعروفة، وأن هناك تنبيهات كافية لتسجيل الدخول وتنبيهات للمستخدم في حالة حدوث اختراق.
- تأكد من وجود إجراء لتحديث البرنامج لأية هجمات جديدة أصبحت معروفة. ويمكن بدلاً من ذلك الاعتماد على ما توفره معظم الأدوات المشابهة من خيارات تحميل التحديثات التلقائية عبر الإنترنت. في مثل هذه الحالات، يجب التأكد من تلقي التحديثات من مواقع موثوق بها.
15. جدران الحماية الموزعة:
- التأكد من توزيع سياسة الأمن باستمرار على جميع الأجهزة المضيفة، خاصة عند وجود تغييرات في السياسة.
- التأكد من وجود ضوابط كافية لضمان سلامة السياسة أثناء النقل، على سبيل المثال، IPsec لتشفير السياسة عند النقل.
- تأكد من وجود ضوابط كافية لمصادقة المضيف المناسب.
مرة أخرى يمكن استخدام IPsec للمصادقة مع شهادات التشفير.
16. استمرار توافر جدران الحماية:
- تأكد من وجود جدار حماية بديل عن جدار الحماية الأساسي (hot standby for the primary firewall)
17. يجب توثيق عمليات ضبط الشبكة والتغييرات التي تتم عليها بشكل منتظم وذلك لفهم بنيتها، يجب أن يتضمن مستند توثيق الشبكات ما يلي:
- رسم تخطيطي للشبكة.
- ضوابط النظام (System configurations).
- قواعد الجدار الناري.
- عناوين بروتوكولات الانترنت (IP Addresses).
- قوائم التحكم في الوصول.