کنترل شماره دوازده از سری کنترل های بنیادین

CIS logo
دفاع مرزی

چرا این کنترل حیاتی است؟

تمرکز مهاجمان بر روی سیستم هایی است که می توانند از طریق اینترنت به آنها دسترسی پیدا کرد، این تجهیزات نه تنها سیستم های DMZ را در برمی گیرد بلکه ایستگاه های کاری و لپتاپ هایی را هم که محتوایشان را از طریق مرزهای شبکه ای از اینترنت می گیرند شامل میشود. تهدیداتی مانند گروه های جرائم سازمان یافته، از پیکربندی و ضعف های ساختاری موجود در سیستم های محیطی، دستگاه های شبکه و دستگاه هایی که دسترسی به اینترنت را برای مشتریان فراهم می کنند، برای دستیابی اولیه به یک سازمان استفاده کرده و سپس با استفاده از پایگاه موجود بر روی این دستگاه ها، زمینه مناسب را برای ورود عمیق تر به داخل مرزها با هدف ربودن یا تغییر اطلاعات و یا ایجاد اطلاعات پایدار برای حملات بعدی علیه میزبان های داخلی به دست می آورند. علاوه براین، بسیاری از حملات بین شبکه های شرکای تجاری که گاهی اوقات به عنوان اکسترانت ها (extranets) خوانده می شوند رخ می دهد، زیرا مهاجمان از شبکه یک سازمان به سازمان دیگر رفته و از سیستم های آسیب پذیر در محیط های اکسترانت بهره برداری می کنند.

برای کنترل جریان ترافیک از طریق مرزهای شبکه و وارسی محتوا - به وسیله ی جستجوی حملات و شواهد بدسـت آمـده از دستگاه های قربانی- بایـد از دفـاع مـرزی چند لایه مبتـنی بر فایـروال ها، Video Player پروکسی ها، شبکه های محیطی DMZ و IPS و IDS های مبتنی بر شبکه استفاده کرد. همچنین فیلتر کردن ترافیک ورودی و خروجی بسیار حیاتی است. لازم به ذکر است که خطوط مرزی بین شبکه های داخلی و خارجی در نتیجه افزایش اتصالات بین آنها در داخل و بین سازمان ها و همچنین افزایش سریع استقرار فناوری های بی سیم در حال کاهشند. این خطوط مبهم بعضی اوقات به مهاجمان اجازه می دهند ضمن دور زدن سیستم های مرزی، به داخل شبکه ها دسترسی پیدا کنند. با این حال، حتی با وجود این تار شدن مرزها، استقرارهای مؤثر امنیتی همچنان به دفاع های مرزی دقیق پیکربندی شده متکی هستند که در آنها شبکه ها را بر اساس سطح تهدیدات مختلف، مجموعه های کاربران، داده ها و سطح کنترل از هم جدا می کنند. با وجود کمرنگ شدن مرزهای شبکه های داخلی و خارجی، در شبکه های با دفاع چند لایه ای، شاهد کاهش تعداد حملات موفقیت آمیز بوده و برای پرسنل امنیتی این امکان ایجاد شده است تا بر روی مهاجمانی که روش های ابداعی تازه ای برای غلبه بر محدودیت های مرزی دارند تمرکز نمایند.

CIS logo

نکات اصلی


  • ارتباطات با آدرس های IP شناخته شده مخرب یا بلا استفاده را deny کنید و دسترسی را فقط به محدوده آدرس هایIP معتبر و لازم در هر یک از مرزهای شبکه سازمان محدود کنید.
  • سنسورهای شناسایی شبکه های مبتنی بر نفوذ IDS در شبکه نصب کرده و به دنبال مکانیسم های حمله غیرمعمول و کشف نفوذ در هر یک از مرزهای شبکه سازمان باشید. نیست.
CIS logo

سامانه های مرتبط برای پیاده سازی این کنترل

CIS logoCIS logo

صفحه قبل