قمنا بتغطية مفاهيم تصميم بنية الشبكة الآمنة مثل شبكات VLAN والمناطق الأمنية وقوائم التحكم في الوصول وتطفل DNS وفحص ARP. تُستخدم شبكات VLAN لفصل أجهزة الكمبيوتر والأجهزة إلى أجزاء منطقية من أجل التنفيذ الفعال للتحكم في حركة المرور والأمن. تنقسم شبكات VLAN إلى مناطق أمان مثل المنطقة الموثوقة والمنطقة المجردة من السلاح ومنطقة الثقة صفر. تتحكم قوائم ACL في تدفق حركة المرور عن طريق كتابة القواعد في جدار الحماية التي تسمح/تسقط الحزم بناءً على IP/المنفذ المصدر/الوجهة. كان هذا جزءًا من TryHackMe هندسة الشبكة الآمنة.
احصل على ملاحظات الفريق الأزرق
تعد الشبكات أحد المكونات الأكثر أهمية في بيئة الشركة ولكن غالبًا ما يمكن التغاضي عنها من الناحية الأمنية. لا تسمح الشبكة المصممة بشكل صحيح باستخدام الإنترنت واتصالات الأجهزة فحسب، بل تسمح أيضًا بالتكرار والتحسين والأمان.
في شبكة جيدة التصميم، في حالة تعطل أحد المحولات، يمكن إعادة توزيع الحزم عبر مسار آخر دون خسارة وقت التشغيل. إذا تم اختراق خادم الويب، فلن يتمكن من اجتياز الشبكة والوصول إلى المعلومات المهمة. يجب أن يكون مسؤول النظام واثقًا من أن خوادمه آمنة في حالة انضمام جهاز عشوائي إلى الشبكة، مع العلم أن الجهاز مجزأ عن بقية الشبكة ولا يمكنه الوصول إلى تلك الأنظمة.
كل هذه المفاهيم والسيناريوهات هي التي تفصل الشبكة الوظيفية عن الشبكة المصممة جيدًا.
مع إدخال شبكات VLAN، حدث تحول في تصميم بنية الشبكة ليشمل الأمان كاعتبار رئيسي. حماية, تحسين، و وفرة يجب أن تؤخذ جميعها في الاعتبار عند تصميم الشبكة، ومن الناحية المثالية دون المساس بعنصر واحد.
وهذا يقودنا إلى السؤال، كيف يمكننا تنفيذ شبكات VLAN بشكل صحيح كحدود أمنية؟ مناطق أمنية! مناطق أمنية يُعرِّف ماذا أو من موجود في شبكة محلية ظاهرية (VLAN) وكيف يمكن أن تنتقل حركة المرور في و خارج.
اعتمادًا على من تتحدث إليه، قد يكون لكل مهندس شبكة نهج/رأي مختلف فيما يتعلق باللغة أو المتطلبات المحيطة بالمناطق الأمنية. في هذه المهمة، سوف نتعمق في معايير المنطقة الأمنية الأكثر قبولًا، مع الحفاظ على أسلوب بسيط في التجزئة.
في حين أن مناطق الأمان تؤثر في الغالب على ما سيحدث داخليًا، فمن المهم بنفس القدر مراعاة كيفية دخول حركة المرور أو الأجهزة الجديدة إلى الشبكة، وتعيينها، وتفاعلها مع الأنظمة الداخلية. ستبقى معظم حركة المرور الخارجية (HTTP، البريد، وما إلى ذلك) في المنطقة المجردة من السلاح، ولكن ماذا لو كان المستخدم البعيد يحتاج إلى الوصول إلى مورد داخلي؟ يمكننا بسهولة إنشاء قواعد للموارد التي يمكن للمستخدم أو الجهاز الوصول إليها بناءً على MAC وعناوين IP وما إلى ذلك. ويمكننا بعد ذلك فرض هذه القواعد من خلال عناصر التحكم في أمان الشبكة.
فحص SSL/TLS
يستخدم فحص SSL/TLS وكيل SSL لاعتراض البروتوكولات، بما في ذلك HTTP أو POP3 أو SMTP أو غيرها من حركة مرور SSL/TLS المشفرة. بمجرد اعتراضه، سيقوم الوكيل بفك تشفير حركة المرور وإرسالها لتتم معالجتها بواسطة يو تي إم (شتم تحسينه تخطر مالإدارة) منصة. سوف تستخدم حلول UTM فحصًا عميقًا لـ SSL، مما يؤدي إلى تغذية حركة المرور التي تم فك تشفيرها من الوكيل إلى خدمات UTM الأخرى، بما في ذلك على سبيل المثال لا الحصر، مرشحات الويب أو IPS (أناcom.ntrusion صمراجعة سystem) لمعالجة المعلومات.
قد يبدو هذا الحل مثاليا، ولكن ما هي سلبياته؟ ربما لاحظ البعض منكم بالفعل أن هذا يتطلب وكيل SSL أو ميتم (مو-أنان-رهو-مخاملاً). حتى إذا كان جدار الحماية أو البائع قد قام بالفعل بتنفيذ الحل، فإنه سيظل بمثابة MiTM بين أجهزتك والعالم الخارجي؛ ماذا لو اعترضت كلمات المرور التي يحتمل أن تكون نصًا عاديًا؟ يجب على الشركة تقييم إيجابيات وسلبيات هذا الحل، اعتمادا على المخاطر المحسوبة. يمكنك السماح لجميع التطبيقات التي تعرف أنها أكثر أمانًا بمنع السلبيات المحتملة، لكن هذا الحل سيظل له عيوب. على سبيل المثال، يمكن لممثل التهديد المتقدم توجيه حركة المرور الخاصة به من خلال موفر السحابة أو مجال موثوق به.
إجابات الغرفة
ما هو معرف علامة VLAN للواجهة eth12؟
من الجدول أعلاه، في أي منطقة سيكون خادم الويب العام؟
من الجدول أعلاه، ما هي المنطقة التي سيتم وضع وحدة تحكم المجال الأساسية فيها؟
بحسب المقابلة الرباط الصليبي الأمامي السياسة، هل ستؤدي الحزمة الثانية إلى إسقاطها أو قبولها؟
ما النظام الأساسي الذي يعالج البيانات المرسلة من وكيل SSL؟
تجول الفيديو
