اگر همین الان از شما بپرسند «شبکهتان چقدر امن است؟»، دقیقاً چه جوابی میدهید؟ بیشتر مدیران و حتی خیلی از متخصصین ایرانی نمیتوانند با اطمینان جواب بدهند، چون هیچ وقت یک نقشه راه کامل و قدمبهقدم را دنبال نکردهاند.
این مقاله دقیقاً همان نقشه راه است؛ طوری نوشته شده که بعد از خواندنش دیگر هیچ سوالی برایتان باقی نماند – چه صاحب یک شرکت ۵ نفره باشید، چه مدیر شبکه یک سازمان بزرگ، چه فریلنسر خانگی.
چرا ۹۹٪ شبکههای ایرانی آسیبپذیرند؟ (آمار واقعی ۱۴۰۳–۱۴۰۴)
- ۸۷٪ حملات موفق از ۵ اشتباه ساده شروع میشود: رمز پیشفرض، نرمافزار بهروز نشده، پورت باز، عدم بکاپ، آموزش ندیدن کارمند.
- طبق گزارش مرکز ماهر، در سال ۱۴۰۳ بیش از ۴۲٪ حملات باجافزاری ایران از طریق RDP (پورت 3389) یا رمزهای ضعیف وارد شدند.
- متوسط خسارت یک حمله برای شرکتهای کوچک و متوسط: ۲.۸ میلیارد تومان + ۲۳ روز قطعی.
- هزینه پیشگیری برای همین شرکت: کمتر از ۸۰ میلیون تومان در سال اول.
خبر خوب: با رعایت همین چیزی که الان میخوانید، میتوانید جلوی ۹۵٪ این حملات را بگیرید.
نقشه راه امنیت شبکه در ۵ لایه (از روز اول تا همیشه)
لایه ۱: پایههای غیرقابل مذاکره (هفته اول – ۱۰ ساعت کار)
این کارها را حتی اگر فقط یک لپتاپ و یک مودم دارید، همین امروز انجام دهید:
- تمام رمزهای پیشفرض را تغییر دهید مودم، روتر، سوئیچ، سرور، پنل میکروتیک، دوربین، ناس، پرینتر – همه! حداقل ۱۶ کاراکتر، ترکیبی از حروف بزرگ/کوچک/عدد/علامت و بدون کلمه فارسی یا تاریخ تولد.
- UPnP را روی مودم و روتر خاموش کنید این قابلیت اجازه میدهد هر دستگاهی از بیرون پورت باز کند – مرگ امنیت!
- شبکه مهمان (Guest Wi-Fi) جدا بسازید کاملاً ایزوله از شبکه اصلی، با سرعت و پهنای باند محدود.
- فایروال همه دستگاهها را روشن کنید ویندوز، لینوکس، مک، اندروید، iOS – همه.
- همه دستگاهها و فریمورها را بهروز کنید حتی مودم ایرانسل/مخابرات هم آپدیت دارد!
- احراز هویت دو مرحلهای (2FA) را برای همه حسابهای مهم فعال کنید جیمیل، مایکروسافت ۳۶۵، سرور، هاست، پنل بانک، اینستاگرام کسبوکار – همه جا.
لایه ۲: دفاع عمیق (ماه اول – ۴۰ ساعت کار)
- سیاست رمز عبور سازمانی وضع کنید حداقل ۱۲ کاراکتر، تعویض هر ۹۰ روز، ممنوعیت تکرار ۵ رمز قبلی.
- دسترسیها را بر اساس اصل حداقل دسترسی (Least Privilege) محدود کنید کارمند حسابداری چرا باید به سرور فایل دسترسی داشته باشد؟
- بکاپگیری منظم و طبق قانون ۳-۲-۱ ۳ نسخه، ۲ رسانه مختلف، ۱ نسخه آفلاین و خارج از محل.
- پورتهای غیرضروری را ببندید مخصوصاً 3389 (RDP)، 3390، 23 (Telnet)، ۲۱ (FTP) – فقط از طریق VPN قابل دسترسی باشند.
- آنتیویروس/EDR سازمانی نصب کنید برای شرکتهای ایرانی: پادویش سازمانی، شید، یا کسپرسکی با لایسنس قانونی.
- لاگگیری مرکزی راهاندازی کنید حداقل Event Viewer ویندوز + لاگ روتر.
- آموزش ۳۰ دقیقهای به همه کارکنان فقط یک فایل PDF یا ویدئو: «این ایمیل را باز نکن»، «فلش ناشناس نزن»، «رمزت را به کسی نده».
لایه ۳: دفاع فعال (ماه دوم و سوم)
- سیستم تشخیص و پاسخ (SIEM یا حداقل IDS) راهاندازی کنید رایگان: Wazuh + Elastic Stack ایرانی: لاگسنتر شید یا فایروال شید.
- تست نفوذ دورهای (حداقل سالی یک بار) انجام دهید خودتان با OpenVAS یا Nessus رایگان، یا شرکت معتبر.
- VPN سایتتوسایت برای شعب و دورکارها WireGuard (رایگان و سریع) یا IPsec.
- Zero Trust پیادهسازی کنید هیچ دستگاهی به طور پیشفرض قابل اعتماد نیست – حتی داخل شبکه.
- برنامه بازیابی پس از فاجعه (Disaster Recovery Plan) بنویسید دقیقاً بنویسید اگر سرور سوخت یا باجافزار زدیم، چه کسی چه کاری انجام میدهد.
لایه ۴: امنیت پیشرفته (۶ ماه به بعد)
- Segmentation شبکه (با VLAN یا میکروتیک)
- DLP (جلوگیری از نشت اطلاعات)
- Honeypot (تله برای هکرها)
- بیمه سایبری (در ایران از سال ۱۴۰۳ موجود است)
- تیم واکنش به حادثه (IR Team) یا قرارداد با شرکت تخصصی
بایدهای طلایی امنیت شبکه (به ترتیب اولویت)
- همیشه بهروز باش – مهمترین قانون
- همیشه بکاپ داشته باش و تست کن
- همیشه حداقل دسترسی بده
- همیشه لاگ داشته باش و نگاه کن
- همیشه آموزش بده (حتی ۱۰ دقیقه در ماه)
- همیشه از چند لایه دفاع استفاده کن (Defense in Depth)
- همیشه برای بدترین حالت برنامه داشته باش
نبایدها(هرگز، تحت هیچ شرایطی!)
- هرگز از رمز پیشفرض یا رمز ساده (۱۲۳۴، admin، iran123) استفاده نکن
- هرگز پورت مدیریت (RDP, SSH, پنل) را مستقیم به اینترنت باز نگذار
- هرگز نرمافزار کرکشده روی سرور یا کامپیوتر اداری نصب نکن
- هرگز فلش، هارد یا دستگاه ناشناس را بدون اسکن وصل نکن
- هرگز UPnP، WPS، Telnet، FTP قدیمی را روشن نگذار
- هرگز بکاپ را فقط در یک جا (مخصوصاً همان سرور) نگه ندار
- هرگز به کارمند اجازه نده از رمز خودش برای حساب ادمین استفاده کند
- هرگز لینک یا فایل مشکوک را بدون چک کردن باز نکن (حتی اگر از دوستت آمد)
- هرگز فکر نکن «ما کوچکیم، کسی به ما حمله نمیکند»
- هرگز امنیت را به «بعداً» موکول نکن.
ابزارهای پیشنهادی ایرانی و رایگان
| کاربرد | ابزار ایرانی | ابزار رایگان جهانی |
|---|---|---|
| آنتیویروس سازمانی | پادویش، شید، ایست | Windows Defender + Malwarebytes |
| فایروال و UTM | شید، پارسفایروال | pfSense، OPNsense |
| بکاپگیری | پارسیبکاپ، نوما | Veeam Agent (رایگان) |
| مدیریت رمز | – | Bitwarden (رایگان) |
| SIEM و مانیتورینگ | لاگسنتر شید | Wazuh + Graylog |
| تست نفوذ | شرکتهای آپا دانشگاهی | OpenVAS، Nikto |
| VPN | – | WireGuard، OpenVPN |
جمعبندی نهایی: امنیت شبکه یک فرآیند است، نه یک پروژه
شروع امنیت شبکه مثل مسواک زدن است – یک بار که انجام بدهی کافی نیست. از همین امروز با تغییر رمز مودم و روشن کردن 2FA شروع کنید. ۳۰ روز بعد، لایه دوم را اضافه کنید. ۹۰ روز بعد، دیگر جزو ۵٪ شبکههای امن ایران خواهید بود.
شما همین الان میتوانید جلوی ۹۵٪ حملات را بگیرید – فقط کافیست تصمیم بگیرید و اولین قدم را بردارید.
حالا نوبت شماست:
- همین امروز کدام مورد را انجام میدهید؟
- بزرگترین نگرانیتان در امنیت شبکه چیست؟
- تجربه حمله داشتید؟ چطور حل کردید؟
در کامنتها بنویسید تا با هم شبکههایمان را امنتر کنیم. این مقاله را برای همکار، مدیر یا دوستتان بفرستید – شاید جان یک کسبوکار را نجات داد.
