امروزه کامپیوتر در زندگی روزمرهٔ اشخاص نقش مهمی را بازی میکند.
و در تمام جنبههای فردی زندگی شخص نفوذ پیدا کرده است.
این امر از سوی نشان به توسعه یافتگی و سرعت دادن به کارهای روزمره و از سوی دیگر به ما یاد آوری میکند.
که چنین وسیله ایی به این مهمی نیاز به نگهداری ویژه دارد.
نابودی و به سرقت رفتن اطلاعات از روی آن ممکن است به ضررها و ضربههای جبران ناپذیری تبدیل شود.
مقدمه چرا امنیت ؟
و چرا برای خانهٔ شما اگر یک نگاه عمیق و دقیق به قضیه بیندازیم میبینیم که کامپیوتر شما همیشه در خطر دزیده شدن است البته نه از نظر فیزیکی علتش هم این است که شما چیزهایی زیادی در آن دارید شمارهٔ کارت اعتباری شما، اطلاعات حساب بانکی و خیلی چیزهای دیگر که آنها پیدایش میکنند با این اطلاعات آنها میتوانند خودشان را در دنیای مجازی جای شما جا نزنند.
به جای شما خرید کنند با اسم شما به دوستان شما بی احترامی کنند.
و خیلی چیزهای دیگر که مطمئنا به نفع شما نیست .
البته فقط اینهانیست شاید شماره و مشخصات برای دسترسی رایگان به اینترنت یا فایلهای شما روی هارددیسک همه و همه دلایل خوبی برای یک حمله باشند مخصوصا که در کشور ما هیچ قانونی جلوی این کارهای را نمیگیرد و با ورود خانواده DSL و ضعیف بودن امنیت در کارهای شخصی زمینه بسیار خوبی برای اینکار پدید آمده است بسیار از مردم عادی به این مهم آگاه نیستند که در بعضی از موارد میتوان جلوی یک فاجعه را با کمی دانش و چند پیشگیری ساده گرفت نکته این است که برای یک حمله نیاز نیست شما در دسترس باشد آنها میتوانند با زدن یک ایمیل یا فرستادن یک فایل ویروسی تمام اطلاعات مورد نظر خود را بدست بیاورند که در 90% مواقع حملات آنها در مقابل کامپیوتر بدون امنیت شما موفقیت آمیز است حاصل یک حمله ممکن است حتی لطمات سخت افزاری روی Case شما نیز باشد.
یک مثال خوب برای این بی دقتیها ویروس MSBLAST بود که توانسته بود تقریبا اکثر کامپیوتر بی دفاع شخصی را مختل کند و بعضی از ارگانها را تا مرز تعطیلی پیش ببرد.
با توجه بی ضرری MSBLAST و عمق فاجعه میشود.
با یک شبیه سازی امکان آمدن ویروس X یا نرم افزار هک Y با قدرت پاک کردن دیسک سخت افزاری شما عمق فاجعه را بهتر درک کرد اما چه کسانی در جنگ با X و Y پیروز میشوند در ادامه مقاله به همین موضوع خواهیم پرداخت.
کمی تفکر در مورد امنیت سیستم شخصی قبل از اینکه به اقدامات امنیتی که شما باید انجام بدهید برسیم شما باید از تجربات قبلی خود در کارهای روزمره خود استفاده کنید.
ببینید کامپیوتر شما مثل آپارتمان شماست چه اقداماتی برای حفظ امنیت آپارتمانتان و وسایل درون آن انجام دادید چه وسایلی برای افزایش امنیت آن در آن نصب کرده اید.
برای مثال شما میدانید اگر اطلاعات خود را فریاد بزنید همسایهها به راحتی صدای شما را میشنوند و از اطلاعات شخصی شما با اطلاع میشوند و یا کلید خانه را دست هر کس نمیدهند یا هر وقت از خانه خارج میشوند در را قفل میکنید حال موارد را در حالت کامپیوتر ی بازبین میکنیم.
شما در رایانه خود هیچ وقت نباید.
Passwordهای ساده انتخاب کنید و آنها را به راحتی به دیگران بگویید یا هر وقت از پشت رایانه خود میروید باید آن را قفل کنید در همهٔ سیستم عامل قابلیت Log off و Lock system وجود دارد.
بحث امنیت در جاهایی مثلInternet بسیار مهم است که هر کس هر چیزی را بهتر بشناسد اشتباههای کمتری و دقت بیشتری در نگهداری آن دارد ما در این بحث میخواهیم به سایتها همان قدر اعتماد کنیم که میشود به آنها اعتماد کرد.
اعتماد ( Trust )
بشر معمولا روی ظاهر اشخاص به آنها اعتماد میکنند ولی این روش نمیتواند همواره درست در یک اصطلاح ساده میتوان گفت اینترنت به پایههای همین اعتماد پایه گذاری شده است.
در دهه شصت کامپیوترها به فراگیری امروزه نبودند ولی در جاههایی به دانشگاهها و موسسات دولتی کاربرد داشند در آن زمان دولت ایالات متحدهٔ آمریکا تصمیم به ایجاد پروژه ایی برای اتصال این موسسات را گرفت و نام این پروژه Arpanet گذاشت Arpanet مخفف Advance Research project Agency میباشد و در همانجا اصل شبکهها پایه گذاری شده و امنیت پیشرفته معنا پیدا کرد.
البته در ابتدا کسانی که قصد آزار داشته باشند بسیار کم بودند و رایانهها هم به صورت کاملا روشن و بدون هیچ تکنیک خاصی برای احزار حویت با هم کار میکردند تا زمانی که e- commerce شروع به کار میکند.
و آن زمان بود که استفاده از Security به معنای امروزی شروع شد با یک مثال ساده ادامه میدهیم فرض کنیم بسته این به دست شما برسد و آدرس روی آن برای شما ناآشنا باشد آیا شما به محتویات درون آن اعتماد میکنید مطمئنا نمیتوان اعتماد کرد پس در اینجا اصل اعتماد اصولا بی معناست این شرایط در اینترنت میتواند بر روی emailها روی دهد و حتی ممکن است بر روی packetها نیز انجام شود ( به کوچکترین تکه ایی در شبکه جابجا میشود.
در اصطلاح بسته یا packet میگویند )
در این شرایط چه باید کرد.
این شرایط میتواند بسیار خطرناک باشد زیرا این فایلها میتوانند دارای virus باشد که صدمات جبران ناپذیری به دادههای ما بزند پس در هیچ شرایطی نامههای و بستهها ی مشکوک نباید باز شود در ادامه ما به صورت کامل این مبحث را باز میکنیم.
حقیقت اطلاعات شخصی
اگر شما یک گفتگو با شخص در محیط خود داشته باشید و بلند حرف بزنید همه در آن منطقه میشنوند و اگر فریاد بزنید مردم بصورت کاملا ناخواسته متوجه اطلاعات میشوند.
در اینترنت یک واقعیت وجود دارد و آن هم این است که بستهها به صورت مستقیم بین کامپیوترها جانبی نمیشوند در اقع بستهها از دست کامپیوترهای زیادی میگذرند.
در اینترنت یک واقعیت وجود دارد و آن هم این است که بستهها به صورت مستقیم بین کامپیوترها جانبی نمیشوند در اقع بستهها از دست کامپیوترهای زیادی میگذرند.
فرایند فوق را اصطلاحا پکت روتینگ میگویند البته روترهایه اصلی یا پایه اینترنت قابلیت پردازش دادهها را ندارند.
ولی در بین راه بعضی از روترها به خاطر ناشناخته بودن قابلیت باز کردن و خواندن بستهها را دارند.
.
در اینجا برای جلوگیری از خواندن اطلاعات بدون مجوز ما از کد گذرای استفاده میکنیم کدگذاری به صورت کامل در ادامه توضیح داده میشود.
چه کارهایی باید بکنیم تا کامپیوتر ما امن شود.
امن کردن کامپیوتر کار سادهای نیست پس از شما میخواهیم تا پایان این مقاله صبر کنید و آن را بخوانید تا با دید بهتر و وسیع تر شروع به کار امن سازی کرده باشید در بعضی قسمتها مقاله صحبت از چیزهای شده که کامپیوتر شما به صورت پیش ورز آنها را دارد مثل password و Backup ولی برای این کار با نرم افزارهای خاصی مثل firewall و Antivirus باید آنها را نصب کنید.
در ادامه شما با کارهای به ترتیب اهمیت آشنا میشوید .
نصب و راه اندازی یک Antivirus اگر یک شخص درب منزل شما را بزند و بخواهد برای فروش چیزی با یک تماس ساده وارد خانه شود شما باید فکر کنید تا با او اجازه وارد شدن بدهید اگر از همسایهها یا دوستان باشد شما اجاره وارد شدن میدهید ولی مراقبش هستید واگر داستانش را قبول نکنید او راه نمیدهید.
در واقع antivirus هم به همین شیوه کار میکنند Antivirus برای تشخیص فایلها از یک قائدهای خاصی پیروی میکنند که این قاعدهٔ خاص به وسیله یک قسمت کنترلی به نام Virus Signature استفاده میکنند .
اگر فایلهای پیدا شده با Virus signature هم خوانی داشته باشند به عنوان یک فایل دارای Virus شناخته میشود و مطابق به راه خاصی آنها پاک، نابود یا خراب میشوند.
برای بهتر متوجه شدن مطلوب اگر یک virus را یک کلاه بردار فرض کنید که با اسم یک فروشنده برای دزدیدن اشیا قیمتی وارد خانه میشود ما چگونه میتوانیم آن را بشناسیم در واقع ما تا زمانی که مطلبی در مورد کلاه بردار یا کلاه بردارهای مشابه در روزنامه نخواهیم قادر به انجام این کار نیستیم در سیستم یک Anti virus در واقع از شرکت سازنده خود به وسیله بروز رسانی اطلاعات در مورد ویروسهای جدید را به دست میآورد.
ویروسها برای ورود راههای زیادی دارند از قبیل cd-rom ؛ floppy disk ؛ internet email نرم افزار ضد ویروس شما باید همیشه هوشیارانه تمام ابزارهای ورودی شما را مراقبت کند.
بعضی از Antivirusها تکنیکهای دیگری هم برای شناسایی ویروسها دارند مثلا یک فایل خاص به صورت مداوم و بدون داشتن هیچ محیطی برای کاربر 90% پردازش cpu بگیرد خب این فایل حتی اگر virus نباشد کمتر از virus هم نیست.
پس نرم افزار Antivirus آن را شناخته و گزارش میدهد.
Antivirusها قابلیتهای زیادی دارند که بستگی به کارخانه سازنده آن با هم فرق دارند.
معمولا نسخههای جدید آنها تمام قابلیتهای فوق را دارد.
در بین آنها بعضی از Antivirusها مثل Symantec شناخته شده ترند ولی Antivirus ی خوب است که راحت Update شود و شناخت بالا داشته باشد و ram را زیاد اشغال نکند روزگاری ، امنیت با بسته بودن درها و وجود قفلها و دیوارهای قطور فراهم می شد.
اکنون با نفوذ فن آوری به زندگی روزمره و فراگیر شدن آن در تمامی شئون زندگی ما ، تعریف امنیت هم بکلی دگرگون شده است.
دستگاههای متعدد الکترونیکی ، ارتباطی و رایانه ها زندگی را بصورت غیر قابل تصوری دگرگون نموده اند.
بدست آوردن یک کد رمز و اسم کاربر کافیست که شما ، یک شبه صاحب یک ثروت کلان ، یک موقعیت استثنایی و یا حتی مقام مدیرکلی!
بشوید.
مبانی امنیت در فن آوری اطلاعات بر محور سه موضوع متمرکز است: داده ، پردازش و ارتباط.
در حوزه داده ها ، امنیت از اهمیت ویژه ای برخوردار است و سایر حوزه ها تحت تاثیر حفظ امنیت در این حوزه قرار دارند.
امنیت در این حوزه تامین کننده ویژگیهای زیر برای اطلاعات میباشد: - تمامیت داده، با ایجاد محدودیت دسترسی به اطلاعات، مانع از تغییر غیر مجاز در محتوای آنها میشوند.
- صحت و درستی اطلاعات، این بدان معنی است که اطلاعات در کمال رازداری حفظ می شوند.
- در دسترس بودن، این بدان معنی است که دسترسی به داده ها برای افراد مجاز در هر زمان، مختل و یا قطع نگردد.
اصول مهم مباحث امنیتی اصول مهم امنیت اطلاعات تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند.
این عوامل عبارتند از راز داری و امانت داری (Confidentiality) ، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability).
این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality : به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است.
بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
با کاربرد فایروال آشنا شویم در این حالت وب سرور بیرون فایروال قرار دارد و امنیت شبکه بطور کامل توسط فایروال کنترل می شود و وجود وب سرور خطری برای شبکه ندارد.
Firewall دستگاهی است در درون شبکه یک شرکت قرار می گیرد و شبکه را از محیط اینترنت و یا دسترسی های بیرونی ایزوله می کند.
فایروال با کنترل دسترسی ها به شبکه، به برخی از درخواستها اجازه ورود به شبکه را داده و مانع ورود برخی دیگر درخواستها می شود.
معمولآ برنامه ریزی و سیاستگذاری یک فایروال اینگونه است که کلیه دسترسی ها از بیرون به داخل شبکه شرکت از محیطی عبور می کند که کاملآ در حال کنترل و مونیتور کردن است.
این موضوع دقیقآ همانند قسمتی است که شما هنگام ورود به یک ساختمان مهم باید از آن عبور کنید که در آن نیروهای امنیتی شما را بازرسی بدنی می کنند و یا شما را از X-Ray عبور می دهند.
اما از آنجایی که فایروالها اغلب به دلیل انجام تنظیمات نادرست خوب عمل نمی کنند، امروزه بسیاری از مدیران شرکت ها به آنها اعتماد ندارند و عملکرد مثبت آنها به هنگام بروز خطر یا حمله یک هکر را پنجاه پنجاه می دانند.
بعنوان مثال همانطور که می دانید یکی از مهمترین منابع حملات شبکه ای از ناحیه کارکنان ناراضی شرکت ها است، این در حالی است که فایروال ها معمولآ طوری تنظیم می شوند که مراقبت شبکه را از تهدیدهای بیرونی به عهده بگیرند.
رویکردی عملی به امنیت شبکه لایه بندی شده امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است.
تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد.
در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.
{گروه امداد امنیت کامپیوتری ایران} در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد.
این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.
رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.
۱- پیرامون ۲- شبکه ۳- میزبان ۴- برنامه کاربردی ۵- دیتا در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود.
هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است.
مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.
محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد.
با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد.
بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.
افزودن به ضریب عملکرد هکرها متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است.
ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود.
یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود.
اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.
تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند.
در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت.
اما متأسفانه در چنین دنیایی زندگی نمی کنیم.
بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.
مدل امنیت لایه بندی شده در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند.
این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.
سطح ۱: امنیت پیرامون منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است.
«پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است.
این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود.
پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود.
DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS را دربرمی گیرد که باید در معرض اینترنت قرار گیرند.
فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.
پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.
تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند: · فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است.
فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی VPN.
فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند.
بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند.
این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند.
یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (که بعداً بیشتر توضیح داده خواهد شد) عمل کند.
این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.
· آنتی ویروس شبکه ـ این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند.
این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند.
این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد.
آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد.
بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.
· VPNـ یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند.
VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند.
این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد.
برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.
مزایا تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند.
بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند.
بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.
معایب از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند.
برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد.
اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.
ملاحظات پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد.
برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت.
معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.
انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است.
این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟
هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.
سطح ۲- امنیت شبکه سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد.
شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد.
بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید.
این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند.
تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند: · IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند.
مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند.
هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند.
ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک آسیب رسان را مسدود می کنند.
IDSها و IPSها مشخصات مشترک زیادی دارند.
در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند.
تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود.
محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند.
پیکربندی های IDS و IPS استاندارد در شکل نشان داده شده اند: · مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند.
در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد.
اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.
سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند.
آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند.
در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند.
لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.
· تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند.
این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.
روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند.
هدف آنها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
· کنترل دسترسی\تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند.
هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
نکته: در این سلسله مباحث، به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم.
میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد.
معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد.
اما به خاطر داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.
مزایا تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند.
در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند.
با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.
سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند.
انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود.
بعلاوه، شبکه ساختار پویایی دارد.
ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند.
ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.
روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است.
هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند.
برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.
معایب IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند.
در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود.
مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند.
برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد.
چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.
سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد.
بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند.
تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.
بسیاری، اما نه همه روش های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد.
این عمل می تواند مقدار قابل توجهی بار کاری اجرایی به نصب و نگهداری اضافه کند.
تکنولوژی های کنترل دسترسی ممکن است محدودیت های فنی داشته باشند.
برای مثال، بعضی ممکن است با تمام ابزار موجود در شبکه شما کار نکنند، بنابراین ممکن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید.
همچنین، چندین فروشنده سیستم های کنترل دسترسی را به بازار عرضه می کنند، و عملکرد می تواند بین محصولات مختلف متفاوت باشد.
پیاده سازی یک سیستم یکپارچه در یک شبکه ممکن است دشوار باشد.
چنین عمل وصله-پینه ای یعنی رویکرد چند محصولی ممکن است در واقع آسیب پذیری های بیشتری را در شبکه شما به وجود آورد.
ملاحظات موفقیت ابزارهای امنیت سطح شبکه به نحوی به سرعت اتصالات داخلی شبکه شما وابسته است.
زیرا ابزارهای IDS/IPS ، مدیریت آسیب پذیری و امنیت کاربر انتهایی ممکن است منابعی از شبکه ای را که از آن محافظت می کنند، مصرف کنند.
سرعت های اتصالی بالاتر تأثیری را که این ابزارها بر کارایی شبکه دارند به حداقل خواهد رساند.
در پیاده سازی این تکنولوژی ها شما باید به مصالحه بین امنیت بهبودیافته و سهولت استفاده توجه کنید، زیرا بسیاری از این محصولات برای کارکرد مؤثر باید به طور پیوسته مدیریت شوند و این ممکن است استفاده از آن محصولات را در کل شبکه با زحمت مواجه سازد.
وقتی که این تکنولوژی ها را در اختیار دارید، بهبود پیوسته شبکه را در خاطر داشته باشید.
در شبکه هایی با پویایی و سرعت گسترش بالا، تطبیق با شرایط و ابزار جدید ممکن است مسأله ساز گردد.
سطح ۳- امنیت میزبان سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است.
هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند.
این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.
تکنولوژی های زیر امنیت را در سطح میزبان فراهم می کنند: · IDS در سطح میزبان ـ IDSهای سطح میزبان عملیاتی مشابه IDSهای شبکه انجام می دهند؛ تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است.
IDSهای سطح میزبان برای مشخصات عملیاتی بخصوصی از ابزار میزبان تنظیم می گردند و بنابراین اگر به درستی مدیریت شوند، درجه بالایی از مراقبت را فراهم می کنند.
· VA (تخمین آسیب پذیری) سطح میزبان - ابزارهای VA سطح میزبان یک ابزار شبکه مجزا را برای آسیب پذیری های امنیتی پویش می کنند.
دقت آنها نسبتا بالاست و کمترین نیاز را به منابع میزبان دارند.
از آنجایی که VA ها بطور مشخص برای ابزار میزبان پیکربندی می شوند، درصورت مدیریت مناسب، سطح بسیار بالایی از پوشش را فراهم می کنند.