آشنايي با تكنيكها و تجهيزات امنيت شبكه
دید امنیتی یک مدیر فنی شبکه
یک مدیر شبکه از نظر امنیتی دارای دیدگاه خاصی نسبت به شبکه مورد نظر مي باشد، این دیدگاه مستقیما در طراحی و پیاده سازی آن شبکه دخیل است.
در این دیدگاه نقاط پر اهمیت شبکه و قسمتهای مختلف آن از لحاظ امنیتی مورد بررسی قرار گرفته و رویه های امن سازی سيستم تهيه میگیرند.
هدف از ايجاد امنيت در یک شبکه
- جلوگیری از ورود افراد غیر مجاز و دسترسی پیدا کردن به سیستم ها
- جلوگیری از خروج اطلاعات با ارزش از شبکه
- جلوگیری از ایجاد اختلال در ارائه سرویسهای شبکه
- جلوگیری از بروز حملات مختلف به شبکه
مواردی که در شبکه باعث کاهش امنیت می شوند
- کاربران شبکه
- مدیران فنی
- تنظیمات فنی تجهیزات شبکه
- BUG ها و ضعف های سیستم عامل
- ضعف در طراحی و اتصالات شبکه
نقاط مهم امنيتی در شبکه
- ايستگاه های كاری (Clients)
این نقاط به دلیل ضعف آگاهی های امنیتی که کاربران دارند, از نظر امنیتی بسيار ضعیف بوده و در بیشتر مواقع حملات از اینگونه نقاط به شبکه صورت می گیرند.
- سرورها (Servers)
سرورها محلی جهت قرارگيری كليه اطلاعات و سرویسهای موجود در شبکه می باشند، لذا از اهمیت امنیتی بسيار بالایی در شبکه برخوردارند.
- دروازه ها (Gateways)
ابزارهایی هستند که ارتباط شبكه با دنياي خارج از آن را فراهم مي آورند و تمامی اطلاعات مربوط به شبکه از اين طريق به/از شبكه داخل/خارج مي گردند.
- ابزارهای فعال شبکه
تنظیمات موجود در اینگونه ابزارها رابطه مستقیم با امنیت شبکه دارد. چنانچه افراد نفوذگر به اين تجهيزات دسترسی پیدا كنند امکان مختل نمودن ارتباطات داخل آن شبکه فراهم میگردد.
مکانیزم های مرتبط با امنیت در لایه شبکه
- NAT (Network Address Translation)
- PAT(Port Address Translation)
- VLAN (Virtual LAN)
مکانیزم های مرتبط با امنیت در لایه سیستم عامل
- نصب آخرین Security Patch ها
- عدم استفاده از Sharing
- بستن کلیه پورت های اضافی
- استفاده از سیستم فایلهای امن
- محدود نمودن کلمات عبور
- استفاده از روشهای پیچیده انتخاب کلمه رمز
مکانیزم های مرتبط با امنیت در لایه برنامه های کاربردی
- طراحی چند لایه (Multi Layer Design)
- رمزنگاری داده ای (Encryption Data)
- استفاده از قفل های سخت افزاری (Hardware Locks)
- تشخیص اصالت (Authentication)
انواع تجهیزات امنیتی شبکه
- Firewall
- IDS/IDP
- Honey Pot
- Antivirus
Firewall چیست؟
نرم افزار یا سخت افزاری برای کنترل دسترسی ها, به منظور فراهم نمودن امنیت در لایه شبکه میباشد.
وظیفه Firewall چیست؟
کنترل بسته های عبوری و بررسی آنها با قوانین و تنظیماتی که در آنها انجام شده به منظور مسدود نمودن دسترسی و یا باز نمودن مسیر به داخل یا خارج از شبکه.
انواع Firewall ها
- Packet Filter
اینگونه Firewallها نسبت به قوانین که در آنها تنظیم شده است, در مورد عبور بسته های وارد شده تصمیم می گیرند.
- State full
اینگونه Firewallها علاوه بر تنظیمات ثابت موجود در آنها, نسبت به آمار اطلاعات عبوری در حالتهای قبل تصمیمات خاص را اعمال می نمایند.
جایگاه Firewall ها در یک شبکه
- Personal
این نوع Firewall برروی ایستگاههای کاری نصب می گردد و وظیفه امن نمودن همان ایستگاه کاری را بر عهده دارد.
- Host Base
این نوع Firewall برروی سرورهای شبکه نصب می شود و وظیفه امن نمودن همان سرور خاص را بر عهده دارد.
- Gateway
این نوع Firewall در مسیرهای اصلی عبور اطلاعات قرار میگیرد و دسترسی های بین شبکه ای را کنترل می نماید.
IDP/IDS چیست؟ (Prevention/Intrusion Detection System)
نرم افزار یا سخت افزاری می باشد که برای تشخیص حملات به وجود آمده در شبکه مورد استفاده قرار می گیرند.
وظیفه IDS/IDP چیست؟
بسیاری از حملات به وجود آمده در یک شبکه را فقط توسط Firewall ها نمی توان مسدود نمود, اینگونه حملات باید توسط سیستم هوشمندی که قادر به تشخیص این گونه حملات باشند آشکار و سپس مسدود شوند.
انواع IDS/IDP
- Host Base
این نوع IDS/IDP ها برروی سرورهای موجود نصب شده و وظیفه آشکار نمودن حملات بوجود آمده برروی آن سرور را بر عهده دارند.
- Gateway
این نوع IDS/IDP ها در مسیرهای اصلی عبور اطلاعات قرار می گیرند و تمامی بسته های اطلاعاتی عبوری که از نوع حمله باشند را تشخیص داده و در صورت لزوم ارتباط مذکور را مسدود می نماید.
Honey Pot چیست؟
یک سیستم نرم افزاری است که بطور مجازی خود را ارائه دهنده انواع سرویسهای موجود برروی شبکه معرفی می نماید و باعث میشود تا هکرها و نفوذگران به شبکه به سمت آن حمله نمایند, این مدت زمان کافی است تا مدیران امنیت شبکه متوجه حمله شده و حمله کننده را شناسایی نمایند.
جایگاه Honey Pot در شبکه
این سیستم باید در مدخل ورودی شبکه و یا در مدخل ورودی سایر سرویسهای شبکه قرارگیرد.
ویروس کامپیوتری چیست؟
برنامه نوشته شده ای می باشد که هدف آن تخریب اطلاعات موجود روی سیستم و یا از کار انداختن کامل آن سیستم می باشد.
انواع ویروسهای کامپیوتری
- Virus
- Warm
- Trojan
- Spyware
تعریف Antivirus
سیستم نرم افزاری یا سخت افزاری می باشد که قادر به شناسایی ویروسهای موجود در فهرست ویروسهای تعریف شده برای آن می باشد.
وظیفه Antivirus
جلوگیری از ورود هرگونه ویروس به شبکه, سرورها و یا ایستگاه های کاری موجود می باشد.
محل قرارگیری Antivirus در شبکه
Antivirus با توجه به قابلیتهایی که دارا می باشند به دو دسته Stand Alone و Gateway تقسیم بندی می شوند, که با توجه به محل قرارگیری آنها اطلاعات مختلفی را بررسی می نمایند.
انواع Antivirusها
- سیستمهای Antivirus با مدیریت متمرکز
- سیستم های Host Base Antivirus
تعریف سیستمهای Monitoring
سیستم های نرم افزاری می باشند که اطلاعات مورد نیاز یک مدیر فنی شبکه را جمع آوری می نمایند. اینگونه اطلاعات در امن ماندن شبکه پس از طراحی و پیاده سازی اهمیت بسیاری دارند.
جایگاه سیستمهای Monitoring در یک شبکه
سیستمهای Monitoring معمولا به صورت Stand Alone مورد استفاده قرار میگیرند و بر روی یک سرور که وظیفه Monitoring را برعهده دارد نصب می گردند.
انواع سیستم های Monitoring
- ICMP Monitoring
- Service Monitoring
- Agent Monitoring
- SNMP Monitoring
Security Scanner
این ابزار جهت آگاهی یک مدیر فنی شبکه از نقاط ضعف احتمالی موجود در شبکه می باشد و اطلاعات کاملی در مورد وضعیت تجهیزات و سرورهای شبکه از طریق آن بدست می آید.
نتیجه گیری
با توجه به موارد گفته شده, می توان نتیجه گرفت که امن نمودن یک شبکه با حجم متوسط یا بزرگ فقط در تنظیمات و نصب تجهیزات خلاصه نمی شود بلکه به ترتیب به موارد زیر تقسیم میشود:
- به دست آوردن دید کلی از نیازهای امنیتی شبکه
- طراحی و تفکیک اجزاء شبکه از دید امنیتی
- مجزا نمودن بخشهای امنیتی توسط تجهیزات امنیتی شبکه
- بازبینی متناوب از شبکه و بررسی اطلاعات بدست آمده