صفحه اول > مقالات

 

رويكردي عملي به امنيت شبكه لايه بندي شده  (۲)

 

در شماره قبل به لايه هاي اين نوع رويكرد به اختصار اشاره شد. طي اين شماره و شماره هاي بعد به هريك از اين لايه ها مي پردازيم.

 

سطح ۱: امنيت پيرامون

منظور از پيرامون، اولين خط دفاعي نسبت به بيرون و به عبارتي به شبكه غيرقابل اعتماد است. «پيرامون» اولين و آخرين نقطه تماس براي دفاع امنيتي محافظت كننده شبكه است. اين ناحيه اي است كه شبكه به پايان مي رسد و اينترنت آغاز مي شود. پيرامون شامل يك يا چند فايروال و مجموعه اي از سرورهاي به شدت كنترل شده است كه در بخشي از پيرامون قرار دارند كه بعنوان DMZ (demilitarized zone) شناخته مي شود. DMZ معمولاً وب سرورها، مدخل ايميل ها، آنتي ويروس شبكه و سرورهاي DNS  را دربرمي گيرد كه بايد در معرض اينترنت قرار گيرند. فايروال قوانين سفت و سختي در مورد اينكه چه چيزي مي تواند وارد شبكه شود و چگونه سرورها در DMZ مي توانند با اينترنت و شبكه داخلي تعامل داشته باشند، دارد.

پيرامون شبكه، به اختصار، دروازه شما به دنياي بيرون و برعكس، مدخل دنياي بيرون به شبكه شماست.

تكنولوژيهاي زير امنيت را در پيرامون شبكه ايجاد مي كنند:

 

·   فايروال ـ معمولاً يك فايروال روي سروري نصب مي گردد كه به بيرون و درون پيرامون شبكه متصل است. فايروال سه عمل اصلي انجام مي دهد ۱- كنترل ترافيك ۲- تبديل آدرس و ۳- نقطه پاياني VPN. فايروال كنترل ترافيك را با سنجيدن مبداء و مقصد تمام ترافيك واردشونده و خارج شونده انجام مي دهد و تضمين مي كند كه تنها تقاضاهاي مجاز اجازه عبور دارند. بعلاوه، فايروال ها به شبكه امن در تبديل آدرس هاي IP داخلي به آدرس هاي قابل رويت در اينترنت كمك مي كنند. اين كار از افشاي اطلاعات مهم درباره ساختار شبكه تحت پوشش فايروال جلوگيري مي كند. يك فايروال همچنين مي تواند به عنوان نقطه پاياني تونل هاي VPN (كه بعداً بيشتر توضيح داده خواهد شد) عمل كند. اين سه قابليت فايروال را تبديل به بخشي واجب براي امنيت شبكه شما مي كند.

 

·   آنتي ويروس شبكه ـ  اين نرم افزار در DMZ نصب مي شود و محتواي ايميل هاي واردشونده و خارج شونده را با پايگاه داده اي از مشخصات ويروس هاي شناخته شده مقايسه مي كند.  اين آنتي ويروس ها آمد و شد ايميل هاي آلوده را مسدود مي كنند و آنها را قرنطينه مي كنند و سپس به دريافت كنندگان و مديران شبكه اطلاع مي دهند. اين عمل از ورود و انتشار يك ايميل آلوده به ويروس در شبكه جلوگيري مي كند و جلوي گسترش ويروس توسط شبكه شما را مي گيرد. آنتي ويروس شبكه، مكملي براي حفاظت ضدويروسي است كه در سرور ايميل شما و كامپيوترهاي مجزا صورت مي گيرد. بمنظور كاركرد مؤثر، ديتابيس ويروس هاي شناخته شده بايد به روز نگه داشته شود.

 

·   VPNـ يك شبكه اختصاصي مجازي (VPN) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يكديگر، مانند لپ تاپ ها و شبكه مقصد استفاده مي كند. VPN اساساً يك تونل رمزشده تقريباً با امنيت و محرمانگي يك شبكه اختصاصي اما از ميان اينترنت ايجاد مي كند. اين تونل VPN مي تواند در يك مسيرياب برپايه VPN، فايروال يا يك سرور در ناحيه DMZ پايان پذيرد. برقراري ارتباطات VPN براي تمام بخش هاي دور و بي سيم شبكه يك عمل مهم است كه نسبتاً آسان و ارزان پياده سازي مي شود.

 

 

 

مزايا

تكنولوژي هاي ايجاد شده سطح پيرامون سال هاست كه در دسترس هستند، و بيشتر خبرگان IT با تواناييها و نيازهاي عملياتي آنها به خوبي آشنايي دارند. بنابراين، از نظر پياده سازي آسان و توأم با توجيه اقتصادي هستند. بعضياز فروشندگان راه حل هاي سفت و سختي براي اين تكنولوژيها ارائه مي دهند و بيشتر آنها به اين دليل پر هزينه هستند.

 

معايب

از آنجا كه بيشتر اين سيستم ها تقريباً پايه اي هستند و مدت هاست كه در دسترس بوده اند، بيشتر هكرهاي پيشرفته روش هايي براي دور زدن آنها نشان داده اند. براي مثال، يك ابزار آنتي ويروس نمي تواند ويروسي را شناسايي كند مگر اينكه از قبل علامت شناسايي ويروس را در ديتابيس خود داشته باشد و اين ويروس داخل يك فايل رمزشده قرار نداشته باشد. اگرچه VPN رمزنگاري مؤثري ارائه مي كند، اما كار اجرايي بيشتري را برروي كارمندان IT تحميل مي كنند، چرا كه كليدهاي رمزنگاري و گروه هاي كاربري بايد بصورت مداوم مديريت شوند.

 

ملاحظات

پيچيدگي معماري شبكه شما مي تواند تأثير قابل ملاحظه اي روي ميزان اثر اين تكنولوژي ها داشته باشد. براي مثال، ارتباطات چندتايي به خارج احتمالاً نياز به چند فايروال و آنتي ويروس خواهد داشت. معماري شبكه بطوري كه تمام اين ارتباطات به ناحيه مشتركي ختم شود، به هركدام از تكنولوژي هاي مذكور اجازه مي دهد كه به تنهايي پوشش مؤثري براي شبكه ايجاد كنند.

انواع ابزاري كه در DMZ شما قرار دارد نيز يك فاكتور مهم است. اين ابزارها چه ميزان اهميت براي كسب و كار شما دارند؟ هرچه اهميت بيشتر باشد، معيارها و سياست هاي امنيتي سفت و سخت تري بايد اين ابزارها را مديريت كنند.

 

در شماره بعدي به ادامه اين مطلب خواهيم پرداخت.