مفاهيم امنيت شبكه
امنيت
شبكه يا
Network Security
پردازه اي است كه طي آن يك شبكه در مقابل انواع مختلف تهديدات
داخلي و خارجي امن مي شود. مراحل ذيل براي ايجاد امنيت پيشنهاد و
تاييد شده اند:
1-
شناسايي بخشي كه بايد تحت محافظت قرار گيرد.
2-
تصميم گيري درباره مواردي كه بايد در مقابل آنها از بخش مورد
نظر محافظت كرد.
3-
تصميم گيري درباره چگونگي تهديدات
4-
پياده سازي امكاناتي كه بتوانند از دارايي هاي شما به شيوه اي
محافظت كنند كه از نظر هزينه به صرفه باشد.
5-
مرور مجدد و مداوم پردازه و تقويت آن درصورت ياقتن نقطه ضعف
مفاهيم امنيت شبكه
براي درك بهتر مباحث مطرح شده در اين بخش ابتدا به طرح بعضي
مفاهيم در امنيت شبكه مي پردازيم.
1-
منابع شبكه
در
يك شبكه مدرن منابع بسياري جهت محافظت وجود دارند. ليست ذيل
مجموعه اي از منابع شبكه را معرفي مي كند كه بايد در مقابل انواع
حمله ها مورد حفاظت قرار گيرند.
1-
تجهيزات شبكه مانند روترها، سوئيچ ها و فايروالها
2-
اطلاعات عمليات شبكه مانند جداول مسيريابي و پيكربندي ليست
دسترسي كه بر روي روتر ذخيره شده اند.
3-
منابع نامحسوس شبكه مانند عرض باند و سرعت
4-
اطلاعات و منابع اطلاعاتي متصل به شبكه مانند پايگاه هاي داده و
سرورهاي اطلاعاتي
5-
ترمينالهايي كه براي استفاد هاز منابع مختلف به شبكه متصل مي
شوند.
6-
اطلاعات در حال تبادل بر روي شبكه در هر لحظه از زمان
7-
خصوصي نگهداشتن عمليات كاربرن و استفاده آنها از منابع شبكه جهت
جلوگيري از شناسايي كاربران.
مجموعه فوق به عنوان دارايي هاي يك شبكه قلمداد مي شود.
2-
حمله
حال به تعريف حمله مي پردازيم تا بدانيم كه از شبكه در مقابل چه
چيزي بايد محافظت كنيم. حمله تلاشي خطرناك يا غير خطرناك است تا
يك منبع قابل دسترسي از طريق شبكه ، به گونه اي مورد تغيير يا
استفاده قرار گيرد كه مورد نظر نبوده است.براي فهم بهتر بد نيست
حملات شبكه را به سه دسته عمومي تقسيم كنيم:
1-
دسترسي غيرمجاز به منابع و اطلاعات از طريق شبكه
2-
دستكاري غيرمجاز اطلاعات بر روي يك شبكه
3-
حملاتي كه منجر به اختلال در ارائه سرويس مي شوند و اصطلاحا
Denial of Service
نام دارند.
كلمه كليدي در دو دسته اول انجام اعمال به صورت غيرمجاز است.
تعريف يك عمل مجاز يا غيرمجاز به عهده سياست امنيتي شبكه است،
اما به عبارت كلي مي توان دسترسي غيرمجاز را تلاش يك كاربر جهت
ديدن يا تغيير اطلاعاتي كه براي وي در نظر گرفته نشده است، تعريف
نمود اطلاعات روي يك شبكه نيز شامل اطلاعات موجود بر روي رايانه
هاي متصل به شبكه مانند سرورهاي پايگاه داده و وب ، اطلاعات در
حال تبادل بر روي شبكه و اطلاعات مختص اجزاء شبكه جهت انجام
كارها مانند جداول مسيريابي روتر است. منابع شبكه را نيز مي توان
تجهيزات انتهايي مانند روتر و فايروال يا مكانيزمهاي اتصال و
ارتباط دانست.
هدف از ايجاد امنيت شبكه ، حفاظت از شبكه در مقابل حملات فوق
است، لذا مي توان اهداف را نيز در سه دسته ارائه كرد:
1-
ثابت كردن محرمانگي داده
2-
نگهداري جامعيت داده
3-
نگهداري در دسترس بودن داده
3-
حليل خطر
پس
از تعيين دارايي هاي شبكه و عوامل تهديدكننده آنها ، بايد خطرات
مختلف را ارزيابي كرد. در بهترين حالت بايد بتوان از شبكه در
مقابل تمامي انواع خطا محافظت كرد، اما امنيت ارزان به دست نمي
آيد. بنابراين بايد ارزيابي مناسبي را بر روي انواع خطرات انجام
داد تا مهمترين آنها را تشخيص دهيم و از طرف ديگر منابعي كه بايد
در مقابل اين خطرات محافظت شوند نيز شناسايي شوند. دو فاكتور
اصلي در تحليل خطر عبارتند از :
1-
احتمال انجام حمله
2-
خسارت وارده به شبكه درصورت انجام حمله موفق
4-
سياست امنيتي
پس
از تحليل خطر بايد سياست امنيتي شبكه را به گونه اي تعريف كرد كه
احتمال خطرات و ميزان خسارت را به حداقل برساند. سياست امنيتي
بايد عمومي و در حوزه ديد كلي باشد و به جزئيات نپردازد. جزئيات
مي توانند طي مدت كوتاهي تغيير پيدا كنند اما اصول كلي امنيت يك
شبكه كه سياست هاي آن را تشكيل مي دهند ثابت باقي مي مانند.در
واقع سياست امنيتي سه نقش اصلي را به عهده دارد:
1-
چه و چرا بايد محافظت شود.
2-
چه كسي بايد مسئوليت حفاظت را به عهده بگيرد.
3-
زمينه اي را بوجود آورد كه هرگونه تضاد احتمالي را حل و فصل كند.
سياستهاي امنيتي را مي توان به طور كلي به دو دسته تقسيم كرد:
1-
مجاز (Permissive)
: هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2-
محدود كننده (Restrictive)
: هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ايده استفاده از سياستهاي امنيتي محدودكننده بهتر و
مناسبتر است چون سياستهاي مجاز داراي مشكلات امنيتي هستند و نمي
توان تمامي موارد غيرمجاز را برشمرد. المانهاي دخيل در سياست
امنيتي در
RFC
2196
ليست و ارائه شده اند.
5-
طرح امنيت شبكه
با
تعريف سياست امنيتي به پياده سازي آن در قالب يك طرح امنيت شبكه
مي رسيم. المانهاي تشكيل دهنده يك طرح امنيت شبكه عبارتند از :
1-
ويژگيهاي امنيتي هر دستگاه مانند كلمه عبور مديريتي و يا
بكارگيري
SSH
2-
فايروالها
3-
مجتمع كننده هاي
VPN
براي دسترسي از دور
4-
تشخيص نفوذ
5-
سرورهاي امنيتي
AAA
(
Authentication،
Authorization and Accounting)
و ساير خدمات
AAA
براي شبكه
6-
مكانيزمهاي كنترل دسترسي و محدودكننده دسترسي براي دستگاههاي
مختلف شبكه
6-
نواحي امنيتي
تعريف نواحي امنيتي نقش مهمي را در ايجاد يك شبكه امن ايفا مي
كند. در واقع يكي از بهترين شيوه هاي دفاع در مقابل حملات شبكه ،
طراحي امنيت شبكه به صورت منطقه اي و مبتني بر توپولوژي است و
يكي از مهمترين ايده هاي مورد استفاده در شبكه هاي امن مدرن ،
تعريف نواحي و تفكيك مناطق مختلف شبكه از يكديگر است. تجهيزاتي
كه در هر ناحيه قرار مي گيرند نيازهاي متفاوتي دارند و لذا هر
ناحيه حفاظت را بسته به نيازهاي امنيتي تجهيزات نصب شده در آن ،
تامين مي كند. همچنين منطقه بندي يك شبكه باعث ايجاد ثبات بيشتر
در آن شبكه نيز مي شود.
نواحي امنيتي بنابر استراتژي هاي اصلي ذيل تعريف مي شوند.
1-
تجهيزات و دستگاههايي كه بيشترين نياز امنيتي را دارند (شبكه
خصوصي) در امن ترين منطقه قرار مي گيرند. معمولا اجازه دسترسي
عمومي يا از شبكه هاي ديگر به اين منطقه داده نمي شود. دسترسي با
كمك يك فايروال و يا ساير امكانات امنيتي مانند دسترسي از دور
امن (SRA)
كنترل مي شود. كنترل شناسايي و احراز هويت و مجاز يا غير مجاز
بودن در اين منطقه به شدت انجام مي شود.
2-
سرورهايي كه فقط بايد از سوي كاربران داخلي در دسترس باشند در
منطقه اي امن ، خصوصي و مجزا قرار مي گيرند. كنترل دسترسي به اين
تجهيزات با كمك فايروال انجام مي شود و دسترسي ها كاملا نظارت و
ثبت مي شوند.
3-
سرورهايي كه بايد از شبكه عمومي مورد دسترسي قرار گيرند در منطقه
اي جدا و بدون امكان دسترسي به مناطق امن تر شبكه قرار مي گيرند.
درصورت امكان بهتر است هر يك از اين سرورها را در منطقه اي مجزا
قرار داد تا درصورت مورد حمله قرار گرفتن يكي ، سايرين مورد
تهديد قرار نگيرند. به اين مناطق
DMZ
يا
Demilitarized Zone
مي گويند.
4-
استفاده از فايروالها به شكل لايه اي و به كارگيري فايروالهاي
مختلف سبب مي شود تا درصورت وجود يك اشكال امنيتي در يك فايروال
، كل شبكه به مخاطره نيفتد و امكان استفاده از
Backdoor
نيز كم شود.
|