تبیان، دستیار زندگی
امنیت شبكه یاNetwork Security پردازه ای است كه طی آن یك شبكه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند: 1-شناسایی بخشی كه باید تحت محافظت قرار گیرد. 2-تصمیم گیر...
بازدید :
زمان تقریبی مطالعه :

مفاهیم امنیت شبكه


امنیت شبكه یاNetwork Security پردازه ای است كه طی آن یك شبكه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1-شناسایی بخشی كه باید تحت محافظت قرار گیرد.

2-تصمیم گیری درباره  مواردی كه باید در مقابل آنها از بخش مورد نظر محافظت كرد.

3-تصمیم گیری درباره چگونگی تهدیدات

4-پیاده سازی امكاناتی كه بتوانند از دارایی های شما به شیوه ای محافظت كنند كه از نظر هزینه به صرفه باشد.

5-مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

مفاهیم امنیت شبكه

برای درك بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبكه      می پردازیم.

1- منابع شبكه

در یك شبكه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبكه را معرفی می كند كه باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-تجهیزات شبكه مانند روترها، سوئیچ ها و فایروالها

2-اطلاعات عملیات شبكه مانند جداول مسیریابی و پیكربندی لیست دسترسی كه بر روی روتر ذخیره شده اند.

3-منابع نامحسوس شبكه مانند عرض باند و سرعت

4-اطلاعات و منابع اطلاعاتی متصل به شبكه مانند پایگاه های داده و سرورهای اطلاعاتی

5-ترمینالهایی كه برای استفاد هاز منابع مختلف به شبكه متصل می شوند.

6-اطلاعات در حال تبادل بر روی شبكه در هر لحظه از زمان

7-خصوصی نگهداشتن عملیات كاربرن و استفاده آنها از منابع شبكه جهت جلوگیری از شناسایی كاربران.

مجموعه فوق به عنوان دارایی های یك شبكه قلمداد می شود.

2- حمله

حال به تعریف حمله می پردازیم تا بدانیم كه از شبكه در مقابل چه چیزی باید محافظت كنیم. حمله تلاشی خطرناك یا غیر خطرناك است تا یك منبع قابل دسترسی از طریق شبكه ، به گونه ای مورد تغییر یا استفاده قرار گیرد كه مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبكه را به سه دسته عمومی تقسیم كنیم:

1-دسترسی غیرمجاز به منابع و اطلاعات از طریق شبكه

2-دستكاری غیرمجاز اطلاعات بر روی یك شبكه

3-حملاتی كه منجر به اختلال در ارائه سرویس می شوند و اصطلاحاDenial of Service نام دارند.

كلمه كلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یك عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبكه است، اما به عبارت كلی می توان دسترسی غیرمجاز را تلاش یك كاربر جهت دیدن یا تغییر اطلاعاتی كه برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یك شبكه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبكه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبكه و اطلاعات مختص اجزاء شبكه جهت انجام كارها مانند جداول مسیریابی روتر است. منابع شبكه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مكانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبكه ، حفاظت از شبكه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه كرد:

1-ثابت كردن محرمانگی داده

2-نگهداری جامعیت داده

3-نگهداری در دسترس بودن داده

3- حلیل خطر

پس از تعیین دارایی های شبكه و عوامل تهدیدكننده آنها ، باید خطرات مختلف را ارزیابی كرد. در بهترین حالت باید بتوان از شبكه در مقابل تمامی انواع خطا محافظت كرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی كه باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاكتور اصلی در تحلیل خطر عبارتند از :

1-احتمال انجام حمله

2-خسارت وارده به شبكه درصورت انجام حمله موفق

4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبكه را به گونه ای تعریف كرد كه احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید كلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت كوتاهی تغییر پیدا كنند اما اصول كلی امنیت یك شبكه كه سیاست های آن را تشكیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-چه و چرا باید محافظت شود.

2-چه كسی باید مسئولیت حفاظت را به عهده بگیرد.

3-زمینه ای را بوجود آورد كه هرگونه تضاد احتمالی را حل و فصل كند.

سیاستهای امنیتی را می توان به طور كلی به دو دسته تقسیم كرد:

1-مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-محدود كننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودكننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشكلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی درRFC 2196 لیست و ارائه شده اند.

5- طرح امنیت شبكه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یك طرح امنیت شبكه می رسیم. المانهای تشكیل دهنده یك طرح امنیت شبكه عبارتند از :

1-ویژگیهای امنیتی هر دستگاه مانند كلمه عبور مدیریتی و یا بكارگیریSSH

2-فایروالها

3-مجتمع كننده هایVPN برای دسترسی از دور

4-تشخیص نفوذ

5-سرورهای امنیتیAAA (Authentication، Authorization and Accounting) و سایر خدماتAAA برای شبكه

6-مكانیزمهای كنترل دسترسی و محدودكننده دسترسی برای دستگاههای مختلف شبكه

6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یك شبكه امن ایفا می كند. در واقع یكی از بهترین شیوه های دفاع در مقابل حملات شبكه ، طراحی امنیت شبكه به صورت منطقه ای و مبتنی بر توپولوژی است و یكی از مهمترین ایده های مورد استفاده در شبكه های امن مدرن ، تعریف نواحی و تفكیك مناطق مختلف شبكه از یكدیگر است. تجهیزاتی كه در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می كند. همچنین منطقه بندی یك شبكه باعث ایجاد ثبات بیشتر در آن شبكه نیز       می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-تجهیزات و دستگاههایی كه بیشترین نیاز امنیتی را دارند (شبكه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبكه های دیگر به این منطقه داده نمی شود. دسترسی با كمك یك فایروال و یا سایر امكانات امنیتی مانند دسترسی از دور امن (SRA) كنترل می شود. كنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-سرورهایی كه فقط باید از سوی كاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. كنترل دسترسی به این تجهیزات با كمك فایروال انجام می شود و دسترسی ها كاملا نظارت و ثبت می شوند.

3-سرورهایی كه باید از شبكه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امكان دسترسی به مناطق امن تر شبكه قرار می گیرند. درصورت امكان بهتر است هر یك از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یكی ، سایرین مورد تهدید قرار نگیرند. به این مناطقDMZ یاDemilitarized Zone می گویند.

4-استفاده از فایروالها به شكل لایه ای و به كارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یك اشكال امنیتی در یك فایروال ، كل شبكه به مخاطره نیفتد و امكان استفاده ازBackdoor نیز كم شود.

برگرفته از سایت www.ircert.com