مقدمه ای بر امنیت شبکه(2)

قسمت دوم

قسمت اول را اینجا بخوانید.

آنها از کجا می آیند؟

چگونه یک مهاجم دسترسی به تجهیزات شما را بدست می آورد ؟ از طریق هر ارتباطی که شما با دنیای بیرون دارید. این شامل اتصالات اینترنتی ،مودمهای شماره گیر و حتی دسترسی فیزیکی می باشد. (چقدر اطلاع دارید که یکی از افراد موقتی که شما برای کمک به وارد کردن اطلاعات بکار گرفته اید یک نفوذگر سیستم که بدنبال کد رمزها ، شماره تلفنها ،موارد حساس و هر چیزی که از طریق آنها می توانند به تجهیزات شما دسترسی پیدا کنند ، نمی باشد؟)

به منظور حفظ توانایی در ایجاد امنیت مناسب ، تمامی احتمالات بایستی شناسایی و ارزیابی شوند. امنیت آن نقطه ورود بایستی بر اساس سیاست شما در مورد میزان ریسک قابل قبول بایستی تامین شود.

درسهای یاد گرفته شده:

با بررسی انواع حملاتی که متداول هستند ، می توانیم فهرستی کوتاه از روشهای سطح بالا را که می توانند در جلوگیری از بلاهای امنیتی و کنترل آسیب در مواقعی که معیارهای پیشگیرانه در جلوگیری از یک حمله ناموفق هستند، به ما کمک کنند را تهیه کنیم.

امیدواریم که شما بک آپ داشته باشید

از دیدگاه امنیتی این فقط یک ایده خوب نیست. مقررات عملیاتی ،سیاست بک آپ را توصیه می کنند و این بایستی همراه با برنامه کشف آسیب باشد،انگار که یک هواپیما نصف شب روی ساختمان شما سقوط کند ، شما بایستی بتوانید شرکتتان را به جای دیگری منتقل کنید. مشابهاً این موارد می تواند در بازیابی اطلاعات شما در صورت بروز مشکل الکترونیکی ، ایراد سخت افزاری یا یک نفوذ که اطلاعات شما را تغییر یا آسیب میرساند ،کمک می کند.

اطلاعات را در جاییکه لازم نیستند قرار ندهید

البته این نیازی به گفتن ندارد ،که این حالت برای هر قومی پیش می آید. بنابراین ،اطلاعاتی که نیازی به دسترسی از بیرون به آنها وجود ندارد،برخی اوقات در دسترس هستند و این امر می تواند وضعیت نفوذ را به نحو چشمگیری افزایش دهد.

دوری از سیستمهایی با نقاط ضعف مشترک

هر سیستم امنیتی که بتواند بوسیله هر قسمت آن شکسته شود ،در واقع خیلی قوی نیست. از نظر امنیتی ، مقداری تکثیر (redundancy) خوب است و می تواند به شما در محافظت شرکتتان از یک حمله امنیتی ضعیف قبل از اینکه به فاجعه تبدیل شود کمک کند.

سیستم عاملهای به روز و مرتبط را داشته باشید.

مطمئن باشید که فردی که می داند شما چه چیزی دارید بدنبال آن است که توصیه های امنیتی را به شما بفروشد. استفاده از میکروفونهای قدیمی متداولترین (و موثرترین!) راه برای نفوذ به سیستمها هستند.

بدنبال متخصصان امنیتی مرتبط باشید.

علاوه بر مراقب مطالبی که توصیه کنندگان می کنند هستید ، مراقب گروههایی همانند CERT و CIAC باشید. مطمئن شوید که حداقل یک نفر (ترجیحاً بیشتر) عضو این لیستهای پستی هستند.

تعدادی از کارمندان را با توصیه های امنیتی آشنا کنید.

داشتن حداقل یک نفر را که مسئول حفظ توسعه امنیت است ،ایده خوبی است. این فرد یک نابغه فنی نیست ،اما می تواند فردی باشد که به آسانی می تواند مقالات توصیه کنندگان را خوانده و مراقب انواع مشکلات ایجاد شده باشد. چنین شخصی باید بتواند بطور معقول با موارد مرتبط با امنیت برخورد داشته و مشکلات ناشناخته نرم افزار وب سرور  و غیره را بشناسد.

این شخص همچنین باید و نبایدهای امنیتی را با خواندن هندبوک امنیتی سایت بداند.

فایر والها:

با توضیحاتی که ما در مورد اینترنت و شبکه های مشابه داده ایم ، اتصال شرکتی به اینترنت باعث ایجاد یک ترافیک دو طرفه می شود. برای بسیاری از شرکتها این مطلب قابل قبول نیست که اطلاعات خصوصی آنها درون یک انترانت شرکتی آزادانه به نمایش درآیند. (انترانت یک شبکه TCP/IP است که بعد از اینترنت شکل گرفت و فقط درون سازمانها کار می کند.)

بمنظور ایجاد سطوحی از جدایی بین انترانت سازمانی و اینترنت ،فایروالها بکار گرفته شده اند. یک فایروال گروهی از قطعات هستند که مجموعاً یک مانع را بین دو شبکه ایجاد می کنند.

تعدادی از واژه خاص مرتبط با فایروالها و شبکه بندی در این بخش مورد استفاده قرار می گیرند که اجازه بدهید آنها را معرفی کنیم.

باستیون هاست (Bastion host):

یک کامپیوتر با هدف عمومی که برای کنترل دسترسی بین شبکه(خصوصی)  داخلی (انترانت)و اینترنت (یا هر شبکه ناشناخته دیگر)مورد استفاده قرار می گیرد. عموماً اینها هاستهایی هستند که دارای سیستم عامل یونیکس بوده و برای کاهش عملیات آن به عملیاتی که فقط برای پشتیبانی از وظایف آن اصلاح شده است .بسیاری ار اهداف عمومی آن خاموش شده است و در بسیاری از موارد به طور کامل حذف شده اند تا امنیت ماشین ارتقا یابد.

روتور:

یک کامپیوتر با هدف خاص برای اتصال شبکه ها به یکدیگر. روتورها همچنین برخی عملیات خاص همانند مسیریابی،یا مدیریت ترافیک شبکه هایی که به آنها متصل هستند را به عهده دارند.

لیست کنترل دسترسی (ACL) :

بسیاری از روتورها در حال حاضر این توانایی را دارند  به طور انتخابی برخی از وظایفشان را بر اساس اطلاعاتی در مورد اینکه یک بسته به کجا می رود ، انجام دهند.این اطلاعات شامل مواردی همانند : آدرس مبدا ، آدرس مقصد ، پورت سرویس مقصد ، و غیره است. این موارد می توانند به نوع خاصی از بسته ها که از یک شبکه خارج یا به آن وارد می شوند ، محدود گردد.

منطقه بیطرف (DMZ):

DMZ بخش مهمی از یک فایروال است: این منطقه شبکه ایی است که نه بخشی از شبکه مشترک شده می باشد و نه بخشی از شبکه مشترک نشده است. ولی شبکه ایی است که بخش مشترک نشده را به بخش مشترک شده ارتباط می دهد.اهمیت DMZ فوق العاده بزرگ است: هرکسی که از طریق اینترنت بخواهد به شبکه شما نفوذ کند ، بایستی برای موفقیت در این کار از چند لایه بگذرد.این لایه ها توسط DMZ و در بخشهای مختلف ایجاد شده اند.

پراکسی (Proxy):

این پروسه ایی است که یک هاست در طرف مقابل انجام می دهد. هاستی که دارای این قابلیت است که اسناد را از اینترنت واکشی کند می تواند بعنوان یک پراکسی سرور و هاست روی اینترانت باید به صورت پراکس کلاینت پیکربندی گردد. در چنین حالتی،بعنوان مثال ، وقتی که یک هاست روی اینترانت می خواهد صفحه وب <http://www.interhack.net/> را واکشی کند ،جستجوگر ارتباطی را با پراکسی سرور برقرار کرده و درخواست یک URL خاص را میدهد. پراکسی سرور اسناد را واکشی کرده و نتایج را به کلاینت بر میگرداند. با این روش ، تمامی هاستهای روی اینترانت قادر هستند که به منابع اینترنت بدون داشتن قابلیت صحبت با اینترنت ، دسترسی پیدا کنند.

انواع فایروالها:

سه نوع عمده فایروال وجود دارد که ما آنها را مورد بررسی قرار میدهیم:

مسیر کاربردی:

اولین فایروال ، مسیر کاربردی هستند که بعنوان پراکسی مسیری شناخته می شوند.آنها از باستین هاستهایی ساخته شده اند که برای عمل کردن به صورت پراکسی سرور یک نرم افزار خاص را اجرا می کند. این نرم افزار در لایه کاربردی دوست قدیمی ما مدل مرجع ISO/OSI اجرا می شود. کلاینتهای پشت سر فایروال بایستی proxitized (به این معنا که بایستی دانست که چگونه از پراکسی استفاده کرد و آنها را پیکربندی نمود)شوند تا از خدمات اینترنتی استفاده کرد.معمولاً اینها دارای ویژگی امنیتی هستند ، زیرا آنها به همه چیز اجازه عبور بدون اشکال را نمی دهند و نیاز به برنامه هایی دارند که برای عبور از ترافیک نوشته و اجرا شده اند.

شکل 1 : یک نمونه از مدخل کاربردی

فیلتر کردن بسته

فیلتر کردن بسته تکنیکی است که بواسطه آن روتورها دارای ACL های (لیستهای کنترل دسترسی) فعال می شوند. به طور پیش فرض ،یک روتور تمامی ترافیک به سمت خود را عبور می دهد و همه نوع کار را بدون هیچ محدودیتی انجام می دهد .استفاده از ACLها روشی برای اعمال سیاست امنیتی شما با توجه به نوع دسترسی که می خواهید جهان خارج به شبکه داخلی شما داشته باشد و غیره ، می باشد.

استفاده از فیلتر کردن بسته بجای مدخل کاربردی دارای هزینه اضافی است زیرا ویژگی کنترل دسترسی در لایه پایینتر ISO/OSI  اجرا می شود. (عموماً لایه انتقال یا لایه session). با توجه به سربار کمتر و این واقعیت که فیلترینگ بوسیله روتورهایی انجام میشوند که به صورت کامپیوترهای خاص برای اجرای موارد مرتبط با شبکه بندی ،بهینه شده اند ،یک مسیر فیلترینگ بسته اغلب بسیار سریعتر از لایه کاربردی آن است.

با توجه به آنکه ما بر روی یک لایه پایینترکار میکنیم ،پشتیبانی از کاربردهای جدید یا به صورت خودکار انجام می شود یا یک موضوع ساده است که در آن بسته های خاص از مسیر عبور میکنند.

(البته احتمال اینکه برخی از چیزها به صورت خودکار آنرا ایجاد میکنند،یک نظر خوب است ، ولی مواردی که این مسیر را افشا میکنند می تواند پایینتر از سطح مورد نظر شما در رابطه با سیاست امنیتی باشد).

در این روش مشکلاتی وجود دارد،بنابراین بخاطر بسپارید که TCP/IP به صورت مطلق است یعنی اینکه هیچ تعهدی برای آدرسهایی که ادعا می کنند به آن مرتبط هستند وجود ندارد.بنابراین ،به منظور محلی کردن ترافیک ما از لایه های فیلترهای بسته استفاده می کنیم. ما نمی توانیم تمام مسیرهای منتهی به هاست واقعی را داشته باشیم اما از طریق دو لایه از فیلترهای بسته می توانیم بین بسته ایی که از اینترنت می آید با بسته ایی که از شبکه داخلی ما می آید ،تفاوت قائل شد.ما می توانیم مشخص کنیم که بسته از کدام شبکه می آید اما نمی توانیم مشخصات بیشتری در مورد آن داشته باشیم.

سیستمهای ترکیبی (Hybrid systems):

در یک تلاش برای هماهنگ کردن مسیرهای لایه کاربردی با انعطاف پذیری و سرعت فیلترینگ بسته، برخی از فروشندگان سیستمهایی را ایجاد کردند که از هر دو اصل استفاده می کنند.

شکل 2 : یک مسیر فیلترینگ نمونه بسته

در چنین سیستمهایی ،اتصالات جدید باید در لایه کاربردی تایید وبه تصویب برسند. زمانی که این اتفاق افتاد ،بقیه اتصال به لایه session فرستاده می شود، که در آن برای فیلترهای بسته اتصال را کنترل می کنند تا مطمئن شوند که تنها بسته هایی که بخشی از یک محاوره در حال پیشرفت ( که همچنین مجاز و مورد تایید هستند) عبور میکنند.

سایر احتمالات شامل استفاده از هر دو پراکسی فیلترینگ بسته و لایه کاربردی است. مزیتهای این حالت شامل ،ارائه معیاری برای محافظت از ماشینهای شما در مقابل خدماتی که به اینترنت ارائه میکند (همانند یک سرور عمومی وب ) و همچنین ارائه امنیت یک مسیر لایه کاربردی به شبکه داخلی است.

بعلاوه ،با استفاده از این مدل ، یک مهاجم که قصد بدست آوردن خدمات روی شبکه داخلی را دارد ،از طریق روتور دسترسی ، هاست بوستین و روتور مسدود کننده با شکست مواجه می شود.

بنابراین برای من چه چیزی بهترین است؟

گزینه های مختلفی در دسترس است ، و انتخاب آنها بستگی به صرف زمان و تجربه نیاز دارد، چه به صورت داخلی و چه به صورت یک مشاور با تجربه که می تواند زمانی را برای شناخت سیاست امنیتی موسسه شما صرف کند و می تواند فایروالی را طراحی و ساخته که بهترین استفاده را از سیاست شما کرده باشد. سایر موارد همانند ، خدمات مورد نیاز ، تسهیلات و مقیاس پذیری بایستی در طرح نهایی مورد توجه قرار گیرند.

منابع:

Berge (1995) Computer-Mediated Communication and the Online Classroom in Higher Education

http://www.interhack.net/pubs/network-security/

نویسنده: سید سجاد موسوی