R_chizari
Active Member
راهكارهاي افزايش امنيت شبكههاي كامپيوتري
هدف اين نوشتار، ارايهي راهكاري امنيت شبكههاي كامپيوتريست كه اهميت آنها روز به روز در سازمانها و موسسات پر رنگ تر ميشود و هر آينه بيتوجهي به موضوع امنيت اطلاعات ميتواند خسارتهاي جبران ناپذيري به دنبال داشته باشد. بر اين اساس، شايد بهتر باشد بي هيچ مقدمهاي و با پرهيز از زياده گويي به اصل موضوع بپردازيم.
براي امن كردن يك شبكه نياز به سه ابزار زير داريم:
1. Firewall
2. IDS (Intrusion Detection System)
3. Honey Pot
براي اينكه با وظايف اين ابزارها آشنا شويم، آنها را با ابزارهاي امنيتي ساختمان (براي جلوگيري از وقوع سرقت) مقايسه ميكنيم.
محل هاي مختلف يك ساختمان (مثلا" يك شركت يا سازمان) را از لحاظ امنيتي ميتوان به بخشهاي مختلفي تقسيم كرد.
• محلهاي غيرحساس: محلهايي كه به امنيت كمتري نياز دارند مثل حياط، حياط خلوت، پشت بام و ...
• محلهاي حساس: محلهايي كه به امنيت بالا نياز دارند، مانند محل قرار گرفتن گاوصندوق، بايگاني محرمانه، اطاقي كه تجهيزات گرانقيمت در آن قرار دارد و ...
شما براي ايمني ساختمانتان چه ميكنيد؟
1. موانع امنيتي ايجاد ميكنيد. تمام درهاي ورودي خود را قفل ميكنيد. ممكن است روي ديوار حياط و روي پنجره ها، حفاظ نصب كنيد، علاوه بر در ورودي ساختمان، در ورودي آپارتمانها و حتي اتاقها را نيز قفل ميكنيد و .....
2. در ساختمان دزدگير و در هر كدام از محلهاي مستقل حساس يك حسگر (Sensor – Detector) نصب ميكنيد.
3. هرچند خيلي معمول نيست، اما ميتوانيد مقداري لوازم و وسايل كه از نظر شما ارزشي ندارند در محلهاي غيرحساس قرار دهيد تا سارق با ديدن آنها از خير عبور از موانع امنيتي و ورود به محلهاي حساس بگذرد و به همانها قناعت كند.
علاوه بر تمام تمهيدات بالا، شما به طور مستمر امنيت ساختمانتان را زير ذره بين داريد. قفلها را هر روز چك ميكنيد. اگر مطلع شويد يكي از قفلها يا حسگرها، كارآيي لازم را ندارد و سارقان به راحتي آنرا باز و يا از آن عبور ميكنند، فوري آن را عوض خواهيد كرد.
در يك شبكه كامپيوتري براي ايجاد موانع عبور، Firewall نصب ميكنيم. براي آگاه شدن از وقوع نفوذ، IDS نصب ميكنيم و براي منحرف كردن و شناسايي رفتار و روش نفوذگر، Honey Pot نصب ميكنيم.
يكي از اصول امنيت، استفاده از الگوي دفاع لايه به لايه است. (استفاده از برج، ديوارهاي بلند، دروازه هاي اصلي و فرعي، خندق و ... در قلعه هاي قديمي)
كل شبكه (Internetwork) را ميتوان به دو بخش قابل اعتماد (Trusted) و غيرقابل اعتماد (Untrusted) تقسيم بندي كرد. شبكه داخلي را ميتوان شبكه قابل اعتماد و شبكه عمومي (اينترنت) را شبكه غيرقابل اعتماد دانست. در شبكه هاي كامپيوتري محلي را به نام DMZ (Demilitarized Zone) تعريف ميكنيم. در واقع DMZ ناحيهاي بين شبكه داخلي شما (Trusted) و شبكه عمومي (Untrusted) است. سرورهايي را كه بايد از اينترنت قابل دسترسي باشند (مانند Web Server، Mail Server، FTP Server و DNS Server) را در DMZ قرار ميدهيم. اين سياست مطابق الگوي دفاع لايه به لايه است. به اين ترتيب ميتوانيم راه برقراري ارتباط از اينترنت به داخل شبكه را به طور كامل مسدود كنيم. براي ايجاد لايه هاي بيشتر ميتوان بيش از يك DMZ در شبكه ايجاد كرد.
تعداد Deviceهاي امنيت شبكه به تعداد DMZها و موارد ديگري بستگي دارد و با توجه به ساختار شبكهي هر سازمان، ميزان حساسيت و برخي پارامترهاي ديگر تعيين ميشود.
نقش Honey Pot را همواره سروري بازي ميكند كه سرويسهاي مختلفي روي آن فعال است. نظير HTTP، Mail، FTP، DNS و غيره و اطلاعات بدون ارزشي نيز روي آن قرار دارد. محل اين سرور، در دسترس ترين مكان براي نفوذ انتخاب ميشود (بين شبكه Public و اولين Firewall)، تا نفوذگر به محض اقدام به نفوذ به شبكه آن را ببيند و با آن مشغول شود. حسن Honey Pot ، علاوه بر منحرف كردن نفوذگر از سرورهاي اصلي، شناسايي روش نفوذ او نيز هست. تا بتوانيم سياستهاي بر ضد اين روش را در Firewall خود پياده سازي كنيم.
با Deviceهاي مورد نياز براي امنيت شبكه آشنا شديم. اين Device ها را ميتوان در قالبهاي مختلف ارائه كرد.
براي ارائه Device هاي ذكر شده دو روش وجود دارد:
1. از محصولات آماده شركتهاي سازنده اين Device ها مانند Cisco استفاده شود.
2. به شكل نرم افزاري بر روي يك Intel Based Device (IBD) نصب و تنظيمات لازم اعمال شود. لازم به گفتن است كه اين دستگاه در واقع، مشابه يك PC است كه براساس نوع نياز مشتري و نوع استفاده از آن ساخته ميشود. سيستم عامل نصب شده بر روي اين دستگاه، ميتواند از محصولات Open Source نظير Linux و xBSD و يا Windows باشد.
بدين ترتيب انواع راهكارها (برحسب نوع محصول استفاده شده) را ميتوان درقالبهاي زير ارائه كرد:
Solution #1 (Ready to Use Products)
1. Firewall (Cisco, Netscreen, …)
2. IDS (Cisco, Netscreen, …)
3. Honey Pot (IBD)
Solution #2 (IBD with Open Source)
1. Firewall (Linux or xBSD)
2. IDS (Linux or xBSD)
3. Honey Pot (Linux or xBSD)
Solution #3 (Combination of Solution #1 and Solution #2)
1. Firewall (Cisco, Netscreen) and (Linux or xBSD)
2. IDS (Cisco, Netscreen) and (Linux or xBSD)
3. Honey Pot (Linux or xBSD)
Solution #4 (IBD with Windows)
1. Firewall (Windows)
2. IDS (Windows
3. Honey Pot (Windows)
با توجه به جميع پارامترها، توصيه نگارنده، راهكار تركيبي (شماره 3) است. به اين ترتيب كه اگر به عنوان مثال، دو عدد Firewall نياز داريم. يكي را از محصولات آماده و يكي را با IBD و سيستم عامل و نرم افزارهاي Open Source انتخاب كنيم. اين كار باعث ميشود كه اگر نفوذگري پس از صرف وقت مشخصي از Firewall اول رد شد، به دليل تفاوت تكنولوژي و روشها، براي رد شدن از Firewall دوم نيز وقت زيادي را صرف كند و به راحتي نتواند از آن عبور كند.
مطلب بسيار مهمي كه قابل تاكيد دوباره است، اين است كه سيستم امنيت شبكه، فقط تعريف سياستهاي امنيتي و نصب و تنظيم تعدادي Device براساس اين سياستها نيست، بلكه امنيت شبكه (درست مانند امنيت يك ساختمان)، يك فراند مستمر است. به اين مفهوم كه بايد به صورت مرتب، اعمال زير را انجام داد:
• تعريف سياستهاي امنيتي جديد
• اعمال فيلترها براي مقابله با روشهاي نفوذ جديد (يا wormهاي جديد)
• پايش يا Monitoring مستمر شبكه و ارزيابي متناوب شبكه براي جلوگيري از ايجاد منافذ و نارسايي هاي جديد در شبكه
• ...
شاد باشيد
چيذري
منبع: www.iritn.com
هدف اين نوشتار، ارايهي راهكاري امنيت شبكههاي كامپيوتريست كه اهميت آنها روز به روز در سازمانها و موسسات پر رنگ تر ميشود و هر آينه بيتوجهي به موضوع امنيت اطلاعات ميتواند خسارتهاي جبران ناپذيري به دنبال داشته باشد. بر اين اساس، شايد بهتر باشد بي هيچ مقدمهاي و با پرهيز از زياده گويي به اصل موضوع بپردازيم.
براي امن كردن يك شبكه نياز به سه ابزار زير داريم:
1. Firewall
2. IDS (Intrusion Detection System)
3. Honey Pot
براي اينكه با وظايف اين ابزارها آشنا شويم، آنها را با ابزارهاي امنيتي ساختمان (براي جلوگيري از وقوع سرقت) مقايسه ميكنيم.
محل هاي مختلف يك ساختمان (مثلا" يك شركت يا سازمان) را از لحاظ امنيتي ميتوان به بخشهاي مختلفي تقسيم كرد.
• محلهاي غيرحساس: محلهايي كه به امنيت كمتري نياز دارند مثل حياط، حياط خلوت، پشت بام و ...
• محلهاي حساس: محلهايي كه به امنيت بالا نياز دارند، مانند محل قرار گرفتن گاوصندوق، بايگاني محرمانه، اطاقي كه تجهيزات گرانقيمت در آن قرار دارد و ...
شما براي ايمني ساختمانتان چه ميكنيد؟
1. موانع امنيتي ايجاد ميكنيد. تمام درهاي ورودي خود را قفل ميكنيد. ممكن است روي ديوار حياط و روي پنجره ها، حفاظ نصب كنيد، علاوه بر در ورودي ساختمان، در ورودي آپارتمانها و حتي اتاقها را نيز قفل ميكنيد و .....
2. در ساختمان دزدگير و در هر كدام از محلهاي مستقل حساس يك حسگر (Sensor – Detector) نصب ميكنيد.
3. هرچند خيلي معمول نيست، اما ميتوانيد مقداري لوازم و وسايل كه از نظر شما ارزشي ندارند در محلهاي غيرحساس قرار دهيد تا سارق با ديدن آنها از خير عبور از موانع امنيتي و ورود به محلهاي حساس بگذرد و به همانها قناعت كند.
علاوه بر تمام تمهيدات بالا، شما به طور مستمر امنيت ساختمانتان را زير ذره بين داريد. قفلها را هر روز چك ميكنيد. اگر مطلع شويد يكي از قفلها يا حسگرها، كارآيي لازم را ندارد و سارقان به راحتي آنرا باز و يا از آن عبور ميكنند، فوري آن را عوض خواهيد كرد.
در يك شبكه كامپيوتري براي ايجاد موانع عبور، Firewall نصب ميكنيم. براي آگاه شدن از وقوع نفوذ، IDS نصب ميكنيم و براي منحرف كردن و شناسايي رفتار و روش نفوذگر، Honey Pot نصب ميكنيم.
يكي از اصول امنيت، استفاده از الگوي دفاع لايه به لايه است. (استفاده از برج، ديوارهاي بلند، دروازه هاي اصلي و فرعي، خندق و ... در قلعه هاي قديمي)
كل شبكه (Internetwork) را ميتوان به دو بخش قابل اعتماد (Trusted) و غيرقابل اعتماد (Untrusted) تقسيم بندي كرد. شبكه داخلي را ميتوان شبكه قابل اعتماد و شبكه عمومي (اينترنت) را شبكه غيرقابل اعتماد دانست. در شبكه هاي كامپيوتري محلي را به نام DMZ (Demilitarized Zone) تعريف ميكنيم. در واقع DMZ ناحيهاي بين شبكه داخلي شما (Trusted) و شبكه عمومي (Untrusted) است. سرورهايي را كه بايد از اينترنت قابل دسترسي باشند (مانند Web Server، Mail Server، FTP Server و DNS Server) را در DMZ قرار ميدهيم. اين سياست مطابق الگوي دفاع لايه به لايه است. به اين ترتيب ميتوانيم راه برقراري ارتباط از اينترنت به داخل شبكه را به طور كامل مسدود كنيم. براي ايجاد لايه هاي بيشتر ميتوان بيش از يك DMZ در شبكه ايجاد كرد.
تعداد Deviceهاي امنيت شبكه به تعداد DMZها و موارد ديگري بستگي دارد و با توجه به ساختار شبكهي هر سازمان، ميزان حساسيت و برخي پارامترهاي ديگر تعيين ميشود.
نقش Honey Pot را همواره سروري بازي ميكند كه سرويسهاي مختلفي روي آن فعال است. نظير HTTP، Mail، FTP، DNS و غيره و اطلاعات بدون ارزشي نيز روي آن قرار دارد. محل اين سرور، در دسترس ترين مكان براي نفوذ انتخاب ميشود (بين شبكه Public و اولين Firewall)، تا نفوذگر به محض اقدام به نفوذ به شبكه آن را ببيند و با آن مشغول شود. حسن Honey Pot ، علاوه بر منحرف كردن نفوذگر از سرورهاي اصلي، شناسايي روش نفوذ او نيز هست. تا بتوانيم سياستهاي بر ضد اين روش را در Firewall خود پياده سازي كنيم.
با Deviceهاي مورد نياز براي امنيت شبكه آشنا شديم. اين Device ها را ميتوان در قالبهاي مختلف ارائه كرد.
براي ارائه Device هاي ذكر شده دو روش وجود دارد:
1. از محصولات آماده شركتهاي سازنده اين Device ها مانند Cisco استفاده شود.
2. به شكل نرم افزاري بر روي يك Intel Based Device (IBD) نصب و تنظيمات لازم اعمال شود. لازم به گفتن است كه اين دستگاه در واقع، مشابه يك PC است كه براساس نوع نياز مشتري و نوع استفاده از آن ساخته ميشود. سيستم عامل نصب شده بر روي اين دستگاه، ميتواند از محصولات Open Source نظير Linux و xBSD و يا Windows باشد.
بدين ترتيب انواع راهكارها (برحسب نوع محصول استفاده شده) را ميتوان درقالبهاي زير ارائه كرد:
Solution #1 (Ready to Use Products)
1. Firewall (Cisco, Netscreen, …)
2. IDS (Cisco, Netscreen, …)
3. Honey Pot (IBD)
Solution #2 (IBD with Open Source)
1. Firewall (Linux or xBSD)
2. IDS (Linux or xBSD)
3. Honey Pot (Linux or xBSD)
Solution #3 (Combination of Solution #1 and Solution #2)
1. Firewall (Cisco, Netscreen) and (Linux or xBSD)
2. IDS (Cisco, Netscreen) and (Linux or xBSD)
3. Honey Pot (Linux or xBSD)
Solution #4 (IBD with Windows)
1. Firewall (Windows)
2. IDS (Windows
3. Honey Pot (Windows)
با توجه به جميع پارامترها، توصيه نگارنده، راهكار تركيبي (شماره 3) است. به اين ترتيب كه اگر به عنوان مثال، دو عدد Firewall نياز داريم. يكي را از محصولات آماده و يكي را با IBD و سيستم عامل و نرم افزارهاي Open Source انتخاب كنيم. اين كار باعث ميشود كه اگر نفوذگري پس از صرف وقت مشخصي از Firewall اول رد شد، به دليل تفاوت تكنولوژي و روشها، براي رد شدن از Firewall دوم نيز وقت زيادي را صرف كند و به راحتي نتواند از آن عبور كند.
مطلب بسيار مهمي كه قابل تاكيد دوباره است، اين است كه سيستم امنيت شبكه، فقط تعريف سياستهاي امنيتي و نصب و تنظيم تعدادي Device براساس اين سياستها نيست، بلكه امنيت شبكه (درست مانند امنيت يك ساختمان)، يك فراند مستمر است. به اين مفهوم كه بايد به صورت مرتب، اعمال زير را انجام داد:
• تعريف سياستهاي امنيتي جديد
• اعمال فيلترها براي مقابله با روشهاي نفوذ جديد (يا wormهاي جديد)
• پايش يا Monitoring مستمر شبكه و ارزيابي متناوب شبكه براي جلوگيري از ايجاد منافذ و نارسايي هاي جديد در شبكه
• ...
شاد باشيد
چيذري
منبع: www.iritn.com
