تاريخ : شنبه 7 دی 1392 | 14:23 | نویسنده : sara

تهدیدات شبکه

 

ویروس ها

ویروس ها ، برنامه هائی کامپیوتری می باشند که توسط برنامه نویسان گمراه و در عین حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثیر خود و آلودگی کامپیوترها بر اثر وقوع یک رویداد خاص ، باشند . مثلا" ویروس ها ئی که از آنان با نام "ماکرو ویروس " یاد می شود ، خود را به فایل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرایط لازم به منظور اجرای آنان نیز فراهم می گردد.

 برنامه های اسب تروا ( دشمنانی در لباس دوست )

برنامه های اسب تروا و یا Trojans ، به منزله ابزارهائی برای توزیع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده  و یا حتی نرم افزاری مفیدی نظیر بازی های کامپیوتری باشند که با تغییر قیافه و با  لباسی مبدل و ظاهری مفید خود را عرضه می نمایند. تروجان ها ، قادر به انجام عملیات متفاوتی نظیر حذف فایل ها ، ارسال یک نسخه از خود به لیست آدرس های پست الکترونیکی ، می باشند. این نوع از برنامه ها صرفا" می توانند از طریق تکثیر برنامه های اسب تروا به یک کامپیوتر،دریافت فایل از طریق اینترنت و یا باز نمودن یک فایل ضمیمه همراه یک نامه الکترونیکی ، اقدام به آلودگی یک سیستم نمایند.

ویرانگران

در وب سایت های متعددی از نرم افزارهائی نظیر اکتیوایکس ها و یا اپلت های جاوا استفاده می گردد . این نوع برنامه ها به منطور ایجاد انیمیشن و سایر افکت های خاص مورد استفاده قرار گرفته و جذابیت و میزان تعامل  با کاربر را افزایش می دهند . با توجه به دریافت و نصب آسان این نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسیب رسانی به سایر سیستم ها تبدیل شده اند . این نوع  برنامه ها که به "ویرانگران" شهرت یافته اند ، به شکل یک برنامه نرم افزاری و یا اپلت ارائه و در دسترس استفاده کنندگان قرار می گیرند .

حملات شناسائی

در این نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخریب و آسیب رساندن به آنان می نمایند . مهاجمان در این رابطه از نرم افزارهای خاصی نظیر Sniffer  و یا Scanner  به منظور شناسائی نقاط ضعف و آسیب پذیر کامپیوترها ، سرویس دهندگان وب و برنامه ها ، استفاده می نمایند . در این رابطه برخی تولیدکنندگان ، نرم افزارهائی را با اهداف خیرخواهانه طراحی و پیاده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نیز استفاده می شود

حملات دستیابی

دراین نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه  و دستیابی به آدرس های پست الکترونیکی ، اطلاعات ذخیره شده در بانک های اطلاعاتی و سایر اطلاعات حساس، می باشد.

نامه های الکترونیکی ناخواسته

از واژه Spam  در ارتباط با نامه های الکترونیکی ناخواسته و یا پیام های تبلیغاتی ناخواسته ، استفاده می گردد. این نوع از نامه های الکترونیکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و یا دردسر ما را بیشتر نمایند . دامنه این نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخیره سازی بر روی کامپیوترهای کاربران را شامل می شود .

ره گیری داده  ( استراق سمع )

بر روی هر شبکه کامپیوتری روزانه اطلاعات متفاوتی جابجا می گردد و همین امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در این نوع حملات ، مهاجمان اقدام به استراق سمع و یا حتی تغییر بسته های اطلاعاتی در شبکه می نمایند . مهاجمان به منظور نیل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمایند.

حملات از کار انداختن سرویس ها

در این نوع حملات ، مهاجمان سعی در ایجاد مزاحمت  به منظور دستیابی به تمام و یا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمایند . حملات فوق به اشکال متفاوت و با بهره گیری از فن آوری های متعددی صورت می پذیرد . ارسال حجم بالائی از داده ها ی غیرواقعی برای یک ماشین متصل به  اینترنت و ایجاد ترافیک کاذب در شبکه ، نمونه هائی از این نوع حملات می باشند.


برچسب‌ها: امنیت شبکه های کامپیوتری,

تاريخ : شنبه 7 دی 1392 | 13:20 | نویسنده : sara

 

امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ‌، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ،‌ هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:

1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟

2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟

3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟

اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آن هستند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:

 

a.  رمز هاي عبور

b. مديريت اصلاحيه ها

c.  آموزش كاركنان و نحوه اجراي برنامه ها

d.نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن

e. ضد ويروس

f. ديواره آتش

g. شناسايي و جلوگيري از نفوذ گران

h. فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي

i.  تنظيمات سيستمي و پيكره بندي آنها


در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران  با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.

براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش.

 

موضوع امنيت تجهيزات به دو علت اهميت ويژه‌اي مي‌يابد :

 

الف – عدم وجود امنيت تجهيزات در شبكه ، به نفوذگران به شبكه اجازه مي‌دهد كه‌ با دستيابي به تجهيزات ، امكان پيكربندي آنها را به گونه‌اي كه تمايل دارند آن سخت‌افزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكان‌پذير خواهد شد.

ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهيزات بر روي شبكه الزامي است. توسط اين حمله‌ها نفوذگران مي‌توانند سرويس‌هايي را در شبكه از كار بياندازند كه از اين طريق در برخي موارد امكان دسترسي به اطلاعات با دور زدن هر يك از فرايندهاي AAA فراهم مي‌شود.

در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار مي‌گيرد. عناوين برخي از اين موضوعات به شرح زير هستند :

-       امنيت فيزيكي و تأثير آن بر امنيت كلي شبكه

-       امنيت تجهيزات شبكه در سطوح منطقي

-       بالابردن امنيت تجهيزات توسط افزايش تعداد ( پشتيبان ) سرويس‌ها و سخت‌افزارها  ( بمعني تهيه سرويس ها و تجهيزات مشابه بعنوان پشتيبان )

موضوعات فوق در قالب دو بحث اصلي امنيت تجهيزات مورد بررسي قرار مي‌گيرند :

-       امنيت فيزيكي

-       امنيت منطقي

 

1-    امنيت فيزيكي

    امنيت فيزيكي حيطه‌ وسيعي از تدابير را در بر مي‌گيرد كه استقرار تجهيزات در مكان‌هاي امن و به دور از خطر حملات نفوذگران و استفاده از افزايش تعداد ( پشتيبان ) سيستم ، از آن جمله‌اند. با استفاده از افزايش تعداد ( پشتيبان ) ، اطمينان از صحت عملكرد سيستم در صورت بروز و وقوع نقص در يكي از تجهيزات (كه توسط عملكرد مشابه سخت‌افزار و يا سرويس‌دهنده مشابه جايگزين مي‌شود) بدست مي‌آيد.

    در بررسي امنيت فيزيكي و اعمال آن،‌ ابتدا بايد به خطر‌هايي كه از اين طريق تجهزات شبكه را تهديد مي‌كنند نگاهي داشته باشيم. پس از شناخت نسبتاً كامل اين خطرها و حمله‌ها مي‌توان به راه‌حل‌ها و ترفند‌هاي دفاعي در برابر اين‌گونه حملات پرداخت.

1-1- افزايش تعداد ( پشتيبان ) در محل استقرار شبكه

    يكي از راه‌كارها در قالب تهيه پشتيبان از شبكه‌هاي كامپيوتري، ايجاد سيستمي كامل،‌ مشابه شبكه‌ي اوليه‌ي در حال كار است. در اين راستا، شبكه‌ي ثانويه‌ي، كاملاً مشابه شبكه‌ي اوليه، چه از بعد تجهيزات و چه از بعد كاركرد،‌ در محلي كه مي‌تواند از نظر جغرافيايي با شبكه‌ي اول فاصله‌اي نه چندان كوتاه نيز داشته باشد برقرار مي‌شود. با استفاده از اين دو سيستم مشابه، علاوه بر آنكه در صورت رخداد وقايعي كه كاركرد هريك از اين دو شبكه را به طور كامل مختل مي‌كند (مانند زلزله) مي‌توان از شبكه‌ي ديگر به طور كاملاً جايگزين استفاده كرد، در استفاده‌هاي روزمره نيز در صورت ايجاد ترافيك سنگين بر روي شبكه، حجم ترافيك و پردازش بر روي دو شبكه‌ي مشابه پخش مي‌شود تا زمان پاسخ به حداقل ممكن برسد.

    با وجود آنكه استفاده از اين روش در شبكه‌هاي معمول كه حجم چنداني ندارند، به دليل هزينه‌هاي تحميلي بالا، امكان‌پذير و اقتصادي به نظر نمي‌رسد، ولي در شبكه‌هاي با حجم بالا كه قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب مي‌آيند از الزامات است.

1-2- توپولوژي شبكه

 

 

طراحي توپولوژيكي شبكه،‌ يكي از عوامل اصلي است كه در زمان رخداد حملات فيزيكي مي‌تواند از خطاي كلي شبكه جلوگيري كند.

در اين مقوله،‌ سه طراحي كه معمول هستند مورد بررسي قرار مي‌گيرند :

 

الف – طراحي سري ( Bus) :

 

 

در اين طراحي با قطع خط تماس ميان دو نقطه در شبكه، كليه سيستم به دو تكه منفصل تبديل شده و امكان سرويس دهي از هريك از اين دو ناحيه به ناحيه ديگر امكان پذير نخواهد بود.

 

ب – طراحي ستاره‌اي ( Star)  :

 

در اين طراحي، در صورت رخداد حمله فيزيكي و قطع اتصال يك نقطه از سرور اصلي، سرويس‌دهي به ديگر نقاط دچار اختلال نمي‌گردد. با اين وجود از آنجا كه سرور اصلي در اين ميان نقش محوري دارد، در صورت اختلال در كارايي اين نقطه مركزي،‌ كه مي‌تواند بر اثر حمله فيزيكي به آن رخ دهد، ارتباط كل شبكه دچار اختلال مي‌شود، هرچند كه با در نظر گرفتن ( پشتيبان )  براي سرور اصلي از احتمال چنين حالتي كاسته مي‌شود.

 

ج – طراحي مش ( ‌Mesh) :

 

 در اين طراحي كه تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيكي در سطوح دسترسي منجر به اختلال عملكرد شبكه نخواهد شد،‌ با وجود آنكه زمان‌بندي سرويس‌دهي را دچار اختلال خواهد كرد. پياده‌سازي چنين روش با وجود امنيت بالا، به دليل محدوديت‌هاي اقتصادي،‌ تنها در موارد خاص و بحراني انجام مي‌گيرد.

 

1-3- محل‌هاي امن براي تجهيزات

 

 

    در تعيين يك محل امن براي تجهيزات دو نكته مورد توجه قرار مي‌گيرد :

- يافتن مكاني كه به اندازه كافي از ديگر نقاط مجموعه متمايز باشد، به گونه‌اي كه هرگونه ورود به محل مشخص باشد.

 - در نظر داشتن محلي كه در داخل ساختمان يا مجموعه‌اي بزرگتر قرار گرفته است تا تدابير امنيتي بكارگرفته شده براي امن سازي مجموعه‌ي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به كار گرفت.

با اين وجود، در انتخاب محل، ميان محلي كه كاملاً جدا باشد (كه نسبتاً پرهزينه خواهد بود) و مكاني كه درون محلي نسبتاً عمومي قرار دارد و از مكان‌هاي بلا استفاده سود برده است (‌كه باعث ايجاد خطرهاي امنيتي مي‌گردد)،‌ مي‌توان اعتدالي منطقي را در نظر داشت.

    در مجموع مي‌توان اصول زير را براي تضمين نسبي امنيت فيزيكي تجهيزات در نظر داشت :  

-   محدود سازي دسترسي به تجهيزات شبكه با استفاده از قفل‌ها و مكانيزم‌هاي دسترسي ديجيتالي به همراه ثبت زمان‌ها، مكان‌ها و كدهاي كاربري دسترسي‌هاي انجام شده.

 

 

- استفاده از دوربين‌هاي حفاظتي در ورودي محل‌هاي استقرار تجهيزات شبكه و اتاق‌هاي اتصالات و مراكز پايگاه‌هاي داده.

 

-       اعمال ترفند‌هايي براي اطمينان از رعايت اصول امنيتي.

 

1-4- انتخاب لايه كانال ارتباطي امن

 

    با وجود آنكه زمان حمله‌ي فيزيكي به شبكه‌هاي كامپيوتري، آنگونه كه در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن كنترل يكي از خادم‌ها و سرويس‌دهنده‌هاي مورد اطمينان شبكه معطوف شده است،‌ ولي گونه‌اي از حمله‌ي فيزيكي كماكان داراي خطري بحراني است.

    عمل شنود بر روي سيم‌هاي مسي،‌ چه در انواع Coax و چه در زوج‌هاي تابيده، هم‌اكنون نيز از راه‌هاي نفوذ به شمار مي‌آيند. با استفاده از شنود مي‌توان اطلاعات بدست آمده از تلاش‌هاي ديگر براي نفوذ در سيستم‌هاي كامپيوتري را گسترش داد و به جمع‌بندي مناسبي براي حمله رسيد. هرچند كه مي‌توان سيم‌ها را نيز به گونه‌اي مورد محافظت قرار داد تا كمترين احتمال براي شنود و يا حتي تخريب فيزيكي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايه‌ي فيزيكي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنال‌هاي الكتريكي، هيچگونه تشعشعي از نوع الكترومغناطيسي وجود ندارد، لذا امكان استفاده از روش‌هاي معمول شنود به پايين‌ترين حد خود نسبت به استفاده از سيم در ارتباطات مي‌شود.

 

1-5- منابع تغذيه

     از آنجاكه داده‌هاي شناور در شبكه به منزله‌ي خون در رگهاي ارتباطي شبكه هستند و جريان آنها بدون وجود منابع تغذيه، كه با فعال نگاه‌داشتن نقاط شبكه موجب برقراري اين جريان هستند، غير ممكن است، لذا چگونگي پيكربندي و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي مي‌كنند. در اين مقوله توجه به دو نكته زير از بالاترين اهميت برخوردار است :

- طراحي صحيح منابع تغذيه در شبكه بر اساس محل استقرار تجهيزات شبكه‌. اين طراحي بايد به گونه‌اي باشد كه تمامي تجهيزات فعال شبكه، برق مورد نياز خود را بدون آنكه به شبكه‌ي برق ،  فشار بيش از ‌اندازه‌اي (كه باعث ايجاد اختلال در عملكرد منابع تغذيه شود) وارد شود، بدست آورند.

 

 

- وجود منبع يا منابع تغذيه پشتيبان ( UPS) به گونه‌اي كه تعداد و يا توان پشتيباني آنها به نحوي باشد كه نه تنها براي تغذيه كل شبكه در مواقع نياز به منابع تغذيه پشتيبان كفايت كند، بلكه امكان تامين برق بيش از مورد  نياز براي تعدادي از تجهيزات بحراني درون شبكه را به صورت منفرد فراهم كند.

 

 

1-6- عوامل محيطي

    يكي از نكات بسيار مهم در امن سازي فيزيكي تجهيزات و منابع شبكه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملكرد شبكه مي‌شوند. از مهمترين عواملي در هنگام بررسي امنيتي يك شبكه رايانه‌اي بايد در نظر گرفت مي‌توان به دو عامل زير اشاره كرد :

-       احتمال حريق (كه عموماً غير طبيعي است و منشآ انساني دارد)

 

-  زلزله، طوفان و ديگر بلاياي طبيعي

    با وجود آنكه احتمال رخداد برخي از اين عوامل، مانند حريق، را مي‌توان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي،‌ با هدف جلوگيري در اختلال كلي در عملكرد شبكه، وجود يك سيستم كامل پشتيبان براي كل شبكه است. تنها با استفاده از چنين سيستم پشتيباني است كه مي‌توان از عدم اختلال در شبكه در صورت بروز چنين وقعايعي اطمينان حاصل كرد.

 

 

2- امنيت منطقي

 

    امنيت منطقي به معناي استفاده از روش‌هايي براي پايين آوردن خطرات حملات منطقي و نرم‌افزاري بر ضد تجهيزات شبكه است. براي مثال حمله به مسيرياب‌ها و سوئيچ‌هاي شبكه بخش مهمي از اين گونه حملات را تشكيل مي‌‌دهند. در اين بخش به عوامل و مواردي كه در اينگونه حملات و ضد حملات مورد نظر قرار مي‌گيرند مي‌پردازيم.

 

2-1- امنيت مسيرياب‌ها

    حملات ضد امنيتي منطقي براي مسيرياب‌ها و ديگر تجهيزات فعال شبكه، مانند سوئيچ‌ها، را مي‌توان به سه دسته‌ي اصلي تقسيم نمود :

- حمله براي غيرفعال سازي كامل

- حمله به قصد دستيابي به سطح كنترل

-  حمله براي ايجاد نقص در سرويس‌دهي

    طبيعي است كه راه‌ها و نكاتي كه در اين زمينه ذكر مي‌شوند مستقيماً تنها به  امنيت اين عناصر مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفك هستند.  لذا تأمين امنيت تجهيزات فعال شبكه به معناي تآمين قطعي امنيت كلي شبكه نيست، هرچند كه عملاً مهمترين جنبه‌ي آنرا تشكيل مي‌دهد.

 

2-2- مديريت پيكربندي

    يكي از مهمترين نكات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پرونده‌ها مختص پيكربندي است. از اين پرونده‌ها كه در حافظه‌هاي گوناگون اين تجهيزات نگاهداري مي‌شوند،‌ مي‌توان در فواصل زماني مرتب يا تصادفي، و يا زماني كه پيكربندي تجهيزات تغيير مي‌يابند، نسخه پشتيبان تهيه كرد.

 

 

    با وجود نسخ پشتيبان،‌ منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در كارايي تجهزات، كه مي‌تواند منجر به ايجاد اختلال در كل شبكه شود، در كوتاه ترين زمان ممكن مي‌توان با جايگزيني آخرين پيكربندي، وضعيت فعال شبكه را به آخرين حالت بي‌نقص پيش از اختلال بازگرداند. طبيعي است كه در صورت بروز حملات عليه بيش از يك سخت‌افزار، بايد پيكربندي تمامي تجهيزات تغييريافته را بازيابي نمود.

 

    نرم‌افزارهاي خاصي براي هر دسته از تجهيزات مورد استفاده وجود دارند كه قابليت تهيه نسخ پشتيبان را فاصله‌هاي زماني متغير دارا مي‌باشند. با استفاده از اين نرم‌افزارها احتمال حملاتي كه به سبب تآخير در ايجاد پشتيبان بر اثر تعلل عوامل انساني پديد مي‌آيد به كمترين حد ممكن مي‌رسد.

 

2-3- كنترل دسترسي به تجهيزات

دو راه اصلي براي كنترل تجهزات فعال وجود دارد :

- كنترل از راه دور

- كنترل از طريق درگاه كنسول

    در روش اول مي‌توان با اعمال محدوديت در امكان پيكربندي و دسترسي به تجهيزات از آدرس‌هايي خاص يا استاندارها و پروتكل‌هاي خاص، احتمال حملات را پايين آورد.

    در مورد روش دوم، با وجود آنكه به نظر مي‌رسد استفاده از چنين درگاهي نياز به دسترسي فيزكي مستقيم به تجهيزات دارد، ولي دو روش معمول براي دسترسي به تجهيزات فعال بدون داشتن دسترسي مستقيم وجود دارد. لذا در صورت عدم كنترل اين نوع دسترسي، ايجاد محدوديت‌ها در روش اول عملاً امنيت تجهيزات را تآمين نمي‌كند.

 

    براي ايجاد امنيت در روش دوم بايد از عدم اتصال مجازي درگاه كنسول به هريك از تجهيزات داخلي مسيرياب، كه امكان دسترسي از راه‌دور دارند، اطمينان حاصل نمود.

 

2-4- امن سازي دسترسي

    علاوه بر پيكربندي تجهيزات براي استفاده از Authentication، يكي ديگر از روش‌هاي معمول امن‌سازي دسترسي، استفاده از كانال رمز شده در حين ارتباط است. يكي از ابزار معمول در اين روش SSH(Secure Shell) است. SSH ارتباطات فعال را رمز كرده و احتمال شنود و تغيير در ارتباط كه از معمول‌ترين روش‌هاي حمله هستند را به حداقل مي‌رساند.

    از ديگر روش‌هاي معمول مي‌توان به استفاده از كانال‌هاي VPN مبتني بر IPSec اشاره نمود. اين روش نسبت به روش استفاده از SSH روشي با قابليت اطمينان بالاتر است، به گونه‌اي كه اغلب توليدكنندگان تجهيزات فعال شبكه، خصوصاً توليد كنندگان مسيرياب‌ها،‌ اين روش را ارجح تر مي‌دانند.

 

 

2-5- مديريت رمزهاي عبور

 مناسب‌ترين محل براي ذخيره رمزهاي عبور بر روي سرور Authentication است. هرچند كه در بسياري از موارد لازم است كه بسياري از اين رموز بر روي خود سخت‌افزار نگاه‌داري شوند. در اين صورت مهم‌ترين نكته به ياد داشتن فعال كردن سيستم رمزنگاري رموز بر روي مسيرياب يا ديگر سخت‌افزارهاي مشابه است.

 

3- ملزومات و مشكلات امنيتي ارائه دهندگان خدمات

  زماني كه سخن از ارائه دهندگان خدمات و ملزومات امنيتي آنها به ميان مي‌آيد، مقصود شبكه‌هاي بزرگي است كه خود به شبكه‌هاي رايانه‌اي كوچكتر خدماتي ارائه مي‌دهند. به عبارت ديگر اين شبكه‌هاي بزرگ هستند كه با پيوستن به يكديگر، عملاً شبكه‌ي جهاني اينترنت كنوني را شكل مي‌دهند. با وجود آنكه غالب اصول امنيتي در شبكه‌هاي كوچكتر رعايت مي‌شود، ولي با توجه به حساسيت انتقال داده در اين اندازه، ملزومات امنيتي خاصي براي اين قبيل شبكه‌ها مطرح هستند.

 

3-1- قابليت‌هاي امنيتي

    ملزومات مذكور را مي‌توان، تنها با ذكر عناوين، به شرح زير فهرست نمود :

· قابليت بازداري از حمله و اعمال تدابير صحيح براي دفع حملات

· وجود امكان بررسي ترافيك شبكه، با هدف تشخيص بسته‌هايي كه به قصد حمله بر روي شبكه ارسال مي‌شوند. از آنجاييكه شبكه‌هاي بزرگتر نقطه تلاقي مسيرهاي متعدد ترافيك بر روي شبكه هستند، با استفاده از سيستم‌هاي IDS بر روي آنها، مي‌توان به بالاترين بخت براي تشخيص حملات دست يافت.

 

· قابليت تشخيص منبع حملات. با وجود آنكه راه‌هايي از قبيل سرقت آدرس و استفاده از سيستم‌هاي ديگر از راه دور، براي حمله كننده و نفوذگر، وجود دارند كه تشخيص منبع اصلي حمله را دشوار مي‌نمايند، ولي استفاده از سيستم‌هاي رديابي، كمك شاياني براي دست يافتن و يا محدود ساختن بازه‌ي مشكوك به وجود منبع اصلي مي‌نمايد. بيشترين تآثير اين مكانيزم زماني است كه حملاتي از نوع DoS از سوي نفوذگران انجام مي‌گردد.

 

 

 

3-2- مشكلات اعمال ملزومات امنيتي

 

    با وجود لزوم وجود قابليت‌هايي كه بطور اجمالي مورد اشاره قرار گرفتند، پياده‌سازي و اعمال آنها همواره آسان نيست.

 يكي از معمول‌ترين مشكلات،‌ پياده‌سازي IDS است. خطر يا ترافيكي كه براي يك دسته از كاربران به عنوان حمله تعبير مي‌شود، براي دسته‌اي ديگر به عنوان جريان عادي داده است. لذا تشخيص اين دو جريان از يكديگر بر پيچيدگي IDS افزوده و در اولين گام از كارايي و سرعت پردازش ترافيك و بسته‌هاي اطلاعاتي خواهد كاست. براي جبران اين كاهش سرعت تنها مي‌توان متوسل به تجهيزات گران‌تر و اعمال سياست‌هاي امنيتي پيچيده‌تر شد.

 

 با اين وجود،‌ با هرچه بيشتر حساس شدن ترافيك و جريان‌هاي داده و افزايش كاربران، و مهاجرت كاربردهاي متداول بر روي شبكه‌هاي كوچكي كه خود به شبكه‌هاي بزرگتر ارائه دهنده خدمات متصل هستند، تضمين امنيت، از اولين انتظاراتي است كه از اينگونه شبكه‌ها مي‌توان داشت.


برچسب‌ها: امنیت شبکه های کامپیوتری,

صفحه قبل 1 2 3 4 5 ... 67 صفحه بعد