شبکه TCP/IP

گردآورندگان:خانم ها فاطمه سلطانقلي-ليلا كرمي

امنيت شبکه

همانطور که ميدانيم زندگي روزمره انساني، در دنياي فيزيکي غالبا با تهديدهائي از سوي مهاجمان، متجاوزان و قانون شکنان مواجه بوده است و برنامه‌ريزان و مديران جوامع با اتخاذ تدابير و با بکارگيري نيروهاي سازمان يافته در پي مبارزه با تهديدهاي مذکور و محافظت از جان و منافع انساني و نهايتا ايجاد امنيت در جامعه مي‌باشند.

طبيعي است با الزام حضور و ورود انسانها به دنياي مدرن ارتباطات و اينترنت ( که توسط متخصصان علوم ارتباطات و رايانه بوجود آمده است) خطرات و تهديد مهاجمان که با بکارگيري روشهاي گوناگون درصدد ايجاد اختلال، انهدام و يا وارد آوردن صدمه هستند، همواره وجود خواهد داشت. به همين جهت مبحث امنيت و ايجاد آن در دنياي الکترونيکي ارتباطات، جايگاه ويژه‌اي را در محافل گوناگون علمي فن‌آوري اطلاعات بدست آورده است.

حال در خصوص شبکه‌هاي اطلاع‌رساني و بخصوص اينترنت مبحث امنيت را ميتوان از دو جنبه مورد بررسي قرار داد :

*امنيت سرويس دهندگان (Servers Security)

*امنيت کاربران يا استفاده کنندگان (Client Security)

که در هر دو مورد با تهديدهاي بسيار جدي از سوي مهاجمان و مخربين هکرها مواجه هستيم. در حقيقت در اين بخش سعي بر اين است تا به بررسي جوانب گوناگون امنيت همچون بررسي انواع خطرات و تهديدهاي موجود با در نظر گرفتن زمينه‌هاي مورد علاقه مخربين، بررسي حفره‌ها و روشهاي نفوذ و نحوه تخريب، بيان و معرفي نمونه پايگاه هايي که مورد يورش و تهاجم واقع شده‌اند، بررسي روشهاي روياروئي و مقابله با تهديدها و خطرات، شناخت نرم‌افزارهاي مرتبط و موجود در زمينه حفاظت و امنيت شبکه و ... مي پردازيم .

با توجه به گسترش زمينه‌هاي گوناگون استفاده از اينترنت بخصوص تبادلات بازرگاني و فعاليتهاي اقتصادي و علاقمندي شديد مهاجمان به اين نوع از تخريب ها در قدم اول سعي بر آنست تا به بررسي مباحث مربوط به تهديدات سرويس دهندگان وب (Web Servers) و انواع آن پرداخته شود .

امنيت شبکه ها

وقتي بحث امنيت شبکه پيش مي ايد ، مباحث زيادي قابل طرح و ارائه هستند ، موضوعاتي که هر کدام به تنهايي مي توانند جالب ، پرمحتوا و قابل درک باشند ، اما وقتي صحبت کار عملي به ميان مي ايد ، قضيه يک جورايي پيچيده مي شود . ترکيب علم و عمل ، احتياج به تجربه دارد و نهايت هدف يک علم هم ، به کار امدن ان هست .

وقتي دوره تئوري امنيت شبکه را با موفقيت پشت سر گذاشتيد و وارد محيط کار شديد ، ممکن است اين سوال برايتان مطرح شود که " خب ، حالا از کجا شروع کنم ؟ اول کجا را ايمن کنم ؟ چه استراتژي را پيش بگيرم و کجا کار را تمام کنم ؟ " انبوهي از اين قبيل سوالات فکر شما را مشغول مي کند و کم کم حس مي کنيد که تجربه کافي نداريد و اين البته حسي طبيعي هست . پس اگر اين حس رو داريد و مي خواهيد يک استراتژي علمي - کاربردي داشته باشيد ، تا انتهاي اين مقاله با من باشيد تا قدم به قدم شما رو به امنيت بيشتر نزديک کنم.

هميشه در امنيت شبکه موضوع لايه هاي دفاعي ، موضوع داغي هست و نظرات مختلفي وجود دارد . عده اي فايروال را اولين لايه دفاعي مي دانند ، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند ، اما واقعيت پنهان اين هست که هيچکدام از اينها ، اولين لايه دفاعي نيستند . يادتون باشد که اولين لايه دفاعي در امنيت شبکه و حتي امنيت فيزيکي ، Policy هست . بدون policy ، ليست کنترل ، فايروال و هر لايه ديگر ، بدون معني مي شود و اگر بدون policy شروع به ايمن کردن شبکه کنيد ، محصول يک آبکش واقعي از کار در مي ايد .

با اين مقدمه ، و با توجه به اين که شما policy مورد نظرتان را کاملا تجزيه و تحليل کرديد و دقيقا مي دانيد که چه چيزي رو مي خواهيد و چي را احتياج نداريد ، کار را شروع مي کنيم . ما بايد پنج مرحله رو پشت سر بگذاريم تا کارمان تمام بشود . اين پنج مرحله عبارتند از :

1- Inspection ( بازرسي )

2- Protection ( حفاظت )

3- Detection ( رديابي )

4- Reaction ( واکنش )

5- Reflection ( بازتاب)

در طول مسير ، از اين پنج مرحله عبور مي کنيم ، ضمن اينکه ايمن کردن شبکه به اين شکل ، احتياج به تيم امنيتي دارد و يک نفر به تنهايي نمي تواند اين پروسه رو طي کند و اگر هم بتواند ، خيلي طولاني مي شود و قانون حداقل زمان ممکن را نقض مي کند .

1- اولين جايي که ايمن کردن رو شروع مي کنيم ، ايمن کردن کليه authentication هاي موجود هست . معمولا رايج ترين روش authentication که مورد استفاده قرار مي گيرد ، استفاده از شناسه کاربري و کلمه رمز هست.

مهمترين جاهايي که بايد authentication را ايمن و محکم کرد عبارتند از :

- کلمات عبور کاربران ، به ويژه مديران سيستم .

- کلمات عبور سوييچ و روتر ها ( من روي سوييچ خيلي تاکيد ميکنم ، چون اين device به صورت plug and play کار مي کند ، اکثر مديرهاي شبکه از config کردن ان غافل مي شوند ، در حالي که مي تواند امنيت خيلي خوبي به شبکه بدهد ، به مديران امنيتي توصيه ميکنم که حتما اين device رو کنترل کنند ) .

- کلمات عبور مربوط به SNMP .

- کلمات عبور مربوط به پرينت سرور .

- کلمات عبور مربوط به محافظ صفحه نمايش .

آنچه که شما در کلاسهاي امنيت شبکه در مورد Account and Password Security ياد گرفتيد را اينجا به کار مي بريد . که من به خاطر طولاني نشدن بحث به انها اشاره نميکنم .

2- قدم دوم نصب و به روز کردن آنتي ويروس بر روي همه دسکتاپ ، سرور و ميل سرورها هست . ضمن اينکه آنتي ويروس هاي مربوط به کاربران بايد به طور اتوماتيک به روز رساني بشود و آموزشهاي لازم در مورد فايلهاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشکوک يا اضطراري به کاربران هم داده بشود .

3 - مرحله سوم شامل نصب آخرين به روز رساني هاي امنيتي سيستم عامل و سرويسهاي موجود هست . در اين مرحله علاوه بر کارهاي ذکر شده ، کليه سرورها و device ها و دسک تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي ، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند .

4-در اين مرحله نوبت گروه بندي کاربران و اعطاي مجوزهاي لازم به فايلها و دايرکتوري ها ميباشد . ضمن اينکه account هاي قديمي هم بايد غير فعال شوند . گروه بندي و اعطاي مجوز بر اساس يکي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود . بعد از پايان اين مرحله ، يک بار ديگه امنيت سيستم عامل بايد چک بشود تا چيزي فراموش نشده باشد .

5- حالا نوبت device ها هست که معمولا شامل روتر ، سوييچ و فايروال مي شود . بر اساس policy موجود و توپولوژي شبکه ، اين box ها بايد config بشوند . تکنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين اساس اين مرحله خيلي مهم هست. حتي موضوع مهم IP Addressing که از وظايف مديران شبکه هست مي تواند مورد توجه قرار بگيرد تا اطمينان حاصل بشود که از حداقل ممکن براي IP Assign به شبکه ها استفاده شده است.

6- قدم بعد تعيين استراژي backup گيري هست . نکته مهم که اينجا وجود دارد اين هست که بايد مطمئن بشويم که سيستم backup گيري و بازيابي به درستي کار مي کند و بهترين حالت ممکن باشد .

7- امنيت فيزيکي . اول از همه به سراغ UPS ها مي رويم . بايد چک کنيم که UPS ها قدرت لازم رو براي تامين نيروي الکتريکي لازم جهت کار کرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري رو داشته باشند . نکات بعدي شامل کنترل درجه حرارت و ميزان رطوبت هست. همينطور ايمني در برابر سرقت و آتش سوزي. سيستم کنترل حريق بايد به شکلي باشد که به نيروي انساني و سيستم هاي الکترونيکي آسيب وارد نکند . به طور کل آنچه که در مورد امنيت فيزيکي ياد گرفتيد را در اين مرحله به کار مي بريد .

8- امنيت وب سرور يکي از موضوعاتي هست که روش بايد وسواس داشته باشيد. به همين دليل در اين قسمت کار ، مجددا و با دقت بيشتر وب سرور رو چک و ايمن مي کنيم . در حقيقت ، امنيت وب رو اينجا لحاظ مي کنيم .

( اسکريپت هاي سمت سرويس دهنده رو هيج وقت فراموش نکنيد )

9 - حالا نوبت چک ، تنظيم و تست سيستم هاي Auditing و Logging هست . اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد . سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شويد که تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود . در ضمن ساعت و تاريخ سيستم ها درست باشد ، مبادا که اشتباه باشه که تمام زحماتتان در اين مرحله به باد ميرود . و امکان پيگيري هاي قانوني در صورت لزوم ديگر وجود ندارد .

10- ايمن کردن Remote Access با پروتکل ها و تکنولوژي هاي ايمن و Secure قدم بعدي رو تشکيل مي دهد. در اين زمينه با توجه به شرايط و امکانات ، ايمن ترين پروتکل و تکنولوژي ها رو به خدمت بگيريد .

11 - نصب فايروال هاي شخصي در سطح host ها ، لايه امنيتي مضاعفي به شبکه شما ميدهد . پس اين مرحله رو فراموش نکنيد .

12 - شرايط بازيابي در حالت هاي اضطراري رو حتما چک و بهينه کنيد . اين حالت ها شامل خرابي قطعات کامپيوتري ، خرابکاري کاربران عادي ، خرابي ناشي از بلاياي طبيعي ( زلزله - آتش سوزي - افتادن - سرقت - سيل و ... ) و خرابکاري ناشي از نفوذ هکرها ، ميباشد . استاندارد هاي warm site و hot site را در صورت امکان رعايت کنيد.

يادتون باشد که " هميشه در دسترس بودن اطلاعات " ، جز، قوانين اصلي امنيتي هست .

13- و قدم آخر اين پروسه که در حقيقت شروع يک جريان هميشگي هست ، عضو شدن در سايتها و بولتن هاي امنيتي و در جريان آخرين اخبار امنيتي قرار گرفتن هست .