تهدیدات شبکه
ویروس ها
ویروس ها ، برنامه هائی کامپیوتری می باشند که توسط برنامه نویسان گمراه و در عین حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثیر خود و آلودگی کامپیوترها بر اثر وقوع یک رویداد خاص ، باشند . مثلا" ویروس ها ئی که از آنان با نام "ماکرو ویروس " یاد می شود ، خود را به فایل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرایط لازم به منظور اجرای آنان نیز فراهم می گردد.
برنامه های اسب تروا ( دشمنانی در لباس دوست )
برنامه های اسب تروا و یا Trojans ، به منزله ابزارهائی برای توزیع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده و یا حتی نرم افزاری مفیدی نظیر بازی های کامپیوتری باشند که با تغییر قیافه و با لباسی مبدل و ظاهری مفید خود را عرضه می نمایند. تروجان ها ، قادر به انجام عملیات متفاوتی نظیر حذف فایل ها ، ارسال یک نسخه از خود به لیست آدرس های پست الکترونیکی ، می باشند. این نوع از برنامه ها صرفا" می توانند از طریق تکثیر برنامه های اسب تروا به یک کامپیوتر،دریافت فایل از طریق اینترنت و یا باز نمودن یک فایل ضمیمه همراه یک نامه الکترونیکی ، اقدام به آلودگی یک سیستم نمایند.
ویرانگران
در وب سایت های متعددی از نرم افزارهائی نظیر اکتیوایکس ها و یا اپلت های جاوا استفاده می گردد . این نوع برنامه ها به منطور ایجاد انیمیشن و سایر افکت های خاص مورد استفاده قرار گرفته و جذابیت و میزان تعامل با کاربر را افزایش می دهند . با توجه به دریافت و نصب آسان این نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسیب رسانی به سایر سیستم ها تبدیل شده اند . این نوع برنامه ها که به "ویرانگران" شهرت یافته اند ، به شکل یک برنامه نرم افزاری و یا اپلت ارائه و در دسترس استفاده کنندگان قرار می گیرند .
حملات شناسائی
در این نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخریب و آسیب رساندن به آنان می نمایند . مهاجمان در این رابطه از نرم افزارهای خاصی نظیر Sniffer و یا Scanner به منظور شناسائی نقاط ضعف و آسیب پذیر کامپیوترها ، سرویس دهندگان وب و برنامه ها ، استفاده می نمایند . در این رابطه برخی تولیدکنندگان ، نرم افزارهائی را با اهداف خیرخواهانه طراحی و پیاده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نیز استفاده می شود
حملات دستیابی
دراین نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه و دستیابی به آدرس های پست الکترونیکی ، اطلاعات ذخیره شده در بانک های اطلاعاتی و سایر اطلاعات حساس، می باشد.
نامه های الکترونیکی ناخواسته
از واژه Spam در ارتباط با نامه های الکترونیکی ناخواسته و یا پیام های تبلیغاتی ناخواسته ، استفاده می گردد. این نوع از نامه های الکترونیکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و یا دردسر ما را بیشتر نمایند . دامنه این نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخیره سازی بر روی کامپیوترهای کاربران را شامل می شود .
ره گیری داده ( استراق سمع )
بر روی هر شبکه کامپیوتری روزانه اطلاعات متفاوتی جابجا می گردد و همین امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در این نوع حملات ، مهاجمان اقدام به استراق سمع و یا حتی تغییر بسته های اطلاعاتی در شبکه می نمایند . مهاجمان به منظور نیل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمایند.
حملات از کار انداختن سرویس ها
در این نوع حملات ، مهاجمان سعی در ایجاد مزاحمت به منظور دستیابی به تمام و یا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمایند . حملات فوق به اشکال متفاوت و با بهره گیری از فن آوری های متعددی صورت می پذیرد . ارسال حجم بالائی از داده ها ی غیرواقعی برای یک ماشین متصل به اینترنت و ایجاد ترافیک کاذب در شبکه ، نمونه هائی از این نوع حملات می باشند.
برچسبها: امنیت شبکه های کامپیوتری,
امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ، هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:
1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟
2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟
3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟
اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آن هستند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:
a. رمز هاي عبور
b. مديريت اصلاحيه ها
c. آموزش كاركنان و نحوه اجراي برنامه ها
d.نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن
e. ضد ويروس
f. ديواره آتش
g. شناسايي و جلوگيري از نفوذ گران
h. فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي
i. تنظيمات سيستمي و پيكره بندي آنها
در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.
براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش.
موضوع امنيت تجهيزات به دو علت اهميت ويژهاي مييابد :
الف – عدم وجود امنيت تجهيزات در شبكه ، به نفوذگران به شبكه اجازه ميدهد كه با دستيابي به تجهيزات ، امكان پيكربندي آنها را به گونهاي كه تمايل دارند آن سختافزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكانپذير خواهد شد.
ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهيزات بر روي شبكه الزامي است. توسط اين حملهها نفوذگران ميتوانند سرويسهايي را در شبكه از كار بياندازند كه از اين طريق در برخي موارد امكان دسترسي به اطلاعات با دور زدن هر يك از فرايندهاي AAA فراهم ميشود.
در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار ميگيرد. عناوين برخي از اين موضوعات به شرح زير هستند :
- امنيت فيزيكي و تأثير آن بر امنيت كلي شبكه
- امنيت تجهيزات شبكه در سطوح منطقي
- بالابردن امنيت تجهيزات توسط افزايش تعداد ( پشتيبان ) سرويسها و سختافزارها ( بمعني تهيه سرويس ها و تجهيزات مشابه بعنوان پشتيبان )
موضوعات فوق در قالب دو بحث اصلي امنيت تجهيزات مورد بررسي قرار ميگيرند :
- امنيت فيزيكي
- امنيت منطقي
1- امنيت فيزيكي
امنيت فيزيكي حيطه وسيعي از تدابير را در بر ميگيرد كه استقرار تجهيزات در مكانهاي امن و به دور از خطر حملات نفوذگران و استفاده از افزايش تعداد ( پشتيبان ) سيستم ، از آن جملهاند. با استفاده از افزايش تعداد ( پشتيبان ) ، اطمينان از صحت عملكرد سيستم در صورت بروز و وقوع نقص در يكي از تجهيزات (كه توسط عملكرد مشابه سختافزار و يا سرويسدهنده مشابه جايگزين ميشود) بدست ميآيد.
در بررسي امنيت فيزيكي و اعمال آن، ابتدا بايد به خطرهايي كه از اين طريق تجهزات شبكه را تهديد ميكنند نگاهي داشته باشيم. پس از شناخت نسبتاً كامل اين خطرها و حملهها ميتوان به راهحلها و ترفندهاي دفاعي در برابر اينگونه حملات پرداخت.
1-1- افزايش تعداد ( پشتيبان ) در محل استقرار شبكه
يكي از راهكارها در قالب تهيه پشتيبان از شبكههاي كامپيوتري، ايجاد سيستمي كامل، مشابه شبكهي اوليهي در حال كار است. در اين راستا، شبكهي ثانويهي، كاملاً مشابه شبكهي اوليه، چه از بعد تجهيزات و چه از بعد كاركرد، در محلي كه ميتواند از نظر جغرافيايي با شبكهي اول فاصلهاي نه چندان كوتاه نيز داشته باشد برقرار ميشود. با استفاده از اين دو سيستم مشابه، علاوه بر آنكه در صورت رخداد وقايعي كه كاركرد هريك از اين دو شبكه را به طور كامل مختل ميكند (مانند زلزله) ميتوان از شبكهي ديگر به طور كاملاً جايگزين استفاده كرد، در استفادههاي روزمره نيز در صورت ايجاد ترافيك سنگين بر روي شبكه، حجم ترافيك و پردازش بر روي دو شبكهي مشابه پخش ميشود تا زمان پاسخ به حداقل ممكن برسد.
با وجود آنكه استفاده از اين روش در شبكههاي معمول كه حجم چنداني ندارند، به دليل هزينههاي تحميلي بالا، امكانپذير و اقتصادي به نظر نميرسد، ولي در شبكههاي با حجم بالا كه قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب ميآيند از الزامات است.
1-2- توپولوژي شبكه
طراحي توپولوژيكي شبكه، يكي از عوامل اصلي است كه در زمان رخداد حملات فيزيكي ميتواند از خطاي كلي شبكه جلوگيري كند.
در اين مقوله، سه طراحي كه معمول هستند مورد بررسي قرار ميگيرند :
الف – طراحي سري ( Bus) :
در اين طراحي با قطع خط تماس ميان دو نقطه در شبكه، كليه سيستم به دو تكه منفصل تبديل شده و امكان سرويس دهي از هريك از اين دو ناحيه به ناحيه ديگر امكان پذير نخواهد بود.
ب – طراحي ستارهاي ( Star) :
در اين طراحي، در صورت رخداد حمله فيزيكي و قطع اتصال يك نقطه از سرور اصلي، سرويسدهي به ديگر نقاط دچار اختلال نميگردد. با اين وجود از آنجا كه سرور اصلي در اين ميان نقش محوري دارد، در صورت اختلال در كارايي اين نقطه مركزي، كه ميتواند بر اثر حمله فيزيكي به آن رخ دهد، ارتباط كل شبكه دچار اختلال ميشود، هرچند كه با در نظر گرفتن ( پشتيبان ) براي سرور اصلي از احتمال چنين حالتي كاسته ميشود.
ج – طراحي مش ( Mesh) :
در اين طراحي كه تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيكي در سطوح دسترسي منجر به اختلال عملكرد شبكه نخواهد شد، با وجود آنكه زمانبندي سرويسدهي را دچار اختلال خواهد كرد. پيادهسازي چنين روش با وجود امنيت بالا، به دليل محدوديتهاي اقتصادي، تنها در موارد خاص و بحراني انجام ميگيرد.
1-3- محلهاي امن براي تجهيزات
در تعيين يك محل امن براي تجهيزات دو نكته مورد توجه قرار ميگيرد :
- يافتن مكاني كه به اندازه كافي از ديگر نقاط مجموعه متمايز باشد، به گونهاي كه هرگونه ورود به محل مشخص باشد.
- در نظر داشتن محلي كه در داخل ساختمان يا مجموعهاي بزرگتر قرار گرفته است تا تدابير امنيتي بكارگرفته شده براي امن سازي مجموعهي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به كار گرفت.
با اين وجود، در انتخاب محل، ميان محلي كه كاملاً جدا باشد (كه نسبتاً پرهزينه خواهد بود) و مكاني كه درون محلي نسبتاً عمومي قرار دارد و از مكانهاي بلا استفاده سود برده است (كه باعث ايجاد خطرهاي امنيتي ميگردد)، ميتوان اعتدالي منطقي را در نظر داشت.
در مجموع ميتوان اصول زير را براي تضمين نسبي امنيت فيزيكي تجهيزات در نظر داشت :
- محدود سازي دسترسي به تجهيزات شبكه با استفاده از قفلها و مكانيزمهاي دسترسي ديجيتالي به همراه ثبت زمانها، مكانها و كدهاي كاربري دسترسيهاي انجام شده.
- استفاده از دوربينهاي حفاظتي در ورودي محلهاي استقرار تجهيزات شبكه و اتاقهاي اتصالات و مراكز پايگاههاي داده.
- اعمال ترفندهايي براي اطمينان از رعايت اصول امنيتي.
1-4- انتخاب لايه كانال ارتباطي امن
با وجود آنكه زمان حملهي فيزيكي به شبكههاي كامپيوتري، آنگونه كه در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن كنترل يكي از خادمها و سرويسدهندههاي مورد اطمينان شبكه معطوف شده است، ولي گونهاي از حملهي فيزيكي كماكان داراي خطري بحراني است.
عمل شنود بر روي سيمهاي مسي، چه در انواع Coax و چه در زوجهاي تابيده، هماكنون نيز از راههاي نفوذ به شمار ميآيند. با استفاده از شنود ميتوان اطلاعات بدست آمده از تلاشهاي ديگر براي نفوذ در سيستمهاي كامپيوتري را گسترش داد و به جمعبندي مناسبي براي حمله رسيد. هرچند كه ميتوان سيمها را نيز به گونهاي مورد محافظت قرار داد تا كمترين احتمال براي شنود و يا حتي تخريب فيزيكي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايهي فيزيكي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنالهاي الكتريكي، هيچگونه تشعشعي از نوع الكترومغناطيسي وجود ندارد، لذا امكان استفاده از روشهاي معمول شنود به پايينترين حد خود نسبت به استفاده از سيم در ارتباطات ميشود.
1-5- منابع تغذيه
از آنجاكه دادههاي شناور در شبكه به منزلهي خون در رگهاي ارتباطي شبكه هستند و جريان آنها بدون وجود منابع تغذيه، كه با فعال نگاهداشتن نقاط شبكه موجب برقراري اين جريان هستند، غير ممكن است، لذا چگونگي پيكربندي و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي ميكنند. در اين مقوله توجه به دو نكته زير از بالاترين اهميت برخوردار است :
- طراحي صحيح منابع تغذيه در شبكه بر اساس محل استقرار تجهيزات شبكه. اين طراحي بايد به گونهاي باشد كه تمامي تجهيزات فعال شبكه، برق مورد نياز خود را بدون آنكه به شبكهي برق ، فشار بيش از اندازهاي (كه باعث ايجاد اختلال در عملكرد منابع تغذيه شود) وارد شود، بدست آورند.
- وجود منبع يا منابع تغذيه پشتيبان ( UPS) به گونهاي كه تعداد و يا توان پشتيباني آنها به نحوي باشد كه نه تنها براي تغذيه كل شبكه در مواقع نياز به منابع تغذيه پشتيبان كفايت كند، بلكه امكان تامين برق بيش از مورد نياز براي تعدادي از تجهيزات بحراني درون شبكه را به صورت منفرد فراهم كند.
1-6- عوامل محيطي
يكي از نكات بسيار مهم در امن سازي فيزيكي تجهيزات و منابع شبكه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملكرد شبكه ميشوند. از مهمترين عواملي در هنگام بررسي امنيتي يك شبكه رايانهاي بايد در نظر گرفت ميتوان به دو عامل زير اشاره كرد :
- احتمال حريق (كه عموماً غير طبيعي است و منشآ انساني دارد)
- زلزله، طوفان و ديگر بلاياي طبيعي
با وجود آنكه احتمال رخداد برخي از اين عوامل، مانند حريق، را ميتوان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي، با هدف جلوگيري در اختلال كلي در عملكرد شبكه، وجود يك سيستم كامل پشتيبان براي كل شبكه است. تنها با استفاده از چنين سيستم پشتيباني است كه ميتوان از عدم اختلال در شبكه در صورت بروز چنين وقعايعي اطمينان حاصل كرد.
2- امنيت منطقي
امنيت منطقي به معناي استفاده از روشهايي براي پايين آوردن خطرات حملات منطقي و نرمافزاري بر ضد تجهيزات شبكه است. براي مثال حمله به مسيريابها و سوئيچهاي شبكه بخش مهمي از اين گونه حملات را تشكيل ميدهند. در اين بخش به عوامل و مواردي كه در اينگونه حملات و ضد حملات مورد نظر قرار ميگيرند ميپردازيم.
2-1- امنيت مسيريابها
حملات ضد امنيتي منطقي براي مسيريابها و ديگر تجهيزات فعال شبكه، مانند سوئيچها، را ميتوان به سه دستهي اصلي تقسيم نمود :
- حمله براي غيرفعال سازي كامل
- حمله به قصد دستيابي به سطح كنترل
- حمله براي ايجاد نقص در سرويسدهي
طبيعي است كه راهها و نكاتي كه در اين زمينه ذكر ميشوند مستقيماً تنها به امنيت اين عناصر مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفك هستند. لذا تأمين امنيت تجهيزات فعال شبكه به معناي تآمين قطعي امنيت كلي شبكه نيست، هرچند كه عملاً مهمترين جنبهي آنرا تشكيل ميدهد.
2-2- مديريت پيكربندي
يكي از مهمترين نكات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پروندهها مختص پيكربندي است. از اين پروندهها كه در حافظههاي گوناگون اين تجهيزات نگاهداري ميشوند، ميتوان در فواصل زماني مرتب يا تصادفي، و يا زماني كه پيكربندي تجهيزات تغيير مييابند، نسخه پشتيبان تهيه كرد.
با وجود نسخ پشتيبان، منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در كارايي تجهزات، كه ميتواند منجر به ايجاد اختلال در كل شبكه شود، در كوتاه ترين زمان ممكن ميتوان با جايگزيني آخرين پيكربندي، وضعيت فعال شبكه را به آخرين حالت بينقص پيش از اختلال بازگرداند. طبيعي است كه در صورت بروز حملات عليه بيش از يك سختافزار، بايد پيكربندي تمامي تجهيزات تغييريافته را بازيابي نمود.
نرمافزارهاي خاصي براي هر دسته از تجهيزات مورد استفاده وجود دارند كه قابليت تهيه نسخ پشتيبان را فاصلههاي زماني متغير دارا ميباشند. با استفاده از اين نرمافزارها احتمال حملاتي كه به سبب تآخير در ايجاد پشتيبان بر اثر تعلل عوامل انساني پديد ميآيد به كمترين حد ممكن ميرسد.
2-3- كنترل دسترسي به تجهيزات
دو راه اصلي براي كنترل تجهزات فعال وجود دارد :
- كنترل از راه دور
- كنترل از طريق درگاه كنسول
در روش اول ميتوان با اعمال محدوديت در امكان پيكربندي و دسترسي به تجهيزات از آدرسهايي خاص يا استاندارها و پروتكلهاي خاص، احتمال حملات را پايين آورد.
در مورد روش دوم، با وجود آنكه به نظر ميرسد استفاده از چنين درگاهي نياز به دسترسي فيزكي مستقيم به تجهيزات دارد، ولي دو روش معمول براي دسترسي به تجهيزات فعال بدون داشتن دسترسي مستقيم وجود دارد. لذا در صورت عدم كنترل اين نوع دسترسي، ايجاد محدوديتها در روش اول عملاً امنيت تجهيزات را تآمين نميكند.
براي ايجاد امنيت در روش دوم بايد از عدم اتصال مجازي درگاه كنسول به هريك از تجهيزات داخلي مسيرياب، كه امكان دسترسي از راهدور دارند، اطمينان حاصل نمود.
2-4- امن سازي دسترسي
علاوه بر پيكربندي تجهيزات براي استفاده از Authentication، يكي ديگر از روشهاي معمول امنسازي دسترسي، استفاده از كانال رمز شده در حين ارتباط است. يكي از ابزار معمول در اين روش SSH(Secure Shell) است. SSH ارتباطات فعال را رمز كرده و احتمال شنود و تغيير در ارتباط كه از معمولترين روشهاي حمله هستند را به حداقل ميرساند.
از ديگر روشهاي معمول ميتوان به استفاده از كانالهاي VPN مبتني بر IPSec اشاره نمود. اين روش نسبت به روش استفاده از SSH روشي با قابليت اطمينان بالاتر است، به گونهاي كه اغلب توليدكنندگان تجهيزات فعال شبكه، خصوصاً توليد كنندگان مسيريابها، اين روش را ارجح تر ميدانند.
2-5- مديريت رمزهاي عبور
مناسبترين محل براي ذخيره رمزهاي عبور بر روي سرور Authentication است. هرچند كه در بسياري از موارد لازم است كه بسياري از اين رموز بر روي خود سختافزار نگاهداري شوند. در اين صورت مهمترين نكته به ياد داشتن فعال كردن سيستم رمزنگاري رموز بر روي مسيرياب يا ديگر سختافزارهاي مشابه است.
3- ملزومات و مشكلات امنيتي ارائه دهندگان خدمات
زماني كه سخن از ارائه دهندگان خدمات و ملزومات امنيتي آنها به ميان ميآيد، مقصود شبكههاي بزرگي است كه خود به شبكههاي رايانهاي كوچكتر خدماتي ارائه ميدهند. به عبارت ديگر اين شبكههاي بزرگ هستند كه با پيوستن به يكديگر، عملاً شبكهي جهاني اينترنت كنوني را شكل ميدهند. با وجود آنكه غالب اصول امنيتي در شبكههاي كوچكتر رعايت ميشود، ولي با توجه به حساسيت انتقال داده در اين اندازه، ملزومات امنيتي خاصي براي اين قبيل شبكهها مطرح هستند.
3-1- قابليتهاي امنيتي
ملزومات مذكور را ميتوان، تنها با ذكر عناوين، به شرح زير فهرست نمود :
· قابليت بازداري از حمله و اعمال تدابير صحيح براي دفع حملات
· وجود امكان بررسي ترافيك شبكه، با هدف تشخيص بستههايي كه به قصد حمله بر روي شبكه ارسال ميشوند. از آنجاييكه شبكههاي بزرگتر نقطه تلاقي مسيرهاي متعدد ترافيك بر روي شبكه هستند، با استفاده از سيستمهاي IDS بر روي آنها، ميتوان به بالاترين بخت براي تشخيص حملات دست يافت.
· قابليت تشخيص منبع حملات. با وجود آنكه راههايي از قبيل سرقت آدرس و استفاده از سيستمهاي ديگر از راه دور، براي حمله كننده و نفوذگر، وجود دارند كه تشخيص منبع اصلي حمله را دشوار مينمايند، ولي استفاده از سيستمهاي رديابي، كمك شاياني براي دست يافتن و يا محدود ساختن بازهي مشكوك به وجود منبع اصلي مينمايد. بيشترين تآثير اين مكانيزم زماني است كه حملاتي از نوع DoS از سوي نفوذگران انجام ميگردد.
3-2- مشكلات اعمال ملزومات امنيتي
با وجود لزوم وجود قابليتهايي كه بطور اجمالي مورد اشاره قرار گرفتند، پيادهسازي و اعمال آنها همواره آسان نيست.
يكي از معمولترين مشكلات، پيادهسازي IDS است. خطر يا ترافيكي كه براي يك دسته از كاربران به عنوان حمله تعبير ميشود، براي دستهاي ديگر به عنوان جريان عادي داده است. لذا تشخيص اين دو جريان از يكديگر بر پيچيدگي IDS افزوده و در اولين گام از كارايي و سرعت پردازش ترافيك و بستههاي اطلاعاتي خواهد كاست. براي جبران اين كاهش سرعت تنها ميتوان متوسل به تجهيزات گرانتر و اعمال سياستهاي امنيتي پيچيدهتر شد.
با اين وجود، با هرچه بيشتر حساس شدن ترافيك و جريانهاي داده و افزايش كاربران، و مهاجرت كاربردهاي متداول بر روي شبكههاي كوچكي كه خود به شبكههاي بزرگتر ارائه دهنده خدمات متصل هستند، تضمين امنيت، از اولين انتظاراتي است كه از اينگونه شبكهها ميتوان داشت.
برچسبها: امنیت شبکه های کامپیوتری,