23-04-2017, 01:21 PM
19-05-2017, 08:11 AM
کلیات امنیت شبکه کامپیوتری
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
28-05-2017, 06:33 PM
سامانههای تشخیص نفوذ (Intrusion Detection System) وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزمهای اصلی در برآوردن امنیت شبکهها و سیستمهای رایانهای مطرح است و عمومأ در کنار دیوارههای آتش و به صورت مکمل امنیتی برای آنها مورد استفاده قرار میگیرند.
سامانههای تشخیص نفوذ به صورت سامانههای نرمافزاری و سختافزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستمهای سختافزاری است و عدم شکست امنیتی آنها توسط نفوذگران، قابلیت دیگر این گونه سیستمها میباشد. اما استفادهٔ آسان از نرمافزار، قابلیت سازگاری در شرایط نرمافزاری و تفاوت سیستمهای عامل مختلف، عمومیت بیشتری را به سامانههای نرمافزاری میدهد و عمومأ این گونه سیستمها انتخاب مناسب تری هستند. به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را میتوان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دستهبندی کرد.
[font='Linux Libertine', Georgia, Times, serif]روشهای تشخیص نفوذویرایش[/font]
نفوذ به مجموعهٔ اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد، اطلاق میگردد. نفوذها میتوانند به دو دستهٔ داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته میشود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکهٔ داخلی صورت میگیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهٔ داخلی، از درون خود شبکه انجام میپذیرد. نفوذگرها عموماً از عیوب نرمافزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویسها و یا کامپیوترهای شبکه برای نفوذ به سیستمها و شبکههای رایانهای بهره میبرند.
به منظور مقابله با نفوذگران به سیستمها و شبکههای رایانهای، روشهای متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیدهاست که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانهای را بر عهده دارد. روشهای تشخیص مورد استفاده در سامانههای تشخیص نفوذ به دو دسته تقسیم میشوند:
[list=1]
[*]روش تشخیص رفتار غیرعادی (anomaly detection)
[*]روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]روش تشخیص رفتار غیرعادیویرایش[/font]
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکههای عصبی، تکنیکهای یادگیری ماشین و حتی سیستمهای ایمنی زیستی استفاده میشود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاءویرایش[/font]
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را دربر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه را که در پایگاه دادهٔ خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عیناً به سیستم داده شدهاست.
[font='Linux Libertine', Georgia, Times, serif]معماری سامانههای تشخیص نفوذویرایش[/font]
معماریهای مختلف سامانه تشخیص نفوذ عبارتند از:[/size]
[list=1]
[*]سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
[*]سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
[*]سامانه تشخیص نفوذ توزیع شده (DIDS)
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ مبتنی بر میزبانویرایش[/font]
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و …) که توسط سامانههای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچآیدیاس (HIDS) فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهٔ (NIC) آنها به صورت پیش فرض در حالت باقاعده ۵ کار میکند. حالت باقاعده در بعضی از موارد میتواند مفید باشد چون همهٔ کارتهای واسط شبکه قابلیت حالت بی قاعده را ندارند. اچآیدیاسها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مسئله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ مبتنی بر شبکهویرایش[/font]
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. انآیدیاسها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار انآیدیاسها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رؤیایی با بستههای رمزشده و یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ توزیع شده (DIDS)ویرایش[/font]
این سیستمها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شدهاست. بدین صورت که هر IDS که در شبکه موجود است گزارشهای خود را برای ایستگاه مدیریت مرکزی ارسال میکند. ایستگاه مرکزی وظیفه بررسی گزارشهای رسیده و آگاهسازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره میشود. شبکه بین انآیدیاسها با سامانه مدیریت مرکزی میتواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال دادهها استفاده شود. وقتی از شبکهٔ موجود برای ارسال دادههای مدیریتی استفاده شود، امنیتهای اضافی به وسیلهٔ رمزنگاری یا فناوری شبکههای خصوصی مجازی(VPN)حاصل میگردد.
[font='Linux Libertine', Georgia, Times, serif]روشهای برخورد و پاسخ به نفوذویرایش[/font]
قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آنها پاسخ میدهد. پاسخ در IDSها به دو شکل غیرفعال و فعال تقسیم میشوند که نوع غیرفعال به پاسخ برون خطی نیز معروف است.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]پاسخ غیرفعال در سامانه تشخیص نفوذویرایش[/font]
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:[/size]
[list]
[*]آدرس IP منبع حمله
[*]آدرس IP مقصد حمله
[*]نتیجهٔ حمله
[*]ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
[*]گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]پاسخ فعال در سامانه تشخیص نفوذویرایش[/font]
سامانههای تشخیص نفوذ از لحظهای که به کار میافتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آنها، اگر نشانهایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوههای مختلف تولید میکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکهاست و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاههای دیگری در شبکهاست. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:[/size]
[list=1]
[*]پاسخ فعال براساس جمعآوری اطلاعات اضافی
[*]پاسخ فعال از نوع تغییر محیط
[*]پاسخ فعال از نوع عکس العمل در مقابل
[/list]
سامانههای تشخیص نفوذ به صورت سامانههای نرمافزاری و سختافزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستمهای سختافزاری است و عدم شکست امنیتی آنها توسط نفوذگران، قابلیت دیگر این گونه سیستمها میباشد. اما استفادهٔ آسان از نرمافزار، قابلیت سازگاری در شرایط نرمافزاری و تفاوت سیستمهای عامل مختلف، عمومیت بیشتری را به سامانههای نرمافزاری میدهد و عمومأ این گونه سیستمها انتخاب مناسب تری هستند. به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را میتوان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دستهبندی کرد.
[font='Linux Libertine', Georgia, Times, serif]روشهای تشخیص نفوذویرایش[/font]
نفوذ به مجموعهٔ اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد، اطلاق میگردد. نفوذها میتوانند به دو دستهٔ داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته میشود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکهٔ داخلی صورت میگیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهٔ داخلی، از درون خود شبکه انجام میپذیرد. نفوذگرها عموماً از عیوب نرمافزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویسها و یا کامپیوترهای شبکه برای نفوذ به سیستمها و شبکههای رایانهای بهره میبرند.
به منظور مقابله با نفوذگران به سیستمها و شبکههای رایانهای، روشهای متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیدهاست که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانهای را بر عهده دارد. روشهای تشخیص مورد استفاده در سامانههای تشخیص نفوذ به دو دسته تقسیم میشوند:
[list=1]
[*]روش تشخیص رفتار غیرعادی (anomaly detection)
[*]روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]روش تشخیص رفتار غیرعادیویرایش[/font]
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکههای عصبی، تکنیکهای یادگیری ماشین و حتی سیستمهای ایمنی زیستی استفاده میشود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاءویرایش[/font]
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را دربر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه را که در پایگاه دادهٔ خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عیناً به سیستم داده شدهاست.
[font='Linux Libertine', Georgia, Times, serif]معماری سامانههای تشخیص نفوذویرایش[/font]
معماریهای مختلف سامانه تشخیص نفوذ عبارتند از:[/size]
[list=1]
[*]سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
[*]سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
[*]سامانه تشخیص نفوذ توزیع شده (DIDS)
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ مبتنی بر میزبانویرایش[/font]
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و …) که توسط سامانههای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچآیدیاس (HIDS) فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهٔ (NIC) آنها به صورت پیش فرض در حالت باقاعده ۵ کار میکند. حالت باقاعده در بعضی از موارد میتواند مفید باشد چون همهٔ کارتهای واسط شبکه قابلیت حالت بی قاعده را ندارند. اچآیدیاسها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مسئله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ مبتنی بر شبکهویرایش[/font]
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. انآیدیاسها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار انآیدیاسها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رؤیایی با بستههای رمزشده و یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]سامانه تشخیص نفوذ توزیع شده (DIDS)ویرایش[/font]
این سیستمها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شدهاست. بدین صورت که هر IDS که در شبکه موجود است گزارشهای خود را برای ایستگاه مدیریت مرکزی ارسال میکند. ایستگاه مرکزی وظیفه بررسی گزارشهای رسیده و آگاهسازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره میشود. شبکه بین انآیدیاسها با سامانه مدیریت مرکزی میتواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال دادهها استفاده شود. وقتی از شبکهٔ موجود برای ارسال دادههای مدیریتی استفاده شود، امنیتهای اضافی به وسیلهٔ رمزنگاری یا فناوری شبکههای خصوصی مجازی(VPN)حاصل میگردد.
[font='Linux Libertine', Georgia, Times, serif]روشهای برخورد و پاسخ به نفوذویرایش[/font]
قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آنها پاسخ میدهد. پاسخ در IDSها به دو شکل غیرفعال و فعال تقسیم میشوند که نوع غیرفعال به پاسخ برون خطی نیز معروف است.
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]پاسخ غیرفعال در سامانه تشخیص نفوذویرایش[/font]
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:[/size]
[list]
[*]آدرس IP منبع حمله
[*]آدرس IP مقصد حمله
[*]نتیجهٔ حمله
[*]ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
[*]گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
[/list]
[*][size=undefined]
[font='Helvetica Neue', Helvetica, 'Nimbus Sans L', Arial, 'Liberation Sans', sans-serif]پاسخ فعال در سامانه تشخیص نفوذویرایش[/font]
سامانههای تشخیص نفوذ از لحظهای که به کار میافتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آنها، اگر نشانهایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوههای مختلف تولید میکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکهاست و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاههای دیگری در شبکهاست. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:[/size]
[list=1]
[*]پاسخ فعال براساس جمعآوری اطلاعات اضافی
[*]پاسخ فعال از نوع تغییر محیط
[*]پاسخ فعال از نوع عکس العمل در مقابل
[/list]
13-05-2018, 10:26 PM
کلیات امنیت شبکه کامپیوتری
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
16-05-2018, 01:53 AM
لیات امنیت شبکه کامپیوتری
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
27-07-2018, 05:22 PM
با سلام خدمت دوستان
من پاسخ دوستان رو که خوندم به معنای واقعی ~وحدت کلمه~ رو لمس کردم
.
.
.
یک حرف هم کم و زیاد نشده بود توی پاسخ ها
از همگی ممنونم
من پاسخ دوستان رو که خوندم به معنای واقعی ~وحدت کلمه~ رو لمس کردم
.
.
.
یک حرف هم کم و زیاد نشده بود توی پاسخ ها
از همگی ممنونم