ضرورت توجه به امنيت اطلاعات ( بخش ششم )

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم به لايه سياست ها ، رويه ها و اطلاع رسانی و در بخش پنجم به لايه فيزيكی اشاره گرديد . در اين بخش به بررسی لايه محدوده عملياتی شبكه و يا Perimeter خواهيم پرداخت .

بررسی لايه Perimeter

• Perimeter شبكه ، مكانی است كه شبكه يك سازمان با شبكه های تائيد نشده ديگر مرتبط می گردد . بسياری از كارشناسان شبكه از تعريف فوق اينگونه استنباط می نمايند كه صرفا" اتصال بين شبكه داخلی سازمان و اينترنت مورد نظر می باشد . در صورتی كه در استراتژی دفاع در عمق ، به هر نقطه ای كه شبكه داخلی يك سازمان را به ساير شبكه ها و ميزبانان متصل و توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند ،‌اطلاق می گردد . موارد زير نمونه هائی در اين زمينه می باشد :
- اينترنت
- شعبات و نمايندگی های متفاوت يك سازمان كه توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند .
- كاربران راه دور
- شبكه های بدون كابل
- برنامه های اينترنت
- ساير سگمنت های داخلی شبكه
• Perimeter يك شبكه ، ناحيه ای است كه در معرض بيشترين حملات از دنيای خارج قرار دارد و بروز تهاجم از آن نقاط احتمال بيشتری دارد .
• از امكانات متفاوتی به عنوان دستگاه های Perimeter در يك شبكه استفاده می گردد . روتر ، سرويس دهندگان وب و پست الكترونيكی ، فايروال های سخت افزاری و نرم افزاری نمونه هائی در اين زمينه می باشد .

تهديدات لايه Perimeter

• به منظور ايمن سازی زيرساخت فن آوری اطلاعات يك سازمان می بايست در مرحله اول بر روی نقاطی متمركز گرديد كه بروز حملات از جانب آنان دارای بيشترين احتمال است ( نظير اينترنت ) . اين موضوع ضرورت توجه بر روی ساير نقاط حساس در يك سازمان را كم رنگ نمی نمايد و می بايست به اينگونه نقاط نيز توجه ويژه ای داشت . يك مهاجم ممكن است حملات خود را از نقاطی آغاز نمايد كه احتمال آن كمتر داده می شود. بنابراين لازم است در خصوص ايمن سازی تمامی نقاط ورودی و خروجی يك شبكه تصميم گيری و از راهكاری موجود به منظور ايمن سازی آنان استفاده گردد .
• با توجه به اين كه مسوليت پياده سازی امنيت برای همكاران تجاری يك سازمان برعهده كارشناسان فن آوری اطلاعات سازمان نمی باشد و همچنين هيچگونه كنترلی بر روی سخت افزار كاربران راه دور وجود ندارد ، نمی توان دستيابی از نقاط فوق را تائيد نمود و می بايست در اين خصوص از روش های ايمنی خاصی استفاده گردد . شعبات ادارات ممكن است به اندازه اداره مركزی دارای اطلاعات حساسی نباشد ،‌ بنابراين ممكن است آنان نيازمند يك سطح پائين تر به منظور پياده سازی امنيت باشند . عليرغم موضوع فوق ، درصورتی كه شعبات يك سازمان دارای امكان برقراری ارتباط مستقيم با ادارات مركزی باشند ، مهاجمان می توانند از پتانسيل فوق در جهت نيل به اهداف خود استفاده نمايند .
• برخی حملات Perimeter ، مستقيما" Perimeter شبكه را تحت تاثير قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام به انتشار نامه های الكترونيكی می نمايند كه در ظاهر از يك منبع مطمئن ارسال شده اند . چنين پيام هائی اغلب سعی می نمايند دريافت كننده پيام را ترغيب نمايند كه اطلاعات حساس و مهم خود را در اختيار آنان قرار دهد .در اين نوع از حملات به همراه برخی از پيام های ارسالی ، لينك ها و آدرس های وب سايت خاصی نيز مشخص می گردد . اينگونه سايت ها خود را به عنوان يك سايت معتبر وانمود و سعی در جذب مخاطبانی دارند كه اصول اوليه امنيت اطلاعات را رعايت نمی نمايند .
• كارشناسان امنيت اطلاعات می بايست امنيت شبكه را در تمامی نقاط تماس شبكه با دنيای خارج بررسی نمايند نه اينكه صرفا" بر روی نواحی خاصی متمركز گردند.

حفاظت لايه Perimeter

• ايمن سازی Perimeter ، عموما" با استفاده از يك فايروال انجام می شود . پيكربندی يك فايروال می تواند از لحاظ فنی چالش های مختص به خود را دارا باشد . بنابراين رويه ها می بايست به صورت شفاف جزئيات كار را روشن نمايند .
• در نسخه های جديد ويندوز ، به منظور كاهش احتمال بروز حملات برخی از پورت های غيرضروری بلاك شده است . در اين رابطه می توان از سيستم های HIDS ( برگرفته از Host Intrusion Detection Systems ) و فايروال های host-based نيز استفاده نمود .
• NAT ( برگرفته از Network address translation ) يك سازمان را قادر می سازد كه پيكربندی مربوط به پورت و آدرس های IP را به منظور پيشگيری از كاربرانی كه دارای سوء نيت می باشند، مخفی نموده تا سيستم های داخلی در معرض حملات قرار نگيرند . مكانيزم های امنيت Perimeter می تواند مخفی نگاه داشتن سرويس های داخلی را نيز شامل گردد ( حتی سرويس هائی كه می بايست امكان دستيابی عموم به آنان وجود داشته باشد ) . بنابراين مهاجمان هرگز بطور مستقيم با هيچگونه سيستمی ارتباط برقرار نخواهند كرد و تمامی ارتباطات از طريق فايروال انجام خواهد شد .
• زمانی كه داده محيطی را كه تحت مسئوليت شما است ترك می نمايد ، می بايست اين اطمينان وجود داشته باشد كه داده به سلامت به مقصد نهائی خواهد رسيد . بدين منظور می توان از رمزنگاری و پروتكل های tunneling به منظور ايجاد يك VPN ( برگرفته از virtual private network ) استفاده گردد . برای نامه های الكترونيكی ، می توان از S/MIME و يا فن آوری PGP ( برگرفته از Pretty Good Privacy ) به منظور رمزنگاری و تائيد پيام ها استفاده نمود .
• پروتكل tunneling استفاده شده در نسخه های متفاوت ويندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol ) است كه از رمزنگاری MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و يا پروتكل L2TP ( برگرفته از Layer 2 Tunneling Protocol ) كه از رمزنگاری IPSec استفاده می نمايند.
• زمانی كه كامپيوترهای راه دور از طريق يك VPN ارتباط برقرار می نمايند ، سازمان ها می توانند با انجام چندين مرحله اضافه كامپيوترها را بررسی تا اين اطمينان حاصل گردد كه آنان تابع سياست های امنيتی تعريف شده می باشند . سيستم های متصل شده می بايست در يك محل قرنظينه شوند تا بررسی لازم در خصوص وضعيت امنيتی آنان انجام شود . در اين رابطه می توان سرويس NAP ( برگرفته از Network Access Protection ) را نيز پياده سازی نمود تا سرويس گيرندگان داخلی را قبل از اين كه به آنان مجوز دستيابی به شبكه اعطاء شود ، بررسی نمود.
• سيستم های موجود بر روی Perimeter می‌بايست دارای كاربردهای كاملا" تعريف شده و مشخصی باشند . در اين رابطه لازم است كه سرويس های غيرضروری بلاك و يا غيرفعال گردد .
• فايروال ويندوز كه به همراه ويندوز xp سرويس پك 2 و ويندوز 2003 سرويس پك ارائه شده است ، امكانات حفاظتی متعددی را در جهت افزايش حفاظت Perimeter برای كاربران از راه دور ارائه می نمايد .