ضرورت توجه به امنيت اطلاعات ( بخش هفتم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
در اين بخش به بررسی لايه شبكه داخلی خواهيم پرداخت .
- LAN
- WAN
- MAN
- شبكه های بدون كابل
• منبع بروز حملات صرفا" منابع خارجی نبوده و ممكن است يك شبكه از درون نيز مورد تهاجم قرار گيرد . صرفنظر از منبع بروز حملات ، سيستم ها و سرويس های متعددی در معرض تهديد و آسيب قرار می گيرند.
• امنيت داخلی شبكه می بايست بگونه ای پياده سازی گردد تا علاوه بر توقف تهديدات مخرب بتواند با تهديدات غيرمترقبه هم برخورد نمايد . بخش بندی ( Segmentation ) شبكه ، اقدامی مناسب در جهت افزايش امنيت يك شبكه داخلی است كه عملا" يك لايه اضافه حفاظتی در فريمورك امنيتی "دفاع در عمق " را ايجاد می نمايد . با استفاده از رويكرد فوق ، حملات زودتر تشخيص داده شده و از كنترل منابع موجود در هسته يك شبكه داخلی توسط مهاجمان ممانعت به عمل می آيد .
• مهاجمان پس از دستيابی به زيرساخت يك شبكه، می توانند شبكه را مانيتور و ترافيك آن را به دقت بررسی و آناليز نمايند . در چنين مواردی ، آنان می توانند با استفاده از يك network sniffer و آناليز ترافيك شبكه به اطلاعات حساس و مهمی كه در طول شبكه مبادله می گردد ، دستيابی داشته باشند .
• شبكه های بدون كابل مستعد استراق سمع می باشند ، چراكه مهاجمان می توانند بدون اين كه لازم باشد بطور فيزيكی در محل شبكه حضور داشته باشند ، قادر به دستيابی شبكه و استفاده از اطلاعات حساس می باشند .
• سيستم های عامل شبكه ای ، سرويس های متعددی را نصب می نمايند . برخی از سرويس شبكه ممكن است پتانسيل لازم برای برخی از حملات را ايجاد كه توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از يك سرويس آسيب پذير می توانند كنترل يك كامپيوتر را به دست گرفته و در ادامه از آن برای برنامه ريزی حملات خود در آينده استفاده نمايند .
به منظور كمك در جهت افزايش ايمنی محيط يك شبكه داخلی ، در ابتدا می بايست هويت كاربران توسط يك كنترل كننده domain تائيد و در ادامه و با توجه به مجوزهای تعريف شده امكان استفاده از منابع موجود در شبكه در اختيار آنان گذاشته شود . بدين تريتب، علاوه بر اين كه سرويس دهنده هويت كاربران را تائيد می نمايد ، كاربران نيز با مشخص كردن domain آگاهانه به يك سرويس دهنده شناخته شده log on می نمايند.
• بخش بندی شبكه :
سوئيچ ها بطور فيزيكی يك شبكه را به بخش های متفاوتی تقسيم می نمايند و تمام شبكه از يك نقطه قابل دسترس نخواهد بود . برای پارتيشن كردن يك شبكه می توان از سوئيچ و يا روتر استفاده نمود . ايجاد شبكه های محلی مجازی ( VLAN ) بر روی يك سوئيچ فيزيكی ، گزينه ای ديگر در اين زمينه است .
• رمزنگاری داده مبادله شده در شبكه :
برای پيكربندی دستگاه های شبكه ای نظير سوئيچ ممكن است از برنامه Telnet استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text ارسال می نمايد . اين بدان معنی است كه دستيابی به نام و رمز عبور كاربر برای هر شخصی كه قادر به شنود شبكه باشد ، امكان پذير است . موضوع فوق ، می تواند مشكلات متعدد امنيتی را ايجاد نمايد . در چنين مواردی ، می بايست از يك روش ايمن و رمز شده ( نظير SSH برگرفته از Secure Shell ) و يا دستيابی مستقيم از طريق پورت سريال استفاده نمود .
• محدد كردن ترافيك حتی در مواردی كه شبكه پارتيشن شده باشد :
برای شبكه های محلی و بدون كابل می توان از استاندارد 802.1X به منظور دستيابی رمز شده و تائيد شده استفاده نمود . در چنين مواردی ، می توان از رمزهای عبور اكتيو دايركتوری و يا گواهينامه های ديجيتالی برای تائيد كاربران استفاده كرد. در صورت استفاده از گواهينامه های ديجيتالی به يك PKI ( برگرفته از public key infrastructure ) بر روی Windows Certificate Services نيز نياز می باشد . برای رمزهای عبور و گواهينامه های ديجيتال به يك سرويس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) نياز می باشد ( ايجاد شده بر روی سرويس IAS ، برگرفته از Internet Authentication Service ). هم Certificate Services و هم IAS در Windows Server 2003 موجود می باشند .سازمان های كوچك می توانند از سيستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمايند . سيستم فوق اين امكان را فراهم می نمايد تا بتوان ترافيك موجود در ارتباطات بدون كابل را رمز نمود. در چنين مواردی ، كليدهای رمزنگاری به صورت اتوماتيك و پس از يك مدت زمان مشخص و يا ارسال تعداد مشخصی Packet تغيير می يابند . WPA به يك زيرساخت پيچيده نظير 802.1x نياز نداشته و يك سطح امنيتی پائين تر را ارائه می نمايد .
• تائيد بسته های اطلاعاتی شبكه :
از فن آوری های رمزنگاری و تائيد نظير IPSec و يا SMB ( برگرفته از Server Message Block ) استفاده گردد. بدين تريتب ، مهاجمان نمی توانند داده مبادله شده در شبكه را شنود و از آنان استفاده مجدد نمايند .
• پياده سازی فيلترينگ پورت IPSec به منظور اعمال محدوديت ترافيك به سرويس دهنده :
به منظور كاهش ترافيك سرويس دهنده ، تمام پورت های غيرضروری بلاك و صرفا" پورت هائی فعال گردند كه به وجود آنان نياز می باشد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
در اين بخش به بررسی لايه شبكه داخلی خواهيم پرداخت .
بررسی لايه شبكه داخلی
- LAN
- WAN
- MAN
- شبكه های بدون كابل
• منبع بروز حملات صرفا" منابع خارجی نبوده و ممكن است يك شبكه از درون نيز مورد تهاجم قرار گيرد . صرفنظر از منبع بروز حملات ، سيستم ها و سرويس های متعددی در معرض تهديد و آسيب قرار می گيرند.
• امنيت داخلی شبكه می بايست بگونه ای پياده سازی گردد تا علاوه بر توقف تهديدات مخرب بتواند با تهديدات غيرمترقبه هم برخورد نمايد . بخش بندی ( Segmentation ) شبكه ، اقدامی مناسب در جهت افزايش امنيت يك شبكه داخلی است كه عملا" يك لايه اضافه حفاظتی در فريمورك امنيتی "دفاع در عمق " را ايجاد می نمايد . با استفاده از رويكرد فوق ، حملات زودتر تشخيص داده شده و از كنترل منابع موجود در هسته يك شبكه داخلی توسط مهاجمان ممانعت به عمل می آيد .
تهديدات لايه شبكه داخلی
• مهاجمان پس از دستيابی به زيرساخت يك شبكه، می توانند شبكه را مانيتور و ترافيك آن را به دقت بررسی و آناليز نمايند . در چنين مواردی ، آنان می توانند با استفاده از يك network sniffer و آناليز ترافيك شبكه به اطلاعات حساس و مهمی كه در طول شبكه مبادله می گردد ، دستيابی داشته باشند .
• شبكه های بدون كابل مستعد استراق سمع می باشند ، چراكه مهاجمان می توانند بدون اين كه لازم باشد بطور فيزيكی در محل شبكه حضور داشته باشند ، قادر به دستيابی شبكه و استفاده از اطلاعات حساس می باشند .
• سيستم های عامل شبكه ای ، سرويس های متعددی را نصب می نمايند . برخی از سرويس شبكه ممكن است پتانسيل لازم برای برخی از حملات را ايجاد كه توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از يك سرويس آسيب پذير می توانند كنترل يك كامپيوتر را به دست گرفته و در ادامه از آن برای برنامه ريزی حملات خود در آينده استفاده نمايند .
حفاظت لايه شبكه داخلی
به منظور كمك در جهت افزايش ايمنی محيط يك شبكه داخلی ، در ابتدا می بايست هويت كاربران توسط يك كنترل كننده domain تائيد و در ادامه و با توجه به مجوزهای تعريف شده امكان استفاده از منابع موجود در شبكه در اختيار آنان گذاشته شود . بدين تريتب، علاوه بر اين كه سرويس دهنده هويت كاربران را تائيد می نمايد ، كاربران نيز با مشخص كردن domain آگاهانه به يك سرويس دهنده شناخته شده log on می نمايند.
• بخش بندی شبكه :
سوئيچ ها بطور فيزيكی يك شبكه را به بخش های متفاوتی تقسيم می نمايند و تمام شبكه از يك نقطه قابل دسترس نخواهد بود . برای پارتيشن كردن يك شبكه می توان از سوئيچ و يا روتر استفاده نمود . ايجاد شبكه های محلی مجازی ( VLAN ) بر روی يك سوئيچ فيزيكی ، گزينه ای ديگر در اين زمينه است .
• رمزنگاری داده مبادله شده در شبكه :
برای پيكربندی دستگاه های شبكه ای نظير سوئيچ ممكن است از برنامه Telnet استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text ارسال می نمايد . اين بدان معنی است كه دستيابی به نام و رمز عبور كاربر برای هر شخصی كه قادر به شنود شبكه باشد ، امكان پذير است . موضوع فوق ، می تواند مشكلات متعدد امنيتی را ايجاد نمايد . در چنين مواردی ، می بايست از يك روش ايمن و رمز شده ( نظير SSH برگرفته از Secure Shell ) و يا دستيابی مستقيم از طريق پورت سريال استفاده نمود .
• محدد كردن ترافيك حتی در مواردی كه شبكه پارتيشن شده باشد :
برای شبكه های محلی و بدون كابل می توان از استاندارد 802.1X به منظور دستيابی رمز شده و تائيد شده استفاده نمود . در چنين مواردی ، می توان از رمزهای عبور اكتيو دايركتوری و يا گواهينامه های ديجيتالی برای تائيد كاربران استفاده كرد. در صورت استفاده از گواهينامه های ديجيتالی به يك PKI ( برگرفته از public key infrastructure ) بر روی Windows Certificate Services نيز نياز می باشد . برای رمزهای عبور و گواهينامه های ديجيتال به يك سرويس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) نياز می باشد ( ايجاد شده بر روی سرويس IAS ، برگرفته از Internet Authentication Service ). هم Certificate Services و هم IAS در Windows Server 2003 موجود می باشند .سازمان های كوچك می توانند از سيستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمايند . سيستم فوق اين امكان را فراهم می نمايد تا بتوان ترافيك موجود در ارتباطات بدون كابل را رمز نمود. در چنين مواردی ، كليدهای رمزنگاری به صورت اتوماتيك و پس از يك مدت زمان مشخص و يا ارسال تعداد مشخصی Packet تغيير می يابند . WPA به يك زيرساخت پيچيده نظير 802.1x نياز نداشته و يك سطح امنيتی پائين تر را ارائه می نمايد .
• تائيد بسته های اطلاعاتی شبكه :
از فن آوری های رمزنگاری و تائيد نظير IPSec و يا SMB ( برگرفته از Server Message Block ) استفاده گردد. بدين تريتب ، مهاجمان نمی توانند داده مبادله شده در شبكه را شنود و از آنان استفاده مجدد نمايند .
• پياده سازی فيلترينگ پورت IPSec به منظور اعمال محدوديت ترافيك به سرويس دهنده :
به منظور كاهش ترافيك سرويس دهنده ، تمام پورت های غيرضروری بلاك و صرفا" پورت هائی فعال گردند كه به وجود آنان نياز می باشد .
.jpg "معنی اسم ائلوین و نام های هم آوا با آن + میزان فراوانی در ثبت احوال")
