واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده (۱)

 مقدمه

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. {گروه امداد امنیت کامپیوتری ایران}

در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد. این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.

رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.

۱- پیرامون

۲- شبکه

۳- میزبان

۴- برنامه کاربردی

۵- دیتا

در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.

محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.

 افزودن به ضریب عملکرد هکرها

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود.

یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.

تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.

 مدل امنیت لایه بندی شده

در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.

در مقاله بعدی به معرفی بیشتر این لایه ها و ابزارهای مورد استفاده خواهیم پرداخت.

ادامه دارد....

واحد دانش و تکنولوژی تبیان زنجان

برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره می‌کنیم و شرح می‌دهیم که هرکدام در مقابل چه نوع حمله‌ای مقاومت می‌کند.

البته پراکسی‌ها تنظیمات و ویژگی‌های زیادی دارند. ترکیب پراکسی‌ها و سایر ابزار مدیریت فایروال‌ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را می‌دهد. در ادامه به پراکسی‌های زیر اشاره خواهیم کرد:

· SMTP Proxy

· HTTP Proxy

· FTP Proxy

· DNS Proxy

 SMTP Proxy

‌پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیل‌های وارد شونده و خارج‌شونده را برای محافظت از شبکه شما در مقابل خطر بررسی می‌کند. بعضی از تواناییهای آن اینها هستند:

· مشخص کردن بیشترین تعداد دریافت‌کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافت‌کننده ارسال می‌شود.

· مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک می‌کند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب می‌توانید به درستی از پهنای باند و منابع سرور استفاده کنید.

· اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: چنانچه قبلاً اشاره شد، بعضی حمله‌ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می‌تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.

· فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمول‌ترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوست‌های به ظاهر بی‌ضرر ایمیل است. پراکسی SMTP می‌تواند این حمله‌ها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.

· فیلترکردن الگوهای آدرس برای ایمیل‌های مقبول\مردود: هر ایمیل شامل آدرسی است که نشان‌دهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می‌تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می‌تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی می‌تواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.

· فیلترکردن Headerهای ایمیل: ‌Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راه‌های زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافته‌اند. پراکسی مطمئن می‌شود که Headerها با پروتکل‌های اینترنتی صحیح تناسب دارند و ایمیل‌های دربردارنده headerهای تغییرشکل‌داده را مردود می‌کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می‌تواند برخی حمله‌های آتی را نیز مسدود کند.

· تغییردادن یا پنهان‌کردن نامهای دامنه و IDهای پیام‌ها: ایمیل‌هایی که شما می‌فرستید نیز مانند آنهایی که دریافت می‌کنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما می‌خواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP می‌تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می‌گردند.

 HTTP Proxy

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده، نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند:

· برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای header را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

· تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند.

· فیلترکردن محتوای از نوع MIME : الگوهای MIME به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله های وب بسته هایی هستند که در مورد الگوی MIME خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند.

· فیلترکردن کنترلهای Java و ActiveX: برنامه نویسان از Java و ActiveX برای ایجاد برنامه های کوچک بهره می گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک اسکریپت ActiveX روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می تواند این برنامه ها را مسدود کند و به این ترتیب جلوی بسیاری از حمله ها را بگیرد.

· برداشتن کوکی ها: پراکسی HTTP می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

· برداشتن Headerهای ناشناس: پراکسی HTTP ، از headerهای HTTP که از استاندارد پیروی نمی کنند، ممانعت بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

· فیلترکردن محتوا: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند.

پراکسی HTTP سیاست امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی HTTP می تواند سستی ناشی از فضای سایبر را کم کند. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند.

ادامه دارد ....

واحد دانش و تکنولوژی تبیان زنجان

 استفاده از حفاظ‌های شخصی، در دنیای کنونی که اغلب حملات امنیتی و ویروس‌ها، کاربران عادی خانه‌گی را هدف قرار داده‌اند، اهمیتی ویژه یافته است.

شرکت ZoneLabs با ارایه‌ی این نرم‌افزار، عملاً خود را در بازار این دسته از نرم‌افزارها مبدل به حریفی بی‌رقیب نموده است. رقبای دیگر این نرم‌افزار محصولات مشابه دیگری از McAfee و Norton هستند.

 مهم‌ترین امکانات و قابلیت‌های این نرم‌افزار را می‌توان به‌صورت زیر برشمرد :

 - محدود ساختن دسترسی نرم‌افزارهای مختلف بر روی رایانه

این نرم‌افزار قابلیت بررسی وضعیت ارتباط نرم‌افزارهای نصب شده بر روی سیستم با شبکه را داراست. لذا در صورتی‌که نرم‌افزاری ناشناس سعی در تماس به شبکه داشته باشد، می‌توان این دسترسی را محدود ساخت.

 - محدودیت بر روی آدرس‌ها، پورت‌ها و پروتکل‌ها

توسط این امکان می‌توان از دسترسی‌هایی که از بیرون از رایانه‌مان صورت می‌گیرد، در قالب آدرس IP، پورت و پروتکل مورد نظر آگاهی یافت و در صورت نیاز این دسترسی را بست. از سوی دیگر می‌توان آدرس‌ها، پورت‌ها و پروتکل‌هایی که دسترسی از طریق آن‌ها به سیستم مانعی ندارد را مشخص نمود.

 - امکان حفاظت از اطلاعات شخصی

توسط این امکان، و با پاک کردن Cacheهای مختلف پرونده‌ها، آدرس‌ها، Cookieها و دیگر اطلاعات شخصی حساس مشابه، می‌توان از درز کردن اطلاعات شخصی مهمی از این قبیل به شبکه جلوگیری نمود.

 - سیستم محافظت از سرویس پست الکترونیک

توسط این امکان، نامه‌های ورودی به سیستم، که احتمال آلوده‌گی آن‌ها وجود دارد را مسدود ساخت. از سوی دیگر در صورت آلوده بودن سیستم به ویروس‌هایی که خود را از طریق ارسال نامه به دریافت‌کننده‌گانی که آدرس آنها در فهرست آدرس برنامه‌ی ارسال پست‌الکترونیک موجود است، منتشر می‌کنند، می‌توان جلو این انتشار را با مسدود ساختن نامه‌های ارسالی گرفت.

 - صدور اخطارهای امنیتی

جدا از گزارش حملات احتمالی، درصورتی‌که قصد ارسال اطلاعات به شبکه را داشته باشیم، هشدارهای امنیتی از سوی این نرم‌افزار توجه استفاده کننده را به دقت بیشتر در این زمینه جلب می‌کند.

 - تغییر سطح امنیت به صورت خودکار

در صورت بروز حملات متعدد امنیتی، نرم‌افزار به طور خودکار سطح حفاظت را بالاتر می‌برد. این امکان احتمال دفع حملات را بالا می‌برد.

 آخرین نگارش این نرم‌افزار نسخه‌ی ۴ است که کماکان بیشترین اقبال را در میان این دسته از نرم‌افزارها به خود جلب کرده، و بیشترین محبوبیت و کارایی را در میان کاربران عادی یافته است.

واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده (۴)

 در شماره قبل به دومین لایه که لایه شبکه است، اشاره شد، در این شماره به لایه میزبان به عنوان سومین لایه می پردازیم.

سطح ۳- امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.

 تکنولوژی های زیر امنیت را در سطح میزبان فراهم می کنند:

· IDS در سطح میزبان ـ IDSهای سطح میزبان عملیاتی مشابه IDSهای شبکه انجام می دهند؛ تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است. IDSهای سطح میزبان برای مشخصات عملیاتی بخصوصی از ابزار میزبان تنظیم می گردند و بنابراین اگر به درستی مدیریت شوند، درجه بالایی از مراقبت را فراهم می کنند.

· VA (تخمین آسیب پذیری) سطح میزبان - ابزارهای VA سطح میزبان یک ابزار شبکه مجزا را برای آسیب پذیری های امنیتی پویش می کنند. دقت آنها نسبتا بالاست و کمترین نیاز را به منابع میزبان دارند. از آنجایی که VA ها بطور مشخص برای ابزار میزبان پیکربندی می شوند، درصورت مدیریت مناسب، سطح بسیار بالایی از پوشش را فراهم می کنند.

· تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی وظیفه دوچندانی ایفا می کنند و هم شبکه (همانگونه در بخش قبلی مطرح شد) و هم میزبان های جداگانه را محافظت می کنند. این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و آلودگی ها بررسی می کنند و همچنین به نصب و به روز بودن فایروال ها و آنتی ویروس ها رسیدگی می کنند.

· آنتی ویروس - هنگامی که آنتی ویروس های مشخص شده برای ابزار در کنار آنتی ویروس های شبکه استفاده می شوند ، لایه اضافه ای برای محافظت فراهم می کنند.

· کنترل دسترسی\تصدیق هویت- ابزار کنترل دسترسی در سطح ابزار یک روش مناسب است که تضمین می کند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد. در اینجا نیز، احتمال سطح بالایی از تراکنش بین ابزار کنترل دسترسی شبکه و کنترل دسترسی میزبان وجود دارد.

 مزایا

این تکنولوژی های در سطح میزبان حفاظت بالایی ایجاد می کنند زیرا برای برآورده کردن مشخصات عملیاتی مخصوص یک ابزار پیکربندی می گردند. دقت و پاسخ دهی آنها به محیط میزبان به مدیران اجازه می دهد که به سرعت مشخص کنند کدام تنظمیات ابزار نیاز به به روز رسانی برای تضمین عملیات امن دارند.

معایب

بکارگیری و مدیریت سیستم های سطح میزبان می تواند بسیار زمان بر باشند. از آنجایی که این سیستم ها نیاز به نمایش و به روز رسانی مداوم دارند، اغلب ساعات زیادی برای مدیریت مناسب می طلبند. اغلب نصبشان مشکل است و تلاش قابل ملاحظه ای برای تنظیم آنها مورد نیاز است.

همچنین، هرچه سیستم عامل بیشتری در شبکه داشته باشید، یک رویکرد برپایه میزبان، گران تر خواهد بود و مدیریت این ابزار مشکل تر خواهد شد. همچنین، با تعداد زیادی ابزار امنیتی سطح میزبان در یک شبکه، تعداد هشدارها و علائم اشتباه می تواند بسیار زیاد باشد.

ملاحظات

بدلیل هزینه ها و باراضافی مدیریت، ابزار در سطح میزبان باید بدقت بکار گرفته شوند. بعنوان یک اصل راهنما، بیشتر سازمان ها این ابزار را فقط روی سیستم های بسیار حساس شبکه نصب می کنند. استثناء این اصل یک راه حل تابعیت امنیتی کاربر انتهایی است، که اغلب برای پوشش دادن به هر ایستگاه کاری که تلاش می کند به شبکه دسترسی پیدا کند، بکار گرفته می شود.

واحد دانش و تکنولوژی تبیان زنجان

به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوط Leased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواع FireWall ،IDS و همچنين HoneyPot ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.

براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد.

استاندارد BS7799 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127 كنترل مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.

آيا امنيت 100% امكانپذير است؟

با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟

فوائد استاندارد BS7799 و لزوم پياده سازي

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

ايجاد اطمينان نزد مشتريان و شركاي تجاري

امكان رقابت بهتر با ساير شركت ها

ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد

مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS)

ايجاد و تعريف سياست ها:

در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت.

تعيين محدوده عملياتي :

يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد. Scope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيين Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي كنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد.

برآورد دارايي ها و طبقه بندي آنها:

براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد.

ارزيابي خطرات:

با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد.

مديريت خطرات :

مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.

انتخاب كنترل مناسب :

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.

اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي

2- امنيت سازمان

3- كنترل و طبقه بندي دارايي ها

4- امنيت فردي

5- امنيت فيزيكي

6- مديريت ارتباط ها

7- كنترل دسترسي ها

8- روشها و روالهاي نگهداري و بهبود اطلاعات

9- مديريت تداوم كار سازمان

10- سازگاري با موارد قانوني

تعيين قابليت اجرا:

جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خودرا براي اخذ استاندارد BS7799 آماده خواهيد ساخت.

نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000 انتخابي درست براي رسيدن به اين منظور مي باشد.

واحد دانش و تکنولوژی تبیان زنجان

ما برای ایمن کردن شبکه هایی که بر پایه TCP/IP هستند از حفاظت لایه کاربردی ، لایه سوکت حفاظت شده یا Secure Socket Layer) ssl) و حفاظت پروتکل اینترنت (IPSec) استفاده می کنیم .

 حفاظت لایه کاربردی

TCP/IP شامل عملیاتهای حفاظتی نمی باشد و بجای آن برنامه هایی که TCP/IP را به کار می گیرند خودشان امنیت داده ها را به عهده می گیرند . اگر برنامه کاربردی به اطمینان نیاز داشت ، تهیه کنندگان برنامه کاربردی مجبور بودند قابلیت های پنهان سازی را به برنامه های کاربردی اضافه کنند . برای شناسایی تهیه کنندگان برنامه کاربردی گاهی اوقات از امضاء دیجیتالی استفاده می کنند تا مشخص کنند که داده از کجا می آید .

وقتی که برنامه کاربردی بررسی از جامعیت داده را نیازمند بود مجبور بود تا یک سرجمع کدنویسی شده قوی را شامل شود . برنامه کاربردی داده رابا استفاده از این تکنیک ها ، قبل از فرستادن به پشته TCP/IP برای نقل و انتقال محافظت می کند . ابزار بسیاری برای حفاظت داده در لایه کاربردی توسعه یافته اند ولی فقط برای گونه هایی از برنامه های کاربردی مفیدند .

 از ابزارهایی که برای محافظت لایه برنامه کاربردی که به طور گسترده استفاده می شوند می توان به PGP و S/MIME و SSH اشاره کرد . PGP برای کد گذاری و امضا کردن دیجیتالی فایل ها که می توانند به وسیله بعضی از نرم افزارهای به اشتراک گذاری فایل مانند سیستم فایل شبکه یا Windows File Sharing یا FTP فرستاده شوند . هر دو نسخه رایگان و تجاری PGP امروزه برای email و فرستادن فایل به طور گسترده استفاده می شود . S/MIME یک استاندارد استفاده شونده گسترده برای حفاظت email در سطح برنامه های کاربردی است . اکثر کلاینت های مهم email امروزی مثل Microsoft Outlook ابزار S/MIME را پشتیبانی می کنند .

 SSH یا Secure Shell یک دسترسی از راه دور به کاربر می دهد تا اعلانی را در طول نشست امن فرمان دهد . نسخه رایگان SSH به همراه سورس کد آن در سایت http://www.openssh.com برای دانلود موجود است و نسخه های تجاری SSH در سایت http://www.ssh.com قابل دسترسی اند ولی به یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هستند که به ما اجازه نفوذ به سرورهای Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور می دهند و چون SSH و OpenSSH به روی پورت ۲۲ سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سیستم ما نصب شود بهتر است از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت ۲۲ را با اینکار ببندیم .

The Secure Socket Layer

سایتها و سرورهای معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده می کنند . SSL به برنامه کاربردی اجازه اعتبار سنجی و کدگذاری کردن ارتباطات در طول شبکه را می دهند . برنامه کاربردی که به حفاظت نیاز داشته باشد باید از SSL استفاده کند تا همه فایل ها - بسته ها و داده هایی که در طول شبکه فرستاده می شوند را کدگذاری کند و اطلاعات را به پشته TCP/IP منتقل نماید . SSL می تواند یک راه اعتبارسنجی سرور به سرور را تهیه کند و هم می تواند اعتبارسنجی هم سرور و هم کلاینت مثل کامپیوتر شما را با تأمین اینکه هر دو طرف شناسنامه دیجیتالی را شناسایی کرده اند حمایت کند .

برای اینکه کار SSL را بهتر درک کنید من یک مثال می زنم ، بارها شده شما به سایت های مختلف از جمله یاهو یا آشیانه ... مراجعه کردید بدون اینکه به قسمت پایین مرورگر وب خودتان توجه کرده باشید ، وقتی شما سایت وب حفاظت شده ای را باز می کنید و عکس کلیدی که در قسمت پایین و گوشه سمت راست مرورگر اینترنتتان به صورت قفل شده نشان داده می شود ، Internet Explorer شما ارتباط SSL را با آن سایت برقرار کرده و مشخصاتش را تغییر داده است . وقتی که از HTTPS استفاده می کنید شما واقعاً پروتکل HTTP روی SSL که البته توسط TCP/IP حمل شده است را اجرا می کنید چون SSL اغلب با مرورگر وب و HTTP در ارنباط است و به همین دلیل امروزه در اکثر سایت های معتبر از SSL استفاده می شود .

 SSL امنیت بالایی را مهیا می کند اما برای اینکه در هر برنامه کاربردی مورد استفاده قرار گیرد ، هر برنامه سرور و کلاینت باید دوباره تهیه شوند تا قابلیت های SSL را شامل شوند و اگر شما حفاظت SSL را برای FTP یا Telnet می خواهید باید سرور و کلاینت برنامه کاربردی که SSL را ساپورت می کنند را پیدا یا خلق کنید . ولی چون در دنیای هکرها هیچ چیز غیر ممکن نیست می توان با استفاده از روشهایی مثل Sniffing و برنامه هایی مثل Achilles که ابزاری است برای ویرایش کوکی ها به سرورهایی که حتی از SSL استفاده می کنند نفوذ کرد که در درس های بعدی طرز کار با این برنامه ها را برایتان توضیح می دهم .

 حفاظت پروتکل اینترنت IPSecure

IPSec نسخه ایمن پروتکل اینترنت یعنی IP است و امنیت را دقیقاً در پشته TCP/IP ایجاد می کند . بنابراین برنامه هایی که از IP استفاده می کنند با استفاده از IPSec می توانند ارتباط امنی را بدون هیچ تغییری در برنامه شان ( کاری که SSL با تغییر در برنامه ها انجام می داد و وقت گیر بود ) ایجاد کنند . IPSec در لایه IP اعمالی از قبیل پیشنهاد اعتبار سنجی داده مبدأ ، خصوصی سازی ، جامعیت داده و حفاظت در برابر پاسخها را انجام می دهد . هر دو سیستمی که با نسخه های یکسانی از IPSec باشتد می توانند به طور حفاظت شده در طول شبکه ، از جمله کامپیوتر من و سرور شما یا سرور من و دیواره آتش شما و یا فایروال شما و مسیریاب من ارتباط برقرار کنند . از آنجایی که IPSec در لایه IP عرضه شده است هر پروتکل با لایه بالاتر مانند UDP - TCP می تواند از IPSec بهره ببرند . مهمتر از همه اینکه هر برنامه کاربردی در بالای آن پروتکل لایه بالاتر می تواند از قابلیت های حفاظتی IPSec بهره ببرد .

 IPSec در نسخه ۴ ، IP که من و شما هر روز در اینترنت استفاده می کنیم جاسازی شده است . IPSec همچنین در نسل بعدی آیپی به عنوان IP نسخه ۶ ساخته شده است . IPSec از دو پروتکل تشکیل شده است ، هدر شناسایی AH و ESP که هر کدام قابلیت های حفاظتی خودشان را نشان می دهند . این نکته را هم ذکر کنم که AH و ESP می توانند به طور مستقل و یا با هم در یک بسته استفاده شوند . ولی متأسفانه IPSec هنوز به عنوان یک ابزار عمومی برای حفاظت از ارتباطات در سراسر اینترنت استفاده نمی شود و دلایل مختلفی هم برای اینکار وجود دارد که البته امیدواریم در آینده ای نزدیک بتوانیم از IP نسخه ۶ که از IPSec به صورت ایمن تر بهره می برد در کشورمان ایران استفاده کنیم .

واحد دانش و تکنولوژی تبیان زنجان

افزایش ایمنی شبکه وایرلس، تغییر مداوم رمز عبور و کپی گرفتن از اطلاعات موجود بر روی رایانه از جمله پشنهاداتی است که برای افزایش ایمنی کاربران رایانه در سال 2010 ارائه شده است.

نشریه رایانه‌ای Which ، لیستی 10 گزینه‌ای از دستورالعمل‌هایی که می‌تواند به افراد کمک کند تا نگام استفاده از رایانه ایمنی بیشتری داشته باشند ارائه کرده است.

 این پیشنهادات شامل ایده هایی برای کاهش هزینه ها مانند استفاده از نرم افزارهای آنتی ویروس رایگان و دیگر تجهیزات ایمنی است.

به گفته «سارا کیدنر» دبیر این نشریه در صورتی که کاربران این توصیه ها را به کار بگیرند می توانند آرامش استفاده از رایانه های رایگان را تجربه کرده و هیچ هزینه ای را بابت تعمیر رایانه ها پرداخت نخواهند کرد.

این 10 پیشنهاد و دستور العمل به این شرح ارائه شده اند:

1- شبکه وایرلس خود را ایمن کنید.

2- نرم افزار Windows Security Essential مایکروسافت را به عنوان نرم افزار ایمنی رایگان دانلود کنید.

3- از فایل های مهم در رایانه خود به صورت متداول بک آپ تهیه کنید.

4- از حساب های ایمیلی مانند گوگل یا یاهو استفاده کنید زیرا استفاده از این سرویس ها امکان تغییر دادن ISP را افزایش خواهد داد.

5- کلمه رمز آنلاین خود را به صورت مداوم تغییر دهید.

6- برای استفاده از راهنمایی های تکنیکی برای تعمیر رایانه خود به شماره های پر هزینه تماس نگیرید. در عوض به دنبال شماره تماس های ارزان قیمت تر باشید و یا به آدرس های اینترنتی مرتبط رجوع کنید.

7- دوستان و خانواده خود را با کمک یک تقویم آنلاین ساماندهی کنید.

8- برنامه های رایگان آنتی ویروس AVG را دانلود کنید، این کار می تواند سالانه 40 پانود از هزینه های مرتبط با رایانه شما بکاهد.

9- رایانه خود را به صورت مرتب تمیز کنید زیرا یک صفحه کلید کثیف قادر به نگهداشتن مقادیر بیشتری از آلودگی نسبت به دیگر سطوح آلوده است.

10- در نهایت در صورتی که به دنبال شغل جدیدی هستید از شبکه های اجتماعی و شبکه های آنلاین کاریابی استفاده کنید زیرا توانایی این سایت ها نسبت به شیوه های قدیمی کاریابی بسیار بالاتر است

واحد دانش و تکنولوژی تبیان زنجان

قسمت دوم مقاله (امنيت شبكه‌هاي بي‌سيم چيست؟)

كدام نسخه از WPA بهتر است؟

WPA يك پروتكل به‌روزتر و سازگارتر با استاندارد 802.11n است و از متدهاي رمزنگاري و امن‌كردن اطلاعات براي انتقال توسط امواج استفاده مي‌كند كه تا‌كنون هيچ‌كس نتوانسته آن را شكسته و رمزگشايي كند. نسخه‌هاي WPA2 و WPA2 Enterprise نسخه‌هاي جديدتري نسبت به WPA هستند و به‌يقين از الگوريتم‌ها و روش‌هاي بهتر رمزنگاري‌استفاده مي‌كنند. اگر روتر يا نقطه‌دسترسي شما از WPA2‌ يا WPA2 Personal پشتيباني مي‌كند، اين گزينه را انتخاب كنيد. در غير اين صورت WPA ساده نيز بهترين انتخاب براي رمزنگاري داده‌هاي بي‌سيم است.

چگونه تشخيص دهيم كه دستگاه بي‌سيم روي كدام پروتكل امنيتي تنظيم شده است؟

چندين راه براي فهميدن تنظيمات يك دستگاه بي‌سيم وجود دارد. بهترين روش، وارد شدن به پنل مديريتي دستگاه و مراجعه به بخش‌هاي مختلف آن يا مشاهده صفحه گزارش وضعيت دستگاه است. اگر اين روش براي شما دشوار است يا تمايل نداريد تنظيمات پنل را دستكاري كنيد يا نمي‌توانيد وارد پنل شويد، برخي از نرم‌افزارهاي مديريت شبكه‌هاي بي‌سيم مانند inSSIDer به شما مي‌گويند كه در حال حاضراز كدام پروتكل امنيتي استفاده مي‌كنيد (شكل‌3).

شکل 3- در بخش Security روترهاي بي‌سيم مي‌توان رمز عبور و ديگر تنظيمات امنيتي را انجام داد.

كارمندان بخش فني شركتي كه از آن اشتراك اينترنت گرفته‌‌ام، مودم روتر را نصب و تنظيم كرده‌اند. آيا نياز است كه تنظيمات آن‌ها را تغيير بدهم؟در بيشتر اوقات نيازي نداريد، تنظيمات اوليه دستگاه را تغيير دهيد. چون افراد فني هميشه بهترين گزينه امنيتي را انتخاب مي‌كنند، اما اگر نياز پيدا كرديد كه يك آدرس MAC جديد وارد كنيد يا كانال دستگاه را تغيير دهيد، بايد وارد پنل مديريتي دستگاه شده و از روي راهنماي آن، تنظيمات مورد نظرتان را اعمال كنيد.

در بسياري از دستگاه‌هاي روتر/نقطه‌دسترسي بي‌سيم كليدي به نام WPS وجود دارد. اين كليد چيست؟

Wi-Fi Protect Setup مكانيزمي است كه به طور خودكار اطلاعات تبادلي ميان دستگاه‌هاي واي‌فاي را رمزنگاري و امن مي‌كند. اين مكانيزم شامل تعريف رمز عبور، انتخاب پروتكل رمزنگاري، اعتبارسنجي دستگاه‌هاي گيرنده و فرستنده اطلاعات و... است. در حقيقت، تمامي كارهايي كه بايد يك كاربر به طور دستي براي امنيت شبكه بي‌سيم انجام دهد، با زدن يك كليد انجام مي‌گيرد. توجه كنيد كه تمامي دستگاه‌هاي درون شبكه شما بايد از WPS پشتيباني كنند.

چگونه مي‌توانم تمام تنظيمات امنيتي روتر/نقطه‌دسترسي را يك‌جا انجام بدهم؟

نرم‌افزاري به نام PFconfig اين قابليت را دارد كه به طور خودكار تمام تنظيمات روتر را براساس مشخصات سيستم، شبكه و اينترنت انجام دهد. از جمله اين تنظيمات، تعريف رمز عبور و آدرس‌هاي MAC و ديگر نيازمندي‌هاي امنيتي سيستم است. وقتي وارد سايت اين ابزار مي‌شويد، بايد نام روتر خود را انتخاب كرده و نرم‌افزار مخصوص روتر را دانلود كنيد. پس از نصب، نرم‌افزار با گرفتن اطلاعات شبكه و اينترنت روتر را تنظيم مي‌كند. اين روش براي افرادي كه مبتدي هستند، بسيار مناسب است. متأسفانه براي برخي از دستگاه‌ها، اين نرم‌افزار پولي است.

دقيقاً روي روتر/نقطه دسترسي خودم چه كارهايي بايد بكنم؟

1- آدرس پنل مديريتي دستگاه را وارد يك مرورگر وب كرده و با استفاده از نام كاربري و رمز عبور پيش‌فرض، وارد اين پنل شويد (آدرس پنل، نام كاربري و رمز عبور براي هر دستگاه متفاوت بوده و توسط شركت سازنده دستگاه در اختيار كاربر قرار مي‌گيرد. معمولاً در دفترچه راهنما، پشت دستگاه، برگه‌هاي گارانتي يا ديسك‌هاي نرم‌افزار مي‌توان اين اطلاعات را يافت. بيشتر روترها/نقطه‌هاي‌دسترسي از آدرس 192.168.1.1 و نام‌كاربري/رمز عبور Admin يا 1234 استفاده مي‌كنند).

2- مهم‌ترين كار بعد از نخستين ورود به پنل تغيير‌دادن رمز‌عبور آن است. براي اين كار وارد بخش Management يا بخشي همانند آن شده و رمز عبور جديد را تعريف كنيد.

3- براي تنظيمات امنيتي شبكه‌ بي‌سيم، وارد بخش

Wireless > Security يا بخش‌هايي از اين قبيل شده و يكي از روش‌هاي WPA يا WPA2 را انتخاب كرده و رمز عبور هشت رقمي خود را وارد كنيد. در انتها بايد كليد Save يا Apply Change يا كليدي همانند اين‌ها را فشار دهيد تا تغييرات اعمال شوند (شكل 4).

شکل 4- با استفاده از نرم‌افزارهاي شبكه‌هاي واي‌فاي مي‌توان پروتكل رمزنگاري شبكه را فهميد.

4- اگر مي‌خواهيد آدرس MACهاي معتبر را وارد كنيد، گزينه MAC Filter را انتخاب و با زدن كليد Add و تعريف آدرس‌ها، گزينه Allow را انتخاب كنيد.

5- حتماً در انتها يك بار دستگاه را راه‌اندازي كنيد.

 چرا WPA بهتر از WEP است؟

WEP الگوريتم رمزنگاري براي شبكه‌هاي مبتني بر پروتكل 802.11 است و تقريباً همراه با اين پروتكل در سال 1997 ارائه شده و نخستين استاندارد رمزنگاري اطلاعات بي‌سيم است، اما WPA از سوي گروه Wi-Fi Alliance، توسعه‌دهنده پروتكل 802.11 ارائه شده و در سال‌هاي بعدي نيز نسخه‌هاي ديگري از آن مانند WPA2 نيز استانداردسازي و منتشر شده‌ است. 

پروتكل WEP در كمتر از ده دقيقه درهم شكسته مي‌شود، اما درهم شكستن WPA با يك كليد 21 بيتي بيشتر از 4 × 1020 سال طول مي‌كشد. WEP تنها مي‌تواند از كليدهاي 64، 128 و 152 ‌بيتي و يك IV (سرنام Initialization Vector) يكسان يا همان بردار توليد كليدهاي ابتدايي رمزنگاري استفاده ‌كند، اما در WPA از دو الگورتيم رمزنگاري پيچيده به نام‌هاي TKIP (سرنام Temporal Key Integrity Protocol) و AES (سرنامAdvanced Encryption Standard) استفاده مي‌شود كه در هر كدام كليدها ده‌ها بار توليد شده و در رمزنگاري اطلاعات شركت كرده و از بين مي‌روند. طول بردار IV دو برابر WEP است. IV در WPA قابليت تعريف پانصد تريليون كليد مقايسه را فراهم مي‌كند، اما اين تعداد در WEP نزديك به 7/16 ميليون كليد مقايسه است.

واحد دانش و تکنولوژی تبیان زنجان

  یک نرم‌افزار تشخیص نفوذ به‌صورت کدباز است که بر روی محیط‌های Linux و Windows عرضه می‌گردد و با توجه به رایگان بودن آن، به یکی از متداول‌ترین سیستم‌های تشخیص نفوذ شبکه‌های رایانه‌یی مبدل شده است. از آن‌جاکه برای معرفی آن نیاز به معرفی کوتاه این دسته از ابزارها داریم، ابتدا به مفاهیمی اولیه درباره‌ی ابزارهای تشخیص نفوذ می‌پردازیم، به عبارت دیگر معرفی این نرم‌افزار بهانه‌یی است برای ذکر مقدمه‌یی در باب سیستم‌های تشخیص نفوذ.

Intrusion Detection System (IDS) یا سیستم تشخیص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق می‌گردد که در یک سیستم رایانه‌یی که می‌تواند یک شبکه‌ی محلی یا گسترده باشد، وظیفه‌ی شناسایی تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده دارد.

IDSها عملاً سه وظیفه‌ی کلی را برعهده دارند : پایش، تشخیص، واکنش. هرچند که واکنش در مورد IDSها عموماً به ایجاد اخطار، در قالب‌های مختلف، محدود می‌گردد. هرچند دسته‌یی مشابه از ابزارهای امنیتی به نام Intrusion Prevention System (IPS) وجود دارند که پس از پایش و تشخیص، بسته‌های حمله‌های احتمالی را حذف می‌کنند. نکته‌یی که در این میان باید متذکر شد، تفاوت و تقابل میان Firewallها و IDSها است. از آن‌جاکه ماهیت عمل‌کرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچ‌یک از این دو ابزار وظیفه‌ی دیگری را به طور کامل برعهده نمی‌گیرد، لذا تلفیقی از استفاده از هردو ابزار می‌تواند امنیت کلی سیستم را بالا ببرد.

 در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی نمود :

- Network IDS (NIDS)

- Host IDS (HIDS)

HIDSها، اولین سیستم IDSی هستند که در یک سیستم رایانه‌ای باید پیاده‌سازی شود. معیار تشخیص حملات در این سیستم‌ها، اطلاعات جمع‌آوری شده بر روی خادم‌های مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پرونده‌هایی خاص، سعی در تشخیص تلاش‌هایی که برای نفوذ به خادم مذکورد انجام شده است دارد. این تحلیل‌ها می‌تواند به صورت محلی بر روی خود خادم انجام گردد یا به سیستم تحلیل‌گر دیگری برای بررسی ارسال شود. یک HIDS می‌تواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.

 با این وجود، اگر نفوذ‌گر جمع‌آوری صورت عملیات انجام‌شده بر روی هریک از خادم‌های مورد نظر را به نحوی متوقف کند، HIDS در تشخیص نفوذ ناموفق خواهد بود و این بزرگ‌ترین ضعف HIDS است.

NIDSها، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار NIDSها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن‌جایی‌که NIDSها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گسترده‌گی بیش‌تری داشته و فرایند تشخیص را به صورت توزیع‌شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.

 با معرفی انجام شده در مورد دو نوع اصلی IDSها و ضعف‌های عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، به‌ترین راه استفاده‌ی همزمان از هر دو نوع این ابزارهاست.

 Snort، در کامل‌ترین حالت نمونه‌یی از یک NIDS است. این نرم‌افزار در سه حالت قابل برنامه‌ریزی می‌باشد :

حالت Sniffer

در این حالت، این نرم‌افزار تنها یک Sniffer ساده است و محتوای بسته‌های ردوبدل شده بر روی شبکه را بر روی کنسول نمایش می‌دهد.

حالت ثبت‌کننده‌ی بسته‌ها

Snortدر این وضعیت، اطلاعات بسته‌های شبکه را در پرونده‌یی که مشخص می‌شود ذخیره می‌کند.

سیستم تشخیص نفوذ

در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بسته‌ها و قوانینی که تعیین می‌گردد، Snort امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و در صورت نیاز واکنش تعیین شده را به‌روز می‌دهد.

 حالت پیش‌فرض خروجی این ابزار فایلی متنی است که می‌تواند در آن ابتدای بسته‌ها را نیز درج کند. با این وجود در صورتی‌که این ابزار در حال فعالیت بر روی ارتباطات شبکه‌یی با سرعت بالا می‌باشد به‌ترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.

 بُعد دیگر از پیکربندی Snort به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برای Snort است. برای مثال می‌توان با قانونی، Snort را مکلف ساخت که نسبت به دسترسی‌های انجام شده مبتنی بر پروتکلی تعیین شده از/به یک پورت خاص و از/به یک مقصد معین با محتوایی شامل رشته‌یی خاص، اخطاری یا واکنشی ویژه را اعمال کند.

 نکته‌یی که باید در نظر داشت این‌ است که از آن‌جاکه Snort را می‌توان به گونه‌یی پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده از Snort نیازی به استفاده از ابزاری ثانویه برای تشخیص پویش‌گرهای پورت وجود ندارد.

 همان‌گونه که گفته شد، Snort با قابلیت‌های نسبتاً کاملی که در خود جای داده‌است، به همراه رایگان بودن آن و قابلیت نصب بر روی محیط‌ها و سیستم‌های عامل متدوال، به یکی از معمول‌ترین IDSهای کنونی مبدل شده است.

وقتي از امنيت شبكه صحبت می کنیم، مباحث زيادي قابل طرح و بررسی هستند، موضوعاتي كه هر كدام به تنهايي مي توانند در عین حال جالب، پرمحتوا و قابل درك باشند. اما وقتي صحبت كار عملي به ميان می آید، قضيه تا حدودي پيچيده مي شود. تركيب علم و عمل، احتياج به تجربه دارد و نهايت هدف يك علم بعد كاربردي آن است.
 وقتي دوره تئوري امنيت شبكه را با موفقيت پشت سر گذاشتيد و وارد محيط كار شديد، ممكن است اين سوال برایتان مطرح شود كه " حالا بايد از كجا شروع كرد؟ اول كجا بايد ايمن شود؟ چه استراتژي را در  پيش گرفت و كجا كار را تمام كرد؟ به اين ترتيب " انبوهي از اين قبيل سوالات فكر شما را مشغول مي كند و كم كم حس مي كنيد كه تجربه كافي نداريد (كه البته اين حسي طبيعي است ).
  پس اگر شما نيز چنين احساسي داريد و مي خواهيد يك استراتژي علمي - كاربردي داشته باشيد، تا انتهاي اين مقاله را بخوانيد.
هميشه در امنيت شبكه موضوع لايه هاي دفاعي، موضوع داغ و مهمي است. در اين خصوص نيز نظرات مختلفي وجود دارد. عده اي فايروال را اولين لايه دفاعي مي دانند، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند، اما واقعيت اين است كه هيچكدام از اين‌ها، اولين لايه دفاعي محسوب نمي شوند. به خاطر داشته باشيد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي (Policy) هست. بدون policy، ليست كنترل، فايروال و هر لايه ديگر، بدون معني مي شود و اگر بدون policy شروع به ايمن سازي شبكه كنيد، محصول وحشتناكي از كار در مي آید.
با اين مقدمه، و با توجه به اين كه شما policy مورد نظرتان را كاملا تجزيه و تحليل كرديد و دقيقا مي دانيد كه چه مي خواهید و چه نمي خواهيد، كار را شروع مي‌شود. حال بايد پنج مرحله رو پشت سر بگذاريم تا كار تمام شود. اين پنج مرحله عبارت اند از :

1- Inspection ( بازرسي )

2- Protection ( حفاظت )

3- Detection ( رديابي )

4- Reaction ( واكنش )

5- Reflection ( بازتاب)

در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيم، ضمن آن كه اين مسير، احتياج به يك  تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه را طي كند.
1- اولين جايي كه ايمن سازي را شروع مي كنيم، ايمن كردن كليه سنديت هاي (authentication) موجود است. معمولا رايج ترين روش authentication، استفاده از شناسه كاربري و كلمه رمز است.
مهمترين قسمت هايي كه بايد authentication را ايمن و محكم كرد عبارتند از :

- كنترل كلمات عبور كاربران، به ويژه در مورد مديران سيستم.

- كلمات عبور سوييچ و روتر ها ( در اين خصوص روي سوييچ تاكيد بيشتري مي شود، زيرا از آنجا كه اين ابزار  (device) به صورت plug and play كار مي كند، اكثر مديرهاي شبكه از config كردن آن غافل مي شوند. در حالي توجه به اين مهم  مي تواند امنيت شبكه را ارتقا دهد. لذا  به مديران امنيتي توصيه ميشود كه حتما سوييچ و روتر ها رو كنترل كنند ).

- كلمات عبور مربوط به SNMP.

- كلمات عبور مربوط به پرينت سرور.

- كلمات عبور مربوط به محافظ صفحه نمايش.

در حقيقت آنچه كه شما در كلاس‌هاي امنيت شبكه در مورد Account and Password Security ياد گرفتيد اين جا به كار مي رود.

2- گام دوم نصب و به روز رساني  آنتي ويروس ها روي همه كامپيوتر ها، سرورها و ميل سرورها است. ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به صورت خودكار به روز رساني شود و آموزش هاي لازم در مورد فايل هاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك نيز بايد به  كاربران داده شود.

3 - گام سوم شامل نصب آخرين وصله هاي امنيتي و به روز رساني هاي امنيتي سيستم عامل و سرويس هاي موجود است. در اين مرحله علاوه بر اقدامات ذكر شده، كليه سرورها، سوييچ ها، روتر ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند.

4-در اين مرحله نوبت گروه بندي كاربران و اعطاي مجوزهاي لازم به فايل ها و دايركتوري ها است. ضمن اينكه اعتبارهاي( account) قديمي هم بايد غير فعال شوند.

 گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود. بعد از پايان اين مرحله، يك بار ديگر امنيت سيستم عامل بايد چك شود تا چيزي فراموش نشده باشد.

5- حالا نوبت device ها است كه معمولا شامل روتر، سوييچ و فايروال مي شود. بر اساس policy موجود و توپولوژي شبكه، اين ابزار بايد config شوند. تكنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين علت اين مرحله خيلي مهم است. حتي موضوع مهم IP Addressing كه از وظايف مديران شبكه هست نيز مي تواند مورد توجه قرار گيرد تا اطمينان حاصل شود كه از حداقل ممكن براي IP Assign به شبكه ها استفاده شده است.

6- قدم بعد تعيين استراژي تهيه پشتيبان(backup) است. نكته مهمي كه وجود دارد اين است كه بايد مطمئن بشويم كه سيستم backup و بازيابي به درستي كار كرده و در بهترين حالت ممكن قرار دارد.

7- امنيت فيزيكي. در اين خصوص  اول از همه بايد به سراغ UPS ها رفت. بايد چك كنيم كه UPS ها قدرت لازم رو براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري را داشته باشند. نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت،ايمني در برابر سرقت و آتش سوزي است. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد نكند. به طور كل آنچه كه مربوط به امنيت فيزيكي مي شود در اين مرحله به كار مي رود.

8- امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در مورد آن داشت.به همين دليل در اين قسمت، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم. در حقيقت، امنيت وب نيز در اين مرحله لحاظ مي شود.

(توجه:هيچ گاه  اسكريپت هاي سمت سرويس دهنده را فراموش نكنيد )

9 - حالا نوبت بررسي، تنظيم و آزمايش  سيستم هاي Auditing و Logging هست. اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد. سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود. در ضمن ساعت و تاريخ سيستم ها درست باشد چرا كه در غير اين صورت كليه اقداما قبلي از بين رفته و امكان پيگيري هاي قانوني در صورت لزوم نيز ديگر  وجود نخواهد داشت.

10- ايمن كردن Remote Access با پروتكل و تكنولوژي هاي ايمن و Secure گام بعدي محسوب مي شود. در اين زمينه با توجه به شرايط و امكانات، ايمن ترين پروتكل و تكنولوژي ها را بايد به خدمت گرفت.

11 - نصب فايروال هاي شخصي در سطح host ها، لايه امنيتي مضاعفي به شبكه شما ميدهد. پس اين مرحله را نبايد فراموش كرد.

12 - شرايط بازيابي در حالت هاي اضطراري را حتما چك و بهينه كنيد. اين حالت ها شامل خرابي قطعات كامپيوتري، خرابكاري كاربران، خرابي ناشي از مسايل طبيعي ( زلزله - آتش سوزي – ضربه خوردن - سرقت - سيل) و خرابكاري ناشي از نفوذ هكرها، است. استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد.

به خاطر داشته باشید كه " هميشه در دسترس بودن اطلاعات "، جز، قوانين اصلي امنيتي هست.

13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست، عضو شدن در سايت ها و بولتن هاي امنيتي و در آگاهي ازآخرين اخبار امنيتي است.

 منبع: پرشین هک

واحد دانش و تکنولوژی تبیان زنجان

 امنیت در همه شاخه ها از اهمیت بالایی برخوردار است و تنها در صورت فراهم بود ن امنیت است که می توان در هر زمینه در رفاه و آرامش به فعالیت مشغول شد اما در زمینه فناوری اطلاعات امنیت می تواند اهمیت دو چندانی داشته باشد، چراکه فراهم نبود ن امنیت در فضای مجازی می تواند بهای سنگینی را برای کاربر به بار آورد.

همه ما روی رایانه های شخصی خود اطلاعاتی داریم که به هیچ عنوان علاقه مند به از دست داد ن یا انتشار آنها نیستیم. حال حفظ امینت این اطلاعات از دو دید گاه می تواند حائز اهمیت باشد؛ نخست امنیت و حفظ این اطلاعات در برابر نرم افزارهای مخرب و ویروس هاست و دیگری حفظ امنیت این اطلاعات در برابر نرم افزارهای جاسوسی و نفوذ هکرها در فضای مجازی است.

در حال حاضر نسخه های متنوع نرم افزارهای امنیتی در بازار یافت می شوند که کارایی و بازد هی هر یک متفاوت است و هر کاربر بسته به نیاز خود می تواند یکی از نسخه های آنها از تولید کنند گان مختلف تهیه کند.

شرکت Kaspersky که بیش از ده سال از آغاز فعالیتش در زمینه نرم افزارهای امنیتی می گذرد، یکی از بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی است که از ابتدای شروع فعالیت خود بخش عمد ه ای از تمرکز خود را روی تولید نرم افزارهایی با قابلیت جلوگیری از فعالیت بد افزارها گذاشته است. در میان بسیاری از شرکت های فعال در این زمینه که به دلیل افزایش رقابت در سایر زمینه های امنیتی ،از میزان تمرکزشان بر روی نرم افزارهای امنیتی به اصطلاح anti-malware کاسته شده است، مجموعه kaspersky با بیش از 700 مهندس و محقق و همچنین بیش از 2000 نفر کارمند متخصص در سراسر دنیا همواره ثابت کرده است که یکی از فعالترین و بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی anti-malware است.

امنیت برای همه

نرم افزار امنیتی محافظتی anti-malware کسپرسکی محافظت خود را از desktop سیستم کاربر تا فضای ابری اینترنت و فضای پشت آن را به خوبی تحت پوشش قرار می د هد و برای هر لایه از فضای اینترنت بهترین محافظت ممکن را فراهم می کند. این نرم افزار همچنین می تواند بهترین حالت محافظت را برای محصولات مختلف در هر لایه از شبکه که مشغول فعالیت باشند، ایجاد کند.

مجموعه نرم افزارهای امنیتی anti-malware کسپرسکی با نام Open space security عرضه می شوند، در سه بسته kaspersky Enterpise space security، kaspersky Business space security و kaspersky Total space security عرضه می شوند که هر کدام برای موارد کاربری خاصی آماده شده اند.

نسخه kaspersky Business space security محافظت سطح بالایی را از اطلاعات مشترک شبکه های داخلی در برابر تهدیدات امنیتی روز اینترنتی فراهم می کند. این نسخه قابلیت محافظت از ایستگاه های کاری تحت شبکه، موبایل های هوشمند (smart phones) و فایل سررورها را در برابر انواع تهد یدات کامپیوتری شامل انواع نرم افزارهای مخرب و جاسوسی داراست و ضمن حفظ امنیت داده های به اشتراک گذاشته شده از دسترسی کاربران مجاز به منابع شبکه محافظت می کند. این نسخه برای ارتقای عملکرد شبکه هنگام افزایش بار تبادل اطلاعات روی شبکه هم کاربرد دارد.

نسخه بعدی یعنی kaspersky Enterprise space security نیز وظیفه تضمین جریان آزاد انتقال داده ها در شبکه درون سازمانی و ایجاد اتصال ایمن کامپیوترهای درون سازمان با د نیای خارج را برعهده می گیرد. این نسخه ضمن دارا بود ن تمامی قابلیت های نسخه Business مانند محافظت کامل از ایستگاه های کاری، اسمارت فون ها و دیگر تجهیزات تحت شبکه، قابلیت شناسایی و حذ ف بد افزارها و نرم افزارهای مخرب از این میل های دریافتی کاربران را نیز دارد و ضمن حفظ امنیت منابع و اطلاعات مشترک موجود روی شبکه، دسترسی کاربران مجازبه آنها را نیز تضمین می کند.

اما آخرین نسخه این مجموعه که در واقع کامل ترین نسخه نیز محسوب می شود، نسخه kaspersky Total space security است که ضمن دارابود ن تمام قابلیت های دو مدل قبل می تواند محافظتی کامل و مجتمع را برای تمامی اجزای انواع شبکه ها با هر اندازه و هر میزان پیچید گی فراهم کند.

این نسخه همچنین می تواند ضمن کنترل و حذ ف بد افزارها از ای میل های دریافتی کاربران شبکه و حفظ امنیت تمامی اجزای شبکه در ارتباط با دنیای خارج یا همان اینترنت، درگاه های اینترنتی (Internet Gatewayes) را هم به منظور افزایش امنیت تبادل اطلاعات کنترل کند. از مهمترین قابلیت های این نسخه هماهنگی کامل آنها با انواع شبکه ها، با ساختارهای گوناگون و تمامی اجزای شبکه است که می توانند کاربران خود را از انواع تهد یدات و حملات اینترنتی و شبکه ای در امان نگاه دارند.

واحد دانش و تکنولوژی تبیان زنجان

شبکه های Wireless یا بی‌سیم مدت زمانی است که در کشور ما روند رو به رشدی داشته است. در حال حاضر در دانشگاه ها، فرودگاه ها، مراکز تجاری و اماکنی نظیر آنها دسترسی به اینترنت از طریق شبکه Wireless امکان پذیر است. اما نکته ای که وجود دارد این است که اگر ایجاد به یک شبکه بی‌سیم برای همه امکان پذیر است بنابراین استفاده از آن برای مجرمان و خلافکاران نیز مجاز می‌باشد! پس شما به عنوان یک کاربر در این زمان نبایستی ایمنی سیستم خود را فراموش کنید.

یکی از ترفندهای هکرها این است که یک سرور دروغین ایجاد کرده و باعث میشوند شما به جای اتصال به سرور اصلی شبکه ناآگاهانه به کامپیوتر هکر که نقش سرور را ایفا میکند متصل شوید! به همین سادگی خودتان باعث شده اید هکر بتواند به سادگی به کامپیوتر یا لپتاپ شما نفوذ کرده و سوء استفاده نماید. برای جلوگیری از این مشکلات چه باید کرد؟ در این ترفند به معرفی اقدامات احتیاطی به هنگام اتصال به شبکه Wireless میپردازیم.

هیچگاه ناآگاهانه آن‌لاین نشوید

اگر نیازی به اینترنت ندارید، اتصال Wi-fi دستگاه خود را قطع نمایید و علاوه بر آن همواره قابلیت اتصال اتوماتیک به شبکه ها در سیستم خود غیر فعال کنید. این کار عمر باتری را نیز بیشتر می‌کند.

از شبکه مناسب و درست استفاده کنید

وقتی به شبکه بی‌سیم وصل می‌شوید، ویندوز SSIDهای (Service set Identifiers) تمام شبکه‌های این مجموعه و محدوده را به شما نشان می‌دهد.

همچنین اطمینان حاصل کنید که به شبکه درست وصل شده‌اید، برای اینکار کافی است از متصدی مربوطه در محل نام صحیح کانکشن اصلی شبکه را پرس و جو نمایید. در صورت مشاهده کانکشن های مشکوک حتماً مراتب را به مسئولان گزارش دهید.

به اشتراک گذاری پرینتر و فایل خود را قطع نمایید

این کار را حتماً صورت دهید ؛

در ویندوز XP، از منوی Start وارد My Network Places شوید. در پنجره Network Connections بر روی شبکه راست کلیک کرده و Properties را انتخاب نمایید. در پنجره محاوره پایانی در قسمت General، گزینه Client for Microsoft Networks and File and Printer Sharing for Microsoft Networks را از حالت انتخاب درآورید و سپس بر روی OK کلیک کنید.

در ویندوز ویستا قابلیت جالبی نهفته است که خود ویندوز در صورت تشخیص نا امنی شبکه، به طور خودکار حالت به اشتراک‌گذاری را لغو و این ویژگی را خاموش و غیرفعال می‌سازد. جهت کنترل و تغییر این حالت از این روش پیروی نمایید: ابتدا از منوی Start وارد Network شوید، سپس بر روی عبارت Network and Sharing Center را کلیک کنید، اگر کنار نام شبکه عبارت Public network به معنای شبکه عمومی ظاهر شد و شما به شبکه عمومی وصل شدید، فقط باید این پنجره را ببندید چون در معرض دید قرار گرفته‌اید. در غیر این صورت روی کلید Customize را از روی نام شبکه کلیک کنید. Public را انتخاب کرده و روی کلمه Next و سپس روی Close کلیک کنید.

کاری که انجام میدهید

دقت کنید از طریق اتصال به این شبکه های عمومی هرگز خرید اینترنتی نکنید، از عملیات بانکی آن‌لاین استفاده ننمایید، اطلاعات حساس و مهم را با اتصال روی اینترنت عمومی ثبت نکنید و حتی المقدور از کلمات عبور استفاده نکنید.

واحد دانش و تکنولوژی تبیان زنجان

مقدمه ای بر IPSec

IP Security یا IPSec رشته ای از پروتکلهاست که برای ایجاد VPN مورد استفاده قرار می گیرند. مطابق با تعریف IETF (Internet Engineering Task Force) پروتکل IPSec به این شکل تعریف می شود:

یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به صورت منعطفی به پشتیبانی ترکیبی از تایید هویت ، جامعیت ، کنترل دسترسی و محرمانگی بپردازد.

در اکثر سناریوها مورد استفاده ،IPSec به شما امکان می دهد تا یک تونل رمزشده را بین دو شبکه خصوصی ایجاد کنید.همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم می کند.اما IPSec تنها به ترافیک مبتنی بر IP اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر IP نیز در شبکه وجود داشته باشد ، باید از پروتکل دیگری مانند GRE در کنار IPSec استفاده کرد.

IPSec به استاندارد de facto در صنعت برای ساخت VPN تبدیل شده است.بسیاری از فروشندگان تجهیزات شبکه ، IPSec را پیاده سازی کرده اند و لذا امکان کار با انواع مختلف تجهیزات از شرکتهای مختلف ، IPSec را به یک انتخاب خوب برای ساخت VPN مبدل کرده است.

 انواع IPSec VPN

شیوه های مختلفی برای دسته بندی IPSec VPN وجود دارد اما از نظر طراحی ، IPSec برای حل دو مسئله مورد استفاده قرار می گیرد :

1- اتصال یکپارچه دو شبکه خصوصی و ایجاد یک شبکه مجازی خصوصی

2- توسعه یک شبکه خصوصی برای دسترسی کاربران از راه دور به آن شبکه به عنوان بخشی از شبکه امن

بر همین اساس ، IPSec VPN ها را نیز می توان به دو دسته اصلی تقسیم کرد:

1- پیاده سازی LAN-to-LAN IPSec

این عبارت معمولا برای توصیف یک تونل IPSec بین دو شبکه محلی به کار می رود. در این حالت دو شبکه محلی با کمک تونل IPSec و از طریق یک شبکه عمومی با هم ارتباط برقرار می کنند به گونه ای که کاربران هر شبکه محلی به منابع شبکه محلی دیگر، به عنوان عضوی از آن شبکه، دسترسی دارند. IPSec به شما امکان می دهد که تعریف کنید چه داده ای و چگونه باید رمزنگاری شود.

2- پیاده سازی Remote-Access Client IPSec

این نوع از VPN ها زمانی ایجاد می شوند که یک کاربر از راه دور و با استفاده از IPSec client نصب شده بر روی رایانه اش، به یک روتر IPSec یا Access server متصل می شود. معمولا این رایانه های دسترسی از راه دور به یک شبکه عمومی یا اینترنت و با کمک روش dialup یا روشهای مشابه متصل می شوند. زمانی که این رایانه به اینترنت یا شبکه عمومی متصل می شود، IPSec client موجود بر روی آن می تواند یک تونل رمز شده را بر روی شبکه عمومی ایجاد کند که مقصد آن یک دستگاه پایانی IPSec ،مانند یک روتر، که بر لبه شبکه خصوصی مورد نظر که کاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پایانه های IPSec محدود است اما با کمک روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند که برای پیاده سازی های بزرگ مناسب است.

 ساختار IPSec

IPSec برای ایجاد یک بستر امن یکپارچه ، سه پروتکل را با هم ترکیب می کند :

1- پروتکل مبادله کلید اینترنتی ( Internet Key Exchange یا IKE )

این پروتکل مسئول طی کردن مشخصه های تونل IPSec بین دو طرف است. وظایف این پروتکل عبارتند از:

ü طی کردن پارامترهای پروتکل

ü مبادله کلیدهای عمومی

ü تایید هویت هر دو طرف

ü مدیریت کلیدها پس از مبادله

IKE مشکل پیاده سازی های دستی و غیر قابل تغییر IPSec را با خودکار کردن کل پردازه مبادله کلید حل می کند. این امر یکی از نیازهای حیاتی IPSecاست. IKE خود از سه پروتکل تشکیل می شود :

ü SKEME : مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند.

ü Oakley : مکانیزم مبتنی بر حالتی را برای رسیدن به یک کلید رمزنگاری، بین دو پایانه IPSec تامین می کند.

ü ISAKMP : معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می کند.

IKE به عنوان استاندارد RFC 2409 تعریف شده است. با وجودی که IKE کارایی و عملکرد خوبی را برای IPSec تامین می کند، اما بعضی کمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشکل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود که IKE v2 نام خواهد داشت.

2- پروتکل Encapsulating Security Payload یا ESP

این پروتکل امکان رمزنگاری ، تایید هویت و تامین امنیت داده را فراهم می کند.

3- پروتکل سرآیند تایید هویت (Authentication Header یا AH)

این پروتکل برای تایید هویت و تامین امنیت داده به کار می رود.

واحد دانش و تکنولوژی تبیان زنجان

هكرها مي‌توانند از چاپگر شما يك بمب ساعتي بسازند

حلقه گمشده امنيت در دنياي ديجيتال

 در دنياي امروز استفاده از فناوري‌هاي جديد روز به روز در حال گسترش است.

اگرچه پيش از اين مي‌توانستيم با قرار دادن اسناد و مدارك شخصي و محرمانه در مكاني امن و مطمئن امنيت شخصي را در حريم اختصاصي خود تضمين كنيم، اما متاسفانه فناوري‌هاي ديجيتال كه به يكي از نيازهاي ضروري زندگي ما مبدل شده‌اند كم‌كم به بلاي جانمان تبديل مي‌شوند، چرا كه اين فناوري‌ها دسترسي به اطلاعات شخصي و محرمانه‌اي را كه اين روزها به شيوه‌اي جديد و امروزي و در قالب مجموعه‌اي از كدهاي ديجيتالي صفر و يك ذخيره و نگهداري مي‌كنيم، تسهيل مي‌كنند و مراقبت از اطلاعات محرمانه در برابر حمله هكرها به معضلي تبديل شده كه هنوز هم راهكار مناسبي براي آن ارائه نشده است.

هكرها يا به عبارتي سارقان دنياي ديجيتال كه فرسنگ‌ها دورتر از ما زندگي مي‌كنند مي‌توانند به آساني كنترل شبكه‌هاي كامپيوتري را در دست بگيرند و به آساني با دسترسي به مشخصات افراد مرتكب سرقت هويتي شوند. محققان دانشگاه كاليفرنيا بتازگي موفق به شناسايي موج جديدي از حمله هكرها به كامپيوترها و سيستم‌هاي ارتباطي كامپيوتري شده‌اند كه مي‌تواند تهديدي جدي عليه امنيت اعضاي شبكه‌هاي ارتباطي باشند و امنيت بيش از ميليون‌ها كاربر حقيقي يا حقوقي و حتي شركت‌هاي دولتي را در معرض تهديد قرار دهند. براساس خبر جديدي كه براي نخستين‌بار در وب‌سايت رسمي شركت مايكروسافت گزارش شده است، اين گروه از مجرمان كامپيوتري از طريق شبكه اينترنت و از راه دور كنترل چاپگرها را در دست مي‌گيرند و از آنها به عنوان ابزاري براي سرقت اطلاعات شخصي افراد استفاده مي‌كنند.

ارسال كدهاي مخرب امنيتي براي نفوذ به سيستم

به گفته محققان، اين جريان ضدامنيتي مي‌تواند با ارسال دستوراتي مبني بر افزايش ناگهاني دما در بخشي از چاپگر همراه باشد كه جوهر را در سطح كاغذ خشك مي‌‌كند و در نهايت موجب سوختن كاغذ خواهد شد. اگرچه اغلب چاپگرها مجهز به يك سوئيچ حرارتي هستند كه در صورت لزوم با خاموش كردن چاپگر مانع از سوختن كاغذ مي‌شوند، اما در حقيقت در اينجا چاپگرها مي‌توانند واسطه‌اي براي ايجاد خسارت‌هاي هنگفتي در شبكه‌هاي بزرگ ارتباطي باشند.

 در اغلب موارد، تنظيمات نصب و راه‌اندازي چاپگرها به گونه‌اي انجام مي‌شود كه مي‌توان از طريق شبكه نيز دستور چاپ اسناد يا اطلاعات خاصي را اجرا كرد و به اين ترتيب مي‌توان همزمان يك ويروس كامپيوتري را نيز با ارسال اين پيام وارد سيستم كرد. به عبارت ديگر، به كمك اين روش اين امكان وجود خواهد داشت كه بتوان از راه دور و بدون اين‌كه هرگونه اختلالي در سيستم ايجاد شود، يك سيستم كامپيوتري يا حتي يك شبكه را تحت كنترل قرار داد و به اطلاعات آن دسترسي داشت.

 در حقيقت مي‌توان فناوري‌هاي ديجيتالي را شبيه به خودروهايي دانست كه مالكان آنها به دليل در دست نداشتن كليد قفل آنها نمي‌توانند استفاده از آن را به انحصار خود درآورند. به اين ترتيب چنين روشي، روش امن و مطمئني براي حفاظت از اسناد و اطلاعات محرمانه نخواهد بود.

اين گروه از هكرها مي‌توانند چاپگرها را با ارسال يك كد مخرب ويران كنند. با ارسال اين كد ضدامنيتي و نصب يك نرم‌افزار دائمي در سيستم كه تنها 30 ثانيه زمان مي‌برد، يك ويروس كامپيوتري به شبكه راه مي‌يابد كه پس از نصب، امكان شناسايي آن وجود نخواهد داشت مگر اين‌كه تراشه يا چيپ را از سيستم خارج كرده و آن را مورد بررسي و بازبيني دقيق قرار دهيم. هيچ‌يك از انواع نرم‌افزارهاي ضدويروسي پيشرفته و جديد نيز توانايي تشخيص و از كارانداختن اين نرم‌افزار را كه در تراشه داخلي چاپگر نصب و راه‌اندازي مي‌شود نخواهند داشت.

اگرچه شايد اين موضوع تا به حال كمتر مورد توجه قرار گرفته باشد، اما در حقيقت چاپگرها نيز در يك شبكه ارتباطي همانند يك سيستم كامپيوتري مجزا عمل مي‌كنند كه ممكن است با مشكلات مشابهي در سيستم‌هاي ارتباطي مواجه شده و از تاثيرات مشابهي بر عملكرد ديگر سيستم‌هاي ديجيتالي تعبيه شده در يك شبكه ارتباطي برخوردار باشند.

ميليون‌ها چاپگر در معرض خطر هستند

براساس بررسي‌هاي انجام شده از آنجا كه اين ويروس مخرب ضدامنيتي تنها مي‌تواند در عملكرد پرينترهاي ليزري اختلال ايجاد كند و اغلب كاربران خانگي از چاپگرهاي جوهرافشان براي رفع نيازهايشان استفاده مي‌كنند مي‌توان آسيب‌پذيري چاپگرها در برابر موج جديد حمله هكرها به شبكه‌هاي ارتباطي را تنها محدود به گروه خاصي از كاربران شركت‌هاي بزرگ تجاري دانست.

نكته: هكرها يا به عبارتي سارقان دنياي ديجيتال كه فرسنگ‌ها دورتر از ما زندگي مي‌كنند مي‌توانند به آساني كنترل شبكه‌هاي كامپيوتري را در دست بگيرند و به آساني با دسترسي به مشخصات افراد مرتكب سرقت هويتي شوند

البته بايد اين نكته را نيز مد نظر قرار داد كه از سال 1984 ‌(1363) تاكنون بيش از 100 ميليون چاپگر ليزري در سطح دنيا به فروش رفته است و به عبارتي مي‌توان گفت تعداد زيادي از كاربران در معرض خطري از جانب هكرها هستند كه شايد برايشان بسيار گران تمام شود. پس از اين كه چاپگر يك شبكه ارتباطي به اين ويروس آلوده شد با ارسال كد مخرب به كامپيوترهاي شبكه، مجموع سيستم‌هاي مرتبط در اين شبكه را تحت تاثير قرار مي‌دهد. به اين ترتيب به مجموعه‌اي از اطلاعات شخصي كاربران نظير شماره كارت شناسايي و يا اطلاعات مربوط به شماره حساب آنها دسترسي پيدا مي‌كند.

 اگر يك هكر تنها به دنبال اين باشد كه در عملكرد يك شبكه ارتباطي اختلال ايجاد كند، با اين روش و تنها با ارسال يك برنامه نرم‌افزاري به منظور ارتقاي سيستم مي‌تواند هزاران و يا ميليون‌ها سيستم ديجيتالي را كه در برابر نفوذ اين برنامه مخرب آسيب‌پذير هستند از كار بيندازد. جالب است بدانيد كه حتي پرينترهاي كاربران خانگي كه به طور مستقيم به شبكه اينترنت متصل نباشند هم در معرض خطر حمله اين گروه‌ از هكرها قرار دارند. چراكه تنها ارتباط بين كامپيوتر و پرينتر براي نفوذ هكرها كافي است. محققان در يك بررسي آني و لحظه‌اي بيش از 40 هزار سيستم ارتباطي ديجيتالي را شناسايي كرده‌اند كه تنها در مدت زمان چند دقيقه مورد حمله اين ويروس ضدامنيتي قرار گرفته‌اند.

همان‌طور كه مي‌بينيد، هكرها اين توانايي را دارند كه در مدت زمان كوتاهي به هر ابزار الكترونيكي حمله كرده و از اطلاعات سرقت شده عليه خودتان استفاده كنند. خودروها، تلفن‌هاي همراه، سيستم‌هاي امنيتي خانگي، سيستم‌هاي موقعيت‌ياب جهاني (GPS)‌ و حتي دوربين‌هاي ديجيتال، چاپگرها و پريزهاي برق از جمله آسيب‌پذيرترين تجهيزات در برابر حمله هكرهاي اينترنتي هستند، به‌رغم تلاش‌هاي گسترده هنوز هيچ روش مطمئني براي رفع مشكل امنيتي سيستم‌هاي الكترونيكي و ديجيتالي وجود ندارد. برخلاف آن كه به نظر مي‌رسد چاپگر ليزري روي ميز كارتان يك وسيله الكترونيكي كاربردي و ايمن باشد با نفوذ هكرها اين چاپگر ساده بي‌خطر به نظر مي‌رسد، مي‌تواند همچون يك بمب ساعتي منفجر شود. در حقيقت چاپگرها اين روزها به يك پتانسيل بالقوه براي ايجاد حريق از راه دور مبدل شده‌اند كه پس از نفوذ به مخزن اطلاعاتي و سرقت داده‌هاي ثبت شده موجب آتش‌سوزي مي‌شوند.

يكي از ويژگي‌هاي چاپگرها اين است كه همزمان با دريافت دستور چاپ از طريق شبكه يا سيستم به روزرساني مي‌شوند و متاسفانه تنها مقدار محدودي از چاپگرها اين توانايي را دارند كه بتوانند صحت برنامه به روزرساني را پيش از اجراي آن مورد بررسي قرار دهند. به اين ترتيب يك برنامه تقلبي براي به روزرساني مي‌تواند به سادگي و از طريق يك فايل مخرب امنيتي به چاپگر ارسال شود و از آنجا كه نرم‌افزارهاي امنيتي كه روي كامپيوترها نصب مي‌شوند قابليت بررسي وضعيت چاپگرها را ندارند، هكرها براي به دست گرفتن كنترل چاپگرها در مقايسه با ديگر اجزاي شبكه‌هاي اينترنتي از آزادي عمل بيشتري برخوردار خواهند بود. اگرچه اغلب چاپگرهايي كه در 2 سال اخير به بازار عرضه شده‌اند داراي امضاي ديجيتالي هستند كه تاييد آن براي نصب برنامه‌هاي به روزرساني از طريق اينترنت الزامي است، اما با اين حال امنيت چاپگرها موضوعي است كه اين روزها نگراني‌هاي بسياري را به همراه داشته است.

به نظر مي‌رسد در آينده‌اي نه‌چندان دور با پيشرفت علم پزشكي در زمينه استفاده از ابزارهايي كه واسط ميان انسان و ماشين‌آلات الكترونيكي باشند هكرها بتوانند حتي اطلاعاتي را كه در حافظه انسان‌ها ثبت شده‌اند را نيز هدف حملات خود قرار دهند. مسلم است كه در نهايت پيشرفت‌هاي به دست آمده در تكنيك‌ها و روش‌هاي هك اطلاعاتي، به ربودن مستقيم اطلاعات از مغز انسان‌ها و نفوذ به مغز آنها منتهي خواهد شد. اگرچه كنترل مغز انسان‌ها توسط تبهكاران بيشتر به داستان‌هاي علمي ـ تخيلي شباهت دارد، اما بايد پذيرفت كه در دنيا امكان هك شدن هر چيزي وجود دارد و اين همان چيزي است كه موجب بيم و هراس انسان‌ها از تاثير پيشرفت‌هاي علمي در زندگي آينده خواهد شد.

واحد دانش و تکنولوژی تبیان زنجان

 FTP Proxy

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

· محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.

· محدود کردن ارتباطات به بیرون به «فقط خواندنی»: این عمل از نوشتن فایل های محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می کند.

· مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا Idle request ارتباط را قطع کند.

· ازکارانداختن فرمان FTP SITE : این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند.

 DNS Proxy

DNS (Domain Name Server) شاید به اندازه HTTP یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می دهد که نامی را مانند http://www.ircert.com در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید.

بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید، DNS نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس IP هایی که کامپیوترها قادر به درک آن هستند، تبدیل می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.

بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی DNS می تواند موارد زیر باشد:

· تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه Transport را که تقاضاها و پاسخ های DNS را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد آسیب رسان ایجاد می کنند.

 پراکسی DNS، headerهای بسته های DNS را بررسی می کند و بسته هایی را که بصورت ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد.

· فیلترکردن محتوای headerها بصورت گزینشی: DNS در سال ۱۹۸۴ ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله های DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS می تواند محتوای header تقاضاهای DNS را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند.

 نتیجه گیری

با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.