امنیت زیرساخت شبکه

امن سازی زیرساخت شبکه

برای دستیابی به امنیت شبکه کارا و مؤثر باید روش دفاع در عمق به صورت یکپارچه پیاده سازی شود. اولین لایه از روش دفاع در عمق، رعایت اصول و مبانی پایه امنیت شبکه می باشد. مبانی پایه امنیت شبکه، یک خط مشی امنیتی است که ستون اصلی امنیت محسوب شده و سایر تمهیدات امنیتی بر روی آن سوار میشوند. از اینرو تهیه مبانی پایه امنیت شبکه از اهمیت بالایی برخوردار بوده و بسیار چالش برانگیز است. بخش اعظم این مبانی مربوط به امنیت زیرساخت شبکه است. در این سلسله از گزارش ها سعی شده است تا به گوشه ای از نیازمندیهای پایه امنیت زیرساخت شبکه اشاره شود و چگونگی پیاده سازی آنها توسط تجهیزات سیسکو ارائه گردد.

مروری بر امن سازی زیرساخت شبکه

نیازمندیهای پایه امنیت شبکه شامل موارد مهم و اساسی امنیتی می باشند که در ایجاد و توسعه یک ساختار امنیتی قوی مورد استفاده قرار می گیرند. تمرکز اصلی بر روی امن سازی زیرساخت خود شبکه می باشد، همچنانکه امن سازی سرویسهای شبکه و موارد زیر نیز به عنوان محدوده های مهم در بحث امنیت شبکه باید مورد توجه قرار گیرند:

  • دسترسی به تجهیزات زیرساخت
  • زیرساخت مسیریابی
  • انعطافپذیری و استحکام نرمافزاری تجهیزات
  • دسترسی از راه دور به شبکه
  • اجرای سیاستهای شبکه
  • زیرساخت سویچینگ

به جز موارد پایه امنیتی که در بالا بدان اشاره شد، معمولاً ویژگیها و تکنولوژی های امنیتی اضافه بر آنها مورد توجه قرار نمی گیرند. برای مثال، اگر یک حساب کاربری با گذرواژه و رمز عبور پیشفرض بر روی یک دستگاه زیرساخت فعال باشد، نیازی به برنامه ریزی و انجام یک حمله پیچیده برای نفوذ به دستگاه نمی باشد، بلکه حمله کننده می تواند به راحتی با اطلاعات پیشفرض که تغییر پیدا نکرده اند به دستگاه وارد شده و برنامه های مخرب خود را پیش ببرد. یک راهکار قابل قبول و مطمئن، استفاده از چارچوب امنیتی سیسکو (CSF) است. این چارچوب روش های مختلف تشخیص و اعتبارسنجی نیازمندی های امنیتی یک سیستم را فراهم می کند. معمولاً از CSF در ایجاد مباحث پایه امنیت برای حصول اطمینان از به کارگیری نیازهای امنیتی مربوط به بخش های مختلف شبکه استفاده می شود. تمام تنظیمات نمونه که در این سلسله از گزارش ها ذکر شده اند، بر اساس پلتفرم IOS سیسکو و ویژگی های آن آورده شده است. البته رئوس کلی مطالب در هر بخش قابل تعمیم به دیگر پلتفرم ها نیز هستند.

ارزیابی مقدماتی طراحی شبکه

نیازمندی های پایه شبکه شامل برخی تکنیکهای مرتبط با فیلترکردن ترافیکهای مبتنی بر آدرس IP است. برای انجام این کار از ACL استفاده میشود تا بتوان سیاست های امنیتی برای دستگاه های مدیریت دسترسی، قابلیت کنترل توزیع مسیر و uRPF را اجرا کرد. تکنیک های پیشرفته تر امنیتی که میتوانند به عنوان لایه های افزوده امنیتی اضافه گردند) مانند فایروال (نیز با مکانیزم مشابه فیلترکردن ترافیک بر اساس آدرس IP عمل میکنند.

یک طرح توزیع آدرس IPکه منطقی، خلاصه، یا تفکیک شده و مجزا باشد (همانطور که در RFC1918 توضیح داده شده است)، میتواند پیادهسازی تکنیک فیلترکردن ترافیک مبتنی بر آدرس IP را ساده تر و در مرحله آماده سازی به منظور توسعه مبانی پایه امنیت، توصیه می شود که یک ارزیابی مقدماتی از طرح شبکه با هدف تسهیل در پیاده سازی آن انجام گیرد.

نکته کلیدی در این ارزیابی، بررسی کامل طرح تخصیص آدرس IPبا تکیه بر دو مورد زیر است:

  • آیا طرح تخصیص آدرس IP به خوبی انجام شده است و آیا خلاصه سازی یا تفکیک این آدرس ها به سادگی قابل انجام است؟
  • آیا RFC1918 در مورد تخصیص آدرس IP به طور مناسب پیاده شده است؟

ممکن است ارزیابی طرح تخصیص آدرس IP منجر به تغییر محدودههایی از ایـن طـرح قبـل از پیـاده سـازی مبانی امنیت شود. توجه به این موضوع اگرچه تغییراتی در شبکه به وجود می آورد ولی بـه طـور کلـی موجـب کنترل پذیری و قابلیت اجرای بهتر سیاست های امنیتی میشود.

مروری بر چارچوب امنیتی سیسکو

چارچوب امنیتی سیسکو یک فرایند عملیاتی امنیتی است که با هدف اطمینان از عملکرد شبکه و سـرویس هـا، در دسترس بودن و تداوم کسب و کار سیستم استفاده می شود. تهدیدات امنیتی همیشـه در حـال رشـد مـی باشند، CSF نیز به منظور تشخیص تهدیدات جـاری و همچنـین دنبـال کـردن تهدیـدات جدیـد و در حـال گسترش، با استفاده از راه حلهای جامع و عملی استفاده می شود.
CSF بر اساس دو هدف بنا شده است، با این فرض که تا زمانی که بر روی چیزی نظارت نباشـد و نتـوان آن را دید یا اندازه گرفت، نمیتوان آن را کنترل کرد:

  • تحصیل نظارت کامل
  • تشخیص، پایش و همبسته سازی رخدادهای سیستم
  • حصول اطمینان از کنترل کامل

در زیرساخت های بزرگ و پیچیده شبکه، ابتدا سیستم ها و سـرویس هـا را ایزولـه کـرده و پـس از انجـام آن سیاست های امنیتی را به منظور رسیدن به نظارت و کنترل کامل اجرا می کننـد. تکنولـوژی هـا و قابلیـت هـای گوناگونی در طول شبکه برای نظارت کامل بر فعالیت های شبکه، اجرای سیاست های امنیتی و تعیین ترافیـک همانگونه که مشاهده می شود، CSF بر روی شش مرحله کلیدی تمرکز می کند

  • شناسایی
  • پایش
  • همبسته سازی
  • استحکام بخشیدن
  • جداسازی
  • اجرا

 

به کارگیری CSF برای شبکه نتایجی همچون شناخت تکنولوژی ها و بهترین روش بـرای بـرآوردن هریـک از این شش راه حل عملیاتی را در بر خواهد داشت. با این حال CSF یک فرایند در حال توسـعه، پویـا و سـاختار در حال بهبود محسوب می گردد که با تغییرات سیاست هـای امنیتـی و نیازمنـدی هـای تجـاری سـازمان بـه روزرسانی می شود.

 

چرخه با ارزیابی اولیه آغاز می شود که هدف آن مشخص کردن ظرفیت و وضعیت فعلی امنیت مـی باشـد. در ادامه در فاز تحلیل، نقاط ضعف و قوت معماری کنونی آشکار می گردد. مباحث پایه امنیت به عنوان یک مدل مرجع در طول ارزیابی اولیه و فاز تحلیل مورد استفاده قـرار مـی گیـرد. این مدل حداقل نیازمندی های لازم برای کنترل و مدیریت پشتیبانی را فراهم می کنـد. نقـاط ضـعف و قـوت شبکه های واقعی با مقایسه با این مدل مرجع میتواند مشخص شود. پس از ارزیابی اولیه و اجرای فاز تحلیل، چرخه با برنامه بازسازی با هدف تامین نیازمندی های آینده به وسـیله به روزرسانی معماری کل شبکه ادامه پیدا می کند.

در ادامه، مرحله تعیین توالی طرح ها برای ایجاد نقشه پیاده سازی برای مؤلفه های گوناگون برای معماری مورد نظر فراهم می گردد. سپس فازهای مختلف اجرا می شوند و نتایج به دست آمده مجدداً مورد ارزیابی قرار می گیرند. مستند امنیت پایه شبکه، بر مبنای چارچوب CSF توسعه یافته و ارائه شده است. بر این اساس در هـر بخـش مشخصات امنیتی پیشنهادی و نیز بهترین راهکار اجرایی برای پیاده سازی آن ارائه می گردد.

 

انواع حملات شبکه شامل موارد زیر میشود :

Port Scanner

نرم افزاری است که درخواستهای پیاپی از یک کلاینت به سرور را جهت شناسایی پورت های فعال ارسال میکند . این کار معمولا توسط مدیران شبکه جهت پیدا کردن پورت های باز سرور انجام می شود . البته هکرها با استفاده از این ابزار قادر به شناسایی سرویس های ارائه شده توسط این سرور با توجه به پورتهای باز میشوند و براساس این اطلاعات فرایند حمله خود را طراحی میکنند.

 

Man in the Middle

حمله مرد میانی (MITM) جزو خطرناکترین نوع حملات در شبکه های کامپیوتری است. ساختار حمله به گونه ای است که مهاجم با استفاده از روشهایی مانند Arp Poisoning ، دربین دو طرف ارتباط قرار می گیرد و بدون اینکه طرفین ارتباط متوجه شوند شروع به شنود ، دستکاری و جمع اوری اطلاعات میکند.

 

Arp Poisoning or Arp Spoofing

همانطور که میدانید وظیفه پروتکل Arp تبدیل Ip به Mac می باشد. هکرها با استفاده از این پروتکل و ایجاد بسته GArp جعلی و معرفی Ip Address گیت وی شبکه با Mac خود حمله را انجام میدهند و سیستم های شبکه براساس این بسته Arp Table خود را به روز رسانی می کنند و در نتیجه از این پس ترافیک مربوط به خارج شبکه را تحویل مهاجم میدهند و مهاجم بعد از شنود و جمع آوری اطلاعات (MITM) ،ترافیک را به گیت وی اصلی ارسال میکند تا حمله توسط کاربران و مدیران کشف نشود.

 

Denial-of-service attack

به مجموعه اقداماتی که جهت قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به شبکه انجام میشود حملات منع سرویس یا DOS گفته میشود. اهداف حمله DOS معمولاً سایت ها یا خدمات میزبانی وب سرور با ویژگی های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. در این نوع حمله هکر با استفاده از روشهای زیادی مانند سرازیر کردن درخواستها و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) باعث کاهش سرعت سرور می شود و ممکن است حتی این کارسبب از کار افتادن سرور شود.هدف از این حملات جلوگیری یا متوقف کردن کارکرد عادی یک وب سایت ، سرور یا سایر منابع شبکه طراحی شده است.

 

انواع حملات DOS

SYN Flood

در پروتکل TCP-IP جهت برقراری ارتباط بین دو عضو شبکه ( کلاینت و سرور) ابتدا یک پکت TcpSynاز کلاینت به سرور ارسال می شود و به محض دریافت این کد سرور متوجه می شود که این کلاینت قصد برقراری ارتباط را دارد در صورت تایید این ارتباط توسط سرور، یک پکت Syn/Ack ارسال میکند و این کد برای کلاینت به مفهوم قبول ارتباط از سمت سرور بوده است و کلاینت نیز جهت برقراری اتصال یک پکت Ack برای سرور ارسال میکند از این رو هکرها از این مکانیزم سواستفاده کرده و با استفاده از ip های جعلی اقدام به ارسال درخواستهای متعدد میکنند و در انتها نیز پاسخ سرور را جهت بستن session نمیدهد از این رو اتصالات نیمه باز زیادی ایجاد میشود و با توجه به این که سرور قادر به پاسخگویی تعداد محدودی اتصال هست از این رو دیگر قادر به پاسخگویی به کلاینتهای دیگر را ندارد.

 

Smurf Attack

در این نوع حمله از تکنیک های ip spoofing و پروتکل icmp استفاده می شود. در این نوع حمله با تاکتیک ip spoofing هکر ip قربانی را جعل میکند و با استفاده از دستور ping شروع به تولید ترافیک Icmp echo با مقصد Broadcast میکند و در نتیجه تعداد زیادی ترافیک ICMP Reply برای قربانی ارسال میشود و در نتیجه با افزایش این ترافیک دیگر سرور قادر به پاسخگویی نیست و حتی احتمال دارد crash کند.

 

Ping Flood

در این نوع حمله از پروتکل ICMP استفاده میشود.در حمله ping flood همانطور که از نامش مشخص است با استفاده از دستور ping کامپیوتر قربانی مورد حمله قرار میگیرد در این روش هکر با استفاده از تعداد کثیری از پکت های ping با حجم بالا باعث overload شدن کامپیوتر قربانی می شود.آسان ترين نوع حمله, حمله Ping Flood است که تحت پروتکل ICMP کار ميکند و امروزه به عنوان Ping شناخته ميشود.در شرايط عادي از دستور Ping براي بررسي صحت ارتباط بين دو کامپيوتر استفاده ميشود اما در حمله Ping Flood باعث ميشود تا سيل عظيمي از پکت هاي با حجم بالا براي کامپيوتر قرباني جهت Overload شدن ارسال شود.شما در تصوير زير ميتوانيد نمونه اي از اين نوع حمله را مشاهده کنيد. برای انجام این حمله ما میتوانیم از دو آپشن زیر در دستور ping استفاده کنیم .

 

Ping (destination ip) –L (Packet Size(Byte) ) –N (Count)

Ping 192.168.1.10 –l 100 –n 10

 

 

 

Teardrop

هکرها با سواستفاده از باگهایی که در لایه های شبکه و بعضی از سیستم عامل ها از قبیل ویندوز 3.1 ، 95 ، NT و لینوکس 2.0.32 و 2.1.63 قربانی خود را مورد حمله قرار می دهند. همانطور که میدانید هنگام انتقال اطلاعات از یک کامپیوتر به کامپیوتر دیگر بسته ها با استفاده از آفست و شماره ترتیب مشخص میشوند و هکرها با تغییر ترتیب بسته ها و آفست ها باعث میشوند کامپیوتر مقصد هنگام ادغام بسته ها به مشکل برخورد و حتی crash بکند.

 

(Distributed Denial of Service (DDoS

حملات DDos را میتوان مهلک ترین نوع از حملات Dos دانست. این نوع حمله بسیار شبیه حمله ping flood است اما با این تفاوت که از چندین کامپیوتر استفاده می شود. در این روش هکر یک دستگاه آلوده را به عنوان دستگاه اصلی(Master) به کار می برد و حمله را در سایر دستگاهها که zombie نامیده می شوند هماهنگ می نماید.

سرویس و منابع مورد حمله ، (قربانی های اولیه) و کامپیوتر های مورد استفاده در این حمله (قربانی های ثانویه) نامیده می شوند. حملات DDoS عموماً در از کار انداختن سایت های کمپانی های عظیم از حملات DoS مؤثرتر هستند.

 

روشهای ایجاد امنیت در شبکه

کنترل دسترسی

مدیران شبکه میبایست شناخت کافی از کاربران و تجهیزاتی که از منابع شبکه استفاده میکنند داشته باشند و با استفاده از این اطلاعات و اجرای سیاستهای امنیتی و کنترل دسترسی کاربران جهت دسترسی به منابع شبکه از حمله هکرها و مهاجمان جلوگیری کنند . پس به اختصار میتوان گفته به فرایند کنترل دسترسی به شبکه Network Access Control (NAC) گفته میشود.

 

آنتی ویروس

نرم‌افزار ضدویروس که با نام‌های ویروس‌یاب و ویروس‌کش و ضد بدافزار هم شناخته می‌شود یکی از ابزارهای مهم جهت مبارزه با انواع ویروسها ، کرم ها و تروجان ها و به طور کلی کدهای مخرب می باشد.ضد ویروس با استفاده از راهکاری با نام Signature Matching اقدام به شناسایی ویروسها میکند. در این فرایند با توجه به ماهیت ویروس ها که شامل کدهایی مخرب است آنها را شناسایی میکند. نرم‌افزار آنتی‌ویروس سه وظیفه عمده را انجام می‌دهند:

۱. بازرسی یا کشف

۲. تعیین هویت یا شناسایی

۳. آلودگی‌زدایی یا پاکسازی

 

امنیت نرم افزار

هر نرم افزاری که شما برای کسب و کار خود استفاده میکنید باید از لحاظ امنیتی قابل اعتماد باشد . این خیلی مهم است که این نرم افزار را کارکنان IT شما می نویسند یا آن را میخرید ! متاسفانه ممکن است هر برنامه که تهیه میکنید دارای حفره های امینتی باشند که راه را برای نفوذ مهاجمان به شبکه باز میکند. امنیت نرم افزار شامل سخت افزار ، نرم افزار و پردازشهایی جهت بستن حفره های امنیتی

 

تجزیه و تحلیل رفتار ترافیک

تجزیه و تحلیل ترافیک توسط تیم امنیتی میتواند یکی از روشهای مناسب جهت امن سازی شبکه و تشخیص رفتارهای غیر طبیعی در شبکه باشد.

 

پشتیبان گیری مطمئن اطلاعات

در گذشته پیشگیری از دست دادن اطلاعات (Data Loss Prevention) یکی از مباحث مهم بود اما امروزه فن آوری های جدید پشتیبان گیری اطلاعات این قابلیت را به ما میدهد که ما بتوانیم از اطلاعات سازمان خود پشتیبان بگیریم و آنها را با روشهای رمزنگاری از دست سودجویان محفوظ نگاه داریم.

 

فایروال ها

فایروال یک دیواری است ما بین شبکه مورد اعتماد ما و شبکه های خارج غیر قابل اطمینان مانند اینترنت که با استفاده از مجموعه ای از قوانین تعریف شده ،ترافیک تبادلی را کنترل میکند.دیوار آتش یکی از مهمترین لایه‌های امنیتی شبکه‌های کامپیوتری است که عدم آن موجب می‌شود هکرها و افراد خراب کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند.

 

لینک های مفید

آدرس

Address:
تهران - خیابان مطهری, خیابان شهدا, پلاک 29 واحد 1
تلفن:
021-91001404     09125403907
فکس:
(021) 77159420
وب سایت:
www.tirazhenetwork.ir
ایمیل:
info[at]tirazhenetwork.ir

درباره ما

شرکت شبکه پرداز تیراژه ارئه کننده راهکارهای جامع فن اوری اطلاعات و ارتباطات پیشرو در ارائه خدمات شبکه ، مجازی سازی ، امنیت شبکه و تجهیزات ذخیره سازی با استفاده از تیم فنی متخصص و دارای مدارک بین المللی اماده ارائه خدمات به سازمان ها و شرکت های خصوصی و دولتی میباشد .

شبکه های اجتماعی