مقاله پایانی دوره امنیت شبکه (جهت دریافت مدرک Network Security از موسسه ICS کانادا)
نوشته شده توسط بهادر اکرمی در 28 اکتبر 2013Network Security (امنیت شبکه): مجموعه ای از فعالیتهایی است که شبکه را در برابر هرگونه نفوظ و یا تهدید احتمالی از درون یا بیرون شبکه محافظت میکند این محافظت هم از نظر فیزیکی (سخت افزاری) و هم از نظر نرم افزاری و برقراری ارتباط بین کامپیوترها در شبکه میباشد.
برخی از تجهیزاتی که در شبکه باید مورد حفاظت قرار گیرند:
سخت افزاریهای شبکه، اطلاعات نرم افزاری شبکه، کلیدهای رمز، پایگاههای دادهای، گذرگاههای مورد استفاده در شبکه، اطلاعات در حال تبادل در هر لحظه از زمان، اطلاعات و چگونگی استفاده از منابع شبکه مورد استفاده کاربران
حمله
هرگونه تلاش با درجه خطر بالا یا پایین که به گونهای منجر به تغییر یا استفاده از منابع قابل دسترسی از طریق شبکه به صورت مجاز یا غیر مجاز شود را حمله میگویند. این حمله میتواند توسط درون شبکه توسط افراد خودی یا بیرون از شبکه توسط هکرها صورت پذیرد.
عموماً حملهها به سه دسته ذیل تقسیمبندی میشوند:
- دسترسی غیر مجاز به منابع و اطلاعات از طریق شبکه
- دستکاری غیر مجاز اطلاعات در حال انتقال بر روی خطوط شبکه
- حملات ایجاد اختلال در ارائه سرویس (Denial of Service) DOS
حملات به دو طریق انجام میگیرد:
۱- حملات غیر فعال : دارای ماهیت استراق سمع و یا شنود اطلاعات انتقال یافته می باشد. هدف اینگونه حمله دسترسی به اطلاعات است و به دو مدل ذیل تقسیم میگردد:
الف)- افشای محتویات پیام
ب)- تحلیل ترافیک
۲- حملات فعال : شامل ایجاد تغییر در جریان اطلاعات و یا تشکیل جریان جدیدی از داده می باشد.
حملات عموماً به چهار دسته نقاب دار، باز خوانی، تغییر پیام و انکار سرویس تقسیم میشوند.
دفاع و امنیت: ثابت کردن محرمانگی دادهها، نگهداری جامعیت دادهها، اطمینان از در دسترس بودن دادهها، اهداف کلی ایجاد امنیت در شبکه میباشند.
تحلیل خطر: در حالت ایده آل باید یک شبکه را در مقابل تمامی خطرات مورد حفاظت قرار داد. به این منظور باید ارزیابی دقیقی از انواع خطرات انجام داد.
احتمال به وقوع پیوستن حمله و خسارات وارده در صورت انجام حمله موفق از دو فاکتور اصلی در تحلیل خطر در شبکههای کامپیوتری میباشند.
سیاست امنیتی: سیاست امنیتی باید به گونه ای تعریف شود که احتمال خطرات و میزان خسارت به حداقل رسد. چه چیزی و چرا باید محافظت شود، چه کسی مسئولیت حفاظت را بر عهده دارد و زمینه ای بوجود آید که هرگونه تضاد احتمالی بر طرف کند سه نقش اصلی سیاست امنیتی در شبکه میباشد.
سیاستهای امنیتی به دو دسته کلی مجاز و محدود کننده تقسیم میگردند. و با تعریف این سیاستهای امنیتی یک طرح امنیتی شبکه شکل میگیرد که شامل بخشهای کلمه عبور امنیتی و یا بکار گیری SSH، فایروالها، مجتمع کنندهها، تشخیص نفوذ، سرورهای امنیتی AAA و سایر خدمات AAA برای شبکه، مکانیزمهای کنترل دسترسی و محدود کننده دسترسی میباشد.
تجهیزات و دستگاههایی که بیشترین امنیت را نیاز دارند ، سرورهایی که فقط از سوی کاربران داخلی در دسترس هستند و سرورهای عمومی که در منطقهای جدا و بدون امکان دسترسی هستند نواحی امنیتی یک شبکه میباشند.
معماری امنیت OSI : معماری یک شبکه بسته به نیاز امنیتی آن تغییر می یابد. برای تعیین نیاز های امنیتی یک سازمان و برای ارزیابی و انتخاب خط مشی ها و محصولات امنیتی مختلف ، مدیر مسئول امنیت ، نیاز مند یک روش سیستماتیک برای تشخیص نیاز های امنیتی و مشخص کردن روش های تامین این نیاز هاست.
معماری امنیت بر سه سرویس کلی حمله امنیتی، مکانیسم امنیتی و سرویس امنیتی تمرکز دارد . که هدف این سرویسها مقابله با حملات می باشد.
سرویسهای امنیتی : سرویس امنیتی یک سرویس ارتباطی و یا پردازشی است که توسط یک سیستم ایجاد شده تا نوعی امنیت تعریف شده از حفاظت را برای منابع سیستم بوجود آورد.
اعتبار سنجی: اعتبار سنجی سبب ایجاد اطمینان در برقراری ارتباطات شبکهای میشود.
کنترل دستیابی : قابلیت محدود کردن و کنترل دستیابی به سیستمهای میزبان و کاربردها از طریق پیوند ارتباطی است.
محرمانگی دادهها : یعنی حفاظت از اطلاعات در حال انتقال بر روی خطوط شبکه در برابر حملات غیر فعال.
سرویس قابلیت دسترسی : قابلیت دسترسی یک خاصیت و یا یک منبع میباشد که در صورت تقاضا از سوی یک واحد مجاز و بر اساس مشخصه های عملکرد ، سیستم و منابع آن آماده ی سرویس دهی باشند.
راهکار های امنیتی ویژه عبارتند از رمزنگاری، امضای دیجیتال، کنترل دستیابی، تمامیت دادهها، مبادله احراز هویت و …
راهکارهای امنیتی فراگیر عبارتند از عملکرد قابل اعتماد، برچسب امنیتی، تشخیص رویداد، نظارت بر رویداد و ترمیم امنیت
شخص ثالث مورد اعتماد یک مدل از امنیت شبکه میباشد که طراحی الگوریتم مناسب برای رمز نگاری داده های محرمانه، تولید کلیدهای مورد نیاز طرفین، استفاده از روش مناسب برای توزیع و توافق روی اطلاعات مخفی و طراحی یک پروتکل مناسب برای ارتباط و تبادل امن داده های طرفین شرایط استفاده از آن میباشد.
استاندارد های اینترنت و انجمن اینترنت
اسناد RFC مجموعه وسیعی از نکات تکنیکی و منسجم ثبت شده میباشد که حول محور اینترنت و مسایل مربوط به آن ایجاد شدهاند و شامل سه گروه کلی استانداردها، استانداردهای پیش نویس و استانداردهای پیشنهادی میشود و اصولاً روال تکاملیRFCها از پیشنهاد شروع میشود.
RFCها به چهار دسته آزمایشی، اطلاعاتی، تاریخی و قدیمی طبقهبندی میشوند و دارای سه زیرمجموعه مهم مجموعه استاندارد، Best Current و (BCP ) و ( FYI ) میباشند
رمز نگاری
مهم ترین وسیله خودکار مورد استفاده در امنیت شبکه و امنیت اطلاعات ، رمز نگاری می باشد و به دوشکل مرسوم رمزنگاری رسمی یا متقارن و رمزنگاری کلید- عمومی یا نامتقارن است.
طرح رمزنگاری متقارن دارای پنج جز متن ساده، الگوریتم رمز نگاری، کلید سری، متن رمز شده و الگوریتم رمز گشایی می باشد.
مهمترین رمزهای قالبی متقارن استاندارد رمز نگاری دیتا، سه گانه و استاندارد رمز نگاری پیشرفته میباشند.
محل استقرار تجهیزات رمز نگاری :
در استفاده از رمزنگاری لازم است تصمیم بگیریم چه چیزی را رمزنگاری کرده ایم و لوازم مربوط به رمز نگاری کجا قرار داده شده است. که در این مورد دو انتخاب کلی وجود دارد رمزنگاری پیوند و رمز نگاری سر به سر که در عرض یک شبکه سوئیچ استفاده میشوند.
بخش چهارم کاربر اعتبار سنجی:
پروتکل کربروس (Kerberos): (برگرفته از نام سگ سه سر- یکی از اساطیر یونان باستان) وظیفه این پرتکل سنجش اعتبار در شبکههای کامپیوتری است و برای انجام اعتبار سنجی قوی در برنامههای سرویس دهنده و سرویس گیرنده (Server/Client) گنجانده شده و دید این پرتکل به شبکه به صورتی است که شبکه را یک مکان نا امن و خطرناک میداند و اطلاعات ارسالی در شبکه را اطلاعاتی قابل تغییر و ویرایش میداند. هدف کربروس ایجاد یک شناسایی دو طرفه به سرویس دهنده و سرویس گیرنده است. دلیل انتخاب این نام برای کربروس سه لبه یا سه سر بودن این پروتکل میباشد (سرویس گیرنده، سرویس دهنده و اعتبار بین دو مورد قبل (Trust میانی) که KDC نامیده میشود.) امروزه از این پروتکل بصورت گسترده در Win Server 2008 R2 استفاده میشود.
Kerberos 5 و پروتکل NTLM دو انتخاب برای بررسی اعتبار کاربران درWin2000 میباشد.
کارامدتر بودن، دوطرفه بودن، اعتبار سنجی تفویض شده، سادگی مدیریت اعتبار و قابلیت تعامل مزیتهای سنجیدن اعتبار به وسیکه کربروس است.
IETF استاندارد سنجش اعتبار کربروس میباشد که در مؤسسه MIT پایه گذاری گردید، پروتکل کربروس به شدت بر پایه تکنیکهای سنجش اعتبار از قبیل رمزهای مشترک بنا نهاده شده است و مفهوم اصلی آن این است که اگر دو نفر رمزی را بداند آنها میتوانند دیگری را با رمزی که از وی دارند شناسایی کنند.
Authenticator یک پرتکل ساده است که از سنجش اعتبار کلید رمز استفاده میکند و برای شخصی که از بیرون میخواهد وارد سیستم شود استفاده میشود و شخص خارجی هربار که اجازه ورود میخواهد باید دارای کلید جدید برای Authenticator باشد.
KDC سرویسی است که بصورت فیزیکی روی یک سرور امن و محافظت شده در حال اجراست KDC یک بانک اطلاعاتی از مشخصات کاربران و قوانینی که در ناحیه خود دارند را در خود نگه میدارد (Domain در ویندوز K2 یک نمونه از این سرویس است)
Ticket Session (مجوز ورود): یکی از مزایای استفاده از مجوز ورود این است که سرور لازم نیست کلید نشستی که برای ارتباط با کاربر استفاده میکند را ذخیره کند. این مسئولیت سرویس گیرنده است که Ticket را برای سرور در Cache گواهینامه خود نگه دارد و برای هربار دسترسی به سرور آنرا ارائه دهد. هرگاه سرور یک مجوز ورود از سرویس گیرنده دریافت کند میتواند از کلید رمز برای رمز گشایی و استخراج کلید نشست استفاده کند و سرور نیازی به نگهداری کلید نشست ندارد.
زیر ساخت عمومی کلید: وجود شخص سومی در معاملات امروزه امری عادی تلقی میشود چرا که گاها شخص سوم میتواند بعنوان ناظر یا مجری ارتباط ظاهر گردد مانند بنگاههای معاملاتی و غیره، در دنیای دیجیتال این شخص سوم PKI (Public Key Infrastructure) خوانده میشود (زیر ساخت عمومی کلید) چیزی که در دنیای دیجتال عموم Stationها برای ارتباط با یکدیگر میتوانند از آن استفاده کنند.
مرکز صدور امضای دیجیتال مکانی است که کاربران میتوانند از طریق آن گواهینامههای الکترونیکی در جهت امضای دیجیتال اسناد دریافت نمایند.
CA Server، CA Console، OCSP Server، OCSP Console، LRA، Time Stamp Server و Time Stamp Console زیر سیستمهای مجزای مربوط به مولفههای نرم افزاری زیر ساخت کلید عمومی در صنایع انفورماتیک میباشند که با کارکرد این زیر سیستمها در کنار یکدیگر میتوان کار صدور گواهی را انجام داد و وقتی سه زیر سیستم (CA, OCSP, TSS) در کنار هم قرار گیرند چهار مبحث یکپارچگی اطلاعات، محرمانگی، تشخیص هویت و عدم انکار در فضای دیجیتال قابل دسترس خواهد بود.
مدیریت کلید رمزنگاری، ایمن سازی کانالهای ارتباطی توسط پروتکل SSL/TLS، امنیت ارتباطات بیسیم، ایمن سازی کاربردهای تحت وب، ایمن سازی پست الکترونیک، ایمن سازی برنامه اتوماسیون اداری، ایمن سازی برنامههای کاربردی خاص، امنیت پایگاه داده، امکان ورود به سیستم عامل و شبکه، امنیت مستندات، امنیت کد، ایمن سازی خدمات روی ارتباطات سیار، کنترل دسترسی و طبقه بندی اطلاعات، شبکههای VPN و هویت شناسی مجموعه کاربردهای PKI در سازمانها میباشد.
امنیت در زمینه پست الکترونیک
امنیت ایمیل یک نیاز حیاتی محسوب شده و چیزی بیش از فیلترینگ ضد اسپم یا ضد ویروس را شامل میشود. کلاهبرداری Fishing، کاربران سازمانی را تهدید به سرقت رمزهای عبور آنها میکند تا بتوانند به شبکههای سازمانی دسترسی یابند.
ابزارهای امنیت ایمیل از قبیل: Iron Port C-Series و Mira point Message Server M-Series نه تنها میتوانند با کوتاه کردن دست اسپمها موجب صرفهجویی در وقت کاربران شوند، بلکه میتوانند همه مسائل امنیتی دیگر را نیز مدنظر قرار دهند و هر دو دارای راهکارهایی برای نادیده گرفتن درصد بالایی از اسپمها را دارند که در Iron Port این کارکرد Reputation Filters و در Mira Port آن را Mail Hurdle مینامند. قدرت آزمایش شده Iron Port درخصوص مهار اسپمها ۹۳ درصد اسپمهای دریافتی و Mira Port 92 درصد اسپمهای دریافتی میباشد.
Iron Port C-Series V.4.0.7-11 : ابزارهای Iron Port C-Series، دارای ویژگی طراحی شده برای کاهش لود بر روی شبکه داخلی هستند. Iron Port C-Series، برپایی آسانی دارد و ابزارهای رفع عیب و مانیتورینگ قدرتمند و کارایی ضد اسپم عالی بدون هیچ نیازی به تنظیم را ارائه میدهد و همچنین یک دسته گسترده از ویژگیهای امنیتی شامل فیلترینگ محتوا برای زبان قابل اعتراض، امنیّت اطلاعات و سازگاری با نیازهای قانونی را فراهم میسازد.
MirapointMessage Server V.3.5.9-GR: دارای دو سری ابزار است، RazorGate که یک گیتوی امنیت ایمیل میباشد و Message Server که شامل یک سرور ایمیل به همراه یک سری ویژگیهای امنیتی است. Mira point Message Server یک مجموعه غنی از قابلیتهای امنیتی ایمیل، یک سرور ایمیل و تقویم با ویژگیهای کامل را ارائه میکند. این ابزار مجموعه کاملی از ویژگیهای فیلتر سازی محتوا را فراهم میسازد که به راحتی قابل تنظیم هستند. فیلتر سازی ضد اسپم نیازمند انجام یک سری تنظیمات است تا به سطح قابل قبولی از تشخیصهای نادرست دست یابد.
امنیت IP، وب و مدیریت شبکه
استفاده از بیشتر فناوریهای نوین، از قبیل تلفنهای IPدار گرفته تا سیستمهای دارایی بهره گیرنده از فناوری شناسایی فرکانس رادیویی، امکانات نامحدودی وجود دارد، ولی تطبیق دادن مدل امنیتی سازمانها با فناوری کار بسیار مشکلی است.برای رفع خطرات و تهدیدات امنیتی شبکه چهار تکنیک و روش وجود دارد:
۱- تکنیک اول(کنترل دسترسی)
۲- تکنیک دوم(پیشگیری و محافظت)
۳- تکنیک سوم (رفع مشکل توسط عامل کمکی)
۴- تکنیک چهارم (ارائه پاسخهای پویا به مشکلات)
مدیریت شبکه: استفاده از فناوریهای نوین و متعدد و در عین حال پویا در طراحی، پیاده سازی و نگهداری شبکههای کامپیوتری نیازمند طیف دانشی وسیعی در زمینه شبکه میباشد و همچنین آشنا بودن با آخرین تکنولوژیهای روز شبکه، سیاست کلی یادگیری اصول شبکه و ایجاد توانایی مدیریت یک شبکه به شرح ذیل است:
مطالعه دقیق مباحثی مانند مدل مرجعOSI، مفاهیم پروتکل TCP/IP، پشته یا Stacks، لایه دوم و تجهیزات مرتبط با آن، Routing، سرویسها، استفاده مفید از منابع مرجع شبکهای، ایمن سازی و ایمن نگهداشتن شبکهها، خروجی و آشنایی با نحوه عملکرد برنامهها و رویههای درگیر در فرایند ارتباطی
امنیت وب: در زمینه وب باید به دلایلی که باعث هک شدن وب سایتها میشود بپردازیم که شامل موارد ذیل است:
۱- Cross site scripting یا XSS تزریق اسکریپ توسط هکرها در سایت
۲- Injection flaws : دستورات غیر مجاز را به بانکهای اطلاعاتی تزریق میکنند و معروفترین نوع آن SQL Injection است
۳- Malicious file execution: ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر
۴- Insecure direct object reference : مانند ارسال کد کاربردیا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر در اطلاعات کاربر دیگری وجود خواهد داشت
۵- Cross site request forgery : بدست گرفتن کنترل مرورگر توسط هکر و ارسال دستورات نادرست از طرف کاربر به سایت
۶- Information leakage & improper error handling : اگر خطاهای سایت به شکل مناسبی مدیریت نشود ممکن است در صفحات خطا اطلاعات مهمی نمایش داده شود
۷- Broken authentication & session management: به سرقت رفتن کوکیهای مربوط به ورود کاربر و راه جلوگیری از آن رمزنگاری اطلاعات و استفاده از SSL است.
۸- Insecure cryptographic storage: استفاده از کلید رمز ساده یا عدم رمزنگاری اطلاعات کلیدی
۹- Insecure communications: هکر در لایه ارتباطات شبکه در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند
۱۰- Failure to restrict URL access: دسترسی هکرها به برخی از صفحات خاص که دسترسی آن صفحات فقط در اختیار افراد خاصی مانند مدیر سایت میباشد
تعرض: یکی از مسائل امنیتی مهم در سیستمهای شبکهای، تعرض خصمانه و یا حداقل ناخواسته کاربران و نرم افزارهاست. تعرض کاربر میتواند بصورت اتصال غیر مجاز به ماشین و یا انجام عملیاتی فراتر از آنچه که برای او مجاز است صورت پذیرد.
تعرض در بحث نرم افزاری ممکن است به شکل ویروس، کرم و یا اسب تروا ظاهر گردد.
مهاجم نقابدار، سوء استفاده کننده و کاربر خفیه سه دسته از مهاجمین هستند که در یکی از مطالعات مهم دراین خصوص شناسایی شدهاند.
تکنیکهای تهاجم: هدف مهاجم، کسب دست یابی به سیستم و یا افزایش محدوده اختیارات وی در دست یابی به سیستم است و این امر نیازمند کسب یکسری از اطلاعات حفاظت شده دارد، اطلاعات معمولا به یکی از دو روش تابع یک طرفه و یا کنترل دستیابی و یا با هر دو روش محافظت گردد.
مهاجمین هشت روش کلی برای بدست آوردن رمزهای عبور دارند که شش روش اول آن بر پایه حدس زدن، روش هفتم بر پایه استفاده از اسب تروا و روش هشتم برپایه گذر از حفاظت فیزیکی شبکه میباشد.