آموزش برنامه نویسی ، اموزش برنامه نویسی اندروید

تبلیغات

دسته‌ها


امنیت شبکه یک سیستم استReviewed by فیروزه اکبری on Jan 4Rating: 5.0معماری امنیت شبکه - امنیت شبکه یک سیستم استمعماری امنیت شبکه - امنیت شبکه یک سیستم است

network

امنیت شبکه یک سیستم است.

امنیت شبکه یک سیستم است. نمی توان آن را معادل حفاظ (firewall)، IDS ، (Virtual Private Network)VPN ، یا (Authentication, Authorization,Accounting) AAA دانست. امنیت چیزی نیست که بتوانید از سیسکو یا سایر شرکتها خریداری کنید. البته محصولات امنیتی جای خود را در این سیستم دارند. اما امنیت شبکه فراتر از این محصولات است. امنیت با یک “سیاست امنیتی” شروع می شود و سپس دو شاخه می شود. افرادی که باید این سیاستها را رعایت کنند، و افرادی که باید  بر اجرای آن نظارت داشته باشند. سرانجام کار، اعمال تغییراتی در زیرساختهای شبکه است.

به عنوان مثال حملات کرمهای شبکه را که در سال ۲۰۰۱ شدت یافت در نظر بگیرید. کرمی نظیر Code Red در ۲۴ ساعت اول بیش از ۳۴۰۰۰۰ میزبا ن را آلوده کرد. اگرچه کرم ها پدیده جدیدی نبودند و بسیاری از این میزبان ها به وسیله حفاظ محافظت می شدند، اما از آنجا که اغلب این حفاظ ها به بررسی دقیق بسته ها نمی پرداختند و چون حمله روی پورت ۸۰ کار می کرد به آنها اجازه ی عبور می دادند ، Code Red توانست از حفاظها عبور کند. حتی حفاظ هایی که بسته ها را به دقت بررسی می کردند هم از این حمله مصون نبودند، چون حمله ی Code Red جدید و ناشناخته بود. با عبور این کرم از حفاظها، هیچ چیز مانع از تهاجم Code Red به شبکه ی داخلی نمی شد. یک سیستم قادر بود با Code Red مقابله کند، اما حفاظ به تنهایی از هیچ شانسی برخوردار نبود.

حال ببینیم مفهوم سیستم در رابطه با امنیت شبکه چیست. به طور کلی سیستم امنیت شبکه به صورت زیر تعریف می شود:

مجموعه ای از ابزارها و فناوری های شبکه به همراه روش های پذیرفته شده که در همکاری با یکدیگرامنیت دارایی های اطلاعاتی را تأمین می کنند.

مهمترین واژه در این تعریف ، ” همکاری” است. اگرچه هر یک از ابزارها می توانند به تنهایی یا در کنارهم بخشی از امنیت را تأمین کنند، اما برای رسیدن به سطح مطلوبی از امنیت به همکاری ابزارها، فناوری ها و رفتارهای صحیح(رعایت توصیه ها) نیاز داریم. برخی از متخصصین امنیت اطلاعات این مفهوم را “دفاع چندلایه” می نامند. یکی از راه های بررسی کیفیت امنیت یک سیستم آن است که تعیین کنید در برابر هر حمله، چند لایه دفاعی وجود دارد. چنین تحلیلی در سطوح ابتدایی طراحی شبکه های امن مفید است، اما کمی که پیش رفتید و تمام لایه های دفاعی را چیدید، باید تعیین کنید که طرح به دست آمده در برابر چند نوع حمله مقاوم است.

به عنوان مثال اجازه دهید کرم پورت ۸۰ را بار دیگر بررسی کنیم. چه عناصری از سیستم امنیتی می توانند حمله به سرور وب توسط یک کرم مبتنی بر HTTP را خنثی کنند؟ لیست زیر این عناصر را ذکر میکند:

  • حفاظی که به درستی پیکربندی شده باشد می تواند مانع از آسیب رساندن یک سرور وب تسخیر شده (compromised) به سایر بخش های شبکه گردد.
  • LAN های مجازی خصوصی (Private Virtual LAN)(PVLAN ها نه VLAN های عادی) می توانند مانع از آلوده شدن سیستم های شبکه توسط سرور وب شوند.
  • NIDS (Network IDS) می توانند تلاش برای آلوده سازی سرور وب را کشف و خنثی کند.
  • HIDS (Host IDS) می تواند همان عملکرد NIDS را داشته باشد، اما مزیت HIDS آن است که به میزبان نزدیک تر است و عموما به معنای در اختیار داشتن اطلاعات بیشتر از حمله است.
  • ضد ویروسها می توانند کرم ها و سایر کدهای مضر را تشخیص دهند، مشروط بر آنکه پایگاه داده ی علائم (Signature database) آنها به روز شده باشد.

همه عناصر فوق در همکاری با یکدیگر مانع از وقوع حمله می شوند. اگرچه هر عنصر نمی تواند به طور قطعی کرمهای مبتنی بر HTTP را متوقف کند، اما با یک بررسی ساده ی احتمالی مشخص می شود که وقتی از چند لایه ی دفاعی استفاده می کنید، امکان خنثی شدن حمله افزایش می یابد.

ارزش اصلی سیستم امنیتی وقتی مشخص می شود که بتواند در برابر حملات ناشناخته مقاومت کند. مثلا یکی از وقایع امنیتی زیر را در نظر بگیرید:

  • کرم Moris نخستین کرم سال ۱۹۸۸
  • ابزارهای اختفا و جعل IP در دهه ی ۱۹۹۰
  • حملات DDoS در سال ۲۰۰۰
  • کرم های HTTP در سال ۲۰۰۱
  • SQL Slammer و MS Blaster در سال ۲۰۰۳

این حملات به ما چیزهای بسیاری آموختند. تنها از طریق این “آموزش دردناک” است که کاستی های امنیتی خودی نشان می دهند. اگرچه هیچ راهی برای اجتناب از این نوع آموزش وجود ندارد، اما می توان با طراحی سیستم امنیتی به گونه ای که با گستره ی وسیعی از حملات مقابله کند، مشکلات را به حداقل رساند. در حقیقت یکی از معیارهای موفقیت یک سیستم امنیتی، میزان تغییراتی است که باید در صورت کشف حملات جدید به آن اعمال شود.

نیازهای کاری که باید در اولویت قرار بگیرند

برای اعمال هر تغییر جدید در سیستم امنیتی، سه عامل را باید مد نظر قرار دهید. این عوامل که در شکل زیر نشان داده شده اند، عبارتند از: اهداف کاری، سیاست امنیتی و طرح امنیتی.

معماری امنیت اطلاعات

آنچه این اصل می گوید آن است که اگر بین نیازهای کاری و مسائل امنیتی تناقضی وجود داشت، کدام یک در اولویت قرار می گیرد؟ پاسخ ساده است. نیازهای کاری باید در اولویت قرار بگیرند. خوب، مسأله این است: اگر نیازهای کاری را در اولویت قرار دهیم، چه بر سر امنیت سیستم می آید؟ اصلا در آن صورت چه نیازی به متخصصین امنیتی داریم؟

در اینجا دو شگرد وجود دارد که مسأله را حل می کند:

  1. رابطه بین اهداف کاری، سیاست امنیتی و طرح امنیتی نوعی “همزیستی” است. اگرچه روند کار از بالا به پایین است، اما باید فلشهایی از پایین به بالا هم کشیده شود. وظیفه طراح امنیتی آن است که مطمئن شود ملاحظات امنیتی در طرح کاری گنجانده شده اند.
  2. در روش های طراحی امنیتی موفق، پیش بینی هایی برای اعمال تغییرات در آینده گنجانده شده است. به این ترتیب هر بار که نیازهای کاری تغییر می کند، نیازی نیست که طراحان امنیتی را فرابخوانید تا سیستم امنیتی را از نو طراحی کنند. یکی از بهترین روش ها ، به کارگیری طراحی پیمانه ای است که طرح را به بخشهای مجازی تقسیم می کند. در صورت نیاز به تغییر لازم نیست همه ی بخش ها تغییر کند.

برگرفته از کتاب معماری امنیت شبکه؛ مرجع تخصصی طراحی شبکه امن

نوشته شون کانوری و ترجمه محمد صادق دوستی

 

در آینده خواهیم گفت:

“طراحی شبکه امن مستقل از طراحی شبکه نیست”

 

 

مشخصات

دانـــــلود

  • 406

برچسب ها

مطالب پیشنهادی ما

دیدگاه های شما

پاسخ دهید

فرادرس، بزرگ ترین دانشگاه آنلاین ایران
آموزش مبانی برنامه نویسی
آموزش جاوا
آموزش سی شارپ
آموزش شی گرایی در سی شارپ
آموزش ویژوال بیسیک دات نت
آموزش PHP
آموزش پایتون
آموزش برنامه نویسی C
آموزش برنامه نویسی C++
آموزش برنامه نویسی اندروید
آموزش وردپرس
آموزش برنامه نویسی