امنیت

چگونه امنیت یک شبکه کامپیوتری را تامین کنیم؟

پیاده‌سازی یک مکانیزم امنیتی گسترش‌پذیر و کارآمد در یک شبکه، مستلزم به‌کارگیری یک طراحی مناسب و منطبق بر نتایج به‌دست‌آمده از تحلیل ریسک‌ها و خط‌مشی‌های حاکمیتی است.

مکانیزم‌های امنیتی شبکه اولین سد دفاعی برای محافظت از منابع سیستمی در برابر تهدیدات خارجی همچون کدها و اسکریپت‌های مخرب و هکرها است.

مکانیزم‌های امنیتی مهم برای دفاع در برابر تهدیدات سایبری دیوارهای آتش، سامانه‌های شناسایی و پیشگیری از نفوذ، شبکه‌های خصوصی مجازی و سامانه‌های بررسی محتوای فایل‌ها (ضدویروس‌ها، ضدبدافزاری، ضد هرزنامه‌ها و مسدودکنندگان آدرس‌های اینترنتی هستند.)

ترکیب را‌ه‌حل‌های سخت‌افزاری و نرم‌افزاری مانع از آن می‌شود تا هکرها بتوانند به‌سادگی به سیستم‌عامل، بانک‌های اطلاعاتی و نسخه‌های پشتیبان از اطلاعات دسترسی پیدا کرده و اطلاعات را ویرایش، سرقت یا پاک کنند.

برای‌آنکه بتوان یک سیستم امنیتی گسترش‌پذیر و ایمن را برای یک شبکه متوسط یا بزرگ طراحی کرد، لازم است ریسک‌های سازمان به‌درستی شناسایی شده و خط‌مشی‌های امنیتی متناسب با اهداف سازمان تدوین شوند.

خط‌ مشی‌ها و اصول امنیتی

به‌طورکلی، خط‌مشی‌ها و اصول امنیتی که اجازه می‌دهند از سامانه‌های فناوری اطلاعات و شبکه یک سازمان محافظت کرد شامل موارد زیر می‌شوند:

دفاع یکپارچه و همه‌جانبه

همان‌گونه که در شکل زیر مشاهده می‌کنید برای محافظت از منابع فناوری اطلاعات به لایه‌های امنیتی مختلفی نیاز دارید. در دکترین امنیتی دفاع همه‌جانبه شامل رعایت موارد زیر می‌شود:

محافظت مبتنی بر لایه

در یک خط‌مشی امنیتی درست، لایه‌های امنیتی مکمل یکدیگر هستند. به عبارت دقیق‌تر، اگر یک‌لایه موفق نشود یک تهدید را شناسایی کند، لایه دیگر قادر به انجام این کار است.

دفاع در چند مکان مختلف

مکانیزم‌های دفاعی و امنیتی باید در مکان‌های مختلفی از شبکه قرار بگیرند تا نواقص یکدیگر را پوشش دهند.

پیاده‌سازی مکانیزم‌های امنیتی متفاوت از یکدیگر

زمانی که قرار است دولایه با کارکردی یکسان در یک شبکه پیاده‌سازی شوند، به طور مثال دو دیوارپوش، بهتر است از محصولات دو شرکت مختلف استفاده شود. دقت کنید روش فوق پیچیدگی برنامه امنیتی را زیاد کرده و هزینه مدیریت و نگه‌داری را افزایش می‌دهد. به همین دلیل این قاعده باید بادقت هرچه‌تمام‌تر اجرایی شود

‌طبقه‌بندی اطلاعات

منابع سیستمی فناوری اطلاعات سطوح مختلفی از حساسیت، آستانه تحمل و ریسک‌پذیری در برابر تهدیدات دارند. در نتیجه میزان حساسیت آن‌ها در برابر تهدیدات یکسان نیست و این مسئله باید در زمان تدوین خط‌مشی امنیتی لحاظ شود.

برای پاسخ‌گویی به این مسئله اصل پنهان‌سازی اطلاعات به‌عنوان یکی از مولفه‌های کلیدی امنیت گسترش پیدا می‌کند تا تجهیزات فناوری اطلاعات تنها داده‌هایی که موردنیاز دستگاه‌ها و کارمندان است در دسترس قرار گیرند.

در این زمینه می‌توان به سرورهای ارائه‌دهنده سرویس برای اینترنت اشاره کرد که تنها در سامانه نام دامنه عمومی ثبت می‌شوند.

اصل حداقل امتیاز

کارمندان و تکنسین‌های سیستمی که با سامانه‌های فناوری اطلاعات در تعامل هستند باید حداقل امتیازات لازم برای دسترسی به اطلاعات و سامانه‌ها را داشته باشند تا عملکرد شبکه در وضعیت مطلوب قرار گیرد.

قاعده فوق در ارتباط با داده‌ها و سرویس‌هایی که قرار است در دسترس کاربران خارجی یا شرکای شرکت قرار گیرد نیز صادق است.

یکی از موارد مهمی که در اصل حداقل امتیاز باید به آن دقت کرد این است که امتیازات تخصیص‌داده‌شده به کاربران و مدیران فناوری‌ اطلاعات باید متناسب با نقش و وظایف اجرایی آن‌ها باشد. ‌

ضعیف‌ترین عنصر موجود در زنجیره امنیت

سطح ایمنی سامانه‌های فناوری اطلاعات در برابر تهدیدات به ضعیف‌ترین عنصر موجود در این حلقه بستگی دارد. کارشناسان امنیتی می‌دانند که همواره باید به اصل SPOF سرنام Single Point of Failure توجه خاصی داشته باشند. اصل فوق در ارتباط با دسترس‌پذیری سرویس‌های شبکه است.

مطابق با این اصل تمامی لینک‌ها، تجهیزات شبکه و امنیت، سرورهای موجود در شبکه که نقش پلی برای برقراری ارتباط میان کاربران و منابع مهم را ایفا می‌کنند باید در پیکربندی‌های مربوط به افزونگی موردتوجه قرار گیرند. در زمان پیاده‌سازی مکانیزم امنیتی شبکه لازم است تا قواعد مهمی همچون تفکیک وظایف و گردش شغلی موردتوجه قرار گیرد.

این اصول باهدف محدودکردن توانایی کارمندان در نادیده‌گرفتن دستورالعمل‌ها یا نقض خط‌مشی‌های امنیتی به کار گرفته می‌شوند. تفکیک وظایف بیانگر این موضوع است که وظایف و عملکردهای مهم در هر بخش باید توسط دو یا چند کارمند محدود انجام شود.

گردش شغلی نیز اعلام می‌دارد کارمندان نباید در یک سازمان برای مدت‌زمان مدیدی در یک پست باقی بمانند و لازم است به طور متناوب جایگاه شغلی آن‌ها تغییر کند.

تقسیم‌بندی حوزه‌های امنیتی

دیوارهای آتش اصلی‌ترین مکانیزم دفاعی در برابر تهدیدات هستند که جریان ترافیک شبکه را زیر نظر گفته و محدودیت‌هایی در ارتباط با ارسال یا دریافت داده‌ها ایجاد می‌کنند. دیوارهای آتش زمانی که همراه با سمانه‌های تشخیص نفوذ و فهرست‌های کنترل دسترسی در سوئیچ‌ها و روترها استفاده شوند یک‌لایه امنیتی قدرتمند به وجود می‌آورند.

اگر دیوارهای آتش به شکل درستی استقرار پیدا کرده و پیکربندی شوند، شبکه‌های بزرگ به زیرشبکه‌های کوچک‌تر تقسیم شوند و تقسیم‌بندی حوزه‌های امنیتی متناسب با قواعد استاندارد انجام شود، زیرساخت‌های ارتباطی شبکه توسط یک معماری امنیتی قدرتمند محافظت خواهند شد. در دکترین طراحی امنیت شبکه، اصل تقسیم‌بندی قواعد زیر را شامل می‌شود:

  • منابع سامانه‌های فناوری اطلاعات با سطوح مختلف حساسیت باید در حوزه‌های امنیتی مختلفی قرار گیرند.
  • تجهیزات و سامانه‌های ارائه‌دهنده خدمات به شبکه‌های خارجی همچون اینترنت باید در حوزه‌های مختلفی همچون De-Militarized Zone قرار گیرند تا اگر حمله‌ای انجام شود، سامانه‌ها و تجهیزات داخلی شبکه آسیب‌ نبینند.
  • منابع کلید و مهم فناوری اطلاعات باید در حوزه‌های امنیتی ویژه‌ای قرار گیرند.
  • تجهیزات و سامانه‌هایی که قابلیت اطمینان پایینی دارند همچون سرورهای دسترسی از راه دور و نقاط دسترسی بی‌سیم در شبکه باید در حوزه‌های امنیتی خاصی استقرار یابند.
  • منابع سیستمی مختلف فناوری اطلاعات باید در حوزه‌های امنیتی جداگانه از یکدیگر قرار گیرند تا در صورت بروز حمله آسیب‌دیدگی به حداقل برسد.
  • ایستگاه‌های کاری کارمندان باید در حوزه‌های امنیتی خاصی مستقر شوند.
  • سامانه‌های مدیریت امنیت و شبکه باید در حوزه‌های امنیتی خاص قرار گیرند.

پیشگیری از نفوذ

تجهیزاتی همچون سامانه‌های پیشگیری از نفوذ، دیوار آتش تحت برنامه (WAF) و…. مسئولیت شناسایی و مسدودکردن نفوذها و حملاتی را عهده‌دار هستند که توسط هکرها و برنامه‌های مخرب پیاده‌سازی می‌شوند.

سامانه‌های فوق باید در مسیر شبکه داخلی و شبکه خارجی و همچنین منابع حساسی که احتمال نفوذ به آن‌ها وجود دارد نصب شوند. باتوجه‌به این‌که ممکن است هکرها حملات مبتنی بر نشست‌های رمزگذاری شده را پیاده‌سازی کنند باید این مسئله توسط سامانه‌های IPS موردتوجه قرار گیرد.

در حالت معمول، سامانه IPS نمی‌تواند نشست‌های رمزگذاری شده را بررسی کند، به همین دلیل اگر نشست‌ها قبل از رسیدن به IPS رمزگشایی شوند، این امکان وجود دارد تا مانع شکل‌گیری برخی از حملات شد.

در یک مکانیزم امنیتی خوب شبکه‌های داخلی به شکل مستقیم به اینترنت دسترسی ندارند، زیرا هکرها ممکن است از طریق یک حمله فیشینگ تروجانی برای یک ایستگاه کاری ارسال کنند و سامانه کاربر را قربانی کنند.

در چنین شرایطی اگر شبکه داخلی در پشت یک دیوار آتش پنهان شده باشد، هکر قادر نخواهد بود به شبکه داخلی دسترسی پیدا کند. شکل زیر نحوه پیاده‌سازی چنین مکانیزمی را نشان می‌دهد.

در شکل زیر سرویس‌های اینترنتی برای کاربران تنها از طریق ایمیل سازمانی و سرورهای مبتنی بر HTTP Proxy در دسترس هستند

‌‌در تحلیل ریسک‌ها و طراحی امنیت، همواره تأکید بر ارزشمندترین منابع فناوری اطلاعات همچون سامانه‌های ارائه‌دهنده خدمات یا پشتیبان است.

با این‌ حال، نباید از ایمن‌سازی منابع و تجهیزات دیگر غافل شد. برخی از کارشناسان امنیتی از راهکار Island Hopping برای مقابله با حملات سایبری استفاده می‌کنند.

Island Hopping روی این اصل مهم تأکید دارد که کسب مجوز دسترسی غیرمجاز به حوزه‌های محافظت شده از طریق نقاط ضعیفی انجام می‌شود که برای سازمان حائز اهمیت نیستند.

به همین دلیل از این نقاط به‌عنوان نقطه شروعی برای نفوذ و دسترسی به منابع ارزشمندتر و محافظت شده یک سازمان استفاده می‌شوند. شناسایی و پاسخ‌گویی به حوادث و نقص‌های امنیتی باید در کوتاه‌ترین زمان ممکن انجام شود و در زمان تدوین برنامه امنیتی باید به موارد یاد شده اشاره شده باشد.

به طور مثال، باید شرایطی همچون یک حمله مبتنی بر آسیب‌پذیری روز صفر در نظر گرفته شود. حمله‌ای که بر مبنای آن سامانه پیشگیری از نفوذ قادر به شناسایی آن نیست و در نتیجه یک هکر به‌راحتی موفق می‌شود به زیرساخت ارتباطی یک شبکه نفوذ کند.

به همین دلیل باید یک چنین شرایطی خاصی در برنامه امنیتی موردبررسی قرار گرفته و تمهیدات لازم در نظر گرفته شده باشد. همچنین فراموش نکنید مسئولان دپارتمان امنیت باید گزارش‌ها و هشدارها را به طور مرتب بررسی کرده، ترافیک و فعالیت‌های روزمره در شبکه را زیر نظر گرفته و با اصول مدیریت شبکه‌های محلی مجازی آشنا باشند.

مقالات مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا