طراحی یک سیستم امنیتی برای شبکه های کامپیوتری

طراحی یک سیستم امنیتی برای شبکه های کامپیوتری

یک سیستم امنيتی (به ويژه در شبكه های محلی) ملزم است تا تجهيزات تحت پوشش خود را در برابر ميليون ها كد مخرب، ميليون ها حمله اینترنتی و هزارن روش نفوذ محافظت كند. پس واضح است كه پردازش اطلاعات امنيتی در اين صورت، به بخش عظيمی از منابع و فضای عملياتی آزاد نياز خواهد داشت.حقیقت ساده اين است كه رفته رفته ارزيابی امنيتی یک فایل، در مقايسه با كليه اطلاعات امنيتی موجود و ثبت شده، موجب اشغال درصد زیادی از ظرفيت قابل دسترسی شده و سرورها يا ديسك های سخت را نیز با ذخیره حجم انبوهی از اطلاعات غیر ضروری مواجه خواهد نمود که تنها كاربرد آن ها كمك به تأمين امنیت در سیستم است.

بنابر اين، فرآيندهای امنيتی لازم الاجرا در لايه های مختلف شبكه های محلی نياز به منابع و ظرفيت های عملكردی بيشتری دارند كه در صورت تخصيص نيافتن آن، عملكردهای طبيعی و اصلی شبكه با اختلال و كندی مواجه خواهند شد.

شركت های امنيتی راهكارهای مختلفی را برای حل اين موضوع ارائه كرده اند.برای مثال مركز امنيتی Panda Security، با ايجاد ابر سرورهای تحت وب، به شبكه های سازمانی گسترده، شبكه های محلی كوچكتر و حتی كاربرهای خانگی پيشنهاد كرده است كه درصد زيادی از فرآيندهای امنيتی خود را به شكل خود كار از طريق اين سرورها پی گيری كنند. اين فرآيندهای امنيتی می توانند شامل عملكرد خودكار ضد كدهای مخرب، ضد هرزنامه، پالايش و فيلترينگ محتوا و نيز عملكرد ضد كلاهبرداری آنلاين باشد.

پاندا ادعا كرده است كه انسداد نفوذ فايل های مخرب و محتويات ناخواسته، هم چنين توقيف موارد مشكوك، ارسال آنها به ابرسرورهای پردازش اطلاعات امنيتی، تعيين قابليت تخريبی آنها و اتخاذ تدابير حفاظتی متناسب برای كليه شبكه ها و كاربران فعال در سرتاسر دنيا، از جمله اقداماتی ست كه می تواند به طور كاملاً خودكار و در جايی خارج از محيط شبكه ها و رايانه های خانگی (on-the-cloud) اجرا شود.

البته بايد منتظر ماند تا آثار و منافع اين تحول امنيتی بتواند خود را اثبات كند،‌ اما بدون شک، مقابله با ابزار مخرب و انسداد موارد مشكوک در خارج از محيط فعاليت های سازمانی قطعاً ضريب امنيت اين فعاليت ها را به حدی بالا می برد كه نياز به برنامه های حفاظتی مقيم در سرورهای محلی تا حد زيادی كاهش يافته و اين مسئله به نوبه خود منابع و ظرفيت های عملياتی در شبكه را افزايش می دهد.

اما به هر حال با وجود متحول شدن روش های حفاظتی و ابداع راهكارهای نوين، ما محكوم به استفاده از ‌نرم افزارهای سنتی و برنامه های قابل نصب در سامانه های رايانه ای هستيم و ناچاريم روزانه حتی چند نوبت آن ها را به روز كنيم تا كليه روزنه ها و رخنه های امنيتی موجود را تحت كنترل بگيريم.

با تمام اين اوصاف، بايد اعتراف كرد كه هیچ کاربر و يا مدیر شبکه ای نمی تواند به طور یقین تضمین کند که رایانه و شبکه تحت مدیریت وی با آلودگی رايانه ای مواجه نیست، حتی با این وجود که لایه های حفاظتی قدرتمندی در اختیار داشته باشد؛ اما می توان ادعا كرد كه با بهره گيری از ابزار مكمل حفاظتی (تركيبی از برنامه های قابل نصب و ابزار امنيتی تحت وب و غيرقابل نصب)، ميزان احتمال آلودگی به پايين ترين حد ممكن سقوط خواهد كرد و اطمينان مديران شبكه به بالاترين حد ممكن ارتقا خواهد يافت.

هر چند كه قلمرو تهديدهای رايانه ای به وسعت جهان پيرامون ماست، اما شبكه های محلی به ظاهر بی دفاع، با استفاده از سياست های صحيح امنيتی، دژهايی مستحكم خواهند بود به وسعت بيكران…

مسائلی كه در طراحی سيستم امنيتی شبكه مد نظر هستند عبارتند از:

1-      تعيين منابع شبكه كه حفظ آنها اهميت دارد.

2-      بررسی ريسكها و تهديدات شبكه.

3-      بررسی نيازهای امنيتی شبكه.

4-      ايجاد يك طرح امنيتی.

5-      تعريف سياستهای امنيتی شبكه.

6-      تعريف روشهايی برای اعمال سياستهای امنيتی ( آئين نامه های امنيتی ).

7-      تعريف يك استراتژی فنی.

8-      دريافت Feedback از كاربران، مديران و پرسنل فنی.

9-      آموزش پرسنل.

10-     اعمال استراتژی فنی در پروسه های امنيتی.

11-     آزمون امنيتی و رفع مشكلات موجود.

12-     نظارت بر امنيت با بازرسيهای مرتب.

منابع حساس شبكه كه حفاظت آنها جزء اهداف امنيتی شبكه می باشد شامل نودهای شبكه ( سيستم عامل، برنامه های كاربردی، داده ها ) تجهيزات ارتباطی ( routerها, سوئيچها ) و داده هايی كه در شبكه حركت می كنند می باشد.

تهديداتی كه برای اين منابع خطر ايجاد می كنند از كاربرانی كه بصورت غير مجاز وارد شبكه می شوند و قصد خرابكاری دارند تا پرسنل بی تجربه ای كه از طريق اينترنت ويروس وارد سيستم می كنند می تواند باشد.

يك ضرب المثل قديمی در مورد مسائل امنيتی می گويد هزينه ای كه صرف ايمن سازی می شود بايد كمتر از قيمت كالای مربوطه باشد. اين مطلب در شبكه هم مصداق دارد. ايمن سازی شبكه برروی اهداف فنی شبكه مانند راندمان، قابليت دسترسی و …… تاثير خواهد گذاشت. پس بايد موازنه ای بين مقدار ايمنی مورد نياز و هزينه ای كه برای آن می شود ايجاد گردد.

عملياتی كه باعث افزايش ايمنی شبكه می شوند مانند فيلتر كردن Packetها و يا رمز كردن داده ها باعث مصرف توان CPU و استفاده زياد از حافظه تجهيزات خواهد شد. رمز كردن داده ها تا 15 درصد توان CPU را كاهش می دهد. ايمن سازی ضريب اطمينان ارتباطات شبكه را نيز كاهش می دهد. در صورتيكه رمز كردن داده ها مد نظر باشد بايد همه داده ها از يك نقطه كه عمليات رمز در آن انجام می شود عبور كنند.

اين به معنی وجود يك نقطه حساس ( Single Point Of Failure ) در شبكه است كه در صورت بروز مشكل برای آن كل شبكه از كار می افتد و بدين ترتيب ضريب اطمينان شبكه كاهش می يابد. يكی از اولين گامها در طراحی سيستم امنيتی، ايجاد طرح امنيتی است. طرح امنيتی يك سند سطح بالاست كه نيازهای امنيتی را بيان می كند.

در اين طرح زمان، افراد و ساير منابعی كه برای ايجاد سياست امنيتی مورد نياز می باشند تعريف می شود.سياست امنيتی به كاربران، مديران و پرسنل فنی اعلام می كند برای حفاظت از منابع اطلاعاتی و تكنولوژيكی چه مسائلی بايد رعايت شود. با توجه به تغييرات سازمانها كه بصورت مستمر انجام می پذيرد،سياستهای امنيتی نيز بايد تغيير كنند. پس سياست امنيتی يک مستند پويا و زنده است كه متناسب با شرايط زمانی تغيير می كند.

اجزای تشكيل دهنده يک سياست امنيتی به شرح ذيل می باشد:

1-        سياستهای دسترسی كه مجوزها و سطوح دسترسی و اختيارات افراد مختلف را بيان مي كند.

2-        سياستهای عملياتی كه به تعريف مسئوليت كاربران، پرسنل عملياتی و مديريت می پردازد. در اين سياستها بايد قابليت نظارت بر مسائل امنيتی تعريف شود و توصيه هایی برای چگونگی گزارش دهی در هنگام بروز مشكل پيش بينی شود.

3-        سياستهای شناسايی كه به تشخيص كاربران در هنگام ورود به شبكه می پردازد. كلمات رمز و ID از اين جمله می باشند.

4-        توصيه هايی برای چگونگی خريد تجهيزات مربوطه به سيستمهای امنيتی.

آئين نامه ها امنيت برای اعمال سياستهای امنيتی می باشند. آئين نامه به تعريف مکانيزم های تنظيم های امنيتی، چگونگی ورود به شبكه، نظارت بر مسائل ايمنی و …. می پردازد. اين آئين نامه ها بايد برای مديران شبكه، كاربران و مديران امنيتی نوشته شود. در اين آئين نامه نحوه برخورد هنگام مواجهه با تهديدات امنيتی مشخص می شود.

عمده ترين مکانيزم های امنيتی كه جهت امنيت در شبكه مورد استفاده قرار می گيرند عبارتند از:

Authentication, Authorization, Auditing, Data Encryption

ولی مهمترين اصل در ايجاد امنيت، امنيت فيزيكی است. امنيت فيزيكی به معنای اعمال محدوديت در دسترسی به منابع كليدی شبكه بوسيله قراردادن آنها در جای امن است. امنيت فيزيكی همچنين حفاظت منابع در مقابل حوادث طبيعی مانند سيل،آتش،طوفان و زلزله می باشد. امنيت فيزيكی بايد در مورد منابع اصلی شبكه مانند routerها، نقاط اتصال سيستم كابل كشی، مودمها, serverها اعمال گردد.

تا اين قسمت در مورد مفاهيم مختلف امنيتي صحبت كرديم. در اين قسمت بصورت مجمل به ارائه راه حلهايی برای ايجاد امنيت در سرويسهای مختلف می پردازيم:

1-        ايمن سازی اتصال به اينترنت
2-        ايمن سازی ارتباطات Dialup
3-        ايمن سازی خدمات شبكه
4-        ايمن سازی خدمات مربوط به كاربران

ايمن سازی اتصال به اينترنت  

اتصال به اينترنت يكی از راههای اصلی انتقال ويروس به شبكه يا حمله Hacker ها است. بهمين منظور اين اتصال بايد توسط مجموعه ای از مکانيزم های  امنيتی مختلف كه يكديگر را پوشش می دهند حفاظت شود. اين مکانيزم های  شامل استفاده از Firewall، فيلتر كردن برخی Packetها، امنيت فيزيكی، Logكردن وقايع و Authentication و Authorization می باشد.Serverهای عمومی شبكه كه برای اتصال كليه كاربران می باشد ( مانند Web و FTP ) از روشهای شناسايی استفاده نمی كنند ولی ساير Serverها قبل از اجازه اتصال كاربران توسط ID و كلمه رمز آنها را شناسايی كرده و فقط به كاربران مجاز اجازه عبور می دهند.

بهمين دليل Serverهای عمومی بايد در ناحيه DMZ ( DeMilitrized Zone) يك Firewall قرار گيرند.اين مطلب در حال حاضر در شبکه رعايت شده است.متخصصين ايمنی شبكه توصيه می كنند FTP و Web روی يك Server قرار نگيرند، چون كاربران FTP امكان بيشتری برای تغيير فايلها دارند و در صورتيكه هر دو سرويس روی يك Server باشند احتمال تغيير و خرابی صفحات Web بسيار خواهد بود.اضافه كردن (CGI ( Common Gateway Interface  يا ساير Scriptها به Web Server نيز بايد با احتياط زياد انجام شود.

ايمن سازی ارتباطات
Dialup

ايجاد امنيت در مقابل چنين كاربرانی بسيار مهمی می باشد و بايد از مكانيسمهايی مانند Firewall، امنيت فيزيكی، Authentication, Auditing و احتمالا” Encryption استفاده كرد.پروتكلهای CHAP و PAP از عمده ترين پروتكلهای شناسايی برای اتصال كاربران می باشند. پروتكلهای Radius و Tacacs هم برای انتقال داده های مربوط به شناسايی بين Access server و Serverهای شبكه مورد استفاده قرار گيرند.

ايمن سازی خدمات شبكه
 
اكثر مکانيزم های ايمن سازی ارتباط اينترنت در مورد ايمن سازی شبكه هم كاربرد دارد. خدمات شبكه بواسطه تجهيزات موجود در آن ارائه می شوند، لذا امنيت فيزيكی تجهيزات و استفاده از كلمه رمز برای اتصال به آنها نبايد فراموش شود.

ايمن سازی خدمات مربوط به كاربران

خدمات مربوط به كاربران شامل برنامه های كاربردی، hostها, Serverها, بانكهای اطلاعاتی و ساير خدمات می باشد. در مورد Serverها استفاده از روشهای Authorization ,Authentication بديهی ترين روشهای ايمن سازی می باشد.در مورد hostها و سيستمها, Logout كردن هنگام ترك سيستمها راحت ترين روش اعمال امنيت است. يكی از عمده ترين تهديدات سيستمها بازماندن يك ارتباط توسط كاربر مربوطه و ترك محل و ورود كاربر ديگری از طريق آن ارتباط است.برای حل اين مشكل، فعال كردن Logout اتوماتيك بعد از يك مدت زمان غير فعال بودن يك سيستم بهترين  راه حل است.

دانشنامه مهندسی ایران

www.smsm.ir

طراحی یک سیستم امنیتی برای شبکه های کامپیوتری

کلمات کلیدی : طراحی,یک,سیستم,امنیتی,برای,شبکه,های,کامپیوتری,طراحی یک سیستم امنیتی برای شبکه های کامپیوتری , مقالات مهندسي , مهندسي كامپيوتر , کامپیوتر، مکانیک، برق، عمران، شیمی، پزشکی طراحی+یک+سیستم+امنیتی+برای+شبکه+های+کامپیوتری+

تاریخ: سه شنبه 2012/02/28
برترین مطالب امروز
مطالب مرتبط
ترفند
اس ام اس

ابر برچسبها