ما به خود میبالیم که از بهترین متخصصین در امور امنیت شبکه های کامپیوتری استفاده میکنیم. کارشناسان ما پس از بررسی وکارشناسی شبکه مورد نظر،طرح خود را مبنی بر استفاده از تجهیزات سخت افزاری و نرم افزاری برای ایمن نمودن آن شبکه بازگو می نمایند. با موافقت کارفرما این طرح توسط کارشناسان این شرکت اجرا میشود. پس شما می توانید به کارشناسان شرکت سیمیا سیستم اطمینان نموده و پروژه خود را با خیال آسوده وبا امنیت بسیار بالا به ما بسپارید.
در حال حاضر ارتباطات و شبکه های کامپیوتری بخشی اجتناب ناپذیر از مباحث حوزه فناوری اطلاعات است. هر زمانی که شبکه و ارتباطات مطرح است امنیت شبکه نیز به همراه آن مطرح می شود. طبق بررسی هایی که به عمل آورده ایم مطلب کاربردی و مناسبی در این زمینه بسیار کم است و به همین جهت تصمیم گرفتیم این مقاله را بصورت کاربردی برای شما عزیزان آماده کنیم. در ابتدا باید بدانیم امنیت شبکه چیست و چگونه می توان امنیت شبکه های کامپیوتری را تامین کرد.
فهرست مطالب
امنیت شبکه چیست
در حالت کلی به مجموعه اقداماتی گفته می شود که به منظور جلوگیری از بروز مشکلات امنیتی در بستر شبکه صورت میگیرد. این مجموعه اقدامات می تواند بصورت راهکارهای متعددی در غالب سرویس های سخت افزاری و نرم افزاری پیاده سازی شوند. لازم به ذکر است که معمولا بسیاری از روشهای تامین امنیت توسط رول ها (Roles) صورت می گیرد. در بحث Network Security ، رول ها مجموعه دستورها و نقش های وظایفی هستند که در سیستم های نرم افزاری و سخت افزاری قابل تعریف هستند.
انواع راهکارها در مباحث امنیت شبکه
موارد زیر جزو اساسی ترین مباحث و راهکارهای کنترل امنیت در انواع مقیاس ها است. البته برخی موارد در مقیاس های کوچکتر قابل حذف هستند اما اگر امنیت اهمیت بالایی دارد بهتر است بر روی تمامی موارد زیر کار شود:
- Access control به معنی کنترل دسترسی
- Antivirus and antimalware software به معنی نرم افزارهای مقابله با ویروس و بدافزار
- Application security به معنی امنیت نرم افزار
- Behavioral analytics به معنی تحلیل عملکرد و تعیین معیارها
- Data loss prevention به معنی جلوگیری از دست رفتن اطلاعات
- Email security به معنی امنیت ایمیل
- Firewalls به معنی دیوار آتش (نرم افزاری و سخت افزاری)
- Mobile device security به معنی امنیت دستگاه تلفن همراه
- Network segmentation به معنی تقسیم بندی شبکه
- Security information and event management به معنی اطلاعات امنیتی و مدیریت رویداد
- VPN مخفف Virtual private network به معنی شبکه خصوصی مجازی
- Web security به معنی امنیت وب
- Wireless security به معنی امنیت شبکه بی سیم
کنترل دسترسی ها: در هر شبکه کوچک یا بزرگ، عمومی یا خصوصی بهتر است دسترسی ها کنترل و محدود شده باشند. اینکار یک قدم بسیار موثر و بزرگ در جلوگیری از بروز مشکلات امنیتی است. زیرا با اینکار دسترسی عموم به شبکه محدود شده و تنها افراد و دستگاه های مجاز می توانند به شبکه متصل شوند. تعیین محدویت برای اتصال اولیه به شبکه با مواردی مانند IP, Mac Address انجام شده و در بستر شبکه با تعیین دسترسی ها قابل انجام است. یکی از بهترین راهکارهای تکمیلی در این موضوع غیرفعالسازی سرویس ها و پورت هایی می باشد که از آنها استفاده نمی شود.
نرم افزارهای مقابله با ویروس و بدافزار: استفاده از ابزارهایی مانند آنتی ویروس و ضد بدافزار بدون شک در شبکه ضروری است. رول هایی متعددی که در بطن این ابزارها وجود دارد و همواره در حال بروزرسانی و تقویت است موجب دفع و جلوگیری از مشکلات متعدد امنیتی در سطح شبکه می شود. در برخی مواقع بدافزارها و ویروس ها بصورت پنهان وارد عمل شده و ممکن است کل موجودیت شبکه را با مشکل اساسی مواجه نماید. خوشبختانه چنین ابزارهایی به صورت راهکارهای سازمانی و شرکتی برای انواع شبکه های کامپیوتری عرضه شده و می توان از آنها بهره برد.
امنیت نرم افزار: نرم افزارها در ساختار های متعددی وجود دارند. نرم افزارهای تحت وب و نرم افزارهای کامپیوتری در ارتباط با شبکه می بایست طبق اصول امنیتی نوشته شده و مورد استفاده قرار بگیرند. معمولا مشکلات امنیتی نرم افزار بصورت باگ مشخص و راهکار مناسب برای حل آن در نظر گرفته می شود. نمی توان ادعا کرد که امنیت یک نرم افزار مشکلی ندارد چون امنیت نرم افزار علاوه بر ساختار به عوامل متعددی مانند سرویس ها و فریم ورک ها وابسته است.
تحلیل عملکرد و تعیین معیارها: با مشخص شدن رفتارهای طبیعی و مجاز در سطح شبکه می توان معیارهای متناسب برای کنترل عملکردهای غیر طبیعی و مشکوک را تدوین کرد. پس از اینکار، مانیتورینگ شبکه بصورت مداوم ضرور است.
جلوگیری از درز و انتشار اطلاعات: این موضوع ابعاد بسیار گسترده ای دارد که با استاندارد DLP مشهور است. مبحثی که در این بخش بر روی آن می بایست تمرکز کرد Data loss prevention است. با راهکارهای موجود می بایست این اطمینان برای تیم امنیتی شبکه حاصل شود که اطلاعات محرمانه توسط افراد مجموعه یا سازمان و یا افراد دیگر به بیرون از شبکه درز نشده و امنیت اطلاعات (بخصوص اطلاعات محرمانه) تامین می شود.
امنیت ایمیل: ایمیل به عنوان یکی از روشهای ارتباطی که می تواند راه مناسبی برای نفوذ هکرها باشد می بایست بصورت مناسبی از لحاظ امنیتی پوشش داده شود. با توجه به اینکه امکان حملاتی نظیر فیشینگ، تزریق بدافزار و ویروس بر روی شبکه با ایمیل وجود دارد می بایست راهکار مناسبی جهت تشخیص و مقابله با این موضوع بکار برد.
استفاده از فایروال: یکی از موثرترین ابزارهای برای کنترل ترافیک و درخواست ها در بستر شبکه، فایروال است. این ابزار بصورت سخت افزاری و نرم افزاری و یا ترکیبی از این دو موجود است. البته می بایست توجه داشت که کارکرد مناسب فایروال ها برای بررسی صحیح درخواست ها، تعریف و تعیین رول های کاربردی و بروز است. از جمله مواردی که فایروال در برابر آنها می تواند عملکرد قابل قبولی از خود به نمایش بگذارد مسدودسازی درخواست های مغایر با قوانین و معیارهای سطح دسترسی ها و مقابله با حملات تکذیب سرویس ( DDoS ) است.
امنیت دستگاه تلفن همراه: یکی از مواردی که با گذشت زمان اهمیت بیشتری پیدا کرده است دستگاه های موبایل است. به این دلیل که بیشتر پلتفرم ها بر روی گوشی های هوشمند قابل اجراست و چون موبایل یک وسیله شخصی بوده و امکان نفوذ از این طریق برای هکرها نسبت به سطح شبکه آسانتر است عوامل و تیم امنیتی شبکه می بایست راهکاری مطمئن برای جلوگیری از بروز مشکلات امنیتی را بکار بگیرند.
تقسیم بندی شبکه: این موضوع می تواند آسیب های احتمالی از مشکلات امنیتی را کنترل و یا تعدیل کند. به اینصورت که با تقسیم بندی شبکه، چنانچه یک بخش از شبکه مشکل امنیتی پیدا کرد کل شبکه تحت تاثیر آن قرار نمی گیرد.
اطلاعات امنیتی و مدیریت رویداد: سرویس ها و ابزارهایی وجود دارند که اطلاعات لازم برای شناسایی و پاسخ به تهدیدات را برای عوامل تامین امنیت شبکه های کامپیوتری فراهم می کنند. این سرویس ها و ابزارها معمولا توسط شرکتهای فعال در زمینه راهکارهای امنیتی سازمانی و شرکتی ارائه می شوند.
شبکه خصوصی مجازی: استفاده از شبکه خصوصی مجازی با ساختار امن در صورت بهره گیری از قابلیت رمزنگاری اطلاعات و تراکنشهای انجام شده در بستر شبکه می تواند راهکاری مناسب برای تامین امنیت شبکه باشد.
امنیت وب: این راهکار بصورت شناسایی وب سایت های مخرب و مسدودسازی آنها و همچنین تامین امنیت وبسایت به کار گرفته می شود. لازم به ذکر است تامین امنیت وب می بایست بصورت ویژه ای در دستور کار قرار بگیرد.
امنیت شبکه بی سیم: همانطور که می دانید شبکه های بی سیم از محافظتی مانند شبکه سیمی برخوردار نیستند. به همین جهت می بایست نهایت محدودیت و کنترل را در شبکه های بی سیم اعمال کرد.
مفاهیم پایه در شبکه های کامپیوتری
همانطور که در ابتدا قول داده ایم قرار ایت این مقاله بصورت کاربردی مطرح شود. به همین جهت نهایت سعی بر این خواهد بود تا این مطلب بصورت ساده و کاربردی بیان شود. لازم است قبل از وارد شدن به بحث تامین امنیت شبکه، با یکسری مفاهیم و اصطلاحات آشنا شویم تا بتوانیم درک درستی از بحث داشته باشیم.
هفت لایه OSI چیست؟
مجبوریم برای درک بهتر مباحث امنیت شبکه (Network Security) با مفاهیم تئوری شبکه نیز آشنا شویم. مدل OSI یکی از استانداردهای توصیف ساختار شبکه است. به اینصورت که درخواست از سمت کلاینت برای پردازش، هفت لایه را در بستر شبکه طی می کند تا پاسخ مورد نظر را دریافت کند. در ادامه همان مسیر بصورت بالعکس طی می شود تا پاسخ به کلاینت برسد. در زیر بصورت خلاصه 7 لایه مدل OSI توضیح داده اند.
لایه هفتم » لایه کاربردی (Application Layer)
زمانی که بواسطه یک ابزار یا نرم افزار درخواستی را در شبکه انجام می دهیم این لایه کاربردی است که وظیفه درخواست با سرویس مورد نظر را بر عهده دارد. برای مثال اگر آدرس سایتی را در مرورگر وارد می کنیم درخواست مورد نظر که معمولا برای وب سرور و سرویس http یا https است توسط این لایه برای ارتباط درخواست انجام می شود.
لایه ششم » لایه نمایشی (Presentation Layer)
این لایه وظیفه تفسیر و تعامل درخواست انجام شده در لایه کاربردی با لایه های پایین تر را دارد. به زبان ساده این لایه درخواستها را برای پردازش و اجرا در سطح شبکه آماده می کند. مواردی مانند تفسیر، رمزنگاری، فشرده سازی و نظایر آن توسطه لایه نمایشی در شبکه صورت می گیرد.
لایه پنجم » لایه نشست (Session Layer)
لایه پنجم که به لایه نشست مشهور است وظیفه ترکیب و اعلام درخواست به سرویس مورد نظر را دارد. برای مثال درخواست برقراری ارتباط با سرویس http و یا https بر عهده این لایه می باشد.
لایه چهارم » لایه انتقال (Transport Layer)
درخواست ها در بستر شبکه به انواع سرویس ها به مسیری هدایت می شوند که بصورت مجموعه درخواستهای همزمان در قالب رشته های قابل انتقال تبدیل می شوند. لایه انتقال وظیفه انتقال این رشته ها در سطح شبکه را دارد.
لایه سوم » لایه شبکه (Network Layer)
مثال قابل درکی که می توان برای لایه شبکه بکار برد این است که این لایه وظیفه ای مانند مناطق پستی مدیریت مرسولات را دارد. به اینصورت که درخواست ها را به سرویس مورد نظر رسانده و از آن تاییدیه نیز می گیرد.
لایه دوم » لایه پیوند داده (Data link Layer)
در این لایه اطلاعات هویتی دستگاه های در ارتباط با شبکه به منظور تعیین مقصد پاسخ درخواست مورد استفاده قرار گرفته و پس از وارد شدن به لایه اول به کلاینت تصدیق شده، در مسیر بالعکس درخواست بازگشت داده می شود.
لایه اول » لایه فیزیکی (Physical Layer)
در این لایه نوع اتصال و روش برقراری ارتباط مطرح است. همانطور که می دانید سخت افزارهای مختلف بر اساس نوع عملکرد و ساختار آن دارای مدلهای ارتباطی متفاوتی هستند. در این لایه ارتباط بین سخت افزار و نرم افزار برقرار می شود.
انواع امنیت شبکه
دیوارههای آتش (Firewalls)، یکی از انواع امنیت شبکه
فایروالها درواقع دستگاههای امنیتی در شبکهاند که ترافیک ورودی و خروجی شبکه را با قوانین امنیتی از پیش تعیینشده کنترل میکنند. فایروال از ترافیک غیردوستانه یا مخرب جلوگیری میکند و بخشی ضروری از محاسبات روزانه هستند. در ابتدایی ترین حالت، فایروال مانعی است که بین یک شبکه داخلی خصوصی و اینترنت عمومی قرار دارد.
امنیت شبکه بهشدت به فایروالها متکی است، چراکه آنان بر مسدود کردن حملات بدافزارها و تهاجمات لایهای تمرکز دارند.
تقسیمبندی شبکه (Network Segmentation) در امنیت شبکه
تقسیمبندی بیانشده، ترافیک شبکه را در طبقهبندیهای مختلف قرار میدهد و اجرای سیاستهای امنیتی را آسانتر میکند. در حالت ایده آل، طبقهبندیها بر اساس هویت نقاط انتهایی هستند، نه آدرسهای IP صرف. میتوانید سطوح دسترسی را بر اساس نقش، مکان و موارد دیگر مشخص کنید تا سطح دسترسی مناسب به افراد مناسب داده شده و دستگاههای مشکوک مهار و اصلاح شوند.
کنترل دسترسی (Access Control) در مبحث امنیت شبکه
هر کاربری نباید به شبکه دسترسی داشته باشد. برای جلوگیری از مهاجمان احتمالی، باید کاربران و سیستمهای مختلف شناسایی شوند. تنها در این حالت است که میتوان سیاستهای امنیتی را اعمال کرد. میتوان دستگاههایی با نقطه پایانی ناسازگار را مسدود کرد یا به آنها دسترسی محدود داد. این فرآیند کنترل دسترسی به شبکه (NAC: network access control) نامیده میشود.
آنتیویروس یا آنتی بدافزارها (Anti-virus and Anti-malware software)
«بدافزار» مخفف «نرمافزار مخرب» شامل ویروسها، کرمها، تروجانها، باجافزارها و جاسوسافزارها میشود. گاهی اوقات بدافزار یک شبکه را آلوده میکند اما برای روزها یا حتی هفتهها خاموش میماند. بهترین برنامههای ضد بدافزار نهتنها بدافزار را هنگام ورود اسکن میکنند، بلکه بهطور مداوم فایلها را پسازآن برای یافتن ناهنجاریها، حذف بدافزارها و رفع آسیبها دنبال میکنند.
امنیت برنامه (Application Security)، از انواع امنیت شبکه
هر نرمافزاری که برای اجرای کسبوکار خود از آن استفاده میکنید باید محافظت شود، چه کارشناسان سیمیا سیستم آن را بسازند و چه آن را به شکل جداگانه ای خریداری کنید. متأسفانه، هر برنامهای ممکن است حاوی حفرهها یا آسیبپذیریهایی باشد که مهاجمان بتوانند از طریق آن برای نفوذ به شبکه شما استفاده کنند. امنیت برنامه شامل سختافزار، نرمافزار و فرآیندهایی است که برای بستن آن حفرهها استفاده میکنید.
سیستمهای پیشگیری از نفوذ (Intrusion prevention systems)
یک سیستم پیشگیری از نفوذ (IPS) ترافیک شبکه را اسکن میکند تا بهطور فعال حملات را مسدود کند. دستگاههای IPS امن، این کار را با همبسته کردن مقادیر عظیمی از اطلاعات مرتبط با تهدیدات جهانی شبکههای مختلف، انجام میدهند تا نهتنها فعالیتهای مخرب را مسدود کنند، بلکه پیشرفت فایلهای مشکوک و بدافزارها را در سرتاسر شبکه ردیابی کرده و از گسترش شیوع و عفونت مجدد شبکه جلوگیری کنند.
وی-پی-ان (VPN) به عنوان یک نوع امنیت شبکه
یک شبکه خصوصی مجازی میتواند اتصال هریک از نقاط انتهایی به شبکه را از طریق اینترنت رمزگذاری کند. بهطورمعمول، یک VPN با دسترسی از راه دور (remote-access VPN)، از IPsec ها یا لایه سوکت های امن برای احراز هویت ارتباط بین دستگاه و شبکه استفاده میکند.
تجزیهوتحلیل رفتار شبکه (Behavioral analytics)
برای تشخیص رفتار غیرعادی شبکه، در ابتدا باید بدانید که رفتار عادی چگونه است؟! ابزارهای تحلیل رفتاری بهطور خودکار فعالیتهایی را که از هنجارهای متعارف منحرف میشوند، تشخیص میدهند. اینجاست که تیم امنیتی شما بهتر میتواند شاخصهایی را که مشکلات بالقوه ایجاد میکنند شناسایی کرده و بهسرعت تهدیدات امنیت شبکه را اصلاح کند.
امنیت ابری (Cloud Security) یکی از مهمترین انواع امنیت شبکه
امنیت ابری مجموعه وسیعی از فناوریها، سیاستها و برنامههای کاربردی است که برای دفاع از IP های آنلاین، سرویسها، برنامهها و سایر دادههای ضروری به کار میرود. امنیت ابری با محافظت از کاربران در برابر تهدیدات و ایمن کردن دادهها و برنامههای موجود در فضای ابری به شما کمک میکند تا امنیت خود را بهتر مدیریت کنید.
جنبههای امنیت شبکه چیست؟
در پایین برخی از ویژگیهای مطلوب برای تأمین امنیت شبکه و دستیابی به ارتباطاتی ایمن در بستر آن آورده شده است:
حریم اختصاصی (Privacy):
حریم اختصاصی یا خصوصی بدان معناست که چه در سمت فرستنده و چه در سمت گیرنده پیام، انتظار محرمانه بودن وجود دارد. درواقع پیام ارسالشده از سمت فرستنده تنها باید توسط گیرنده دریافت شده و برای سایر کاربران غیر شفاف باشد.
فقط فرستنده و گیرنده باید توانایی درک پیام ارسالی را داشته باشند چراکه از طریق روشهای استراق سمع میتوان پیام را رهگیری کرد. اینجاست که نیاز به رمزگذاری پیام ارسالی آنهم بهنحویکه قابل رهگیری نباشد، ایجاد میشود. عموماً این جنبه از محرمانه بودن برای دستیابی به ارتباطات ایمن استفاده میگردد.
یکپارچگی پیام یا دادهها (Message Integrity):
یکپارچگی داده به این معنی است که دادهها باید دقیقاً همانگونه که ارسالشدهاند به گیرنده برسد. در حین انتقال، خواه به خاطر عامل مخرب بیرونی و خواه بهصورت تصادفی، نباید هیچ تغییری در محتوای داده ایجاد شود. برای مثال، ازآنجاییکه مبادلات پولی به شکل زیادی در بستر اینترنت انجام میگیرد، یکپارچگی دادهها بسیار مهم است. یکپارچگی دادهها میبایست تا برای ارتباطات ایمن حفظ شود.
احراز هویت در نقطه انتهایی: (End-point authentication):
این نوع از احراز هویت بدین معنا است که گیرنده باید نسبت به هویت فرستنده اطمینان حاصل کند تا مطمئن شود که هیچ فریبندهای پیام را ارسال نکرده است.
انکارناپذیری (Non-Repudiation):
انکارناپذیری به این معنی است که گیرنده باید بتواند ثابت کند که پیام دریافتی از جانب فرستندهای خاص و مشخص ارسال گشته است. از طرفی فرستنده نیز نیاید ارسال پیامی که فرستاده است را انکار کند، اما درنهایت بار اثبات هویت بر عهده گیرنده است.
بهعنوانمثال، اگر مشتری (در نقش فرستنده) درخواستی مبنی بر انتقال پول از حسابی بهحساب دیگر را به سمت بانک (در نقش گیرنده) ارسال کند، بانک باید مدرکی مبنی بر درخواست مشتری برای انجام معامله و انتقال داشته باشد.
میتوان اینگونه بیان کرد که ادمین یک شبکه باید بتواند تا در هنگام وقوع رخدادهای غیرمجاز جلوی انکار فعالیتهای مخرب توسط افراد یا کاربران را بگیرد. از طریق پروتکلهای مختلف میتوان این کار را انجام داد.
تلاش کردیم تا در این مقاله در ابتدا به سوال امنیت شبکه چیست پاسخ دهیم و پس از آن با معرفی انواع امنیت شبکه و جنبه های آن راه را برای شناخت بیشتر این مبحث فراهم کنیم تا سازمان ها بتوانند به راحتی در خصوص انواع امنیت شبکه مورد نیاز خود تصمیم گیری کنند. در پایان یادآور میشویم که شرکت سیمیا سیستم میتواند در زمینه ارائه راهحل های امنیت شبکه به شما کمک کند.