تبلیغات
arksys - رویكردی عملی به امنیت شبكه لایه بندی شده (۲)
arksys
*** با هم باشیم تا بتوانیم ***
صفحه نخست       پست الکترونیک          تماس با ما              ATOM            طراح قالب
گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من
درباره سایت


خداوندا من در کلبه فقیرانه خود چیزی دارم که تو در عرش کبریایی خود نداری. من چون تویی دارم و تو چون خود نداری. پس چون تو را دارم نیازی به غیر ندارم...

مدیر سایت: آصف رحیمی کشکولی
مطالب اخیر
برچسبها
منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبكه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت كننده شبكه است. این ناحیه ای است كه شبكه به پایان می رسد و اینترنت آغاز می شود.

 

در شماره قبل به لایه های این نوع رویكرد به اختصار اشاره شد. طی این شماره و شماره های بعد به هریك از این لایه ها می پردازیم.

 

سطح ۱: امنیت پیرامون

منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبكه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت كننده شبكه است. این ناحیه ای است كه شبكه به پایان می رسد و اینترنت آغاز می شود. پیرامون شامل یك یا چند فایروال و مجموعه ای از سرورهای به شدت كنترل شده است كه در بخشی از پیرامون قرار دارند كه بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبكه و سرورهای DNS  را دربرمی گیرد كه باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد اینكه چه چیزی می تواند وارد شبكه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبكه داخلی تعامل داشته باشند، دارد.

پیرامون شبكه، به اختصار، دروازه شما به دنیای بیرون و برعكس، مدخل دنیای بیرون به شبكه شماست.

تكنولوژیهای زیر امنیت را در پیرامون شبكه ایجاد می كنند:

 

·   فایروال ـ معمولاً یك فایروال روی سروری نصب می گردد كه به بیرون و درون پیرامون شبكه متصل است. فایروال سه عمل اصلی انجام می دهد ۱- كنترل ترافیك ۲- تبدیل آدرس و ۳- نقطه پایانی VPN. فایروال كنترل ترافیك را با سنجیدن مبداء و مقصد تمام ترافیك واردشونده و خارج شونده انجام می دهد و تضمین می كند كه تنها تقاضاهای مجاز اجازه عبور دارند. بعلاوه، فایروال ها به شبكه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت كمك می كنند. این كار از افشای اطلاعات مهم درباره ساختار شبكه تحت پوشش فایروال جلوگیری می كند. یك فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (كه بعداً بیشتر توضیح داده خواهد شد) عمل كند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبكه شما می كند.

 

·   آنتی ویروس شبكه ـ  این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می كند.  این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می كنند و آنها را قرنطینه می كنند و سپس به دریافت كنندگان و مدیران شبكه اطلاع می دهند. این عمل از ورود و انتشار یك ایمیل آلوده به ویروس در شبكه جلوگیری می كند و جلوی گسترش ویروس توسط شبكه شما را می گیرد. آنتی ویروس شبكه، مكملی برای حفاظت ضدویروسی است كه در سرور ایمیل شما و كامپیوترهای مجزا صورت می گیرد. بمنظور كاركرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.

 

·   VPNـ یك شبكه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یكدیگر، مانند لپ تاپ ها و شبكه مقصد استفاده می كند. VPN اساساً یك تونل رمزشده تقریباً با امنیت و محرمانگی یك شبكه اختصاصی اما از میان اینترنت ایجاد می كند. این تونل VPN می تواند در یك مسیریاب برپایه VPN، فایروال یا یك سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبكه یك عمل مهم است كه نسبتاً آسان و ارزان پیاده سازی می شود.

 

 

 

مزایا

تكنولوژی های ایجاد شده سطح پیرامون سال هاست كه در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تكنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.

 

معایب

از آنجا كه بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست كه در دسترس بوده اند، بیشتر هكرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یك ابزار آنتی ویروس نمی تواند ویروسی را شناسایی كند مگر اینكه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یك فایل رمزشده قرار نداشته باشد. اگرچهVPN رمزنگاری مؤثری ارائه می كند، اما كار اجرایی بیشتری را برروی كارمندان IT تحمیل می كنند، چرا كه كلیدهای رمزنگاری و گروه های كاربری باید بصورت مداوم مدیریت شوند.

 

ملاحظات

پیچیدگی معماری شبكه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تكنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبكه بطوری كه تمام این ارتباطات به ناحیه مشتركی ختم شود، به هركدام از تكنولوژی های مذكور اجازه می دهد كه به تنهایی پوشش مؤثری برای شبكه ایجاد كنند.

انواع ابزاری كه در DMZ شما قرار دارد نیز یك فاكتور مهم است. این ابزارها چه میزان اهمیت برای كسب و كار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت كنند.

 

در شماره بعدی به ادامه این مطلب خواهیم پرداخت.

 

منبع : ircert





نوع مطلب : آموزش، 
برچسب ها :
لینک های مرتبط :
          
پنجشنبه 21 اردیبهشت 1391
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر
نظرات پس از تایید نشان داده خواهند شد.





آمار سایت
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
امکانات جانبی