تبلیغات
arksys - رویكردی عملی به امنیت شبكه لایه بندی شده (۳)
arksys
*** با هم باشیم تا بتوانیم ***
صفحه نخست       پست الکترونیک          تماس با ما              ATOM            طراح قالب
گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من
درباره سایت


خداوندا من در کلبه فقیرانه خود چیزی دارم که تو در عرش کبریایی خود نداری. من چون تویی دارم و تو چون خود نداری. پس چون تو را دارم نیازی به غیر ندارم...

مدیر سایت: آصف رحیمی کشکولی
مطالب اخیر
برچسبها
سطح شبكه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبكه داخلی شما ممكن است شاملچند كامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای كار دور باشد.

 

در مطلب قبلی به اولین لایه كه لایه پیرامون است، اشاره شد، در این شماره به لایه امنیت شبكه می پردازیم.

سطح ۲-  امنیت شبكه

سطح شبكه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبكه داخلی شما ممكن است شاملچند كامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای كار دور باشد. بیشتر شبكه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی كه داخل شبكه قرار دارید، می توانید به راحتی در میان شبكه حركت كنید. این قضیه بخصوص برای سازمان های كوچك تا متوسط صدق می كند كه به این ترتیب این شبكه ها برای هكرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تكنولوژی های ذیل امنیت را در سطح شبكه برقرار می كنند:

 

·   IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تكنولوژیهای IDS و IPSترافیك گذرنده در شبكه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می كنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیك را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می كنند. هنگامی كه حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDSمسؤولین IT را از وقوع یك حمله مطلع می سازند؛ ابزارهای IPS یك گام جلوتر می روند و بصورت خودكار ترافیك  آسیب رسان را مسدود می كنند. IDSها و IPSها مشخصات مشترك زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یك IDS دارند. تفاوت كلیدی بین این تكنولوژی ها از نام آنها استنباط می شود. محصولات IDS تنها ترافیك آسیب رسان را تشخیص می دهند، در حالیكه محصولات IPS از ورود چنین ترافیكی به شبكه شما جلوگیری می كنند. پیكربندی های IDS و IPS  استاندارد در شكل نشان داده شده اند:

 

 

 

·   مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملكرد مرتبط را انجام می دهند: (۱) شبكه را برای آسیب پذیری ها پیمایش می كنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می كنند. در گذشته، این تكنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تكنولوژی اصلاح شده است، تا جاییكه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبكه را انجام می دهند.

   سیستم های مدیریت آسیب پذیری ابزار موجود در شبكه را برای یافتن رخنه ها و آسیب پذیری هایی كه می توانند توسط هكرها و ترافیك آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می كنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می كنند كه آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبكه را مشخص می كنند. در طول یك پیمایش، سیستم هر ابزار یا برنامه ای را با بكارگیری قوانین مناسب می آزماید.

   همچنانكه از نامش برمی آید، سیستم  مدیریت آسیب پذیری شامل ویژگیهایی است كه روند بازسازی را مدیریت می كند. لازم به ذكر است كه میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می كند.

 

·   تابعیت امنیتی كاربر انتهایی – روش های تابعیت امنیتی كاربر انتهایی به این طریق از شبكه محافظت می كنند كه تضمین می كنند كاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینكه اجازه دسترسی به شبكه داشته باشند، رعایت كرده اند. این عمل جلوی حمله به شبكه از داخل خود شبكه را از طریق سیستم های ناامن كارمندان و ابزارهای VPN و RAS می گیرد.

  روش های امنیت نقاط انتهایی براساس آزمایش هایی كه روی سیستم هایی كه قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی  (۱) نرم افزار مورد نیاز، مانند سرویس پك ها، آنتی ویروس های به روز شده و غیره و (۲) كاربردهای ممنوع مانند اشتراك فایل و نرم افزارهای جاسوسی است.

 

·   كنترل دسترسی\تأیید هویت – كنترل دسترسی نیازمند تأیید هویت كاربرانی است كه به شبكه شما دسترسی دارند. هم كاربران و هم ابزارها باید با ابزار كنترل دسترسی در سطح شبكه كنترل شوند.

 

نكته: در این سلسله مباحث،  به كنترل دسترسی و تأییدهویت در سطوح شبكه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های كنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراكنش های تأیید هویت در مقابل دید كاربر اتفاق می افتد. اما به خاطر داشته باشید كه كنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند كه برای ایجاد بیشترین میزان امنیت در شبكه، باید به دقت مدیریت شوند.

 

مزایا

تكنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبكه انجام می دهند. در حالیكه فایروال به ترافیك، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می كنند. با این تكنولوژی های پیشرفته، حملاتی كه داخل ترافیك قانونی شبكه وجود دارند و می توانند از فایروال عبور كنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.

سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبكه شما را بصورت خودكار استخراج می كنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبكه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و كاستن از كاربران،  همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند كه شبكه  را مرتب و كامل برای جستجوی آسیب پذیری های جدید پیمایش كنید.

روش های تابعیت امنیتی كاربر انتهایی به سازمان ها سطح بالایی از كنترل بر روی ابزاری را می دهد كه به صورت سنتی كنترل كمی بر روی آنها وجود داشته است. هكرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبكه هستند، همچانكه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی كاربران انتهایی این درهای پشتی خطرناك به شبكه را می بندند.

 

معایب

IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، كه به عنوان false positives نیز شناخته می شوند. در حالیكهIDS ممكن است كه یك حمله را كشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای كم ارزش مدفون شود. مدیران IDS ممكن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یك IDS  باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های كشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می كند.

سطح خودكار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیكربندی و مدیریت شوند تا مشخصات الگوهای ترافیك شبكه ای را كه در آن نصب شده اند منعكس كنند. تأثیرات جانبی احتمالی در سیستمهایی كه بهینه نشده اند، مسدود كردن تقاضای كاربران قانونی و قفل كردن منابع شبكه معتبر را شامل می شود.

بسیاری، اما نه همه روش های امنیتی كاربران انتهایی، نیاز به نصب یك عامل در هر نقطه انتهایی دارد. این عمل می تواند مقدار قابل توجهی بار كاری اجرایی به نصب و نگهداری اضافه كند.

تكنولوژی های كنترل دسترسی ممكن است محدودیت های فنی داشته باشند. برای مثال، بعضی ممكن است با تمام ابزار موجود در شبكه شما كار نكنند، بنابراین ممكن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید. همچنین، چندین فروشنده سیستم های كنترل دسترسی را به بازار عرضه می كنند، و عملكرد می تواند بین محصولات مختلف متفاوت باشد. پیاده سازی یك سیستم یكپارچه در یك شبكه ممكن است دشوار باشد. چنین عمل وصله-پینه ای یعنی رویكرد چند محصولی ممكن است در واقع آسیب پذیری های بیشتری را در شبكه شما به وجود آورد.

 

ملاحظات

موفقیت ابزارهای امنیت سطح شبكه به نحوی به سرعت اتصالات داخلی شبكه شما وابسته است. زیرا ابزارهای IDS/IPS ، مدیریت آسیب پذیری و امنیت كاربر انتهایی ممكن است منابعی از شبكه ای را كه از آن محافظت می كنند، مصرف كنند. سرعت های اتصالی بالاتر تأثیری را كه این ابزارها بر كارایی شبكه دارند  به حداقل خواهد رساند. در پیاده سازی این تكنولوژی ها شما باید به مصالحه بین امنیت بهبودیافته و سهولت استفاده توجه كنید، زیرا  بسیاری از این محصولات برای كاركرد مؤثر باید به طور پیوسته مدیریت شوند و این ممكن است استفاده از آن محصولات را در كل شبكه با زحمت مواجه سازد.

وقتی كه این تكنولوژی ها را در اختیار دارید، بهبود پیوسته شبكه را در خاطر داشته باشید. در شبكه هایی با پویایی و سرعت گسترش بالا، تطبیق با شرایط و ابزار جدید ممكن است مسأله ساز گردد.

 

منبع :ircert





نوع مطلب : آموزش، 
برچسب ها :
لینک های مرتبط :
          
جمعه 22 اردیبهشت 1391
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر
نظرات پس از تایید نشان داده خواهند شد.





آمار سایت
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
امکانات جانبی