بررسی امنیت تجهیزات شبکه یا ASN
توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد
بررسی امنیت تجهیزات شبکه یا ASN دارای ۸۳ صفحه می باشد و دارای تنظیمات و فهرست کامل در microsoft word می باشد و آماده پرینت یا چاپ است
فایل ورد بررسی امنیت تجهیزات شبکه یا ASN کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه و مراکز دولتی می باشد.
بخشی از فهرست مطالب پروژه بررسی امنیت تجهیزات شبکه یا ASN
aمقدمه
۱- امنیت تجهیزات شبکه
۱ـ1 افزونگی در محل استقرار شبکه
۲ـ1 توپولوژی شبکه
الف – طراحی سری
ب – طراحی ستارهای
ج – طراحی مش
۳ـ1محلهای امن برای تجهیزات
۴ـ1 انتخاب لایه کانال ارتباطی امن
۵ـ1 منابع تغذیه
۶ـ1 عوامل محیطی
۲- امنیت منطقی
۱ـ2 امنیت مسیریابها
۲-۲ مدیریت پیکربندی
۳ـ2 کنترل دسترسی به تجهیزات
۴ـ2 امن سازی دسترسی
۵ـ2 مدیریت رمزهای عبور
۳) ملزومات و مشکلات امنیتی ارائه دهندگان خدمات
۱ـ3 قابلیتهای امنیتی
۳ـ2 مشکلات اعمال ملزومات امنیتی
مفاهیم امنیت شبکه
۱ـ منابع شبکه
۲ـ حمله
۳ـ خلیل خطر
۴ـ سیاست امنیتی
۵ـ طرح امنیت شبکه
۶ـ نواحی امنیتی
بهبود قابلیت های امنیتی IE توسط Windows XP SP
نوار اطلاعات
مسدود کننده Popـup
مدیریت Addـon
نقصهای بحرانی
احتیاط بیشتر مشتریان
ضعف امنیتی کربروس
سرویس پک
گزارش CERT/CC از وضعیت امنیت شبکه در سال
کرم اینترنتی W32/Sobig.F
MSـSQL Server Worm/W32.Slammer
مهمترین شکافهای امنیتی سال
سرریز بافر در ISC DHCPD
خطای Double Free در سرور CVS
سرریز بافر در سرویس Locator ویندوز
کرم MSـSQL Server
چند خطای امنیتی در سرور اوراکل
چند خطای امنیتی در پیاده سازی پروتکل SIP
سرریز بافر در SendMail
حمله به سرویس اشتراک فایل در ویندوز
سرریز بافر در یکی از DLL های اصلی ویندوز
سرریز Integer در یکی از توابع کتابخانه ای SUN
چند خطای امنیتی در Lotus
سرریز بافر در SendMail
چند خطای امنیتی در Snort
سرریز بافر در یکی از توابع تبدیل HTML در ویندوز
شکاف امنیتی در CISCO IOS
سرریز بافر در سرویس RPC ویندوز
دسترسی عام به Exploit مربوط به خطای امنیتی CISCO
سرریز Integer در DirectX
دسترسی عام به Exploit مربوط به سرریز بافر در RPC ویندوز
کرم Blaster
مشکل امنیتی سرور FTP مربوط به پروژه GNU
چند شکاف امنیتی در IE
شکاف امنیتی در RPCSS ویندوز
شکاف امنیتی در مدیریت بافرها در OPENSSH
سرریز بافر در SendMail
چند شکاف امنیتی در پیاده سازی SSL و TLS
چند شکاف امنیتی در ویندوز و Exchange
سرریز بافر در سرویس WorkStation ویندوز
پنجره آسیب پذیری، دلیلی برای هک شدن
روشهای معمول حمله به کامپیوترها
برنامههای اسب تروا
درهای پشتی و برنامههای مدیریت از راه دور
عدم پذیرش سرویس
وساطت برای یک حمله دیگر
اشتراکهای ویندوزی حفاظتنشده
کدهای قابل انتقال (Java ، JavaScript و ActiveX)
اسکریپتهای CrossـSite
ایمیلهای جعلی
ویروسهای داخل ایمیل
پسوندهای مخفی فایل
سرویس گیرندگان چت
شنود بسته های اطلاعات
پراکسی چیست؟
پراکسی با Packet filter تفاوت دارد
پراکسی با Stateful packet filter تفاوت دارد
پراکسی ها یا Application Gateways
HTTP Proxy
FTP Proxy
:DNS Proxy
مقدمه:
برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژهای مییابد :
الف) عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه میدهد که با دستیابی به تجهیزات امکان پیکربندی آنها را به گونهای که تمایل دارند آن سختافزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکانپذیر خواهد شد.
ب) برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حملهها نفوذگران میتوانند سرویسهایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم میشود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار میگیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
۱) امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه
۲) امنیت تجهیزات شبکه در سطوح منطقی
۳) بالابردن امنیت تجهیزات توسط افزونگی در سرویسها و سختافزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار میگیرند : الف)امنیت فیزیکی ب) امنیت منطقی
الف) امنیت فیزیکی:
امنیت فیزیکی بازه وسیعی از تدابیر را در بر میگیرد که استقرار تجهیزات در مکانهای امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جملهاند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سختافزار و یا سرویسدهنده مشابه جایگزین میشود) بدست میآید.
در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خطرهایی که از این طریق تجهزات شبکه را تهدید میکنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حملهها میتوان به راهحلها و ترفندهای دفاعی در برار اینگونه حملات پرداخت.
۱ـ1 افزونگی در محل استقرار شبکه:
یکی از راهکارها در قالب ایجاد افزونگی در شبکههای کامپیوتری، ایجاد سیستمی کامل، مشابه شبکهی اولیهی در حال کار است.
در این راستا، شبکهی ثانویهی، کاملاً مشابه شبکهی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد، در محلی که میتواند از نظر جغرافیایی با شبکهی اول فاصلهای نه چندان کوتاه نیز داشته باشد برقرار میشود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل میکند (مانند زلزله) میتوان از شبکهی دیگر به طور کاملاً جایگزین استفاده کرد، در استفادههای روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکهی مشابه پخش میشود تا زمان پاسخ به حداقل ممکن برسد.
با وجود آنکه استفاده از این روش در شبکههای معمول که حجم جندانی ندارند، به دلیل هزینههای تحمیلی بالا، امکانپذیر و اقتصادی به نظر نمیرسد، ولی در شبکههای با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب میآیند از الزامات است.
۲ـ1 توپولوژی شبکه:
طراحی توپولوژیکی شبکه، یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی میتواند از خطای کلی شبکه جلوگیری کند.
در این مقوله، سه طراحی که معمول هستند مورد بررسی قرار میگیرند :
الف – طراحی سری :
در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.
ب – طراحی ستارهای :
در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویسدهی به دیگر نقاط دچار اختلال نمیگردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی، که میتواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال میشود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته میشود.
ج – طراحی مش :
در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد، با وجود آنکه زمانبندی سرویسدهی را دچار اختلال خواهد کرد. پیادهسازی چنین روش با وجود امنیت بالا، به دلیل محدودیتهای اقتصادی، تنها در موارد خاص و بحرانی انجام میگیرد.
۳ـ1محلهای امن برای تجهیزات:
در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار میگیرد :
? یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونهای که هرگونه نفوذ در محل آشکار باشد.
? در نظر داشتن محلی که در داخل ساختمان یا مجموعهای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعهی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.
با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکانهای بلااستفاده سود برده است (که باعث ایجاد خطرهای امنیتی میگردد)، میتوان اعتدالی منطقی را در نظر داشت.
در مجموع میتوان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :
۱) محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفلها و مکانیزمهای دسترسی دیجیتالی به همراه ثبت زمانها، مکانها و کدهای کاربری دسترسیهای انجام شده.
۲) استفاده از دوربینهای پایش در ورودی محلهای استقرار تجهیزات شبکه و اتاقهای اتصالات و مراکز پایگاههای داده.
۳) اعمال ترفندهایی برای اطمینان از رعایت اصول امنیتی.
۴ـ1 انتخاب لایه کانال ارتباطی امن:
با وجود آنکه زمان حملهی فیزیکی به شبکههای کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادمها و سرویسدهندههای مورد اطمینان شبکه معطوف شده است، ولی گونهای از حملهی فیزیکی کماکان دارای خطری بحرانی است.
عمل شنود بر روی سیمهای مسی، چه در انواع Coax و چه در زوجهای تابیده، هماکنون نیز از راههای نفوذ به شمار میآیند. با استفاده از شنود میتوان اطلاعات بدست آمده از تلاشهای دیگر برای نفوذ در سیستمهای کامپیوتری را گسترش داد و به جمعبندی مناسبی برای حمله رسید. هرچند که میتوان سیمها را نیز به گونهای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایهی فیزیکی، استفاده از فیبرهای نوری است.
در این روش به دلیل نبود سیگنالهای الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روشهای معمول شنود به پایینترین حد خود نسبت به استفاده از سیم در ارتباطات میشود.
۵ـ1 منابع تغذیه:
از آنجاکه دادههای شناور در شبکه به منزلهی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاهداشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی میکنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :
? طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه. این طراحی باید به گونهای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکهی تامین فشار بیشاندازهای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.
? وجود منبع یا منابع تغذیه پشتیبان به گونهای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.
۶ـ1 عوامل محیطی:
یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه میشوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانهای باید در نظر گرفت میتوان به دو عامل زیر اشاره کرد :
۱) احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)
۲) زلزله، طوفان و دیگر بلایای طبیعی
با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را میتوان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی، با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که میتوان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.
امنیت منطقی:
امنیت منطقی به معنای استفاده از روشهایی برای پایین آوردن خطرات حملات منطقی و نرمافزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریابها و سوئیچهای شبکه بخش مهمی از این گونه حملات را تشکیل میدهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار میگیرند میپردازیم.
۱ـ2 امنیت مسیریابها:
حملات ضد امنیتی منطقی برای مسیریابها و دیگر تجهیزات فعال شبکه، مانند سوئیچها، را میتوان به سه دستهی اصلی تقسیم نمود :
۱) حمله برای غیرفعال سازی کامل
۲) حمله به قصد دستیابی به سطح کنترل
۳) حمله برای ایجاد نقص در سرویسدهی
طبیعی است که راهها و نکاتی که در این زمینه ذکر میشوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند. لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبهی آنرا تشکیل میدهد.
۲-۳ مدیریت پیکربندی:
یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پروندهها مختص پیکربندی است.
از این پروندهها که در حافظههای گوناگون این تجهیزات نگاهداری میشوند، میتوان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر مییابند، نسخه پشتیبان تهیه کرد.
با وجود نسخ پشتیبان، منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که میتواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاهترین زمان ممکن میتوان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بینقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سختافزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.
نرمافزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصلههای زمانی متغیر دارا میباشند. با استفاده از این نرمافزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید میآید به کمترین حد ممکن میرسد.
۳ـ2 کنترل دسترسی به تجهیزات:
دو راه اصلی برای کنترل تجهزات فعال وجود دارد:
? کنترل از راه دور
? کنترل از طریق درگاه کنسول
در روش اول میتوان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرسهایی خاص یا استاندارها و پروتکلهای خاص، احتمال حملات را پایین آورد.
در مورد روش دوم، با وجود آنکه به نظر میرسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد.
لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیتها در روش اول عملاً امنیت تجهیزات را تآمین نمیکند.
برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راهدور دارند، اطمینان حاصل نمود.
۴ـ2 امن سازی دسترسی:
علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روشهای معمول امنسازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمولترین روشهای حمله هستند را به حداقل میرساند.
از دیگر روشهای معمول میتوان به استفاده از کانالهای VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونهای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریابها، این روش را مرجح میدانند.
۵ـ2 مدیریت رمزهای عبور:
مناسبترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سختافزار نگاهداری شوند. در این صورت مهمترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سختافزارهای مشابه است.
۳) ملزومات و مشکلات امنیتی ارائه دهندگان خدمات:
زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان میآید، مقصود شبکههای بزرگی است که خود به شبکههای رایانهای کوچکتر خدماتی ارائه میدهند. به عبارت دیگر این شبکههای بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکهی جهانی اینترنت کنونی را شکل میدهند. با وجود آنکه غالب اصول امنیتی در شبکههای کوچکتر رعایت میشود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکهها مطرح هستند.
۱ـ3 قابلیتهای امنیتی:
ملزومات مذکور را میتوان، تنها با ذکر عناوین، به شرح زیر فهرست نمود:
? – قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات
? – وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بستههایی که به قصد حمله بر روی شبکه ارسال میشوند. از آنجاییکه شبکههای بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستمهای IDS بر روی آنها، میتوان به بالاترین بخت برای تشخیص حملات دست یافت.
? – قابلیت تشخیص منبع حملات. با وجود آنکه راههایی از قبیل سرقت آدرس و استفاده از سیستمهای دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار مینمایند، ولی استفاده از سیستمهای ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازهی مشکوک به وجود منبع اصلی مینماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام میگردد.
۳ـ2 مشکلات اعمال ملزومات امنیتی:
با وجود لزوم وجود قابلیتهایی که بطور اجمالی مورد اشاره قرار گرفتند، پیادهسازی و اعمال آنها همواره آسان نیست.یکی از معمولترین مشکلات، پیادهسازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر میشود، برای دستهای دیگر به عنوان جریان عادی داده است.لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بستههای اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها میتوان متوسل به تجهیزات گرانتر و اعمال سیاستهای امنیتی پیچیدهتر شد.با این وجود، با هرچه بیشتر حساس شدن ترافیک و جریانهای داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکههای کوچکی که خود به شبکههای بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکهها میتوان داشت.
مفاهیم امنیت شبکه:
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
? شناسایی بخشی که باید تحت محافظت قرار گیرد.
? تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
? تصمیم گیری درباره چگونگی تهدیدات
? پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
? مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.
۱ـ منابع شبکه:
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
? تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
? اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
? منابع نامحسوس شبکه مانند عرض باند و سرعت
? اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
? ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.
? اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
? خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.
۲ـ حمله:
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:
۱ـ دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه
۲ـ دستکاری غیرمجاز اطلاعات بر روی یک شبکه
۳ـ حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
۱ـ ثابت کردن محرمانگی داده
۲ـ نگهداری جامعیت داده
۳ـ نگهداری در دسترس بودن داده
۳ـ خلیل خطر:
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
۱ـ احتمال انجام حمله
۲ـ خسارت وارده به شبکه درصورت انجام حمله موفق
۴ـ سیاست امنیتی:
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
۱ـ چه و چرا باید محافظت شود.
۲ـ چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
۳ـ زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
۱ـ مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
۲ـ محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
۵ـ طرح امنیت شبکه:
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
• ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH فایروالها
• مجتمع کننده های VPN برای دسترسی از دور
• تشخیص نفوذ
• سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه
• مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه
۶ـ نواحی امنیتی:
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیزمی شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
۱ـ تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
۲ـ سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
۳ـ سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
۴ـ استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.
بهبود قابلیت های امنیتی IE توسط Windows XP SP2
با سرویس پک? (SP2) کاربران IE قادر خواهند بود قابلیت های جدیدی را برای حفظ حریم شخصی و امنیت سیستم به مرورگر خود بیفزایند. این قابلیت ها در واقع در جهت افزایش آگاهی کاربران از خطراتی است که امنیت سیستم را تهدید می نمایند. در صورتی که کاربر اقدام به گرفتن فایل های مشکوک از اینترنت کند و یا سایت های وب بدون اجازه و اطلاع کاربر، برنامه ای را بر روی دستگاه اجرا کنند، مرورگر مجهز به SP2 این فعالیت ها را متوقف نموده، هشدارهای لازم را به کاربر می دهد.
در این مقاله سه قابلیت جدید مرورگر مورد بحث قرار می گیرند:
• نوار اطلاعات
• مسدود کننده Popـup
• مدیر Addـon
نوار اطلاعات:
این نوار برای ابلاغ هشدارهای سیستم نسبت به نقض اصول امنیتی به مرورگر IE اضافه شده است. هرگاه وب سایت هایی که کاربر در حال مشاهده آنهاست بدون اجازه کاربر اقدام به اجرای برنامه بر روی دستگاه نمایند، و یا خود کاربر فایلی را از اینترنت دریافت نماید که امکان آلودگی آن وجود داشته باشد هشدارهای لازم برای آگاهی کاربر از طریق این نوار ابزار اعلام می گردد.
این نوار ابزار دقیقا زیر نوار آدرس قرار دارد و به تصمیم گیری در مورد downloadها، پنجره های popـup مسدود شده و سایر وقایعی که در مرورگر اتفاق می افتد کمک می کند. نوار ابزار اطلاعات تنها در شرایطی ظاهر می شود که پیامی داشته باشد و بنابراین فضای مفید مرورگر را در موارد غیر ضروری اشغال نمی نماید.
مسدود کننده Popـup:
این مسدود کننده به صورت پیش فرش در IE فعال است و اجازه فعالیت بیشتر پنجره های Popـup را می گیرد…
بخشی از منابع و مراجع پروژه بررسی امنیت تجهیزات شبکه یا ASN
www. CERT.com
www. IRCERT.com
www. ISPT.com
www. ITanalyze_ir
www. Red Packet Technologies.com
www. Shabgard.ORG
- در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.