امنیت شبکه
برای تأییدپذیری کامل این مقاله به منابع بیشتری نیاز است. (آوریل ۲۰۲۰) |
لحن یا سبک این مقاله بازتابدهندهٔ لحن دانشنامهای مورد استفاده در ویکیپدیا نیست. |
امنیت شبکه (به انگلیسی: Network Security) شامل مقررات و سیاستهای گرفته شده توسط مدیریت شبکه است که به منظور جلوگیری و نظارت بر دسترسی غیرمجاز، سوء استفاده، اصلاح، یا ایجاد محدودیت در شبکههای کامپیوتری و منابع قابل دسترس در شبکه، تدوین و اعمال میگردد.
کاربران یک شناسه و رمز عبور یا اطلاعات تصدیق کننده دیگری را انتخاب میکنند یا به آنها اختصاص داده میشود که به آنها اجازه دسترسی به اطلاعات و برنامههای درون اختیاری خود را میدهد. امنیت شبکه انواع شبکههای کامپیوتری چه دولتی و چه خصوصی را پوشش میدهد که در مشاغل روزمره مورد استفاده قرار میگیرند: انجام معاملات و ارتباطات بین کسب و کارها، سازمانهای دولتی و افراد. شبکهها میتوانند خصوصی باشند، مانند درون یک شرکت. امنیت شبکه در سازمانها، بنگاهها، و انواع دیگر موسسات نقش مهمی دارد. رایجترین و سادهترین راه حفاظت از یک منبع شبکه با اختصاص آن یک نام منحصر به فرد و یک رمز عبور مربوط است.
اولین گام در امنیت اطلاعات
[ویرایش]عبارتهای «امنیت شبکه» و «امنیت اطلاعات» اغلب به جای هم مورد استفاده قرار میگیرند. عدم آشنایی بسیاری از کاربران و کارکنان سازمانها، به نفوذگران کمک میکند تا به راحتی وارد یک شبکه کامپیوتری شده و از داخل آن به اطلاعات محرمانه دست پیدا کنند یا این که به اعمال خرابکارانه بپردازند. هر چه رشد اینترنت و اطلاعات روی آن بیشتر میشود نیاز به اهمیت امنیت شبکه افزایش پیدا میکند. امنیت شبکه بهطور کلی برای فراهم کردن امکان حفاظت از مرزهای یک سازمان در برابر نفوذگران (مانند هکرها) به کار میرود. برای تأمین امنیت بر روی یک شبکه، یکی از بحرانیترین و خطیرترین مراحل، تأمین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش. با این حال، امنیت اطلاعات به صراحت بر روی محافظت از منابع اطلاعاتی در برابر حمله ویروسها یا اشتباهات ساده توسط افراد درون سازمان متمرکز شدهاست و برای این منظور از تکنیکهای جلوگیری از از دست رفتن دادهها (DLP) بهره میبرد. یکی از این تکنیکها، تقسیمبندی شبکههای بزرگ توسط مرزهای داخلی است.
مفاهیم امنیت شبکه
[ویرایش]امنیت شبکه از تصدیق هویّت کاربر و معمولاً توسط یک نام کاربری و یک رمز عبور آغاز میشود. از آنجایی که این موضوع تنها نیازمند به یک چیز در کنار نام کاربری (یعنی رمز عبور) است، لذا گاهی تحت عنوان «احراز هویت تک عامله» نامیده میشود. با «احراز هویت دو عامله» برخی از چیزهایی که شما دارید، نیز استفاده میشود (به عنوان مثال یک توکن امنیتی یا قفل سختافزاری، یک کارت ATM یا تلفن همراه شما)، یا با «احراز هویت سه عامله» بعضی از چیزهایی که معرف شماست نیز استفاده میشود (مانند اثر انگشت).
پس از تصدیق هویت، دیوارآتشین (فایروال) اجرای سیاستهای دسترسی را اعمال میکند؛ از قبیل اینکه چه خدماتی مجاز هستند که در دسترس کاربران شبکه قرار بگیرند. اگر چه برای جلوگیری از دسترسی غیرمجاز، این اجزاء ممکن است برای بررسی اجزای مضر بالقوه، مانند کرمهای کامپیوتری یا تروجانهایی که از طریق شبکه منتقل میشوند، شکست بخورند. نرمافزارهای آنتیویروس یا سیستمهای پیشگیری از نفوذ (IPS) کمک شایانی به شناسایی و مهار عملکرد چنین نرمافزارهای مخربی میکند. یک سیستم تشخیص نفوذ مبتنی بر آنومالی نیز ممکن است بر شبکه و ترافیک موجود در آن از حیث محتوا یا رفتار ناخواسته و مشکوک یا سایر ناهنجاریها نظارت داشته باشد تا از منابع محافظت کند؛ به عنوان مثال از حمله ممانعت از سرویس دهی یا دسترسی به فایلهای کارمندی در زمانهای غیر متعارف. حوادث منحصربهفردی هم که در شبکه رخ میدهد ممکن است به منظور بازبینی و تجزیه و تحلیل سطح بالاتر در آینده، ثبت گردد.
ارتباط بین دو میزبان که از یک شبکه استفاده میکنند، میتواند به منظور حفظ حریم خصوصی رمزنگاری شود.
کندوهای عسل (Honeypots) که اساساً منابع فریبنده قابل دسترس در شبکه هستند، میتوانند به منظور نظارت و ابزارهای هشدار زود هنگام در شبکه مستقر شوند تا نشان دهند که چه وقت یک کندوی عسل بهطور معمول قابل دستیابی نمیباشد. تکنیکهایی که مهاجمان در تلاش برای دستیابی به این منابع فریبنده به کار میبندند، در طول حمله و پس از آن مورد مطالعه قرار میگیرند تا نگاهی بر تکنیکهای بهرهبرداری جدید وجود داشته باشد. چنین تجزیه و تحلیلهایی میتواند به منظور تأمین امنیت بیشتر یک شبکه واقعی توسط روش کندوی عسل، مورد استفاده قرار خواهد گرفت.
مدیریت امنیت
[ویرایش]مدیریت امنیت برای شبکهها، برای انواع شرایط مختلف، متفاوت است. یک خانه کوچک یا یک دفتر تنها به یک امنیت ابتدایی نیاز دارد؛ در حالی که کسب و کارهای بزرگ نیازمند محافظت در سطح بالا و داشتن نرمافزارها و سختافزارهای پیشرفته برای جلوگیری از حملات بدخواهانهای چون هک کردن و ارسال ایمیلهای ناشناس هستند.
برای منازل کوچک
[ویرایش]- از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه ابتدایی استفاده کنید.
- برای کاربران ویندوز، نرمافزار آنتیویروس ابتدایی مناسب است. یک برنامه ضد جاسوسی نیز ایده خوبی میباشد. تعداد بسیاری از انواع دیگر آنتیویروسها یا برنامههای ضد جاسوسی نیز وجود دارد که میتواند مد نظر قرار بگیرد.
- هنگام استفاده از اتصال بیسیم، از یک رمز عبور قوی استفاده کنید. همچنین سعی کنید، از بالاترین امنیتی که توسط دستگاههای بیسیم شما پشتیبانی میشود، استفاده کنید؛ مانند Protected Access|WPA2 با رمزنگاری AES.
- اگر از اتصال بیسیم استفاده میکنید، نام شبکه پیش فرض در SSID را تغییر دهید. همچنین امکان انتشار در SSID را غیرفعال کنید؛ زیرا این قابلیتها برای استفاده در منزل غیرضروری است. اگر چه بسیاری از کارشناسان امنیتی این موضوع را نسبتاً بیفایده در نظر میگیرند.
- فیلترسازی آدرس MAC را فعال کنید تا اینکه تمام اتصالهای دستگاههای MAC موجود در شبکه خانگی به مسیریاب شما ثبت گردد.
- به همه دستگاههای موجود در شبکه IP ثابت اختصاص دهید.
- امکان تشخیص اتصال ICMP در مسیریاب را غیرفعال کنید.
- فهرست ثبت وقایع مسیریاب یا دیوار آتش را مورد بازبینی قرار دهید تا بتوانید اتصالها و ترافیکهای غیرعادی روی اینترنت را تشخیص بدهید.
- برای همه حسابهای کاربری، رمز عبور تعیین کنید.
- برای هر یک از اعضای خانواده حساب کاربری جداگانهای در نظر بگیرید و برای فعالیتهای روزانه از حسابهای کاربری غیر مدیریتی استفاده نمایید. حساب کاربری مهمان را غیرفعال کنید. (کنترل پنل> ابزارهای مدیریتی> مدیریت کامپیوتر> کاربران)
- میزان آگاهی کودکان در مورد امنیت اطلاعات را بالا ببرید.
برای کسب و کارهای متوسط
[ویرایش]- از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه نسبتاً قوی استفاده کنید.
- از نرمافزارهای آنتیویروس قوی و نرمافزارهای امنیت اینترنت استفاده کنید.
- برای احراز هویت، از رمزهای عبور قوی استفاده کرده و هر دو هفته یکبار یا ماهانه آنها را تغییر دهید.
- هنگام استفاده از اتصال بیسیم، از یک رمز عبور قوی استفاده نمایید.
- میزان آگاهی کارکنان در خصوص امنیت فیزیکی را بالا ببرید.
- از یک تحلیل گر شبکه یا کنترلکننده شبکه با قابلیت انتخاب استفاده کنید.
- وجود یک مدیر روشن فکر نیز ضروری است.
برای کسب و کارهای بزرگ
[ویرایش]- از یک دیوار آتش و پروکسی قوی استفاده کنید تا افراد ناخواسته را دور نگه دارید.
- از یک بسته حاوی نرمافزارهای آنتیویروس قوی و نرمافزارهای امنیت اینترنت استفاده کنید.
- برای احراز هویت، از رمزهای عبور قوی استفاده کرده و بهطور هفتگی یا هر دو هفته یکبار آنها را تغییر دهید.
- هنگام استفاده از اتصال بیسیم، از یک رمز عبور قوی استفاده نمایید.
- اقدامات احتیاطی در خصوص امنیت فیزیکی را به کارمندان تمرین دهید.
- یک تحلیل گر شبکه یا کنترلکننده شبکه فراهم کرده تا در صورت نیاز از آن استفاده نمایید.
- مدیریت امنیت فیزیکی، مانند دوربین مدار بسته برای مبادی ورودی و مناطق محدود شده را پیادهسازی نمایید.
- حصار امنیتی را برای علامت گذاری محیط شرکت به کار ببندید. (سیش)
- وجود کپسول آتشنشانی برای فضاهای حساس به آتش، مانند اتاق سرور و اتاقهای امنیتی لازم است.
- حفاظهای امنیتی میتواند به بیشینه کردن امنیت کمک کند.
برای دانشکده
[ویرایش]- از یک فایر وال و پروکسی قابل تنظیم استفاده کنید تا امکان دسترسی از داخل و خارج را برای افراد مجاز فراهم سازید.
- از یک بسته حاوی نرمافزارهای آنتیویروس قوی و نرمافزارهای امنیت اینترنت استفاده کنید.
- از مانیتوینگ برای کنترول ترافیک شبکه و اینترنت استفاده کنید.
- از اتصالات بیسیم مجهز به دیوار آتش بهره بگیرید.
- قانون حمایت از کودکان در برابر اینترنت را رعایت نمایید.
- نظارت بر شبکه به منظور تضمین به روز رسانی و تغییرات بر اساس استفاده از سایتهای محبوب، عملی مؤثر است.
- نظارت مداوم توسط استادان، کتابداران و مدیران به منظور تضمین حفاظت در برابر حملات، هم از سوی منابع اینترنتی و هم منابع شبکهای لازم است.
برای دولت بزرگ
[ویرایش]- از یک دیوار آتش و پروکسی قوی استفاده کنید تا افراد ناخواسته را دور نگه دارید.
- از یک بسته حاوی نرمافزارهای آنتیویروس قوی و نرمافزارهای امنیت اینترنت استفاده کنید.
- رمزنگاری قوی را به کار ببندید.
- فهرست bvcfgbcvbnvbc سایر موارد را مسدود میکند.
- همه سختافزارهای شبکه در محلهای امنی وجود داشته باشند.
- همه میزبانها میبایست در یک شبکه خصوصی باشند تا از زاویه بیرونی، نامرئی به نظر آیند.
- از خارج و از داخل، nvnbv را در یک DMZ یا یک دیوار آتش قرار دهید.
- حصار امنیتی را برای علامت گذاری محیط و تخصیص محدودههای بیسیم به آنها، به کار ببندید.
انواع و منابع تهدیدهای شبکه
[ویرایش]در حال حاضر ما آنقدر اطلاعات در زمینه شبکه گذاری داریم که میتوانیم وارد جنبههای امنیتی آن شویم. اول از همه ما وارد انواع تهدیدهایی که شبکه با آنها مواجه است میشویم و آنگاه برخی از کارهایی که میتوانیم برای حفاظت از خود در مقابل آنها انجام دهیم، توضیح میدهیم.
Denial-of-Service
[ویرایش]احتمالاً حملات DoS خطرناکترین تهدیدها است. آنها بدین دلیل خطرناکترین هستند که به آسانی میتوانند اجرا شوند، به سختی رهگیری میشوند (برخی مواقع غیرممکن است)، و سرپیچی از درخواست حملهکننده آسان نیست حتی اگر این درخواست غیرقانونی باشد.
منطق یک حمله DoS ساده است. درخواستهای زیادی به ماشین ارسال میشود که از اداره ماشین خارج است. ابزارهای در دسترسی در محافل زیر زمینی وجود دارد که که این کار را به صورت یک برنامه درمیآورند و به آن میگویند در چه میزبانی درخواستها را منتشر کند.
برخی کارهایی که میتوان برای کاهش خطر مواجه شدن با یک حمله DoS (رد درخواست) انجام داد عبارتند از:
- عدم اجرای خدمات قابل مشاهده به صورت جهانی در نزدیکی ظرفیت اجرایی
- استفاده از فیلترینگ بسته برای جلوگیری از بستههای جعل شده در ورودی به فضای آدرس شبکه شما.
مشخصاً بستههای جعلی شامل آنهایی هستند که ادعا میکنند از طرف میزبان شما آمدهاند و بر اساس RFC1918 برای شبکههای خصوصی و شبکه loopback آدرس دهی شدهاند.
- موارد مربوط به امنیت سیستمهای عامل میزبان خود را به روز کنید.
دسترسی غیرمجاز
[ویرایش]دسترسی غیرمجاز یک واژه سطح بالا است که میتواند به انواع مختلف حملات مرتبط باشد. هدف از این نوع حملات دسترسی به برخی منابع است که ماشین شما نبایستی آن را در اختیار حمله کنندگان قرار دهد.
تخریب اطلاعات
[ویرایش]برخی از مهاجمهان به آسانی با افرادی همکاری میکنند که دوست دارند همه چیز را از بین ببرند. در چنین حالتی، تأثیر روی توان محاسباتی شما و در نتیجه شرکت شما، میتواند چیزی کمتر از یک حریق یا بلایای دیگری باشد که باعث میشود تجهیزات محاسباتی شما بهطور کامل تخریب شوند.
اجرای فرمانها غیرقانونی
[ویرایش]مشخص است که یک فرد ناشناس و غیر مطمئن نبایستی بتواند فرمانها را روی ماشینهای سرور شما اجرا کند. دو طبقهبندی عمده امنیتی برای این مشکل وجود دارد: دسترسی کاربر معمولی و دسترسی مدیریت. یک کاربر معمولی میتواند تعدادی از موارد سیستم را اجرا نماید (همانند خواندن فایلها، ارسال ایمیل به سایر افراد و غیره) که افراد مهاجم قادر به اجرای آنها نیستند.[۱]
انواع فایروالها
[ویرایش]سه نوع عمده فایروال وجود دارد که ما آنها را مورد بررسی قرار میدهیم:
مسیر کاربردی
[ویرایش]اولین فایروالها، مسیر کاربردی هستند که به عنوان پراکسی مسیری شناخته میشوند. آنها از باستین هاستهایی ساخته شدهاند که برای عمل کردن به صورت پراکسی سرور یک نرمافزار خاص را اجرا میکند. این نرمافزار در لایه کاربردی دوست قدیمی ما مدل مرجع ISO/OSI اجرا میشود. کلاینتهای پشت سر فایروال بایستی proxitized (به این معنا که بایستی دانست که چگونه از پراکسی استفاده کرد و آنها را پیکربندی نمود) شوند تا بتوان از خدمات اینترنتی استفاده کرد. معمولاً اینها دارای ویژگی امنیتی هستند، زیرا آنها به همه چیز اجازه عبور بدون اشکال را نمیدهند و نیاز به برنامههایی دارند که برای عبور از ترافیک نوشته و اجرا شده.
فیلتر کردن بسته
[ویرایش]فیلتر کردن بسته تکنیکی است که بهواسطه آن روتورها دارای ACLهای (لیستهای کنترل دسترسی) فعال میشوند. بهطور پیش فرض، یک روتور تمامی ترافیک به سمت خود را عبور میدهد و همه نوع کار را بدون هیچ محدودیتی انجام میدهد. استفاده از ACLها روشی برای اعمال سیاست امنیتی شما با توجه به نوع دسترسی که میخواهید جهان خارج به شبکه داخلی شما داشته باشد و غیره، میباشد.
استفاده از فیلتر کردن بسته بهجای مدخل کاربردی دارای هزینه اضافی است زیرا ویژگی کنترل دسترسی در لایه پایینتر ISO/OSI اجرا میشود (عموماً لایه انتقال یا لایه session). با توجه به سربار کمتر و این واقعیت که فیلترینگ به وسیلهٔ روتورهایی انجام میشوند که به صورت کامپیوترهای خاص برای اجرای موارد مرتبط با شبکه بندی، بهینه شدهاند، یک مسیر فیلترینگ بسته اغلب بسیار سریعتر از لایه کاربردی آن است.
سیستمهای ترکیبی (Hybrid systems)
[ویرایش]در یک تلاش برای هماهنگکردن مسیرهای لایه کاربردی با انعطافپذیری و سرعت فیلترینگ بسته، برخی از فروشندگان سیستمهایی را ایجاد کردند که از هر دو اصل استفاده میکنند. در چنین سیستمهایی، اتصالات جدید باید در لایه کاربردی تأیید و به تصویب برسند. زمانی که این اتفاق افتاد، بقیه اتصال به لایه session فرستاده میشود، که در آن برای فیلترهای بسته اتصال را کنترل میکنند تا مطمئن شوند که تنها بستههایی که بخشی از یک محاوره در حال پیشرفت (که همچنین مجاز و مورد تأیید هستند) عبور میکنند.
سایر احتمالات شامل استفاده از هر دو پراکسی فیلترینگ بسته و لایه کاربردی است. مزیتهای این حالت شامل، ارائه معیاری برای محافظت از ماشینهای شما در مقابل خدماتی که به اینترنت ارائه میکند (همانند یک سرور عمومی وب) و همچنین ارائه امنیت یک مسیر لایه کاربردی به شبکه داخلی است.[۱]