PDA

نسخه کامل مشاهده نسخه کامل : دفاع چند لايه‌اي در مقابل ويروس‌ها



Saeid.Online
02-09-2006, 12:50
مقاله حاضرسعي دارد تا به بررسي لايه‌هاي تشكيل دهنده زيرساخت IT يك سازمان و ملزومات مورد نياز جلوگيري ازنفوذ ويروس ها در هر مدخل ورودي بپردازد. اين مقاله همچنين فاكتورهاي مورد نياز سازمان‌ها براي تصميم گيري در مورد چگونگي مديريت و محل به كار گيري نرم‌افزارهاي ضد ويروس را مورد بررسي قرار مي دهد.

زيرساخت IT

زيرساخت IT يك سازمان مي‌تواند شامل 4 لايه باشد.

1- كامپيوترهاي لايه كاربران : اين لايه در قلب سازمان قرار داشته و شامل كامپيوترهاي رضوي ميزپرسنل ، كامپيوترهاي Laptop و ساير ابزارهايي است كه توسط كارمندان مورد استفاده قرار مي‌گيرند.

2- سرورهاي فايل‌هاي محلي : اين لايه كه در اصل روي لايه كامپيوترهاي كاربران قرار دارد، شامل اطلاعات و برنامه‌هايي است كه در سرتاسر سازمان بين كامپيوترهاي روميزي به اشتراكshare) (گذاشته شده‌اند.

3- سرورهاي پست الكترونيكي : اين لايه در مرز سازمان قرار داشته و مجراي عبور و مرور تمام نامه‌هاي ورودي و يا خروجي سازمان است.

4- خدمات مديريت شده : اين قسمت بيروني‌ترين لايه زيرساخت IT بوده که مي‌تواند در داخل يا خارج سازمان قرار داشته باشد. در اين لايه نرم‌افزاري كه به عنوان بخشي از سرويس به کارگرفته شده ، توسط بخش ثالث - مانند يك ISP (Internet Service Provider) - اداره مي‌شود.

مشخصه‌هاي هر لايه

لايه 1 : كامپيوترهاي لايه كاربران

اين لايه آسيب‌پذيرترين قسمت در يك سازمان است، چرا كه بيشترين كنترل بر كامپيوترها در اين بخش، در اختيار كاربران است.

شايد مديران سيستم بتوانند اين كامپيوترها را در بعضي زمينه‌ها و به خصوص در سيستم‌‌هاي عامل ويندوز 2000 و Mac OS X محدود كنند، اما در سيستم‌هاي ‌عاملي همچون ويندوز 95 يا 98 و يا نسخه‌هاي قديمي كامپيوترهاي مكينتاش امكان كنترل مديريتي بسيار محدودي وجود دارد. با اين وجود چيزي كه واقعا كامپيوترهاي روميزي و Laptop ها را آسيب‌پذير مي‌كند، "محل دريافت انواع اطلاعات" است. اين اطلاعات نه تنها از يك سرور فايل يا سرور پست الكترونيكي، بلكه گاها" ميتواند از نقل و انتقال‌هاي صورت گرفته HTTP روي وب، فايل FTP ، سي‌دي ها، همزمان‌سازي اطلاعات با كامپيوترهاي ‌دستي و مانند آن دريافت شود.

مديريت كامپيوتر كاربران به دليل تغيير مداوم تعداد آنها بسيار مشكل است. اين در حالي است که گاهي اوقات و درعمل، حتي دانستن تعداد كامپيوترهاي موجود (با وجود كامپيوترهاي همراه كاربران و غيره) هم براي بسياري از شركت‌ها مشكل است.

لايه 2 : سرورهاي فايل

بسياري از شركت‌ها سرور فايل‌هاي بسيار كمتري نسبت به تعداد كامپيوترهاي كاربران در اختيار دارند.

لذا در اين مورد مديران سيستم بر تمام مواردي كه روي هر سرور وجود دارد، كنترل بسيار زيادي داشته و مي‌توانند توانايي‌هاي كاربران دراستفاده از كامپيوترها را به مفيدي تنظيم كنند. بنابراين از آنجا كه مديران سيستم مي‌توانند دستيابي به اطلاعات را از طريق به اشتراك گذاشتن آنها بر روي سرور براي كاربران فراهم كنند، در نتيجه كاربران كنترلي بر روي تنظيمات نخواهند داشت. سيستم هاي ‌عامل‌ عمومي براي سرورهاي فايل نيز شامل سيستم‌عامل‌هاي Unix، ويندوز NT ، 2000 ، 2003 و NetWare مي شود.

لايه 3 : سرورهاي پست الكترونيكي

سرورهاي پست الكترونيكي دروازه عبور و مرور محسوب شده و ترافيك ورودي يا خروجي يك سازمان را پردازش مي‌كنند. آنها همانند محصولات مرتبط با پست الكترونيكي از قبيل Microsoft Exchange يا Lotus Notes/Domino از پروتكل‌هاي مربوطه همچون پروتكل SMTP (پروتكل نقل و انتقال نامه‌هاي غير پيچيده) پشتيباني مي‌كنند.

پژوهش دقيقي كه در ماه هاي ژانويه تا مارس سال 2000 توسط مديربخش پيام‌هاي شركت Pitney Bowes صورت گرفت، نشان داد كه به طور ميانگين براي هر 1000 كارمند، روزانه 50 نامه الكترونيكي مورد رسيدگي قرار مي‌گيرد.اين در حالي است که سازمان‌هاي بزرگ مي‌توانند روزانه تا پنجاه هزار پيام الكترونيكي را دريافت كنند كه در بعضي موارد اين تعداد به يك ميليون نيزمي‌رسد.

طبق برآورد شركت IDC (شركت اطلاعات بين‌المللي) در سال 2005، روزانه حدود 35 ميليارد نامه الكترونيكي ارسال خواهد شد.با اين تفاسير مي توان گفت تركيب چنين سطحي از ترافيك با تكثير ويروس‌هاي مبتني بر نامه‌هاي الكترونيكي به اين معني است كه نامه‌هاي الكترونيكي اصلي‌ترين مسير مورد استفاده ويروس‌ها براي ورود به سازمان‌ها خواهند بود - کمااين كه در حال حاضرنيزوضعيت اين چنين است.اما از سوي ديگر بعضي از شركت‌ها مي‌توانند روزانه ده ها و شايد هم صدها ويروس را در مدخل ورود وخروج نامه‌ها متوقف كنند.

لايه 4 : خدمات مديريت شده

«خدمات مديريت شده» در چندين سال گذشته به وجود آمده که از آن با عنوان غير واضح‌ترين لايه از چهار لايه IT نيز نام برده مي شود. اساسا اين مورد به شركت ثالثي مربوط مي‌شود كه تعدادي نرم‌افزار و مشخصه‌هاي مورد نظر را در يك سرويس خدماتي يا دستگاه سخت‌افزاري دسته‌بندي مي‌كند تا بتواند آن را براي شركتي ديگر مديريت كند. از سودمندي‌هاي اين نوع خدمات مديريت شده ميتوان به اين مورد اشاره كرد كه با استفاده از سرويس‌ها مذکور مي‌توان از كارهاي اضافه مدير سيستم براي مديريت پروسه‌ها كاست.

نمونه‌اي از شركت‌هايي كه خدمات مديريت شده عرضه مي‌كنند، ISP ها (شركت‌هاي ارايه‌دهنده خدمات اينترنتي) هستند. اين امکان وجود دارد که شركتي بخواهد مسير عبور و مرور نامه‌هاي الكترونيكي خود را يك ISP قرار داده و از پويشگرهاي ISP براي کنترل ويروس‌ها، اسپم‌ها، فايل‌هاي آلوده و غيره استفاده كند. در اين صورت ISP تصميم مي‌گيرد چه اعمال متناسبي را انجام دهد - مثلا اينكه آيا نامه دريافتي را براي شركت مورد نظر ارسال كند يا نه. در اين صورت نيزISP مورد نظر براي انجام چنين خدماتي، حق‌الزحمه‌اي را از شركت مطالبه خواهد كرد.

نوع ديگري از خدمات مديريت شده، ابزارها و ادوات سخت‌افزاري هستند. اين ابزارها معمولا سرورهاي مخصوصي هستند كه در حاشيه شبكه قرار داشته و ترافيك وارد و خارج شده از سازمان را كنترل مي‌كنند. اين ادوات سخت‌افزاري خود شامل تمام موارد مورد نياز بوده و مانند نرم‌افزارهاي ضد ويروس مي‌توانند شامل نرم‌افزارهاي ديوار آتش (Firewall) هم باشند. معمولا براي سازمان‌ها اين امکان وجود ندارد كه نرم‌افزارهاي مورد نظر خود را به اين اسباب اضافه كنندو اين ادوات توسط شركت‌هاي فروشنده آنها كنترل (كنترل راه دور) مي‌شوند.

ثمرات کنترل ويروس در هر يك از لايه‌ها

لايه 1 : كامپيوترهاي كاربران

لايه كامپيوترهاي روميزي و كامپيوترهاي Laptop مهم‌ترين لايه براي کنترل ويروس‌ها است. اين لايه، تنها لايه‌اي است كه در آن هر فرد مي‌تواند هرگونه اطلاعاتي را از هر منبع مجازي مورد استفاده قرار دهد. اين لايه تنها جايي است كه بايد کنترل بر فايل‌هاي داخل CD ها، كامپيوترهاي ‌دستي در حال هماهنگ‌سازي اطلاعات و ديسكت‌ها صورت گيرد. از سوي ديگر اين احتمال وجود دارد که به هر دليلي نرم افزار ضد ويروس، در دروازه نامه‌ها قرار نداشته و يا به روز نشده باشدکه در اين صورت مي‌توان نامه‌ها و فايل‌هاي پيوندي آنها را در اين لايه مورد کنترل قرار داده و با اين كار از آلوده شدن شبكه توسط ويروس‌ها جلوگيري كرد. همچنين ترافيك HTTP وارد شده از وب را هم مي‌توان در كامپيوترهاي روميزي کنترل كرد (بعضي شركت‌ها اعمال محافظتي اضافه‌اي را براي ترافيك HTTP يا FTP - براي مثال در دروازه ورود و خروج – اعمال مي كنند، اما هنگامي كه با اين عمل، كارايي مورد نظر آنها در مقايسه با تهديدات واقعي كاهش مي‌يابد، بسياري از آنها ترجيح مي‌دهند تا مقابله با ويروس‌ها را در همان سطح كامپيوترهاي روميزي انجام دهند.).

دليل مهم ديگر براي داشتن نرم افزار ضد ويروس روي كامپيوترهاي روميزي اين است كه لايه مذکور تنها جايي است كه مي‌توان اطلاعات رمز شده‌اي مانند اطلاعات استفاده كننده از قوانين SSL (لايه سوكت‌هاي امن) را مورد بازرسي قرار داد. در اين خصوص نيز اطلاعات رمز شده تا هنگامي كه رمز گشايي نشوند، توسط هيچ نرم‌افزار ضد ويروسي قابل کنترلنخواهند بود.

اما دشواري‌هاي کنترل در اين لايه از زيرساخت IT عموما"به گرفتاري‌هاي كلي مدير سيستم براي مديريت كامپيوترهاي كاربران بازمي گردد. همانطور كه قبلا توضيح داده شد، تعداد متغير كامپيوترها مي‌تواند باعث بوجود آمدن خطاها و مشكلات بالقوه‌اي شود و زماني كه نظارت‌هاي مديريتي سختگيرانه به كار برده نشود و يا آنها دقيقا رعايت نشوند، كاربران مي‌توانند تنظيمات مورد نياز امنيت شبكه را مورد آسيب قرار دهند.بديهي است نرم‌افزار ضد ويروس تنها زماني موثر است كه كاملا به روز نگاه داشته شود.

لايه 2 : سرورهاي فايل

انجام کنترل در لايه سرور فايل بسيار ساده‌تر و قابل فهم‌تر است چرا كه عموما تعداد بسيار كمتري سرور فايل نسبت به كامپيوترهاي روميزي وجود داشته و كنترل آنها براي يك مدير سيستم بسيار ساده‌تر است.

پيش از اين، بسياري از شركت‌ها با علم به اينكه اگر فايل آلوده‌اي به هر روشي وارد سرور آنها شود، کنترل كامپيوترهاي روميزي از باز شدن آن‌ها جلوگيري خواهد كرد، ترجيح مي‌دادند از کنترل هاي زمان‌بندي شده در سرورهاي خود استفاده كنند. اما با نمايان شدن انواع جديدتر ويروس‌ها - مخصوصا ويروس‌هايي كه شبكه را به كمك اشتراكات شبكه‌اي، نامه‌ها و وب‌سايت‌ها آلوده مي‌كنند - تصميم بر آن شد كه از کنترل ‌هاي هميشه فعال - حداقل در سرورها - استفاده شود. گرچه در گذشته بعضي سازمان‌ها ترجيح مي‌دادند تا فقط از کنترل ‌هاي زمان‌بندي شده يا زمان نياز استفاده كنند، اما در حال حاضر کنترل هاي هميشه فعال به عنوان راهي موثر براي آگاهي از ورود ويروس‌ها به سازمان و جلوگيري از انتشار سريع آنها در شبكه مورد استفاده قرار مي‌گيرند.

همانطور كه قبلا هم توضيح داده شد، پيش‌فرض کنترل در لايه سرور فايل آن است كه همه فايل‌ها نيازي به کنترل ندارند، فايل‌هاي CD و DVD ، اطلاعات HTTP يا FTP و مانند آن بايد مستقيما وارد كامپيوترهاي كاربران شده و در آنجا کنترل شوند.

لايه 3 : سرورهاي پست الكترونيكي

از ماه مارس سال 1999 كه كرم WM97/Melissa (از نوع ماكرو برنامه Word) ظاهر شد تا به امروز تعداد ويروس‌ها و كرم‌هاي مبتني بر نامه‌هاي الكترونيكي بسيار اوج گرفته است. از بارزترين نمونه‌هاي آنها مي‌توان ويروس W32/Magistr ، كرم‌هاي اسكريپتي ويژوال بيسيك مانند Love Bug (VBS/LoveLetter) و VBS/Kakworm و كرم‌هاي Windows 32 مانند W32/Klez را نام برد.

اين گونه ويروس‌ها و كرم‌ها سعي مي‌كنند تا به چندين روش خود را منتشر كنند اما عمومي‌ترين روش آنها، ارسال از طريق فايل‌هاي ضميمه نامه‌هاي الكترونيكي است كه آن را به تعدادي و يا تمام آدرس‌هاي موجود در دفترچه آدرس فرد دريافت كننده ويروس ارسال مي‌كنند که به اين طريق صدها هزار كاربر در زمان كوتاهي آلوده مي‌شوند. سرعت انتشار و ميزان آلودگي مورد بحث، ما را متوجه اين موضوع مي‌كند كه در حال حاضر کنترل دروازه بسيار مهم‌تر از کنترل درون كامپيوترها است.

سازمان‌ها با انجام کنترل دروازه اي مي‌توانند با تهديدات، قبل از رسيدن آنها به كامپيوترها مقابله كنند. اين كار باعث صرفه‌جويي حجم زيادي از زمان مدير سيستم مي‌شود، چرا كه مدير سيستم بايد مشكل را فقط در يك محل - سرور پست الكترونيكي - و نه در همه كامپيوترها بررسي كند. همچنين جلوگيري از ورود ويروس به شبكه زمان‌هاي تلف شده سازمان را از بين مي‌برد - آغاز شيوع كرم‌هايي مانند كرم Love Bug شبكه‌هاي سازمان‌ها را به حالت سكون برده و فعاليت‌هاي تجاري را فلج مي‌كند. به علاوه كرم‌هايي مانند W32/Sircam اسنادي را كه در ديسك سخت پيدا مي‌كنند، به نامه پيوند زده و براي بقيه ارسال مي‌كنند كه اين كار به استحكام و محرمانه بودن اطلاعات شركت و بالطبع نام و آوازه آن صدمه مي‌زند.

"نرم افزار ضد ويروس دروازه عبور و مرور"، نامه‌ها وهمچنين فايل‌هاي پيوندي آنها را كه قصد ورود يا خروج به شركت را دارند بررسي مي‌كند. محصولات مربوط به پست الكترونيكي شامل کنترل هاي database و mailbox هم مي‌شوند و اين بدان معني است كه حتي اگر ويروسي - به خاطر عواملي مانند تاخير در به روز رساني نرم افزار ضد ويروس و يا ساير وموارد - در همان کنترل اوليه مورد شناسايي قرار نگيرد، در کنترل ‌هاي زمان‌بندي شده يا کنترل ‌هاي به هنگام نياز، شناسايي خواهد شد.

به هر حال با توجه به مباحثي مانند زمان، هزينه، اعتبار و ... کنترل كردن نامه‌هاي الكترونيكي در همان بدو ورود يا خروج از سازمان از جمله مهمترين توصيه‌هاي امنيتي است.

پيش فرض در لايه سرور پست الكترونيكي بر آن است كه همه اطلاعات در دروازه مورد بازرسي قرار نگيرند، بلكه رسانه‌هاي مورد استفاده كارير و نامه‌هاي رمز شده در دستگاه‌هاي كاربران کنترل شون


لايه 4 : خدمات مديريت شده

بارزترين مزيت استفاده از يك بخش ثالث (خدمات مديريت شده )براي انجام امور محافظت از اطلاعات در همان محدوده شبكه، آن است كه مدير سيستم مي‌تواند زمان خود را صرف فعاليت‌هاي ديگر كند. به علاوه هزينه انجام اعمال امنيتي در اين لايه بسيار قابل پيش بيني تر از ساير لايه‌ها است.

با اين حال بايد اين مطلب را هم در نظر داشته باشيم كه در مقابل چنين مزيتي عيب بزرگي هم وجود دارد كه تمام امور كاملا در خارج از كنترل سازمان و مدير سيستم انجام مي‌شوند. در اين صورت سازمان همواره تابع تنظيمات، تصميمات و كارايي‌هاي ISP و يا ساير سرويس‌ها بوده و اگر مشكلي رخ دهد - مثل بوجود آمدن اشكال در مسيريابي شبكه - كوچكترين كاري از شركت ساخته نخواهد بود. در ضمن بايد موارد مربوط به محرمانه بودن اطلاعات را هم مد نظر داشت، چرا كه كارمندان و ساير افراد قادر خواهند بود تا در خارج از سازمان اطلاعات درون نامه‌ها را مشاهده كنند.

در صورتي كه خدمات مديريت شده به وسيله سخت افزار انجام شود، كنترل بيشتري روي آنها خواهد بود، ولي باز هم مي‌دانيم كه آن اسباب هم توسط بخش ثالثي مديريت خواهند شد.



انتخاب يك روش ضد ويروسي

در بازنگري فاكتورهاي موثر بر انتخاب يك راهکار ضد ويروسي، به معيارهايي متضاد براي افزايش امنيت در مقابل كاهش هزينه برمي‌خوريم.

محافظت در لايه 4 - لايه خدمات مديريت شده - هزينه را كاهش مي‌دهد و محافظت در لايه 1 امنيت را افزايش خواهد داد.

منطقي آن است که تمام شركت‌ها در لايه 1 - لايه كامپيوترهاي كاربران - اعمال محافظتي را انجام دهند. سياست‌هاي امنيتي در شركت‌هاي ضد ويروس متفاوت است، اما امنيت در لايه 1 ، با ايجاد امنيت در لايه سرور فايل - لايه 2 - امكان‌پذيرتر خواهد بود.

عليرغم داشتن لايه‌هاي 1 و 2 محافظت شده، ممكن است سازمان‌ها با در نظر داشتن مواردي مانند هزينه و امنيت بخواهند امنيت را در لايه‌هاي 3 و يا 4 هم برقرار كنند.

در اين خصوص به كار گيري نرم‌افزار ضد ويروس در لايه 3 - دروازه ورود و خروج - امكان كنترل بسيار بيشتر و فراهم كردن امنيت محرمانگي بهتري را براي سازمان در بر دارد. با اين حال واگذار كردن امور به خدمات مديريت شده ممكن است راه حلي ارجح براي شركت‌هاي باشد كه براي آنها هزينه از اهميت بالايي برخوردار است.

منبع مقاله : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]