راه حلهايي براي ايجاد امنيت در سرويسهاي مختلف شبكه

[Ramana]

امنيت شبكه مبحث بسيار داغ شبكه هاي امروزي است. با افزايش ارتباطات اينترنتي و اجراي حجم زيادي از عمليات تجاري از اين طريق امنيت شبكه بسيار حائز اهميت مي باشد.
مسائلي كه در طراحي سيستم امنيتي شبكه مد نظر هستند عبارتند از:
تعيين منابع شبكه كه حفظ آنها اهميت دارد.
بررسي ريسكها و تهديدات شبكه.
بررسي نيازهاي امنيتي شبكه.
ايجاد يك طرح امنيتي.
تعريف سياستهاي امنيتي شبكه.
تعريف روشهايي براي اعمال سياستهاي امنيتي ( آئين نامه هاي امنيتي ).
تعريف يك استراتژي فني.
دريافت Feedback از كاربران, مديران و پرسنل فني.
آموزش پرسنل.
اعمال استراتژي فني در پروسه هاي امنيتي.
آزمون امنيتي و رفع مشكلات موجود.
نظارت بر امنيت با بازرسيهاي مرتب.

منابع حساس شبكه كه حفاظت آنها جزء اهداف امنيتي شبكه مي باشد شامل نودهاي شبكه ( سيستم عامل, برنامه هاي كاربردي, داده ها ) تجهيزات ارتباطي ( routerها, سوئيچها ) و داده هايي كه در شبكه حركت مي كنند مي باشد.
تهديداتي كه براي اين منابع خطر ايجاد مي كنند از كاربراني كه بصورت غير مجاز وارد شبكه مي شوند و قصد خرابكاري دارند تا پرسنل بي تجربه اي كه از طريق اينترنت ويروس وارد سيستم مي كنند مي تواند باشد.
يك ضرب المثل قديمي در مورد مسائل امنيتي مي گويد هزينه اي كه صرف ايمن سازي مي شود بايد كمتر از قيمت كالاي مربوطه باشد, اين مطلب در شبكه هم مصداق دارد. ايمن سازي شبكه برروي اهداف فني شبكه مانند راندمان, قابليت دسترسي و ...... تاثير خواهد گذاشت. پس بايد موازنه اي بين مقدار ايمني مورد نياز و هزينه اي كه براي آن مي شود ايجاد گردد.
عملياتي كه باعث افزايش ايمني شبكه مي شوند مانند ----- كردن Packetها و يا رمز كردن داده ها باعث مصرف توان CPU و استفاده زياد از حافظه تجهيزات خواهد شد. رمز كردن داده ها تا 15 درصد توان CPU را كاهش مي دهد. ايمن سازي ضريب اطمينان ارتباطات شبكه را نيز كاهش مي دهد. در صورتيكه رمز كردن داده ها مد نظر باشد بايد همه داده ها از يك نقطه كه عمليات رمز در آن انجام مي شود عبور كنند. اين به معني وجود يك نقطه حساس ( Single Point Of Failure ) در شبكه است كه در صورت بروز مشكل براي آن كل شبكه از كار مي افتد و بدين ترتيب ضريب اطمينان شبكه كاهش مي يابد.يكي از اولين گامها در طراحي سيستم امنيتي, ايجاد طرح امنيتي است. طرح امنيتي يك سند سطح بالاست كه نيازهاي امنيتي را بيان مي كند. در اين طرح زمان, افراد و ساير منابعي كه براي ايجاد سياست امنيتي مورد نياز مي باشند تعريف مي شود.
سياست امنيتي به كاربران, مديران و پرسنل فني اعلام مي كند براي حفاظت از منابع اطلاعاتي و تكنولوژيكي چه مسائلي بايد رعايت شود. با توجه به تغييرات سازمانها كه بصورت مستمر انجام مي پذيرد, سياستهاي امنيتي نيز بايد تغيير كنند. پس سياست امنيتي يك مستند پويا و زنده است كه متناسب با شرايط زماني تغيير مي كند.
اجزاي تشكيل دهنده يك سياست امنيتي به شرح ذيل مي باشد:
سياستهاي دسترسي كه مجوزها و سطوح دسترسي و اختيارات افراد مختلف را بيان مي كند.
سياستهاي عملياتي كه به تعريف مسئوليت كاربران, پرسنل عملياتي و مديريت مي پردازد. در اين سياستها بايد قابليت نظارت بر مسائل امنيتي تعريف شود و توصيه هايي براي چگونگي گزارش دهي در هنگام بروز مشكل پيش بيني شود.
سياستهاي شناسايي كه به تشخيص كاربران در هنگام ورود به شبكه مي پردازد. كلمات رمز و ID از اين جمله مي باشند.
توصيه هايي براي چگونگي خريد تجهيزات مربوطه به سيستمهاي امنيتي.
آئين نامه هاي امنيتي براي اعمال سياستهاي امنيتي مي باشند. آئين نامه به تعريف مکانيزم هاي تنظيم هاي امنيتي, چگونگي ورود به شبكه, نظارت بر مسائل ايمني و .... مي پردازد. اين آئين نامه ها بايد براي مديران شبكه, كاربران و مديران امنيتي نوشته شود. در اين آئين نامه نحوه برخورد هنگام مواجهه با تهديدات امنيتي مشخص مي شود.
عمده ترين مکانيزم هاي امنيتي كه جهت امنيت در شبكه مورد استفاده قرار مي گيرند عبارتند از:
Authentication, Authorization, Auditing, Data Encryption
ولي مهمترين اصل در ايجاد امنيت, امنيت فيزيكي است. امنيت فيزيكي به معناي اعمال محدوديت در دسترسي به منابع كليدي شبكه بوسيله قراردادن آنها در جاي امن است. امنيت فيزيكي همچنين حفاظت منابع در مقابل حوادث طبيعي مانند سيل, آتش, طوفان و زلزله مي باشد. امنيت فيزيكي بايد در مورد منابع اصلي شبكه مانند routerها, نقاط اتصال سيستم كابل كشي, مودمها, serverها اعمال گردد.

[Ramana]

اتصال به اينترنت يكي از راههاي اصلي انتقال ويروس به شبكه يا حمله Hacker ها است. بهمين منظور اين اتصال بايد توسط مجموعه اي از مکانيزم هاي امنيتي مختلف كه يكديگر را پوشش مي دهند حفاظت شود. اين مکانيزم هاي شامل استفاده از Firewall, ----- كردن برخي Packetها, امنيت فيزيكي, Logكردن وقايع و Authentication و Authorization مي باشد.Serverهاي عمومي شبكه كه براي اتصال كليه كاربران مي باشد ( مانند Web و FTP ) از روشهاي شناسايي استفاده نمي كنند ولي ساير Serverها قبل از اجازه اتصال كاربران توسط ID و كلمه رمز آنها را شناسايي كرده و فقط به كاربران مجاز اجازه عبور مي دهند. بهمين دليل Serverهاي عمومي بايد در ناحيه DMZ ( DeMilitrized Zone ) يك Firewall قرار گيرند.اين مطلب در حال حاضر در شبکه رعايت شده است.
متخصصين ايمني شبكه توصيه مي كنند FTP و Web روي يك Server قرار نگيرند, چون كاربران FTP امكان بيشتري براي تغيير فايلها دارند و در صورتيكه هر دو سرويس روي يك Server باشند احتمال تغيير و خرابي صفحات Web بسيار خواهد بود.
اضافه كردن CGI ( Common Gateway Interface ) يا ساير Scriptها به Web Server نيز بايد با احتياط زياد انجام شود.

[Ramana]

ايجاد امنيت در مقابل چنين كاربراني بسيار مهم مي باشد و بايد از مكانيسمهايي مانند Firewall, امنيت فيزيكي, Authentication, Auditing و احتمالا" Encryption استفاده كرد.
پروتكلهاي CHAP و PAP از عمده ترين پروتكلهاي شناسايي براي اتصال كاربران مي باشند. پروتكلهايRadius و Tacacs هم براي انتقال داده هاي مربوط به شناسايي بين Access server و Serverهاي شبكه مورد استفاده قرار گيرند.

[Ramana]

اكثر مکانيزم هاي ايمن سازي ارتباط اينترنت در مورد ايمن سازي شبكه هم كاربرد دارد. خدمات شبكه بواسطه تجهيزات موجود در آن ارائه مي شوند, لذا امنيت فيزيكي تجهيزات و استفاده از كلمه رمز براي اتصال به آنها نبايد فراموش شود.

[Ramana]

خدمات مربوط به كاربران شامل برنامه هاي كاربردي, hostها, Serverها, بانكهاي اطلاعاتي و ساير خدمات مي باشد. در مورد Serverها استفاده از روشهاي Authorization ,Authentication بديهي ترين روشهاي ايمن سازي مي باشد.

در مورد hostها و سيستمها, Logout كردن هنگام ترك سيستمها راحت ترين روش اعمال امنيت است. يكي از عمده ترين تهديدات سيستمها بازماندن يك ارتباط توسط كاربر مربوطه و ترك محل و ورود كاربر ديگري از طريق آن ارتباط است.
براي حل اين مشكل, فعال كردن Logout اتوماتيك بعد از يك مدت زمان غير فعال بودن يك سيستم بهترين راه حل است.