ضرورت توجه به امنیت اطلاعات
( بخش ششم)
استراتژی
"دفاع در عمق " یک فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن
زیرساخت فن آوری اطلاعات یک سازمان است . در این مدل،زیر ساخت فن آوری اطلاعات یک
سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته شده و به منظور
حفاظت و ایمن سازی هر لایه از مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد .
در بخش چهارم به لایه سیاست ها ، رویه ها و
اطلاع رسانی
و در بخش پنجم به
لایه فیزیکی اشاره گردید . در این بخش به بررسی لایه محدوده عملیاتی شبکه و یا Perimeter خواهیم پرداخت .
بررسی لایه Perimeter
·
Perimeter شبکه ، مکانی است که شبکه یک سازمان با شبکه های تائید نشده دیگر
مرتبط می گردد . بسیاری از کارشناسان شبکه از تعریف فوق اینگونه استنباط می نمایند
که صرفا" اتصال بین شبکه داخلی سازمان و اینترنت مورد نظر می باشد . در صورتی
که در استراتژی دفاع در عمق ، به هر نقطه ای که شبکه داخلی یک سازمان را به سایر
شبکه ها و میزبانان متصل و توسط گروه فن آوری اطلاعات سازمان مدیریت نمی گردند ،اطلاق
می گردد . موارد زیر نمونه هائی در این زمینه می باشد :
- اینترنت
- شعبات و نمایندگی های متفاوت یک سازمان که توسط گروه فن آوری اطلاعات سازمان
مدیریت نمی گردند .
- کاربران راه دور
- شبکه های بدون کابل
- برنامه های اینترنت
- سایر سگمنت های داخلی شبکه
·
Perimeter یک شبکه ، ناحیه ای است که در معرض بیشترین حملات از دنیای خارج
قرار دارد و
بروز تهاجم از آن نقاط احتمال بیشتری دارد .
· از امکانات متفاوتی به عنوان دستگاه های Perimeter در یک شبکه استفاده می گردد . روتر ، سرویس دهندگان وب و پست الکترونیکی ، فایروال های سخت افزاری و نرم افزاری نمونه هائی در این زمینه می باشد .
تهدیدات لایه Perimeter
·
به منظور ایمن سازی زیرساخت فن آوری اطلاعات یک سازمان می
بایست در مرحله اول بر روی نقاطی متمرکز گردید که بروز حملات از جانب آنان دارای
بیشترین احتمال است ( نظیر اینترنت ) . این موضوع ضرورت توجه بر روی سایر نقاط
حساس در یک سازمان را کم رنگ نمی نماید و می بایست به اینگونه نقاط نیز توجه ویژه
ای داشت . یک مهاجم ممکن است حملات خود را از نقاطی آغاز نماید که احتمال آن کمتر
داده می شود. بنابراین لازم است در خصوص ایمن سازی تمامی نقاط ورودی و خروجی یک شبکه تصمیم
گیری و از راهکاری موجود به منظور ایمن سازی آنان استفاده گردد .
·
با توجه به این که مسولیت پیاده سازی امنیت برای همکاران
تجاری یک سازمان برعهده کارشناسان فن آوری اطلاعات سازمان نمی باشد و همچنین
هیچگونه کنترلی بر روی سخت افزار کاربران راه دور وجود ندارد ، نمی توان دستیابی
از نقاط فوق را تائید نمود و می بایست در این خصوص از روش های ایمنی خاصی استفاده
گردد . شعبات ادارات ممکن است به اندازه اداره مرکزی دارای اطلاعات حساسی نباشد ،
بنابراین ممکن است آنان نیازمند یک سطح پائین تر به منظور پیاده سازی امنیت باشند
. علیرغم موضوع فوق ، درصورتی که شعبات یک سازمان دارای امکان برقراری ارتباط
مستقیم با ادارات مرکزی باشند ، مهاجمان می توانند از پتانسیل فوق در جهت نیل به
اهداف خود استفاده نمایند .
·
برخی حملات Perimeter ، مستقیما" Perimeter شبکه را تحت تاثیر قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام
به
انتشار نامه های الکترونیکی می نمایند که در ظاهر از یک منبع مطمئن ارسال شده اند
. چنین پیام هائی اغلب سعی می نمایند دریافت کننده پیام را ترغیب نمایند که
اطلاعات حساس و مهم خود را در اختیار آنان قرار دهد .در این نوع از حملات به همراه
برخی از پیام های ارسالی ، لینک ها و آدرس های وب سایت خاصی نیز مشخص می گردد .
اینگونه سایت ها خود را به عنوان یک سایت معتبر وانمود و سعی در جذب مخاطبانی
دارند که اصول اولیه امنیت اطلاعات را رعایت نمی نمایند .
· کارشناسان امنیت اطلاعات می بایست امنیت شبکه را در تمامی نقاط تماس شبکه با دنیای خارج بررسی نمایند نه اینکه صرفا" بر روی نواحی خاصی متمرکز گردند.
حفاظت لایه Perimeter
·
ایمن سازی Perimeter ، عموما" با استفاده از یک فایروال انجام می شود . پیکربندی
یک فایروال می تواند از لحاظ فنی چالش های مختص به خود را دارا باشد . بنابراین
رویه ها می بایست به صورت شفاف جزئیات کار را روشن نمایند .
·
در نسخه های جدید ویندوز ، به منظور کاهش احتمال بروز حملات
برخی از پورت های غیرضروری بلاک شده است . در این رابطه می توان از سیستم های HIDS ( برگرفته از Host Intrusion
Detection Systems ) و فایروال های host-based نیز استفاده
نمود .
·
NAT ( برگرفته از Network address
translation ) یک سازمان را قادر می سازد که پیکربندی
مربوط به پورت و آدرس های IP را به منظور پیشگیری از کاربرانی که دارای سوء نیت می باشند، مخفی
نموده تا سیستم های داخلی در معرض حملات قرار نگیرند . مکانیزم های امنیت Perimeter می تواند مخفی
نگاه داشتن سرویس های داخلی را نیز شامل گردد ( حتی سرویس هائی که می بایست امکان
دستیابی عموم به آنان وجود داشته باشد ) . بنابراین مهاجمان هرگز بطور مستقیم با
هیچگونه سیستمی ارتباط برقرار نخواهند کرد و تمامی ارتباطات از طریق فایروال انجام
خواهد شد .
·
زمانی که داده محیطی را که تحت مسئولیت شما است ترک می نماید
، می بایست این اطمینان وجود داشته باشد که داده به سلامت به مقصد نهائی خواهد
رسید . بدین منظور می توان از رمزنگاری و پروتکل های tunneling به منظور ایجاد
یک VPN ( برگرفته از virtual private network )
استفاده گردد . برای نامه های الکترونیکی ، می توان از S/MIME و یا فن آوری PGP ( برگرفته از Pretty Good Privacy ) به منظور
رمزنگاری و تائید پیام ها استفاده نمود .
·
پروتکل tunneling استفاده شده در نسخه های متفاوت ویندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol ) است که از رمزنگاری MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و یا پروتکل L2TP ( برگرفته از Layer 2 Tunneling Protocol ) که از رمزنگاری IPSec استفاده می
نمایند.
·
زمانی که کامپیوترهای راه دور از طریق یک VPN ارتباط برقرار می نمایند ، سازمان ها
می توانند با انجام چندین مرحله اضافه کامپیوترها را بررسی تا این اطمینان حاصل
گردد که آنان تابع سیاست های امنیتی تعریف شده می باشند . سیستم های متصل شده می بایست
در یک محل قرنظینه شوند تا بررسی لازم در خصوص وضعیت امنیتی آنان انجام شود . در
این رابطه می توان سرویس NAP ( برگرفته از Network Access Protection ) را نیز پیاده سازی نمود تا
سرویس گیرندگان داخلی را قبل از این که به آنان مجوز دستیابی به شبکه اعطاء شود ،
بررسی نمود.
·
سیستم های موجود بر روی Perimeter میبایست دارای
کاربردهای کاملا" تعریف شده و مشخصی باشند . در این رابطه لازم است که سرویس
های غیرضروری بلاک و یا غیرفعال گردد .