ضرورت توجه به امنیت اطلاعات 6

ضرورت توجه به امنیت اطلاعات ( بخش ششم)
استراتژی "دفاع در عمق " یک فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم  به لایه سیاست ها ، رویه ها و اطلاع رسانی  و در بخش پنجم به لایه فیزیکی اشاره گردید . در این بخش به بررسی لایه محدوده عملیاتی شبکه و یا Perimeter خواهیم پرداخت .

بررسی  لایه  Perimeter

·         Perimeter شبکه ، مکانی است که شبکه یک سازمان با شبکه های تائید نشده دیگر مرتبط می گردد . بسیاری از کارشناسان شبکه از تعریف فوق اینگونه استنباط می نمایند که صرفا" اتصال بین شبکه داخلی سازمان و اینترنت مورد نظر می باشد . در صورتی که در استراتژی دفاع در عمق ، به هر نقطه ای که شبکه داخلی یک سازمان را به سایر شبکه ها و میزبانان متصل و توسط گروه فن آوری اطلاعات سازمان مدیریت نمی گردند ،‌اطلاق می گردد . موارد زیر نمونه هائی در این زمینه می باشد :  
- اینترنت
- شعبات و نمایندگی های متفاوت یک سازمان که توسط گروه فن آوری اطلاعات سازمان مدیریت نمی گردند .
- کاربران راه دور
- شبکه های بدون کابل
- برنامه های اینترنت
- سایر سگمنت های داخلی شبکه

·         Perimeter یک شبکه ، ناحیه ای است که در معرض بیشترین حملات از دنیای خارج قرار دارد و  بروز تهاجم از آن نقاط احتمال بیشتری دارد  .

·         از امکانات متفاوتی به عنوان دستگاه های Perimeter  در یک شبکه استفاده می گردد . روتر ، سرویس دهندگان وب و پست الکترونیکی ، فایروال های سخت افزاری و نرم افزاری نمونه هائی در این زمینه می باشد .

تهدیدات  لایه  Perimeter

·      به منظور ایمن سازی زیرساخت فن آوری اطلاعات یک سازمان می بایست در مرحله اول بر روی نقاطی متمرکز گردید که بروز حملات از جانب آنان دارای بیشترین احتمال است ( نظیر اینترنت ) . این موضوع ضرورت توجه بر روی سایر نقاط حساس در یک سازمان را کم رنگ نمی نماید و می بایست به اینگونه نقاط نیز توجه ویژه ای داشت . یک مهاجم ممکن است حملات خود را از نقاطی آغاز نماید که احتمال آن کمتر داده می شود.  بنابراین لازم است  در خصوص ایمن سازی تمامی نقاط ورودی و خروجی یک شبکه تصمیم گیری و از راهکاری موجود به منظور ایمن سازی آنان استفاده گردد .  

·         با توجه به این که مسولیت پیاده سازی امنیت برای همکاران تجاری یک سازمان برعهده کارشناسان فن آوری اطلاعات سازمان نمی باشد و همچنین هیچگونه کنترلی بر روی سخت افزار کاربران راه دور وجود ندارد ، نمی توان دستیابی از نقاط فوق را تائید نمود و می بایست در این خصوص از روش های ایمنی خاصی استفاده گردد . شعبات ادارات ممکن است به اندازه اداره مرکزی دارای اطلاعات حساسی نباشد ،‌ بنابراین ممکن است آنان نیازمند یک سطح پائین تر به منظور پیاده سازی امنیت باشند . علیرغم موضوع فوق ، درصورتی که شعبات یک سازمان دارای امکان برقراری ارتباط مستقیم با ادارات مرکزی باشند ، مهاجمان می توانند از پتانسیل فوق در جهت نیل به اهداف خود استفاده نمایند .

·         برخی حملات Perimeter ، مستقیما" Perimeter شبکه را تحت تاثیر قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام به  انتشار نامه های الکترونیکی می نمایند که در ظاهر از یک منبع مطمئن ارسال شده اند . چنین پیام هائی اغلب سعی می نمایند دریافت کننده پیام را ترغیب نمایند که اطلاعات حساس و مهم خود را در اختیار آنان قرار دهد .در این نوع از حملات به همراه برخی از پیام های ارسالی ، لینک ها و آدرس های وب سایت خاصی نیز مشخص می گردد . اینگونه سایت ها خود را به عنوان یک سایت معتبر وانمود و سعی در جذب مخاطبانی دارند که اصول اولیه امنیت اطلاعات را رعایت نمی نمایند .

·      کارشناسان امنیت اطلاعات می بایست امنیت شبکه را در تمامی نقاط تماس شبکه با دنیای خارج بررسی نمایند نه اینکه صرفا" بر روی نواحی خاصی متمرکز گردند.

حفاظت لایه Perimeter

·         ایمن سازی Perimeter ، عموما" با استفاده از یک فایروال انجام می شود . پیکربندی یک فایروال می تواند از لحاظ فنی چالش های مختص به خود را دارا باشد . بنابراین رویه ها می بایست به صورت شفاف جزئیات کار را روشن نمایند . 

·         در نسخه های جدید ویندوز ، به منظور کاهش احتمال بروز حملات برخی از پورت های غیرضروری بلاک شده است . در این رابطه می توان از سیستم های HIDS   ( برگرفته از  Host Intrusion Detection Systems ) و فایروال های host-based نیز استفاده نمود .

·         NAT ( برگرفته از Network address translation ) یک سازمان را قادر می سازد که پیکربندی مربوط به پورت و آدرس های IP را به منظور پیشگیری از کاربرانی که دارای سوء نیت می باشند، مخفی نموده تا سیستم های داخلی در معرض حملات قرار نگیرند . مکانیزم های امنیت Perimeter می تواند مخفی نگاه داشتن سرویس های داخلی را نیز شامل گردد ( حتی سرویس هائی که می بایست امکان دستیابی عموم به آنان وجود داشته باشد ) . بنابراین مهاجمان هرگز بطور مستقیم با هیچگونه سیستمی ارتباط برقرار نخواهند کرد و تمامی ارتباطات از طریق فایروال انجام خواهد شد .

·         زمانی که داده محیطی را که تحت مسئولیت شما است ترک می نماید ، می بایست این اطمینان وجود داشته باشد که داده به سلامت به مقصد نهائی خواهد رسید . بدین منظور می توان از رمزنگاری و پروتکل های tunneling به منظور ایجاد یک VPN ( برگرفته از virtual private network ) استفاده گردد . برای نامه های الکترونیکی ، می توان از S/MIME و یا فن آوری PGP ( برگرفته از Pretty Good Privacy ) به منظور رمزنگاری و تائید پیام ها استفاده نمود . 

·         پروتکل tunneling استفاده شده در نسخه های متفاوت ویندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol  ) است که از رمزنگاری   MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و یا  پروتکل L2TP ( برگرفته از Layer 2 Tunneling Protocol   ) که از رمزنگاری IPSec استفاده می نمایند. 

·         زمانی که کامپیوترهای راه دور از طریق یک VPN ارتباط برقرار می نمایند ، سازمان ها می توانند با انجام چندین مرحله اضافه کامپیوترها را بررسی تا این اطمینان حاصل گردد که آنان تابع سیاست های امنیتی تعریف شده می باشند . سیستم های متصل شده می بایست در یک محل قرنظینه شوند تا بررسی لازم در خصوص وضعیت امنیتی آنان انجام شود . در این رابطه می توان سرویس NAP ( برگرفته از Network Access Protection  ) را نیز پیاده سازی نمود تا سرویس گیرندگان داخلی را قبل از این که به آنان مجوز دستیابی به شبکه اعطاء شود ، بررسی نمود.

·         سیستم های موجود بر روی Perimeter می‌بایست دارای کاربردهای کاملا" تعریف شده و مشخصی باشند . در این رابطه لازم است که سرویس های غیرضروری بلاک و یا غیرفعال گردد . 

·         فایروال ویندوز که به  همراه ویندوز xp سرویس پک  2  و  ویندوز 2003 سرویس پک ارائه شده است ، امکانات حفاظتی متعددی را در جهت افزایش حفاظت Perimeter  برای کاربران از راه دور ارائه می نماید .