ضرورت توجه به امنیت اطلاعات ( بخش هفتم)
استراتژی
"دفاع در عمق " یک فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن
زیرساخت فن آوری اطلاعات یک سازمان است . در این مدل،زیر ساخت فن آوری اطلاعات یک
سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته شده و به منظور
حفاظت و ایمن سازی هر لایه از مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاکنون گفته شده است :
- بخش چهارم : بررسی لایه سیاست ها ، رویه ها و اطلاع
رسانی
- بخش پنجم : بررسی لایه فیزیکی
- بخش ششم : بررسی لایه محدوده عملیاتی شبکه و
یا Perimeter
در این بخش به بررسی لایه شبکه داخلی خواهیم پرداخت .
بررسی لایه شبکه داخلی
- لایه
شبکه داخلی ، شامل اینترانت یک سازمان است که تحت کنترل و مدیریت پرسنل شاغل
در دپارتمان IT است و ممکن است
از یک و یا چندین نوع شبکه زیر تشکیل شده باشد :
- LAN
- WAN
- MAN
- شبکه های بدون کابل
- منبع
بروز حملات صرفا" منابع خارجی نبوده و ممکن است یک شبکه از درون نیز
مورد تهاجم قرار گیرد . صرفنظر از منبع بروز حملات ، سیستم ها و سرویس های
متعددی در معرض تهدید و آسیب قرار می گیرند.
- امنیت
داخلی شبکه می بایست بگونه ای پیاده سازی گردد تا علاوه بر توقف تهدیدات مخرب
بتواند با تهدیدات غیرمترقبه هم برخورد نماید . بخش بندی ( Segmentation ) شبکه ، اقدامی مناسب
در جهت افزایش امنیت یک شبکه داخلی است که عملا" یک لایه اضافه حفاظتی
در فریمورک امنیتی "دفاع در عمق " را ایجاد می نماید . با استفاده از رویکرد فوق ،
حملات زودتر تشخیص داده شده و از کنترل منابع موجود در هسته یک شبکه داخلی توسط مهاجمان ممانعت به
عمل می آید .
تهدیدات لایه شبکه داخلی
- در
صورتی که مهاجمان بتوانند به سیستم های داخلی و منابع موجود بر روی یک شبکه
دستیابی داشته باشند ، می توانند از اطلاعات یک سازمان با سهولت بیشتری
استفاده نمایند .
- مهاجمان
پس از دستیابی به زیرساخت یک شبکه، می توانند شبکه را مانیتور و ترافیک آن را به دقت بررسی
و آنالیز نمایند . در چنین مواردی ، آنان می توانند با استفاده از یک network sniffer و آنالیز ترافیک شبکه
به اطلاعات حساس و مهمی که در طول شبکه مبادله می گردد ، دستیابی داشته باشند
.
- شبکه
های بدون کابل مستعد استراق سمع می باشند ، چراکه مهاجمان می توانند بدون این که لازم
باشد بطور فیزیکی در محل شبکه حضور داشته باشند ، قادر به دستیابی شبکه و
استفاده از اطلاعات حساس می باشند .
- سیستم
های عامل شبکه ای ، سرویس های متعددی را نصب می نمایند . برخی از سرویس شبکه
ممکن است پتانسیل لازم برای برخی از حملات را ایجاد که توسط مهاجمان استفاده
گردد . مهاجمان پس از استفاده از یک سرویس آسیب پذیر می توانند کنترل یک
کامپیوتر را به دست گرفته و در ادامه از آن برای برنامه ریزی حملات خود در
آینده استفاده نمایند .
حفاظت لایه ی شبکه ی داخلی
- تائید دوگانه : به منظور کمک در جهت افزایش ایمنی محیط یک
شبکه داخلی ، در ابتدا می بایست هویت کاربران توسط یک کنترل کننده domain تائید و در ادامه و با
توجه به مجوزهای تعریف شده امکان استفاده از منابع موجود در شبکه در اختیار
آنان گذاشته شود . بدین تریتب، علاوه بر این که سرویس دهنده هویت کاربران را
تائید می نماید ، کاربران نیز با مشخص کردن domain آگاهانه به یک سرویس دهنده شناخته شده log on
می نمایند.
- بخش بندی شبکه : سوئیچ ها بطور فیزیکی یک شبکه را به بخش
های متفاوتی تقسیم می نمایند و تمام شبکه از یک نقطه قابل دسترس نخواهد بود .
برای پارتیشن کردن یک شبکه می توان از سوئیچ و یا روتر استفاده نمود . ایجاد
شبکه های محلی مجازی ( VLAN
) بر روی یک سوئیچ فیزیکی ، گزینه ای دیگر در این زمینه است .
- رمزنگاری داده مبادله شده در شبکه : برای پیکربندی دستگاه های شبکه ای
نظیر سوئیچ ممکن است از برنامه Telnet
استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text
ارسال می نماید . این بدان معنی است که دستیابی به نام و رمز عبور کاربر برای
هر شخصی که قادر به شنود شبکه باشد ، امکان پذیر است . موضوع فوق ، می تواند
مشکلات متعدد امنیتی را ایجاد نماید . در چنین مواردی ، می بایست از یک روش
ایمن و رمز شده ( نظیر SSH
برگرفته از Secure Shell ) و یا دستیابی
مستقیم از طریق پورت سریال استفاده نمود .
- محدد کردن ترافیک حتی در مواردی که شبکه پارتیشن شده
باشد : برای شبکه
های محلی و بدون کابل می توان از استاندارد 802.1X به منظور دستیابی رمز شده و تائید شده
استفاده نمود . در چنین مواردی ، می توان از رمزهای عبور اکتیو دایرکتوری و
یا گواهینامه های دیجیتالی برای تائید کاربران استفاده کرد. در صورت استفاده
از گواهینامه های دیجیتالی به یک PKI ( برگرفته از public key infrastructure
) بر روی Windows Certificate Services نیز نیاز می باشد . برای رمزهای عبور و گواهینامه های دیجیتال به یک
سرویس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) نیاز می باشد ( ایجاد شده بر روی
سرویس IAS ، برگرفته از Internet Authentication Service ). هم Certificate
Services و هم IAS
در Windows Server 2003 موجود می
باشند .سازمان های کوچک می توانند از سیستم WPA
( برگرفته از Wi-Fi Protected
Access ) استفاده
نمایند . سیستم فوق این امکان را فراهم می نماید تا بتوان ترافیک موجود در
ارتباطات بدون کابل را رمز نمود. در چنین مواردی ، کلیدهای رمزنگاری به صورت
اتوماتیک و پس از یک مدت زمان مشخص و یا ارسال تعداد مشخصی Packet
تغییر می یابند . WPA به یک زیرساخت
پیچیده نظیر 802.1x نیاز نداشته و یک سطح امنیتی پائین تر را ارائه می
نماید .
- تائید بسته های اطلاعاتی شبکه : از فن آوری های رمزنگاری و تائید
نظیر IPSec و یا SMB
( برگرفته از Server Message Block
) استفاده گردد. بدین تریتب ، مهاجمان نمی توانند داده مبادله شده در شبکه را
شنود و از آنان استفاده مجدد نمایند .
- پیاده سازی فیلترینگ پورت IPSec به منظور
اعمال محدودیت ترافیک به سرویس دهنده : به منظور کاهش ترافیک سرویس دهنده ، تمام
پورت های غیرضروری بلاک و صرفا" پورت هائی فعال گردند که به وجود آنان
نیاز می باشد .