ضرورت توجه به امنیت اطلاعات 7

ضرورت توجه به امنیت اطلاعات ( بخش هفتم)
استراتژی "دفاع در عمق " یک فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاکنون گفته شده است :

• بخش چهارم  : بررسی لایه سیاست ها ، رویه ها و اطلاع رسانی
• بخش پنجم : بررسی لایه فیزیکی
• بخش ششم : بررسی لایه محدوده عملیاتی شبکه و یا Perimeter

در این بخش به بررسی لایه  شبکه داخلی خواهیم پرداخت .

بررسی  لایه  شبکه داخلی

• لایه شبکه داخلی ، شامل اینترانت یک سازمان است که تحت کنترل و مدیریت پرسنل شاغل در دپارتمان IT است و ممکن است از یک و یا چندین نوع شبکه  زیر تشکیل شده باشد  :
  -  LAN
  - WAN
  - MAN
  - شبکه های بدون کابل
  
  
• منبع بروز حملات صرفا" منابع خارجی نبوده و ممکن است یک شبکه از درون نیز مورد تهاجم قرار گیرد . صرفنظر از منبع بروز حملات ، سیستم ها و سرویس های متعددی در معرض تهدید و آسیب قرار می گیرند.
  
  
• امنیت داخلی شبکه می بایست بگونه ای پیاده سازی گردد تا علاوه بر توقف تهدیدات مخرب بتواند با تهدیدات غیرمترقبه هم برخورد نماید . بخش بندی ( Segmentation ) شبکه ، اقدامی مناسب در جهت افزایش امنیت یک شبکه داخلی است که عملا" یک لایه اضافه حفاظتی در فریمورک امنیتی "دفاع در عمق " را  ایجاد می نماید . با استفاده از رویکرد فوق ، حملات زودتر تشخیص داده شده و از  کنترل منابع موجود در هسته یک شبکه داخلی توسط مهاجمان ممانعت به عمل می آید .

تهدیدات  لایه  شبکه داخلی

• در صورتی که مهاجمان بتوانند به سیستم های داخلی و منابع موجود بر روی یک شبکه دستیابی داشته باشند ، می توانند از اطلاعات یک سازمان با سهولت بیشتری استفاده نمایند .
  
  
• مهاجمان پس از دستیابی به زیرساخت یک شبکه، می توانند  شبکه را مانیتور و ترافیک آن را به دقت بررسی و آنالیز نمایند . در چنین مواردی ، آنان می توانند با استفاده از یک network sniffer و آنالیز ترافیک شبکه به اطلاعات حساس و مهمی که در طول شبکه مبادله می گردد ، دستیابی داشته باشند .
  
  
• شبکه های بدون کابل مستعد استراق سمع می باشند ، چراکه مهاجمان می توانند بدون این که لازم باشد بطور فیزیکی در محل شبکه حضور داشته باشند ، قادر به دستیابی شبکه و استفاده از اطلاعات حساس می باشند . 
  
  
• سیستم های عامل شبکه ای ، سرویس های متعددی را نصب می نمایند . برخی از سرویس شبکه ممکن است پتانسیل لازم برای برخی از حملات را ایجاد که توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از یک سرویس آسیب پذیر می توانند کنترل یک کامپیوتر را به دست گرفته و در ادامه از آن برای برنامه ریزی حملات خود در آینده استفاده نمایند .

حفاظت لایه ی شبکه ی داخلی

• تائید دوگانه : به منظور کمک در جهت افزایش ایمنی محیط یک شبکه داخلی ، در ابتدا می بایست هویت کاربران توسط یک کنترل کننده domain تائید و در ادامه و با توجه به مجوزهای تعریف شده امکان استفاده از منابع موجود در شبکه در اختیار آنان گذاشته شود . بدین تریتب، علاوه بر این که سرویس دهنده هویت کاربران را تائید می نماید ، کاربران نیز با مشخص کردن domain  آگاهانه به یک سرویس دهنده شناخته شده  log on می نمایند.
  
  
• بخش بندی شبکه : سوئیچ ها بطور فیزیکی یک شبکه را به بخش های متفاوتی تقسیم می نمایند و تمام شبکه از یک نقطه قابل دسترس نخواهد بود . برای پارتیشن کردن یک شبکه می توان از سوئیچ و یا روتر استفاده نمود . ایجاد شبکه های محلی مجازی ( VLAN ) بر روی یک سوئیچ فیزیکی ، گزینه ای دیگر در این زمینه است .
  
  
• رمزنگاری داده مبادله شده در شبکه : برای پیکربندی دستگاه های شبکه ای نظیر سوئیچ ممکن است از برنامه Telnet استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text ارسال می نماید . این بدان معنی است که دستیابی به نام و رمز عبور کاربر برای هر شخصی که قادر به شنود شبکه باشد ، امکان پذیر است . موضوع فوق ، می تواند مشکلات متعدد امنیتی را ایجاد نماید . در چنین مواردی ، می بایست از یک روش ایمن و رمز شده ( نظیر SSH برگرفته از Secure Shell ) و یا دستیابی مستقیم از طریق پورت سریال استفاده نمود . 
  
  
• محدد کردن ترافیک حتی در مواردی که شبکه پارتیشن شده باشد : برای شبکه های محلی و بدون کابل می توان  از استاندارد  802.1X  به منظور دستیابی رمز شده و تائید شده استفاده نمود . در چنین مواردی ، می توان از رمزهای عبور اکتیو دایرکتوری و یا گواهینامه های دیجیتالی برای تائید کاربران استفاده کرد. در صورت استفاده از گواهینامه های دیجیتالی به یک  PKI ( برگرفته از public key infrastructure ) بر روی Windows Certificate Services  نیز نیاز می باشد . برای رمزهای عبور و گواهینامه های دیجیتال به یک سرویس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service )  نیاز می باشد ( ایجاد شده بر روی سرویس IAS ، برگرفته از Internet Authentication Service ).   هم Certificate Services و هم IAS در Windows Server 2003 موجود می باشند .سازمان های کوچک می توانند از سیستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمایند . سیستم فوق این امکان را فراهم می نماید تا بتوان ترافیک موجود در ارتباطات بدون کابل را رمز نمود. در چنین مواردی ، کلیدهای رمزنگاری به صورت اتوماتیک و پس از  یک مدت زمان مشخص و یا ارسال تعداد مشخصی Packet تغییر می یابند .  WPA به یک زیرساخت پیچیده نظیر 802.1x نیاز نداشته و  یک سطح امنیتی پائین تر را ارائه می نماید . 
  
  
• تائید بسته های اطلاعاتی شبکه : از فن آوری های رمزنگاری و تائید نظیر IPSec و یا  SMB ( برگرفته از  Server Message Block ) استفاده گردد. بدین تریتب ، مهاجمان نمی توانند داده مبادله شده در شبکه را شنود و از آنان استفاده مجدد نمایند .  
  
  
• پیاده سازی فیلترینگ پورت IPSec به منظور اعمال محدودیت ترافیک به سرویس دهنده : به منظور کاهش ترافیک سرویس دهنده ، تمام پورت های غیرضروری بلاک و صرفا" پورت هائی فعال گردند که به وجود آنان نیاز می باشد .