امنیت منطقی در تجهیزات شبکه‌

2-1- امنیت مسیریاب‌ها

 حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ اصلی تقسیم نمود:

-حمله برای غیرفعال سازی کامل

-حمله به قصد دستیابی به سطح کنترل

- حمله برای ایجاد نقص در سرویس‌دهی‌

 طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند. لذا تأمین امنیت تجهیزات فعال شبکه به معنای تامین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ آن‌را تشکیل می‌دهد.

2-2- مدیریت پیکربندی‌

 یکی از مهمترین نکات در امینت تجهیزات، نگهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.

 با وجود نسخه پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهیزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمام تجهیزات تغییریافته را بازیابی نمود.

 نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تاخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

2-3- کنترل دسترسی به تجهیزات‌

 دو راه اصلی برای کنترل تجهزات فعال وجود دارد :

- کنترل از راه دور

- کنترل از طریق درگاه کنسول‌

 در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استانداردها و پروتکل‌های خاص، احتمال حملات را پایین آورد.

 در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزیکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تامین نمی‌کند.

 برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل کرد.

2-4- امن سازی دسترسی‌

 علاوه بر پیکربندی تجهیزات برای استفاده ازAuthentication ، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH  است SSH . ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط را که از معمول‌ترین روش‌های حمله هستند به حداقل می‌رساند.

 از دیگر روش‌های معمول می‌توان به استفاده از کانال‌هایVPN   مبتنی برIPsec   اشاره نمود. این روش نسبت به روش استفاده ازSSH  روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید‌کنندگان مسیریاب‌ها،‌ این روش را ارجح می‌دانند.

2-5- مدیریت رمزهای عبور

 مناسب‌ترین محل برای ذخیره رمزهای عبور روی خادمAuthentication   است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

3 - ملزومات و مشکلات امنیتی ارائه دهندگان خدمات‌

 زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می‌آید، مقصود شبکه‌های بزرگی است که خود به شبکه‌های رایانه‌ای کوچکتر خدماتی ارائه می‌دهند. به عبارت دیگر این شبکه‌های بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکه‌ی جهانی اینترنت کنونی را شکل می‌دهند. با وجود آنکه غالب اصول امنیتی در شبکه‌های کوچکتر رعایت می‌شود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکه‌ها مطرح هستند.

3-1- قابلیت‌های امنیتی‌

 ملزومات مذکور را می‌توان، تنها با ذکر عناوین، به شرح زیر فهرست نمود:

1 - قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات‌

2 - وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بسته‌هایی که به قصد حمله بر روی شبکه ارسال می‌شوند. از آنجاییکه شبکه‌های بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستم‌هایIDS   بر روی آنها، می‌توان به بالاترین بخت برای تشخیص حملات دست یافت.

3 - قابلیت تشخیص منبع حملات. با وجود آنکه راه‌هایی از قبیل سرقت آدرس و استفاده از سیستم‌های دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار می‌نمایند، ولی استفاده از سیستم‌های ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازه‌ی مشکوک به وجود منبع اصلی می‌نماید. بیشترین تاثیر این مکانیزم زمانی است که حملاتی از نوعDoS از سوی نفوذگران انجام می‌شود.

3-2- مشکلات اعمال ملزومات امنیتی‌

 با وجود لزوم وجود قابلیت‌هایی که به‌طور اجمالی مورد اشاره قرار گرفتند، پیاده‌سازی و اعمال آنها همواره آسان نیست.

 یکی از معمول‌ترین مشکلات،‌ پیاده‌سازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر می‌شود، برای دسته‌ای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگیIDS   افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بسته‌های اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها می‌توان متوسل به تجهیزات گران‌تر و اعمال سیاست‌های امنیتی پیچیده‌تر شد.

 با این وجود،‌ با هرچه بیشتر حساس شدن ترافیک و جریان‌های داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکه‌های کوچکی که خود به شبکه‌های بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکه‌ها می‌توان داشت.

بهروز کمالیان‌