امنیت شبکه لایه‌بندی شده‌

 سطح 2 -  امنیت شبکه‌

  سطح شبکه در مدل امنیت لایه‌بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده‌تر یعنی شامل اتصالات نقطه‌به‌نقطه به دفترهای کار دور باشد. بیشتر شبکه‌های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می‌توانید به‌راحتی در میان شبکه حرکت کنید. این قضیه به‌خصوص برای سازمان‌های کوچک تا متوسط صدق می‌کند که به این ترتیب این شبکه‌ها برای هکرها به اهدافی وسوسه‌انگیز مبدل می‌شوند. فناوری‌های ذیل امنیت را در سطح شبکه برقرار می‌کنند:

IDSها وIPS ها

فناوری‌های  IDS (سیستم تشخیص نفوذ) و  IPS (سیستم جلوگیری از نفوذ) ترافیک گذرنده در یک شبکه را با جزییات بیشتر نسبت به فایروال تحلیل می‌کنند. همچون سیستم‌های ضدویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه‌داده‌ای از مشخصات حملات شناخته شده، مقایسه می‌کنند. هنگامی که حملات تشخیص داده می‌شوند، این ابزار وارد عمل می‌شوند. ابزارهای IDS مسوولان فناوری اطلاعات را از وقوع یک حمله آگاه می‌سازند؛ ابزارهای IPS یک گام جلوتر می‌روند و به‌صورت خودکار ترافیک آسیب‌رسان را مسدود می‌کنند.

 IDS‌ها و IPS‌ها مشخصات مشترک زیادی دارند. در حقیقت، بیشترIPS ها در هسته خود یک IDS دارند. تفاوت کلیدی بین این فناوری‌ها از نام آنها استنباط می‌شود. محصولات IDS تنها ترافیک آسیب‌رسان را تشخیص می‌دهند، در حالی که محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می‌کنند. پیکربندی‌های IDS و IPS استاندارد در شکل نشان داده شده‌اند:

مدیریت آسیب‌پذیری‌

سیستم‌های مدیریت آسیب‌پذیری، دو عملکرد مرتبط را انجام می‌دهند:
1 -  شبکه را برای آسیب‌پذیری‌ها پیمایش می‌کنند.

2 -  روند مرمت آسیب‌پذیری یافته شده را مدیریت می‌کنند. در گذشته، این فناوری VA (تخمین آسیب‌پذیری) نامیده می‌شد. اما این فناوری اصلاح شده است، تا جایی که بیشتر سیستم‌های موجود، عملی بیش از تخمین آسیب‌پذیری ابزار شبکه را انجام می‌دهند.

سیستم‌های مدیریت آسیب‌پذیری ابزار موجود در شبکه را برای یافتن رخنه‌ها و آسیب‌پذیری‌هایی که می‌توانند توسط هکرها و ترافیک آسیب‌رسان مورد بهره‌برداری قرار گیرند، پیمایش می‌کنند. آنها معمولا پایگاه داده‌ای از قوانینی را نگهداری می‌کنند که آسیب‌پذیری‌های شناخته شده برای گستره‌ای از ابزارها و برنامه‌های شبکه را مشخص می‌کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه‌ای را با به‌کارگیری قوانین مناسب می‌آزماید.
سیستم مدیریت آسیب پذیری شامل ویژگی‌هایی است که روند بازسازی را مدیریت می‌کند. لازم به‌ذکر است که میزان و توانایی این ویژگی‌ها در میان محصولات مختلف، فرق می‌کند.

تابعیت امنیتی کاربر انتهایی‌

روش‌های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می‌کنند که تضمین می‌کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را پیش از این‌که اجازه دسترسی به شبکه داشته باشند، رعایت کرده‌اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم‌های نا امن کارمندان و ابزارهای VPN و RAS می‌گیرد.

روش‌های امنیت نقاط انتهایی براساس آزمایش‌های نفوذپذیری پیاده‌سازی شده است.

هدف آنها از این آزمایش‌ها معمولا برای بررسی: الف-  نرم‌افزار مورد نیاز، مانند سرویس‌پک‌ها، ضدویروس‌های به روز شده و غیره و ب- کاربردهای ممنوع، مانند اشتراک فایل و نرم‌افزارهای جاسوسی است.

کنترل دسترسی - تایید هویت‌

کنترل دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.

 نکته: در این سلسله مباحث، به کنترل دسترسی و تایید هویت در سطوح شبکه، میزبان، نرم‌افزار و دیتا در چارچوب امنیتی لایه‌بندی شده می‌پردازیم. میان طرح‌های کنترل دسترسی بین لایه‌های مختلف هم‌پوشانی قابل توجهی وجود دارد. معمولا تراکنش‌های تایید هویت در مقابل دید کاربر اتفاق می‌افتد. اما به‌خاطر داشته باشید که کنترل دسترسی و تایید هویت مراحل پیچیده‌ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.

  مزایا

 فناوری‌های IDS، IPS و مدیریت آسیب‌پذیری، تحلیل‌های پیچیده‌ای روی تهدیدها و آسیب‌پذیری‌های شبکه انجام می‌دهند. در‌حالی‌که فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می‌دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق‌تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارایه می‌کنند. با این فناوری‌‌های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می‌توانند از فایروال عبور کنند، مشخص خواهند شد و پیش از آسیب‌رسانی به آنها خاتمه داده خواهند شد.

 سیستم‌های مدیریت آسیب‌پذیری روند بررسی آسیب‌پذیری‌های شبکه شما را به‌صورت خودکار استخراج می‌کنند. انجام چنین بررسی‌هایی به‌صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. به‌علاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقا دادن نرم‌افزارها و وصله‌ها، و افزودن و کاستن از کاربران، همگی می‌توانند آسیب‌پذیری‌های جدید را پدید آورند. ابزار تخمین آسیب‌پذیری به شما اجازه می‌دهند که شبکه را مرتب و کامل برای جست‌وجوی آسیب‌پذیری‌های جدید پیمایش کنید.

 روش‌های تابعیت امنیتی کاربر انتهایی به سازمان‌ها سطح بالایی از کنترل بر روی ابزاری را می‌دهد که به‌صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها به‌صورت روز افزون به‌دنبال بهره‌برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، پدیده‌هایی چون  Mydoom و  Sasser گواهی بر این مدعا هستند. برنامه‌های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می‌بندند.

 معایب‌

IDS ها تمایل به تولید تعداد زیادی علایم هشدار غلط دارند، که به‌عنوان false positives نیز شناخته می‌شوند. در حالی‌که IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می‌تواند زیر انبوهی از هشدارهای غلط یا دیتای کم‌ارزش مدفون شود. مدیران IDS ممکن است به‌سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تاثیرگذاری بالا، یک IDS باید به‌صورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری‌های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولا میزان بالایی از منابع اجرایی را مصرف می‌کند.

 سطح خودکار بودن درIPS ها می‌تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه‌ای را که در آن نصب شده‌اند منعکس کنند. تاثیرات جانبی احتمالی در سیستم‌هایی که بهینه نشده‌اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می‌شود.

 بسیاری، اما نه همه روش‌های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد. این عمل می‌تواند مقدار قابل توجهی بار‌ کاری اجرایی به نصب و نگهداری اضافه کند.

 فناوری‌‌های کنترل دسترسی ممکن است محدودیت‌های فنی داشته باشند. برای مثال، برخی ممکن است با تمام ابزار موجود در شبکه شما کار نکنند، بنابراین ممکن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید. همچنین، چندین فروشنده سیستم‌های کنترل دسترسی را به بازار عرضه می‌کنند، و عملکرد می‌تواند بین محصولات مختلف متفاوت باشد. پیاده‌سازی یک سیستم یکپارچه در یک شبکه ممکن است دشوار باشد. چنین عمل وصله‌پینه‌ای یعنی رویکرد چند محصولی ممکن است در واقع آسیب‌پذیری‌های بیشتری را در شبکه شما به‌وجود آورد.

  ادامه دارد ...

بهروز کمالیان‌