راه حل اولیه امنیت شبکه

از دانشنامه تخصصی کامپیوتر ایران
پرش به: ناوبری، جستجو

راه حل اولیه امنیت شبکه

امنیت شبکه‌ها[ویرایش]

اگر در دنیای کامپیوتر ویروس و نرم افزارهای مخربی مشابه آن وجود دارد ، بدون شک شبکه مناسب ترین محیط کشت برای ویروسها و سایر نرم افزارهای مخرب است ، با آب و غذا و نور و دمای مناسب . هر شبکه از اتصال چندین کامپیوتر به وجود می آید . اینترنت یک شبکه بسیار بزرگ است که از اتصال میلیونها کامپیوتر به وجود آمده . اتصال برخی از این کامپیوترها به صورت دائم و اتصال بسیاری از کامپیوترهای دیگر (کاربران اینترنت ) موقتی است . معمولا سازمانها و ادارات با صرف هزینه های سنگین امنیت شبکه‌های خود را (که بسیاری از آنها به اینترنت نیز متصل هستند ) تا حد قابل قبولی تامین می کنند . ولی آسیب پذیر ترین شبکه‌ها ، معمولا شبکه‌های کوچک اداری یا خانگی هستند . این دسته از شبکه‌ها اکثرا به دلیل نیازهای ساده ای نظیر اشتراک فایل و پرینتر به وجود آمده اند و صاحبان و یا نصب کنندگان آنها اطلاع چندانی از امنیت شبکه و چگونگی حفظ یا افزایش آن ندارند . به همین دلیل در کشورهای توسعه یافته شغل مشاور امنیت شبکه (Network Security Assistant ) یکی از مشاغل مهم و پردرآمد و تخصصی به شمار می آید . بسیاری از سازمانها و ادارات کوچک و بزرگ از مشاوران امنیت شبکه کمک می گیرند تا شبکه و اطلاعات مهم و با ارزش آنها ، از دسترسی افراد غیر مجاز در امان بماند .

  • مثال

شرکتی کوچک را فرض کنید که ۴ کامپیوتر در اختیار دارد . این شرکت یک پرینتر لیزری گرانقیمت دارد که می خواد کلیه کاربران کامپیوترها امکان استفاده از آن را داشته باشند . به پیشنهاد یکی از دوستان با یک نصاب شبکه تماس می گیرند و فرد یاد شده به سادگی و با بالاترین هزینه ! شبکه شرکت را متصل می کند و کارمندان شرکت از اینکه می توانند به سادگی ، از کلیه نرم افزارهای خود ، با یک کلیک ساده دستور پرینت بدهند و سپس کاغذ چاپ شده را از پرینتر دریافت کنند احساس خوشحالی می کنند . همچنین کاربران می توانند فایلهای مهم را از طریق شبکه برای یکدیگر انتقال بدهند و بر روی آن کار کنند . چه زندگی ساده و زیبایی ! ولی این همه داستان نیست . منشی شرکت هر روز باید ایمیل های رسیده را دریافت کند و یا ایمیل های لازم را ارسال کند. همچنین مدیر و سایر کارمندان شرکت نیز از اینترنت استفاده می کنند ( اینطور فرض میکنیم که به جز چت استفاده دیگری می کنند . ) . نصاب شبکه اینترنت شرکت را نیز در اشتراک قرار داده و بنابراین احتیاجی نیست که هر کاربر به طور جداگانه به اینترنت متصل شود.

مشکل کجاست ؟[ویرایش]

در بهترین حالت مشکل این است که یک ویروس با اشتباه یکی از کاربران وارد یکی از کامپیوترها می شود . هفته بعد شما می توانید هزاران ویروس را در کلیه کامپیوترهای شرکت بیابید . بدترین حالت : فردی که به دانستن اطلاعات شرکت یاد شده علاقه دارد نرم افزار مخربی را (که پیدا کردنشان چندان مشکل نیست ) توسط ایمیل برای منشی می فرستد . به این ترتیب نرم افزار یاد شده بر روی کامپیوتر منشی نصب می شود . این نرم افزار می تواند یک تروجان آماده و یا یک برنامه نوشته شده توسط یک فرد متخصص باشد . به هر صورت با کمک این نرم افزار هکر یا نفوذگر خواهد توانست به راحتی به اطلاعات حفاظت نشده کلیه کامپیوترهای شبکه دسترسی داشته باشد و آنها را سرقت کند و یا تغییر دهد . کلیه این مشکلات را سرویس کوچک و مفیدی در ویندوز به نام اشتراک فایل و پرینت (File & Print Sharing) ایجاد می کند .

  • سوال : آیا باید این سرویس را غیر فعال کرد ؟ پاسخ : خیر .

اگر این سرویس را غیر فعال کنید شبکه شما عملا کارایی نخواهد داشت و از هیچ یک از قابلیتهای آن بهره نخواهید برد . پس چه باید کرد ؟ پاسخ این است که باید از شبکه و اطلاعات آن محافظت کرد .

- اولین اقدام این است که کلیه کامپیوترها را به یک برنامه افزایش امنیت اینترنت و یا یک ضد ویروس قدرتمند مجهز نمایید . - کلیه فایلها و اطلاعات مهم شرکت باید در قسمتی از کامپیوترها قرار داده شود که دارای دسترسی طبقه بندی شده باشد و به هیچ وجه از پوشه های مشترک نباشد . - از پارتیشن بندی NTFS استفاده نمایید و پوشه های مهم را رمزنگاری کنید ( با کلیک راست بر روی آنها و علامت زدن گزینه Encrypt Contents To Secure Data از قسمت Advanced ) نکته مهم این است که بدانید اطلاعاتی که به این طریق رمزنگاری شده باشند فقط و فقط بر روی همان کامپیوتر و از طریق همان اکانت کاربری قابل مشاهده هستند . بنابراین باید قبل از انتقال به کامپیوترهای دیگر از حالت رمزنگاری خارج شوند تا قابل استفاده برای سایرین باشند . در صورتی که اقدام به رمزنگاری اطلاعات میکنید قبل از آن، از اطلاعات بر روی ذخیره گرهایی مانند CD پشتیبان تهیه کنید تا در صورت خرابی ویندوز کامپیوتر یاد شده ، آنها را از دست ندهید . - کامپیوتری که اینترنت را به شبکه شرکت متصل می نماید می تواند به نرم افزارهایی مجهز گردد که اشتراک اینترنت را کنترل کند ( به عنوان فایروال ) - اشتراک اینترنت شرکت را در مواقع غیر ضروری غیر فعال نمایید . متاسفانه ویندوز اکس پی امکانات طبقه بندی چندان مناسبی ندارد . ولی ویندوز ۲۰۰۰ می تواند سطح دسترسی کلیه کاربران را به پوشه های مختلف کنترل کند و این دسترسی را ممنوع ، محدود و یا با کلمه عبور امکان پذیر نماید . - کلیه سیستم عامل های کامپیوترها و نرم افزارهای محافظ آنها باید آخرین اصلاحات امنیتی را دریافت و نصب کرده باشند . به طور کل اقدامات بسیار پیشرفته ای را می توان انجام داد که بسیاری از آنها در تخصص کاربران عادی شبکه‌ها نیست. بنابراین همواره بهترین راه پیشنهادی تماس با یک مشاور امنیت شبکه است .

راه حل اولیه امنیت در شبکه[ویرایش]

شبکه‌های کامپیوتری زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند . به موازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه‌های کامپیوتری ، بطور چشمگیری مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سیستم های امنیتی در این زمینه می باشند ، افزوده می‌گردد . پیشنهاداتی در رابطه با ایجاد یک محیط ایمن در شبکه:

سیاست امنیتی[ویرایش]

یک سیاست امنیتی، اعلامیه ای رسمی مشتمل بر مجموعه ای از قوانین است که می بایست توسط افرادی که به یک تکنولوژی سازمان و یا سرمایه های اطلاعاتی دستیابی دارند، رعایت و به آن پایبند باشند . بمنظور تحقق اهداف امنیتی ، می بایست سیاست های تدوین شده در رابطه با تمام کاربران ، مدیران شبکه و مدیران عملیاتی سازمان، اعمال گردد . اهداف مورد نظر عموماً با تاکید بر گزینه های اساسی زیر مشخص می گردند:

  • سرویس های عرضه شده در مقابل امنیت ارائه شده ،
  • استفاده ساده در مقابل امنیت
  • هزینه ایمن سازی در مقابل ریسک از دست دادن اطلاعات .

مهمترین هدف یک سیاست امنیتی ، دادن آگاهی لازم به کاربران، مدیران شبکه و مدیران عملیاتی یک سازمان در رابطه با امکانات و تجهیزات لازم ، بمنظور حفظ و صیانت از تکنولوژی و سرمایه های اطلاعاتی است . سیاست امنیتی ، می بایست مکانیزم و راهکارهای مربوطه را با تاکید بر امکانات موجود تبیین نماید . از دیگر اهداف یک سیاست امنیتی ، ارائه یک خط اصولی برای پیکربندی و ممیزی سیستم های کامپیوتری و شبکه‌ها ، بمنظور تبعیت از سیاست ها است . یک سیاست امنیتی مناسب و موثر ، می بایست رضایت و حمایت تمام پرسنل موجود در یک سازمان را بدنبال داشته باشد . یک سیاست امنیتی خوب دارای ویژگی های زیر است :

  1. امکان پیاده سازی عملی آن بکمک روش های متعددی نظیر رویه های مدیریتی، وجود داشته باشد .
  2. امکان تقویت آن توسط ابزارهای امنیتی ویا دستورات مدیریتی در مواردی که پیشگیری واقعی از لحاظ فنی امکان پذیر نیست ، وجود داشته باشد.
  3. محدوده مسئولیت کاربران ، مدیران شبکه و مدیران عملیاتی بصورت شفاف مشخص گردد .
  4. پس از استقرار، قابلیت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد ( یک بار گفتن و همواره در گوش داشتن)
  5. دارای انعطاف لازم بمنظور برخورد با تغییرات درشبکه باشد .

سیستم های عامل و برنامه های کاربردی : نسخه‌ها و بهنگام سازی در صورت امکان، می بایست از آخرین نسخه سیستم های عامل و برنامه های کاربردی بر روی تمامی کامپیوترهای موجود در شبکه ( سرویس گیرنده ، سرویس دهنده ، سوئیچ، روتر، فایروال و سیستم های تشخیص مزاحمین ) استفاده شود . سیستم های عامل و برنامه های کاربردی می بایست بهنگام بوده و همواره از آخرین امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در این راستا می بایست حساسیت بیشتری نسبت به برنامه های آسیب پذیر که زمینه لازم برای متجاوزان اطلاعاتی را فراهم می نمایند ، وجود داشته باشد . برنامه های : IIS , OutLook , Internet Explorer , BIND و sendmail بدلیل وجود نقاط آسیب پذیر می بایست مورد توجه جدی قرار گیرند . متجاوزان اطلاعاتی ، بدفعات از نقاط آسیب پذیر برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود[ویرایش]

به منظور پیاده سازی و پشتیبانی سیستم امنیتی ، لازم است لیستی از تمام دستگاه های سخت افزاری و برنامه های نصب شده ، تهیه گردد . آگاهی از برنامه هائی که بصورت پیش فرض نصب شده اند، نیز دارای اهمیت خاص خود است ( مثلاً برنامه IIS بصورت پیش فرض توسط SMS و یا سرویس دهنده SQL در شبکه‌های مبتنی بر ویندوز نصب می‌گردد ) . فهرست برداری از سرویس هایی که بر روی شبکه در حا ل اجرا می باشند، زمینه را برای پیمایش و تشخیص مسائل مربوطه ، هموار خواهد کرد .

سرویس دهندگان TCP/UDP و سرویس های موجود در شبکه[ویرایش]

تمامی سرویس دهندگان TCP/UDP در شبکه به همراه سرویس های موجود بر روی هر کامپیوتر در شبکه ، می بایست شناسائی و مستند گردند . در صورت امکان، سرویس دهندگان و سرویس های غیر ضروری، غیر فعال گردند . برای سرویس دهندگانی که وجود آنان ضروری تشخیص داده می شود، دستیابی به آنان محدود به کامپیوترهائی گردد که به خدمات آنان نیازمند می باشند . امکانات عملیاتی را که به ندرت از آنان استفاده و دارای آسیب پذیری بیشتری می باشند ، غیر فعال تا زمینه بهره برداری آنان توسط متجاوزان اطلاعاتی سلب گردد. توصیه می‌گردد ، برنامه های نمونه (Sample) تحت هیچ شرایطی بر روی سیستم های تولیدی ( سیستم هائی که محیط لازم برای تولید نرم افزار بر روی آنها ایجاد و با استفاده از آنان محصولات نرم افزاری تولید می گردند ) نصب نگردند .

رمزعبور[ویرایش]

انتخاب رمزعبور ضعیف ، همواره یکی از مسائل اصلی در رابطه با هر نوع سیستم امنیتی است . کاربران، می بایست متعهد و مجبور به تغییر رمز عبور خود بصورت ادواری گردند . تنظیم مشخصه های رمز عبور در سیستم های مبتنی بر ویندوز، بکمک Account Policy صورت می پذیرد . مدیران شبکه، می بایست برنامه های مربوط به تشخیص رمز عبور را تهیه و آنها را اجرا کنند تا آسیب پذیری سیستم در بوته نقد و آزمایش قرار گیرد.

برنامه های john the Ripper ، LOphtcrack و Crack ، نمونه هائی در این زمینه می باشند . به کاربرانی که رمز عبور آنان ضعیف تعریف شده است ، مراتب اعلام و در صورت تکرار اخطار داده شود ( عملیات فوق، می بایست بصورت متناوب انجام گیرد ) . با توجه به اینکه برنامه های تشخیص رمزعبور، زمان زیادی از پردازنده را بخود اختصاص خواهند داد، توصیه می‌گردد رمز عبورهای کد شده ( لیست SAM بانک اطلاعاتی در ویندوز ) را بر روی سیستمی دیگر که در شبکه نمی باشد، منتقل تا زمینه بررسی رمزهای عبور ضعیف ، فراهم گردد . با انجام عملیات فوق برروی یک کامپیوتر غیر شبکه ای ، نتایج بدست آمده برای هیچکس قابل استفاده نخواهد بود ( مگراینکه افراد بصورت فیزیکی به سیستم دستیابی پیدا نمایند). برای تعریف رمز عبور، موارد زیر پیشنهاد می‌گردد :

  1. حداقل طول رمز عبور، دوازده و یا بیشتر باشد .
  2. دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .
  3. از کلمات موجود در دیکشنری استفاده نگردد .
  4. رمز های عبور ، در فواصل زمانی مشخصی ( سی و یا نود روز) بصورت ادواری تغییر داده شوند . کاربرانی که رمزهای عبور ساده و قابل حدسی را برای خود تعریف نموده اند، تشخیص و به آنها تذکر داده شود (عملیات فوق بصورت متناوب و در فواصل زمانی یک ماه انجام گردد).
  5. عدم اجرای برنامه ها یی که منابع آنها تأیید نشده است

در اغلب حالات ، برنامه های کامپیوتری در یک چارچوب امنیتی خاص مربوط به کاربری که آنها را فعال می نماید ، اجرا می گردند. دراین زمینه ممکن است، هیچگونه توجه ای به ماهیت منبع ارائه دهنده برنامه توسط کاربران انجام نگردد . وجود یک زیر ساخت PKI Public key infrastructure) ، در این زمینه می تواند مفید باشد . در صورت عدم وجود زیرساخت امنیتی فوق ،می بایست مراقبت های لازم در رابطه با ترفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسیب ها در ظاهری کاملا” موجه از طریق یک پیام الکترونیکی جلوه نمایند . هرگز یک ضمیمه پیام الکترونیکی و یا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده اید ، فعال و یا اجرا ننمایید . همواره از برنامه ای نظیر Outlook بمنظور دریافت پیام های الکترونیکی استفاده گردد . برنامه فوق در یک ناحیه محدوده شده اجرا و می بایست امکان اجرای تمام اسکریپت ها و محتویات فعال برای ناحیه فوق ، غیر فعال گردد .


جستارهای همگون[ویرایش]

منبع[ویرایش]

پایان نامه علیرضا پوربهرام