تبلیغات
مرکز دانلود کتاب الکترونیک در زمینه ی کامپیوتر و الکترونیک - رویکردی عملی به امنیت شبکه لایه بندی شده
مرکز دانلود کتاب الکترونیک در زمینه ی کامپیوتر و الکترونیک
وب لاگ تخصصی دانلود و اموزش
گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من
درباره وبلاگ


کاردانی کامپیوتر (گرایش برنامه نویسی و تولید نرم افزار) -مهارت های کاری :تکنسین شبکه های محلی و بیسیم (دارای مدرک سازمان فنی و حرفه ای ) -برنامه نویسی -طراحی سایت -گرافیک کامپیوتر-
هدف از این مطالب جلب توجه نیست بلکه قصد من کمک به دوستانی است که در این زمینه ها مشکل دارند بنابرین دوستان عزیز در صورتی که مشکلی در مورد هر یک از مباحث کامپیوتر البته فعلا فقط تا کاردانی دارید با بنده مطرح کنید تا در اولین فرصت به شما کمک کنم


مدیر وبلاگ : milad rasuolly
نویسندگان
نظرسنجی
امتیازی که به این وبلاگ خواهید داد.






مقدمه

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های

کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان

ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. دربسیاری از

صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.

در این قسمت رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی

می گردد. این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در

سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است

که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.

رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در

پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.

۱- پیرامون

۲- شبکه

۳- میزبان

۴- برنامه کاربردی

۵- دیتا

و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند،

ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک

رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این

سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا

هستند.

محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد.

با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی

اسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون

بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.

افزودن به ضریب عملکرد هکرها

(work factor) متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد

استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد

بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر

از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک

شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با

ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که

شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست،

احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این

دقیقاً همان چیزیست که شما می خواهید.

تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای

امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما

بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید

داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را

ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به

دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که

بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید

مدل امنیت لایه بندی شده

در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح

مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در

قسمتهای بعدی مورد بحث قرار خواهند گرفت.

ردیف سطح امنیتی ابزار و سیستم های امنیتی قابل استفاده

۱ پیرامون

فایروال

آنتی ویروس در سطح شبکه

رمزنگاری شبکه خصوصی مجازی

۲ شبکه

(IDS/IPS) سیستم تشخیص/جلوگیری از نفوذ

سیستم مدیریت آسیب پذیری

تبعیت امنیتی کاربر انتهایی

کنترل دسترسی/ تایید هویت کاربر

۳ میزبان

سیستم تشخیص نفوذ میزبان

سیستم ارزیابی آسیب پذیری میزبان

تبعیت امنیتی کاربر انتهایی

آنتی ویروس

کنترل دسترسی/ تایید هویت کاربر

۴ برنامه کاربردی

سیستم تشخیص نفوذ میزبان

سیستم ارزیابی آسیب پذیری میزبان

کنترل دسترسی/ تایید هویت کاربر

تعیین صحت ورودی

۵ داده رمزنگاری

کنترل دسترسی/ تایید هویت کاربر

رویکردی عملی به امنیت شبکه لایه بندی شده قسمت ( ۲

در قسمت قبل به لایه های این نوع رویکرد به اختصار اشاره شد. طی این قسمت و

قسمت بعد به هریک از این لایه ها می پردازیم.

سطح ۱: امنیت پیرامون

منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل

اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه « پیرامون » . اعتماد است

است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود. پیرامون

شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در

شناخته (demilitarized zone) DMZ بخشی از پیرامون قرار دارند که بعنوان

معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DMZ . میشود

را دربرمی گیرد که باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و DNS

DMZ سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در

می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.

پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه ی شماست.

تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:

فایروال  معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون ·

- پیرامون شبکه متصل است. فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲

فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد .VPN تبدیل آدرس و ۳- نقطه پایانی

تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها

تقاضاهای مجاز اجازه عبور دارند. بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های

داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای IP

اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند. یک فایروال

که بعدًا بیشتر توضیح داده ) VPN همچنین می تواند به عنوان نقطه پایانی تونل های

خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه

شما می کند.

نصب می شود و محتوای ایمیل های DMZ آنتی ویروس شبکه  این نرم افزار در ·

واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده

مقایسه می کند. این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و

آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند. این

عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی

گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت

ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور

کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.

از رمزنگاری سطح بالا برای ایجاد

 VPN)  یک شبکه اختصاصی مجازی VPN

ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند.

اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از VPN

،VPN می تواند در یک مسیریاب برپایه VPN میان اینترنت ایجاد می کند. این تونل

برای تمام VPN پایان پذیرد. برقراری ارتباطات DMZ فایروال یا یک سرور در ناحیه

بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی

می شود.

مزایا

تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر

با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر IT خبرگان

پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضی از فروشندگان راه حل های

سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه

هستند.

 

معایب

از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس

بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال،

یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت

شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده

رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را VPN قرار نداشته باشد. اگرچه

تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری IT برروی کارمندان

باید بصورت مداوم مدیریت شوند.

ملاحظات

پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این

تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند

فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به

ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی

پوشش مؤثری برای شبکه ایجاد کنند.

شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه DMZ انواع ابزاری که در

میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست

های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.

( رویکردی عملی به امنیت شبکه لایه بندی شده قسمت ( ۳

در قسمت قبلی به اولین لایه که لایه پیرامون است، اشاره شد، در این قسمت

به لایه امنیت شبکه می پردازیم.

سطح ۲- امنیت شبکه

داخلی شما اشاره دارد. LAN و WAN سطح شبکه در مدل امنیت لایه بندی شده به

شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی

شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در

ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در

میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق

می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی

وسوسه انگیز مبدل میشوند.تکنولوژی های ذیل امنیت را درسطح شبکه برقرارمی کنند:

ها (سیستم های جلوگیری از IPS ها (سیستم های تشخیص نفوذ) و IDS ·

ترافیک گذرنده در شبکه شما را با جزئیات IPS و IDS نفوذ)  تکنولوژیهای

بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای

ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از IPS و IDS

مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص

را از IT مسؤولین IDS داده می شوند، این ابزار وارد عمل می شوند. ابزارهای

یک گام جلوتر می روند و IPS وقوع یک حمله مطلع می سازند؛ ابزارهای

ها IPS ها و IDS . بصورت خودکار ترافیک آسیب رسان را مسدود می کنند

ها در هسته خود یک IPS مشخصات مشترک زیادی دارند. در حقیقت، بیشتر

دارند. تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود. IDS

تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه IDS محصولات

از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند. IPS محصولات

استاندارد در شکل نشان داده شده اند: IPS و IDS پیکربندی های

مدیریت آسیب پذیری سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام

می دهند: ( ۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و ( ۲) روند مرمت آسیب

تخمین آسیب ) VA پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی

پذیری) نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم

های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.

سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها

و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره

برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را

نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و

برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا

برنامه ای را با بکارگیری قوانین مناسب می آزماید.

همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی

است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی

این ویژگی ها در میان محصولات مختلف، فرق می کند.

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این ·

طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای

امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند،

رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق

می گیرد. RAS و VPN سیستم های ناامن کارمندان و ابزارهای

روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که

قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این

تست ها معمولاً برای بررسی ( ۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی

ویروس های به روز شده و غ          یره و ( ۲) کاربردهای ممنوع مانند اشتراک فایل و نرم

افزارهای جاسوسی است.

کنترل دسترسی\تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی ·

است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل

دسترسی در سطح شبکه کنترل شوند.

نکته: در این سلسله مباحث، به کنترل دسترسی و تأیید هویت در سطوح شبکه،

میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح

های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد.

معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد. اما به خاطر

داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند که برای

ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.

مزایا

و مدیریت آسیب پذیری تحلیل های پیچیده ای روی IPS ،IDS تکنولوژی های

تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه

تجزیه و تحلیل عمیق تری را IDS و IPS مقصد نهایی آن اجازه عبور می دهد، ابزار

برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های

پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور

کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.

سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را

بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب

مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار

پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران،

همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به

شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید

پیمایش کنید.

روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی

ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها

بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند،

گواهی بر این مدعا Sasser و ،Sobig ،Mydoom همچانکه پدیده های اخیر چون

هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.

معایب

false ها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که          به عنوان

بین امنیت بهبودیافته

و سهولت استفاده توجه کنید، زیرا بسیاری از این محصولات برای کارکرد مؤثر باید به

طور پیوسته مدیریت شوند و این ممکن است استفاده از آن محصولات را در کل شبکه

با زحمت مواجه سازد.

وقتی که این تکنولوژی ها را در اختیار دارید، بهبود پیوسته شبکه را در خاطر داشته

باشید. در شبکه هایی با پویایی و سرعت گسترش بالا، تطبیق با شرایط و ابزار جدید

ممکن است مسأله ساز گردد.

رویکردی عملی به امنیت شبکه لایه بندی شده قسمت ( ۴

 

در قسمت قبل به دومین لایه که لایه شبکه است، اشاره شد، در این قسمت به لایه

میزبان به عنوان سومین لایه می پردازیم.

سطح ۳- امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها،

کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر

قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی

نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع

عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.

تکنولوژی های زیر امنیت را در سطح میزبان فراهم می کنند:

های IDS های سطح میزبان عملیاتی مشابه IDS در سطح میزبان  IDS ·

شبکه انجام می دهند؛ تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به

های سطح میزبان برای مشخصات عملیاتی بخصوصی از ابزار IDS . تنهایی است

میزبان تنظیم می گردند و بنابراین اگر به درستی مدیریت شوند، درجه بالایی از

مراقبت را فراهم می کنند.

سطح میزبان VA تخمین آسیب پذیری) سطح میزبان - ابزارهای ) VA ·

یک ابزار شبکه مجزا را برای آسیب پذیری های امنیتی پویش می کنند. دقت آنها

ها بطور VA نسبتا بالاست و کمترین نیاز را به منابع میزبان دارند. از آنجایی که

مشخص برای ابزار میزبان پیکربندی می شوند، درصورت مدیریت مناسب،

سطح بسیار بالایی از پوشش را فراهم می کنند.

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی ·

وظیفه دوچندانی ایفا می کنند و هم شبکه (همانگونه در بخش قبلی مطرح شد)

و هم میزبان های جداگانه را محافظت می کنند. این روش ها بطور پیوسته

میزبان را برای عملیات زیان رسان و آلودگی ها بررسی می کنند و همچنین به

نصب و به روز بودن فایروال ها و آنتی ویروس ها رسیدگی می کنند.

آنتی ویروس - هنگامی که آنتی ویروس های مشخص شده برای ابزار در ·

کنار آنتی ویروس های شبکه استفاده می شوند، لایه اضافه ای برای محافظت

فراهم می کنند.

کنترل دسترسی\تصدیق هویت- ابزار کنترل دسترسی در سطح ابزار یک ·

روش مناسب است که تضمین می کند دسترسی به ابزار تنها توسط کاربران مجاز

صورت پذیرد. در اینجا نیز، احتمال سطح بالایی از تراکنش بین ابزار کنترل

دسترسی شبکه و کنترل دسترسی میزبان وجود دارد.

مزایا

این تکنولوژی های در سطح میزبان حفاظت بالایی ایجاد می کنند زیرا برای

برآورده کردن مشخصات عملیاتی مخصوص یک ابزار پیکربندی می گردند.

دقت و پاسخ دهی آنها به محیط میزبان به مدیران اجازه می دهد که به سرعت مشخص

کنند کدام تنظمیات ابزار نیاز به به روز رسانی برای تضمین عملیات امن دارند.

معایب

بکارگیری و مدیریت سیستم های سطح میزبان می تواند بسیار زمان بر باشند. از

آنجایی که این سیستم ها نیاز به نمایش و به روز رسانی مداوم دارند، اغلب ساعات

زیادی برای مدیریت مناسب می طلبند. اغلب نصب شان مشکل است و تلاش قابل

ملاحظه ای برای تنظیم آنها مورد نیاز است. همچنین، هرچه سیستم عامل بیشتری در

شبکه داشته باشید، یک رویکرد برپایه میزبان، گران تر خواهد بود و مدیریت این ابزار

مشکل تر خواهد شد. همچنین       ، با تعداد زیادی ابزار امنیتی سطح میزبان در یک شبکه،

تعداد هشدارها و علائم اشتباه می تواند بسیار زیاد باشد.

ملاحظات

بدلیل هزینه ها و باراضافی مدیریت، ابزار در سطح میزبان باید بدقت بکار گرفته

شوند. بعنوان یک اصل راهنما، بیشتر سازمان ها این ابزار را فقط روی سیستم های بسیار

حساس شبکه نصب می کنند. استثناء این اصل یک راه حل تابعیت امنیتی کاربر انتهایی

است، که اغلب برای پوشش دادن به هر ایستگاه کاری که تلاش می کند به شبکه

دسترسی پیدا کند، بکار گرفته می شود.

( رویکردی عملی به امنیت شبکه لایه بندی شده قسمت ( ٥

در قسمت قبل به سومین لایه که لایه میزبان است، اشاره شد. در این قسمت به

لایه برنامه کاربردی بعنوان چهارمین لایه و لایه دیتا بعنوان پنجمین لایه می پردازیم.

سطح ۴- امنیت برنامه کاربردی

در حال حاضر امنیت سطح برنامه کاربردی بخش زیادی از توجه را معطوف خود

کرده است. برنامه هایی که به میزان کافی محافظت نشده اند، می توانند دسترسی آسانی به

دیتا و رکوردهای محرمانه فراهم کنند. حقیقت تلخ این است که بیشتر برنامه نویسان

هنگام تولید کد به امنیت توجه ندارند. این یک مشکل تاریخی در بسیاری از برنامه های با

تولید انبوه است. ممکن است شما از کمبود امنیت در نرم افزارها آگاه شوید، اما قدرت

تصحیح آنها را نداشته باشید.

برنامه ها برای دسترسی مشتریان، شرکا و حتی کارمندان حاضر در محل های دیگر،

روی وب قرار داده می شوند. این برنامه ها، همچون بخش فروش، مدیریت ارتباط با

مشتری، یا سیستم های مالی، می توانند هدف خوبی برای افرادی که نیات بد دارند،

باشند. بنابراین بسیار مهم است که یک استراتژی امنیتی جامع برای هر برنامه تحت شبکه

اعمال شود.

تکنولوژی های زیر امنیت را در سطح برنامه فراهم می کنند:

پوشش محافظ برنامه – از پوشش محافظ برنامه به کرات به عنوان فایروال ·

سطح برنامه یاد می شود و تضمین می کند که تقاضاهای وارد شونده و خارج

شونده برای برنامه مورد نظر مجاز هستند. یک پوشش که معمولاً روی

سرورهای وب، سرورهای ایمیل، سرورهای پایگاه داده و ماشین های مشابه

نصب می شود، برای کاربر شفاف است و با درجه بالایی با سیستم یکپارچه

می شود.

یک پوشش محافظ برنامه برای عملکرد مورد انتظار سیستم میزبان تنظیم

می گردد. برای مثال، یک پوشش روی سرور ایمیل به این منظور پیکربندی

می شود تا جلوی اجرای خودکار برنامه ها توسط ایمیل های وارد شونده را

بگیرد، زیرا این کار برای ایمیل معمول یا لازم نیست.

کنترل دسترسی/تصدیق هویت- مانند تصدیق هویت در سطح شبکه و میزبان، ·

تنها کاربران مجاز می توانند به برنامه دسترسی داشته باشند.

تعیین صحت ورودی - ابزارهای تعیین صحت ورودی بررسی می کنند که ·

ورودی گذرنده از شبکه برای پردازش امن باشد. اگر ابزارهای امنیتی مناسب در

جای خود مورد استفاده قرار نگیرند، هر تراکنش بین افراد و واسط کاربرمی تواند

خطاهای ورودی تولید کند. عموماً هر تراکنش با سرور وب شما باید ناامن در

نظر گرفته شود مگر اینکه خلافش ثابت شود!

را در نظر بگیرید. تنها zip code به عنوان مثال، یک فرم وبی با یک بخش

ورودی قابل پذیرش در این قسمت فقط پنج کاراکتر عددی است. تمام ورودی های

دیگر باید مردود شوند و یک پیام خطا تولید شود. تعیین صحت ورودی باید در

چندین سطح صورت گیرد. در این مثال، یک اسکریپت جاوا می تواند تعیین صحت

را در سطح مرورگر در سیستم سرویس گیرنده انجام دهد، در حالیکه کنترل های

بیشتر می تواند در سرور وب قرار گیرد. اصول بیشتر شامل موارد زیر می شوند:

،«insert» - کلید واژه ها را فیلتر کنید. بیشتر عبارات مربوط به فرمانها مانند

باید بررسی و در صورت نیاز مسدود شوند.

- فقط دیتایی را بپذیرید که برای فلید معین انتظار می رود. برای مثال، یک

اسم کوچک ۷۵ حرفی یک ورودی استاندارد نیست.

مزایا

ابزارهای امنیت سطح برنامه موقعیت امنیتی کلی را تقویت می کنند و به شما اجازه

کنترل بهتری روی برنامه هایتان را می دهند. همچنین سطح بالاتری از جوابگویی را فراهم

می کنند چرا که بسیاری از فعالیت های نمایش داده شده توسط این ابزارها، ثبت شده و

قابل ردیابی هستند.

معایب

پیاده سازی جامع امنیت سطح برنامه می تواند هزینه بر باشد، چرا که هر برنامه و

میزبان آن باید بصورت مجزا ارزیابی، پیکربندی و مدیریت شود. بعلاوه، بالابردن امنیت

یک شبکه با امنیت سطح برنامه می تواند عملی ترسناک! و غیرعملی باشد. هرچه زودتر

بتوانید سیاست هایی برای استفاده از این ابزارها پیاده کنید، روند مذکور موثرتر و ارزان تر

خواهد بود.

ملاحظات

ملاحظات کلیدی برنامه ها و طرح های شما را برای بلندمدت اولویت بندی می کنند.

امنیت را روی برنامه ها کاربردی خود در جایی پیاده کنید که بیشترین منفعت مالی را

برای شما دارد. طرح ریزی بلندمدت به شما اجازه می دهد که ابزارهای امنیتی را با روشی

تحت کنترل در طی رشد شبکه تان پیاده سازی کنید و از هزینه های اضافی جلوگیری

می کند.

سطح ۵ - امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربرمی گیرد.

رمزنگاری دیتا، هنگامی که ذخیره می شود و یا در شبکه شما حرکت می کند، به عنوان

روشی بسیار مناسب توصیه می گردد، زیرا چنانچه تمام ابزارهای امنیتی دیگر از کار

بیفتند، یک طرح رمزنگاری قوی دیتای مختص شما را محافظت می کند. امنیت دیتا تا

حد زیادی به سیاست های سازمانی شما وابسته است. سیاست سازمانی می گوید که

چه کسی به دیتا دسترسی دارد، کدام کاربران مجاز می توانند آن را دستکاری کنند و چه

کسی مسوول نهایی یکپارچگی و امن ماندن آن است. تعیین صاحب و متولی دیتا به شما

اجازه می دهد که سیاست های دسترسی و ابزار امنیتی مناسبی را که باید بکار گرفته

شوند، مشخص کنید.

تکنولوژی های زیر امنیت در سطح دیتا را فراهم می کنند:

رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا، برنامه و سیستم عامل پیاده ·

می شوند. تقریباً تمام طرح ها شامل کلیدهای رمزنگاری/ رمزگشایی هستند که

تمام افرادی که به دیتا دسترسی دارند، باید داشته باشند. استراتژی های رمزنگاری

هستند. RSA و PGP ،PKI معمول شامل

کنترل دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه، میزبان و ·

برنامه، تنها کاربران مجاز دسترسی به دیتا خواهند داشت.

مزایا

رمزنگاری روش اثبات شده ای برای محافظت از دیتای شما فراهم می کند. چنانچه

نفوذگران تمام ابزارهای امنیتی دیگر در شبکه شما را خنثی کنند، رمزنگاری یک مانع

نهایی و موثر برای محافظت از اطلاعات خصوصی و دارایی دیجیتال شما فراهم می کند.

معایب

بار اضافی برای رمزنگاری و رمزگشایی دیتا وجود دارد که می تواند تأثیرات زیادی در

کارایی بگذارد. به علاوه، مدیریت کلیدها می تواند تبدیل به یک بار اجرایی در سازمان

های بزرگ یا در حال رشد گردد.

ملاحظات

رمزنگاری تا عمق مشخص باید به دقت مدیریت شود. کلیدهای رمزنگاری باید

برای تمام ابزارها و برنامه های تحت تأثیر تنظیم و هماهنگ شوند. به همین دلیل، یک بار

مدیریتی برای یک برنامه رمزنگاری موثر مورد نیاز است.

رویکردی عملی به امنیت شبکه لایه بندی شده قسمت ( ٦) : جمع بندی

۴ و ۵) به لایه های مختلف در امنیت شبکه لایه بندی ،۳ ،۲ ، در قسمت های قبل ( ۱

شده پرداختیم. در این شماره به اختصار به جمع بندی مباحث فوق می پردازیم.

دفاع در مقابل تهدیدها و حملات معمول

قسمت گذشته نشان می دهد که چگونه رویکرد امنیت لایه بندی شده در مقابل

تهدیدها و حملات معمول از شبکه شما محافظت می کند و نشان می دهد که چگونه هر

سطح با داشتن نقشیکلیدی در برقراری امنیت شبکه جامع و مؤثر، شرکت می کند.

بعضی حملات معمول شامل موارد زیر می شود:

حملات به وب سرور  حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریباً ·

برای هر وب سرور ایجاد می شود، در برمی گیرد. از دستکاری های ساده در صفحات

امروزه حملات به وب .DOS گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات

به عنوان حمله Nimda و Code Red . سرور یکی از معمول ترین حملات هستند

کنندگان به وب سرورها از شهرت زیادی! برخوردارند.

بازپخش ایمیل ها بصورت نامجاز  سرورهای ایمیلی که بصورت مناسب پیکربندی ·

نشده اند یک دلیل عمده برای ارسال هرزنامه ها بشمار می روند. بسیاری از شرکت های

هرزنامه ساز در پیدا کردن این سرورها و ارسال صدها و هزاران پیام هرزنامه به این

سرورها، متخصص هستند.

دستکاری میزبان دور در سطح سیستم  تعدادی از آسیب پذیری ها، یک سیستم را ·

از راه دور در اختیار حمله کننده قرار می دهند. بیشتر این نوع کنترل ها در سطح سیستم

است و به حمله کننده اختیاراتی برابر با مدیر محلی سیستم می دهد.

فراهم بودن سرویس های اینترنتی غیرمجاز  توانایی آسان بکارگیری یک وب سرور ·

یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا می برد.

اغلب چنین سرویس هایی کشف نمی شوند، در حالی که در شعاع رادار دیگران قرار

می گیرند!

تشخیص فعالیت ویروسی  در حالی که برنامه ضدویروس در تشخیص ویروس ها ·

مهارت دارد، این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده است. در این

شبکه برای تشخیص این نوع فعالیت IDS شرایط بکارگیری یک برنامه تشخیص نفوذ یا

بسیار مناسب است.

نتیجه گیری

هکرها و تروریست های فضای سایبر به طور فزاینده ای اقدام به حمله به شبکه ها

می کنند. رویکرد سنتی به امنیت  یعنی یک فایروال در ترکیب با یک آنتی ویروس  در

محافظت از شما در برابر تهدیدهای پیشرفته امروزی ناتوان است.

اما شما می توانید با برقراری امنیت شبکه با استفاده از رویکرد لایه بندی شده دفاع

مستحکمی ایجاد کنید. با نصب گزینشی ابزارهای امنیتی در پنج سطح موجود در شبکه

تان (پیرامون، شبکه، میزبان، برنامه و دیتا) می توانید از دارایی های دیجیتالی خود

محافظت کنید و از افشای اطلاعات خود در اثر ایجاد رخنه های مصیبت بار تا حد

زیادی بکاهید.

(Intrusion Detection) مقدمه ای بر تشخیص نفوذ

تشخیص نفوذ عبارت است از پردازه تشخیص تلاشهایی که جهت دسترسی

غیرمجاز به یک شبکه یا کاهش کارایی آن انجام می شوند.در تشخیص نفوذ باید ابتدا

درک صحیحی از چگونگ          ی انجام حملات پیدا کرد. سپس بنابر درک بدست آمده،

روشی دو مرحله ای را برای متوقف کردن حملات برگزید. اول این که مطمئن شوید

که الگوی عمومی فعالیتهای خطرناک تشخیص داده شده است. دوم این که اطمینان

حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند،

به سرعت رفتار می شود.به همین دلیل است که بیشتر سیستم های تشخیص نفوذ

بر مکانیزمهایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت (IDS)

جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند. البته تشخیص نفوذ به تنهایی

کافی نیست و باید مسیر حمله را تا هکر دنبال کرد تا بتوان به شیوه مناسبی با وی نیز

برخورد کرد.

انواع حملات شبکه ای با توجه به طریقه حمله

یک نفوذ به شبکه معمولا یک حمله قلمداد می شود. حملات شبکه ای را

می توان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکه ای

را می توان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از

 

یا دسترسی غیرمجاز به (Denial of Service یا DOS) کار انداختن سرویس

منابع شبکه است.

١- حملات از کار انداختن سرویس

در این نوع حملات، هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات

برای کاربرانش را مختل می کند. در این حملات حجم بالایی از درخواست ارائه

خدمات به سرور فرستاده می شود تا امکان خدمات رسانی را از آن بگیرد. در واقع

سرور به پاسخگویی به درخواستهای بی شمار هکر مشغول می شود و از پاسخگویی

به کاربران واقعی باز می ماند.

٢- حملات دسترسی به شبکه

در این نوع از حملات، نفوذگر امکان دسترسی غیرمجاز به منابع شبکه را پیدا می کند

و از این امکان برای انجام فعالیتهای غیرمجاز و حتی غیرقانونی استفاده می کند. برای

خود استفاده می کند تا درصورت DOS مثال از شبکه به عنوان مبدا حملات

شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را می توان به دو گروه تقسیم

کرد.

الف– دسترسی به داده : در این نوع دسترسی، نفوذگر به داده موجود بر روی

اجزاء شبکه دسترسی غیرمجاز پیدا می کند. حمله کننده می تواند یک کاربر

داخلی یا یک فرد خارج از مجموعه باشد. داده های ممتاز و مهم معمولا تنها در

اختیار بعضی کاربران شبکه قرار می گیرد و سایرین حق دسترسی به آنها را

ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه ندارند،

اما می توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا

مشهور است. Privilege Escalation کرد. این روش به تعدیل امتیاز یا

ب- دسترسی به سیستم : این نوع حمله خطرناکتر و بدتر است و طی آن حمله

کنندهبه منابع سیستم و دستگاهها دسترسی پیدا می کند. این دسترسی می تواند

شامل اجرای برنامه ها بر روی سیستم و به کار گیری منابع آن در جهت اجرای

دستورات حمله کننده باشد. همچنین حمله کننده می تواند به تجهیزات شبکه

مانند دوربینها، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب

و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف Brute Force ، ترواها

یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع

حملات هستند.

و دسترسی به شبکه انجام DoS فعالیت مهمی که معمولا پیش از حملات

است. یک حمله کننده از این فاز reconnaissance می شود، شناسایی یا

جهتی افتن حفره های امنیتی و نقاط ضعف شبکه استفاده می کند. این کار

می تواند به کمک بعضی ابزارها آماده انجام پذیرد که به بررسی پورتهای رایانه

های موجود برروی شبکه می پردازند و آمادگی آنها را جهت انجام حملات

مختلف بر روی آنها بررسی می کنند.

انواع حملات شبکه ای با توجه به حمله کننده

حملات شبکه ای را می توان با توجه به حمله کننده به چهار گروه تقسیم کرد:

١- حملات انجام شده توسط کاربر مورد اعتماد (داخلی): این حمله یکی از مهمترین

و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه

دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره

این کاربران اعمال نمی کنند.

٢- حملات انجام شده توسط افراد غیر معتمد (خارجی): این معمولترین نوع حمله

است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار

می دهد. این افراد معمولا سخت ترین راه را پیش رو دارند زیرا بیشتر سیاستهای

امنیتی درباره این افراد تنظیم شده اند

٣- حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوذ

بر روی اینترنت وجود دارند. در واقع بسیاری از افراد می توانند بدون تجربه

خاصی و تنها با استفاده از ابزارهای آماده برای شبکه ایجاد مشکل کنند.

٤- حملات انجام شده توسط کاربران مجرب : هکرهای با تجربه و حرفه ای در

نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکلهای آن و همچنین از

انواع سیستم های عمل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید

می کنند که توسط گروه اول به کار گرفته می شوند. آنها معمولا پیش از هر حمله،

آگاهی کافی درباره قربانی خود کسب می کنند.

پردازه تشخیص نفوذ - تا بحال با انواع حملات آشنا شدیم. حال باید چگونگی

شناسایی حملات و جلوگیری از آنها را بشناسیم. امروزه دو روش اصلی برای تشخیص

نفوذ به شبکه ها مورد استفاده قرار می گیرد:

مبتنی بر خلاف قاعده آماری IDS -١

مبتنی بر امضا یا تطبیق الگو IDS -٢

روش اول مبتنی بر تعیین آستانه انواع فعالیتها بر روی شبکه است، مثلا چند بار یک

اجرا می شود.لذا (host) دستور مشخص توسط یک کاربر در یک تماس با یک میزبان

در صورت بروز یک نفوذ امکان تشخیص آن به علت خلاف معمول بودن آن وجود دارد.

اما بسیاری از حملات به گونه ای هستند که نمی توان براحتی و با کمک این روش آنها را

تشخیص داد.

IDS ، در واقع روشی که در بیشتر سیستمهای موفق تشخیص نفوذ به کار گرفته می شود

مبتنی بر امضا یا تطبیق الگو است.منظور از امضا مجموعه قواعدی است که یک حمله در

حال انجام را تشخیص می دهد. دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه

ای از قواعد بارگذاری می شود.هر امضا دارای اطلاعاتی است که نشان می دهد در داده

های در حال عبور باید به دنبال چه فعالیتهایی گشت. هرگاه ترافیک در حال عبور با

الگوی موجود در امضا تطبیق کند، پیغام اخطار تولید می شود و مدیر شبکه را از وقوع

علاوه بر آگاه کردن مدیر شبکه، اتصال IDS یک نفوذ آگاه می کند. در بسیاری از موارد

با هکر را بازآغازی می کند و یا با کمک یک فایروال و انجام عملیات کنترل دسترسی با

نفوذ بیشتر مقابله می کند.

اما بهترین روش برای تشخیص نفوذ، استفاده از ترکیبی از دو روش فوق است.

مقایسه تشخیص نفوذ و پیش گیری از نفوذ

Intrusion Prevention

این است که تمام حملات (Intrusion Prevention) ایده پیش گیری از نفوذ

علیه هر بخش از محیط محافظت شده توسط روش های به کار گرفته شده ناکام بماند.

این روش ها می توانند تمام بسته های شبکه را بگیرند
و نیت آنها را مشخص کنند  آیا

هرکدام یک حمله هستند یا یک استفاده قانونی  سپس عمل مناسب را انجام دهند.

تفاوت شکلی تشخیص با پیش گیری

در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال،

آنها لیست بلند بالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به

ارزیابی پروتکل و تطبیق امضاء دارند. اما این ،TCP حفظ وضعیت، گردآوری بخش های

قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته

یا سیستم پیش گیری (Intrusion Prevention System) IPS می شوند. یک

مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی

IDS گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک

یا سیستم تشخیص مانند یک اتومبیل گشت (Intrusion Detection System)

زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت

های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار

خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.

تشخیص نفوذ

هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه است. این

سیستم روی بسته های داده که از ابزار کنترل دسترسی عبور کرده اند، عمل می کند. به

دلیل وجود محدودیت های اطمینان پذیری، تهدیدهای داخلی و وجود شک و تردید

مورد نیاز، پیش گیری از نفوذ باید به بعضی از موارد مشکوک به حمله اجازه عبور دهد

کاهش یابد. از طرف دیگر، روش (positive false) تا احتمال تشخیص های غلط

با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات IDS های

معمولاً به گونه ای از پهنای IDS بالقوه، نفوذها و سوء استفاده ها بهره می گیرند. یک

باند استفاده می کند که می تواند بدون تأثیر گذاشتن روی معماری های محاسباتی و

آن چیزی است که قدرت هدایت IDS شبکه ای به کار خود ادامه دهد. طبیعت منفعل

را در جایگاه خوبی برای IDS تحلیل هوشمند جریان بسته ها را ایجاد می کند. همین امر

تشخیص موارد زیر قرارمی دهد:

حملات شناخته شده از طریق امضاءها و قوانین v

تغییرات در حجم و جهت ترافیک با استفاده از قوانین پیچیده و تحلیل آماری v

تغییرات الگوی ترافیک ارتباطی با استفاده از تحلیل جریان v

تشخیص فعالیت غیرعادی با استفاده از تحلیل انحراف معیار

تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان و v

تشخیص خلاف قاعده

بعضی حملات تا درجه ای از یقین بسختی قابل تشخیص هستند، و بیشتر آنها فقط

می توانند توسط روش هایی که دارای طبیعت غیرقطعی هستند تشخیص داده شوند. یعنی

این روش ها برای تصمیم گیری مسدودسازی براساس سیاست مناسب نیستند.

پیش گیری از نفوذ

چنانچه قبلاً هم ذکر شد، روش های پیش گیری از نفوذ به منظور محافظت از دارایی

ها، منابع، داده و شبکه ها استفاده می شوند. انتظار اصلی از آنها این است که خطر حمله

را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار

false ) می دهند. هدف نهایی یک سیستم کامل است- یعنی نه تشخیص غلط حمله

که از بازدهی شبکه می کاهد (positive

که باعث ریسک بی مورد در محیط (false negative) و نه عدم تشخیص حمله

شبکه شود. شاید یک نقش اساسی تر نیاز به مطمئن بودن است؛ یعنی فعالیت به روش

باید طبیعت IPS مورد انتظار تحت هر شرایطی. بمنظور حصول این منظور، روش های

داشته باشند. (deterministic) قطعی

قابلیت های قطعی، اطمینان مورد نیاز برای تصمیم گیری های سخت را ایجاد می کند.

به این معنی که روش های پیش گیری از نفوذ برای سروکار داشتن با موارد زیر ایده آل

هستند:

برنامه های ناخواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های v

اختصاصی، با استفاده از قوانین قطعی و لیست های کنترل دسترسی

بسته های دیتای متعلق به حمله با استفاده از فیلترهای بسته داده ای سرعت بالا v

سوءاستفاده از پروتکل و دستکاری پروتکل شبکه با استفاده از بازسازی هوشمند v

با استفاده از الگوریتم های ICMP و SYN مانند طغیان DoS/DDoS حملات v

فیلترینگ برپایه حد آستانه

سوءاستفاده از برنامه ها و دستکاری های پروتکل  حملات شناخته شده و v

و غیره با استفاده از قوانین SMTP ،DNS ،FTP ،HTTP شناخته نشده علیه

پروتکل برنامه ها و امضاءها

باراضافی برنامه ها با استفاده از ایجاد محدودیت های مصرف منابع

تمام این حملات و وضعیت آسیب پذیری که به آنها اجازه وقوع می دهد به خوبی

مستندسازی شده اند. بعلاوه، انحرافات از پروتکل های ارتباطی از لایه شبکه تا لایه برنامه

جایگاهی در هیچ گونه ترافیک صحیح ندارند.

نتیجه نهایی

می تواند (و باید) IDS به فلسفه جبرگرایی می انجامد. یعنی IPS و IDS تفاوت بین

از روش های غیرقطعی برای استنباط هرنوع تهدید یا تهدید بالقوه از ترافیک موجود

استفاده کند. این شامل انجام تحلیل آماری از حجم ترافیک، الگوهای ترافیک و فعالیت

به درد افرادی می خورد که واقعاً می خواهند بدانند چه IDS . های غیرعادی می شود

چیزی در شبکه شان در حال رخ دادن است.

باید در تمام تصمیماتش برای انجام وظیفه اش در پالایش ترافیک IPS ، از طرف دیگر

انتظار می رود که در تمام مدت کار کند و در مورد IPS قطعیت داشتهباشد. از یک ابزار

کنترل دسترسی تصمیم گیری کند. فایروال ها اولین رویکرد قطعی را برای کنترل دسترسی

قابلیت نسل بعد را به IPS فراهم کردند. ابزارهای IPS در شبکه ها با ایجاد قابلیت اولیه

این فایروال ها اضافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای

کنترل دسترسی ها مشارکت دارند.

DoS حملات

قرار DoS شاید تاکنون شنیده باشید که یک وب سایت مورد تهاجمی از نوع

گرفته است. این نوع از حملات صرفا" متوجه وب سایت ها نبوده و ممکن است شما

از طریق عملیات متداول شبکه امری DoS قربانی بعدی باشید. تشخیص حملات

مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر می توان از میزان

پیشرفت این نوع از حملات آگاهی یافت.

( denial-of-service ) DoS حملات از نوع

یک مهاجم باعث ممانعت دستیابی کاربران تائید شده ، DoS در یک تهاجم از نوع

به اطلاعات و یا سرویس های خاصی می نماید. یک مهاجم با هدف قرار دادن کامپیوتر

شما و اتصال شبکه ای آن و یا کامپیوترها و شبکه ای از سایت هائی که شما قصد استفاده

وب سایت ها، ، Email از آنان را دارید، باعث سلب دستیابی شما به سایت های

و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس online های account

دهنده می گردد.

زمانی محقق می گردد که یک ، DoS متداولترین و مشهودترین نوع حملات

مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید. زمانی که شما آدرس

یک وب سایت خاص را از طریق مرورگر خود تایپ می نمائید، درخواست شما URL

برای سرویس دهنده ارسال می گردد. سرویس دهنده در هر لحظه قادر به پاسخگوئی به

حجم محدودی از درخواست ها می باشد، بنابراین اگر یک مهاجم با ارسال

درخواست های متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهند گردد،

قطعا" امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت. حملات

می باشند، چراکه امکان دستیابی شما به سایت مورد نظر سلب شده DoS فوق از نوع

است.

یک مهاجم می تواند با ارسال پیام های الکترونیکی ناخواسته که از آنان با نام

یاد می شود، حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید. Spam

پست الکترونیکی (صرفنظر از منبعی که آن را در اختیار شما قرار می دهد، account هر

دارای ظرفیت ( hotmail نظیر سازمان مربوطه و یا سرویس های رایگانی نظیر یاهو و

دیگری به Email محدودی می باشند. پس از تکمیل ظرفیت فوق، عملا" امکان ارسال

فوق وجود نخواهد داشت. مهاجمان با ارسال نامه های الکترونیکی ناخواسته account

مورد نظر را تکمیل و عملا" امکان دریافت account سعی می نمایند که ظرفیت

فوق سلب نمایند. account های معتبر را از email

( distributed denial-of-service) DDoS حملات از نوع

یک مهاجم ممکن است از کامپیوتر شما برای ، DDoS در یک تهاجم از نوع

تهاجم بر علیه کامپیوتر دیگری استفاده نماید. مهاجمان با استفاده از نقاط آسیب پذیر و یا

ضعف امنیتی موجود بر روی سیستم شما می توانند کنترل کامپیوتر شما را بدست گرفته و

در ادامه از آن به منظور انجام عملیات مخرب خود استفاده نمایند. ارسال حجم بسیار

بالائی داده از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی

خاصی، نمونه هائی از همکاری کامپیوتر شما در بروز Email ناخواسته برای آدرس های

می باشد. حملات فوق، "توزیع شده " می باشند، چراکه مهاجم از DDOS یک تهاجم

استفاده می نماید. DoS چندین کامپیوتر به منظور اجرای یک تهاجم

نحوه پیشگیری از حملات

DDoS و یا DoS متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم

وجود ندارد. علیرغم موضوع فوق، می توان با رعایت برخی نکات و انجام عملیات

پیشگیری، احتمال بروز چنین حملاتی (استفاده از کامپیوتر شما برای تهاجم بر علیه

سایر کامپیوتر ها) را کاهش داد.

نصب و نگهداری نرم افزار آنتی ویروس ·

نصب و پیکربندی یک فایروال ·

Email تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه آدرس ·

خود به دیگران

آگاه شویم ؟ DDoS و یا DoS چگونه از وقوع حملات

DoS خرابی و یا بروز اشکال در یک سرویس شبکه، همواره بدلیل بروز یک تهاجم

نمی باشد. در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به

منظور انجام عملیات نگهداری موقتا" برخی سرویس ها را غیر فعال کرده باشد. وجود و

DDoS و یا DoS یا مشاهده علائم زیر می تواند نشاندهنده بروز یک تهاجم از نوع

باشد:

کاهش سرعت و یا کارآئی شبکه بطرز غیر معمول (در زمان باز نمودن فایل ها و ·

یا دستیابی به وب سایت ها).

عدم در دسترس بودن یک سایت خاص(بدون وجود دلایل فنی) ·

عدم امکان دستیابی به هر سایتی(بدون وجود دلایل فنی) ·

افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی ·

در صورت بروز یک تهاجم ، چه عملیاتی را می بایست انجام داد؟

باشید، DDoS و یا DoS حتی در صورتی که شما قادر به شناسائی حملات از نوع

امکان شناسائی مقصد و یا منبع واقعی تهاجم، وجود نخواهد داشت. در این رابطه لازم

است

با کارشناسان فنی ماهر، تماس گرفته تا آنان موضوع را بررسی و برای آن راهکار

مناسب را ارائه نمایند.

در صورتی که برای شما مسلم شده است که نمی توانید به برخی از فایل های ·

خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشید، بلافاصله با

مدیران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانید. وضعیت فوق

می تواند نشاندهنده بروز یک تهاجم بر علیه کامپیوتر و یا سازمان شما باشد.

در صورتی که وضعیت مشابه آنچه اشاره گردید را در خصوص کامپیوترهای ·

( ISP) موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت

مورد نظر می تواند ISP . تماس گرفته و موضوع را به اطلاع آنان برسانید

توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد

 

 

 





صفحات جانبی
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
امکانات جانبی
به سایت ما خوش آمدید