پنجشنبه 29 شهريور 1397 - 09 محرم 1440 - 20 سپتامبر 2018
مدیریت امنیت در قرارداد پشتیبانی شبکه

 

« مدیریت امنيت شبکه در خدمات پشتیبانی شبکه و سرور »

 

تعريف امنیت سرور و شبکه

 

امنيت در شبکه‌هاي کامپيوتري مجموعه‌اي از روالها مي‌باشد که دسترسي به اطلاعات را از نظر فيزيکي و سطح دسترسي به کامپيوتر و عبور داده‌ها در شبکه تعيين مي‌نمايند. بديهي است در صورتيکه که هر يک از عوامل گفته شده ناديده گرفته شوند مي‌توانند منجر به بروز خسارات گردند. اين خسارات مي‌تواند شامل از بين رفتن اطلاعات و يا سرقت اطلاعات باشد. بنابراين در پياده سازي سيستم‌ها بايستي حتماً نکات امنيتي در نظر گرفته شوند. در ادامه سعي مي‌گردد تا امنيت در سطوح مختلف تعريف و نحوه بکارگيري آن گفته شود.

 

سطوح امنيتي

 

امنيت را مي‌توان در چهار رده زير دسته‌بندي نمود:

     1. دسترسي فيزيکي

     2. امنيت Cientها و سرورها

     3. امنيت در شبکه‌هاي LAN

     4. امنيت در شبکه‌هاي متصل به اينترنت يا اينترنت‌ها

 

1. دسترسي فيزيکي

در صورتيکه سرور و يا workstation داراي اطلاعات محرمانه‌اي باشد و يا سرورهايي که به عنوان هسته شبکه انجام خدمات زيادي را انجام مي‌دهند در نظر بگيريم دسترسي به اين گونه دستگاهها بايستي محدود و مشخص باشد و فقط اشخاص معيني مجاز به اين باشند که بتوانند به اين کامپيوترها داشته باشند دسترسي و در صورتيکه اطلاعات خيلي مهم باشد حتماً بايستي مسئولين سيستم‌ها را در اين هنگام حضور داشته باشند (مثلاً در هنگام Update و نصب نرم‌افزارهايي بر روي سيستم.)

 

2. امنيت Clientها و سرورها

 

در اين محدوده علاوه با در نظر داشتن بند قبلي بايستي انواع خطراتي که ممکن است اطلاعات موجود بر روي دستگاه را به مخاطره مي‌اندازد را محافظت نمود. در اين‌جا بايستي خطرات را شناسايي و از آنها جلوگيري نمود اين خطرات در 4 حالت زير ممکن است رخ دهد:

2-1 SPY Ware : ارسال اطلاعات موجود بر روي کامپيوتري ديگر

2-2 IP-Spoofing : ايجاد هويت جعلي در سطح IP

3-2 Port-Scnning : شناسايي در گاههاي باز

 

4-2 Denial-of-Service (DOS)

جهت جلوگيري از هر کدام از موارد فوق بايستي نرم‌افزارهاي مناسب بر روي سرور نصب باشد دستگاه از هر گونه تهديدي در آن باشد. در اين‌جا بايستي از نرم‌افزار Anti SPY ware براي جلوگيري از خطر SPY ware و HIDS با جلوگيري از نفوذ به سيستم و هم‌چنين از Firewall Client مناسب جهت دسترسي به پورت‌هاي مجاز استفاده نمود.

 

3. امنيت در شبکه LAN

در شبکه‌هاي LAN مي‌توان تمهيداتي را در نظر گرفت تا جلو خطرات احتمالي از سوي ساير سيستم‌ها را به يکديگر به حداقل رساند. براي مثال استفاده از يک SPY ware که بر روي سرور نصب مي‌شود و Clientها را به صورت اتوماتيک به روز مي‌رساند و يا استفاده از IDSها و گونه جديدتر آنها IPS ها. در يک شبکه LAN مي‌توان IPS يا IDS را به صورت سخت‌افزاري در دل شبکه قرار داد و با تنظيم آن از بسياري از خطرات جلوگيري نمود.

در حالتي که IDS IPS/ بکار گرفته مي‌توان و دو سناريو را مي‌توان در نظر گرفت.

3-1 استفاده از (IDS) Box که به شکل زير بکار گرفته مي‌شود.


3-2 استفاده از يک ماجول سخت‌افزاري که در داخل سوئيچ Core و Distribution شبکه نصب مي‌شود و تمامي Packetها را چک مي‌کنند که در صورت امکان بسيار روش مناسب مي‌باشد.

 نمونه اين، جول، ماجول IDSM-2 مي‌باشد که به عنوان يک ماجول در داخل يکي از اسلاتهاي سوئيچ 650X سيسکو قابل بکارگيري مي‌باشد.

در اين حالت بلوک دياگرام شکل زير را خواهيم داشت:


در اين حالت IDSM-2 چون به backplane متصل مي‌باشد تمامي patternها را براي يافتن تطبيق از جدول signatureهاي خود جستجو مي‌کند که اين جستجو شامل بخش Header و data مي‌باشد. زيرا اين جملات يا براساس Content  و يا Context مي‌تواند رخ دهد.

مي‌توان IPS / IDS را طوري تنظيم نمود که در صورت وقوع حمله اقدام به ارسال هشدارهايي نمايد و يا TCP-reset بفرستد و يا log ايجاد نمايد و يا حتي اقدام به ايجاد يک دستور block بر روي ساير دستگاهها نيز روترها و يا فايروالها بنمايد.

 

4. امنيت در اينترنت و اينترانت‌ها

 علاوه بر تمامي نکات ذکر شده در بندهاي قبلي جهت ايجاد يک محيط امن و مطمئن در يک شبکه که به شبکه‌هاي ديگر متصل مي‌باشد نکات بسيار ظريف‌تر و دقيق‌تري نيز وجود دارد که بايستي به دقت بررسي و اجرا و هميشه زير نظر باشند. در اين‌جا سه مقوله مهم وجود دارد که بايستي حتماً و به دقت زير نظر باشد:

     -1 Monitoring

     -2 Firewall

     -3 IDS / IPS

4-1 مانيتورينگ به معناي در اختيار داشتن تمامي Logهايي است که از طريق ابزارهايي نظير فايروال و IDSها، سرورهاي وب، سرورهاي Mail ، سرورها و شبکه ايجاد مي‌شوند. در اختيار داشتن نرم‌افزاري که قادر به تحليل و ارائه گزارش‌هاي مطلوب از اين Logها باشند توانايي مديران شبکه را جهت بررسي و دسترسي به منابع داخل شبکه و همين‌طور اطلاعات ارسال شده به خارج از شبکه بسيار بهبود مي‌بخشد.

 

4-2 فايروال

در هنگامي که شبکه بايستي به شبکه ديگري متصل باشد به خصوص اينکه اتصال از طريق مسيرهاي ناشناخته باشد و يا کاربران شبکه مقابل تهديدي جهت امنيت شبکه به حساب آيند در اين‌صورت دسترسي به منابع داخل شبکه و پورت‌هاي سرورهاي مهم شبکه و پروتوکل‌هاي مورد نياز بايستي بسيار دقيق انجام پذيرد و Log مربوط به فايروال نيز در جايي نگهداري و توسط ابزارهاي مانيتورينگ بررسي گردند.

نحوه بکارگيري فايروال در شبکه بسيار مهم مي‌باشد در ساده‌ترين حالت زير مي‌باشد:



در صورت نياز مي‌توان از امکان VPN site-to-site استفاده نمود که در اين حالت بيشترين حالت بيشترين امنيت عبور اطلاعات را داريم. ايجاد اين VPN مي‌تواند از طريق فاير والها و يا VPN- Concentratorها انجام پذيرد.

 

4-3 IDS /IP

اين دستگاه در شبکه به عنوان تجهيزات شناسايي نفوذ به کار گرفته مي‌شوند و با در نظر گرفتن اين دستگاه محل مناسب آن در حالتي که شبکه به شبکه ديگري متصل مي‌شود به دو صورت مي‌باشد:

     1. در حالتي که به عنوان يک قطعه مجزا بکار گرفته شود.

     2. در حالتي که به عنوان يک ماجول در روتر gateway شبکه به کار گرفته ‌شود.

 

در اينجا other network ساير اداراتي مي‌باشند که مي‌خواهند از طريق يک شبکه نامطمئن به شبکه اصلي وصل شوند. در اينجا چه Hacker در داخل و چه در خارج از شبکه باشد قابل شناسايي و امکان به حداقل رساندن ريسک مي‌باشيم.

اما در حالت کلي در صورتيکه بخواهيم ترکيبي از فايروال و IPS / IDS را در شبکه به کار بگيريم به دو شکل مي‌توانيم آنها در شبکه قرار بدهيم که به شکل‌ها زير مي‌باشد:


بکارگيري IDS در جلو و يا قبل از Firewall هر کدام مزايا و معايبي دارند.

در حالتي که IDS در جلوي فايروال گرفته شود اجازه مي‌دهد تا IDS بتواند تمامي ترافيک ورود و خروجي به شبکه را مانيتور کند. ولي در اين دستگاه نمي‌تواند ترافيک داخلي شبکه را شناسايي نمايد. وهکري که در داخل شبکه مي‌باشد مي‌تواند از نقايص امنيتي شبکه جهت آسيب به شبکه استفاده نمايد.

در صورتيکه دستگاه IDS قبل از فايروال به کار گرفته شود امکان مانيتورينگ داخل شبکه فراهم مي‌شود، اما دستگاه نمي‌تواند عدم تطبيق‌هايي که توسط فايروال پس زده شوند را مانيتور نمايد. در نهايت بايستي به اين نکته مهم اشاره نمود که صرف به کار گرفتن تجهيزات نمي‌توان شبکه‌اي امن داشت بلکه امنيت شبکه مستلزم مانيتورينگ تمامي وقايع رخ داده در شبکه مي‌باشد که بسيار سخت مي‌باشد. بنابراين بايستي تمامي نکات گفته شده در مسائل امنيتي کنترل و تمامي نرم‌افزارها و Updateهاي مورد نياز آن بروز باشد و دسترسي به خود اين دستگاه نيز بايستي تنظيم شده و فقط مديران اتصال و کار با آن را داشته باشند.

در نهايت امنيت در شبکه نيازمند به تيم بسيار قوي و پرکار مي‌باشد تا با کار و صرف زمان زياد و تمامي شبکه را بررسي و محيطي امن را براي کاربران ايجاد نمايند.

مطلب کامل را می توانید دانلود و مطالعه نمائید .

دانلود متن کامل مقاله پشتیبانی امنیت شبکه

 

 



نوشته شده در   شنبه 18 مرداد 1393  ساعت  11   توسط   مدیر قاسم محمودی
PDF چاپ ارسال برای دوستان بازگشت
نظرات شما :
نام :
نام خانوادگی :
  ایمیل :
 
لطفا کد نمایش داده شده در تصویر را وارد نمایید
نظر خود را درباره این مطلب بیان بفرمائید