امنيت تجهيزات شبکه

براي تامين امنيت بر روي يک شبکه، يکي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و کنترل تجهيزات شبکه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش. اهميت امنيت تجهيزات به دو علت اهميت ويژه‌اي مي‌يابد :
الف – عدم وجود امنيت تجهيزات در شبکه به نفوذگران به شبکه اجازه مي‌دهد که‌ با دستيابي به تجهيزات امکان پيکربندي آنها را به گونه‌اي که تمايل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبکه، توسط نفوذگر، امکان‌پذير خواهد شد.ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهزات بر روي شبکه الزامي است. توسط اين حمله‌ها نفوذگران مي‌توانند سرويس‌هايي را در شبکه از کار بياندازند که از اين طريق در برخي موارد امکان دسترسي به اطلاعات با دور زدن هر يک از فرايندهاي AAA فراهم مي‌شود.
در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار مي‌گيرد. عناوين برخي از اين موضوعات به شرح زير هستند :- امنيت فيزيکي و تأثير آن بر امنيت کلي شبکه
- امنيت تجهيزات شبکه در سطوح منطقي- بالابردن امنيت تجهيزات توسط افزونگي در سرويس‌ها و سخت‌افزارها
موضوعات فوق در قالب دو جنبه اصلي امنيت تجهيزات مورد بررسي قرار مي‌گيرند : - امنيت فيزيکي
- امنيت منطقي
? – امنيت فيزيکي امنيت فيزيکي بازه‌ وسيعي از تدابير را در بر مي‌گيرد که استقرار تجهيزات در مکان‌هاي امن و به دور از خطر حملات نفوذگران و استفاده از افزونگي در سيستم از آن جمله‌اند. با استفاده از افزونگي، اطمينان از صحت عملکرد سيستم در صورت ايجاد و رخداد نقص در يکي از تجهيزات (که توسط عملکرد مشابه سخت‌افزار و يا سرويس‌دهنده مشابه جايگزين مي‌شود) بدست مي‌آيد.
در بررسي امنيت فيزيکي و اعمال آن،‌ ابتدا بايد به خطر‌هايي که از اين طريق تجهزات شبکه را تهديد مي‌کنند نگاهي داشته باشيم. پس از شناخت نسبتاً کامل اين خطرها و حمله‌ها مي‌توان به راه‌حل‌ها و ترفند‌هاي دفاعي در برار اين‌گونه حملات پرداخت.

?-? – افزونگي در محل استقرار شبکه يکي از راه‌کارها در قالب ايجاد افزونگي در شبکه‌هاي کامپيوتري، ايجاد سيستمي کامل،‌ مشابه شبکه‌ي اوليه‌ي در حال کار است. در اين راستا، شبکه‌ي ثانويه‌ي، کاملاً مشابه شبکه‌ي اوليه، چه از بعد تجهيزات و چه از بعد کارکرد،‌ در محلي که مي‌تواند از نظر جغرافيايي با شبکه‌ي اول فاصله‌اي نه چندان کوتاه نيز داشته باشد برقرار مي‌شود. با استفاده از اين دو سيستم مشابه، علاوه بر آنکه در صورت رخداد وقايعي که کارکرد هريک از اين دو شبکه را به طور کامل مختل مي‌کند (مانند زلزله) مي‌توان از شبکه‌ي ديگر به طور کاملاً جايگزين استفاده کرد، در استفاده‌هاي روزمره نيز در صورت ايجاد ترافيک سنگين بر روي شبکه، حجم ترافيک و پردازش بر روي دو شبکه‌ي مشابه پخش مي‌شود تا زمان پاسخ به حداقل ممکن برسد.
با وجود آنکه استفاده از اين روش در شبکه‌هاي معمول که حجم جنداني ندارند، به دليل هزينه‌هاي تحميلي بالا، امکان‌پذير و اقتصادي به نظر نمي‌رسد، ولي در شبکه‌هاي با حجم بالا که قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب مي‌آيند از الزامات است.

 ?-? – توپولوژي شبکه طراحي توپولوژيکي شبکه،‌ يکي از عوامل اصلي است که در زمان رخداد حملات فيزيکي مي‌تواند از خطاي کلي شبکه جلوگيري کند.
در اين مقوله،‌ سه طراحي که معمول هستند مورد بررسي قرار مي‌گيرند :الف – طراحي سري : در اين طراحي با قطع خط تماس ميان دو نقطه در شبکه، کليه سيستم به دو تکه منفصل تبديل شده و امکان سرويس دهي از هريک از اين دو ناحيه به ناحيه ديگر امکان پذير نخواهد بود.
ب – طراحي ستاره‌اي : در اين طراحي، در صورت رخداد حمله فيزيکي و قطع اتصال يک نقطه از خادم اصلي، سرويس‌دهي به ديگر نقاط دچار اختلال نمي‌گردد. با اين وجود از آنجاييکه خادم اصلي در اين ميان نقش محوري دارد، در صورت اختلال در کارايي اين نقطه مرکزي،‌ که مي‌تواند بر اثر حمله فيزيکي به آن رخ دهد، ارتباط کل شبکه دچار اختلال مي‌شود، هرچند که با درنظر گرفتن افزونگي براي خادم اصلي از احتمال چنين حالتي کاسته مي‌شود.ج – طراحي مش : در اين طراحي که تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيکي در سطوح دسترسي منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندي سرويس‌دهي را دچار اختلال خواهد کرد. پياده‌سازي چنين روش با وجود امنيت بالا، به دليل محدوديت‌هاي اقتصادي،‌ تنها در موارد خاص و بحراني انجام مي‌گيرد.


?-? – محل‌هاي امن براي تجهيزات در تعيين يک محل امن براي تجهيزات دو نکته مورد توجه قرار مي‌گيرد :
- يافتن مکاني که به اندازه کافي از ديگر نقاط مجموعه متمايز باشد، به گونه‌اي که هرگونه نفوذ در محل آشکار باشد.- در نظر داشتن محلي که در داخل ساختمان يا مجموعه‌اي بزرگتر قرار گرفته است تا تدابير امنيتي بکارگرفته شده براي امن سازي مجموعه‌ي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به کار گرفت.
با اين وجود، در انتخاب محل، ميان محلي که کاملاً جدا باشد (که نسبتاً پرهزينه خواهد بود) و مکاني که درون محلي نسبتاً عمومي قرار دارد و از مکان‌هاي بلااستفاده سود برده است (‌که باعث ايجاد خطرهاي امنيتي مي‌گردد)،‌ مي‌توان اعتدالي منطقي را در نظر داشت.در مجموع مي‌توان اصول زير را براي تضمين نسبي امنيت فيزيکي تجهيزات در نظر داشت :
- محدود سازي دسترسي به تجهيزات شبکه با استفاده از قفل‌ها و مکانيزم‌هاي دسترسي ديجيتالي به همراه ثبت زمان‌ها، مکان‌ها و کدهاي کاربري دسترسي‌هاي انجام شده.- استفاده از دوربين‌هاي پايش در ورودي محل‌هاي استقرار تجهيزات شبکه و اتاق‌هاي اتصالات و مراکز پايگاه‌هاي داده.
- اعمال ترفند‌هايي براي اطمينان از رعايت اصول امنيتي.

?-? – انتخاب لايه کانال ارتباطي امن با وجود آنکه زمان حمله‌ي فيزيکي به شبکه‌هاي کامپيوتري، آنگونه که در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن کنترل يکي از خادم‌ها و سرويس‌دهنده‌هاي مورد اطمينان شبکه معطوف شده است،‌ ولي گونه‌اي از حمله‌ي فيزيکي کماکان داراي خطري بحراني است.
عمل شنود بر روي سيم‌هاي مسي،‌ چه در انواع Coax و چه در زوج‌هاي تابيده، هم‌اکنون نيز از راه‌هاي نفوذ به شمار مي‌آيند. با استفاده از شنود مي‌توان اطلاعات بدست آمده از تلاش‌هاي ديگر براي نفوذ در سيستم‌هاي کامپيوتري را گسترش داد و به جمع‌بندي مناسبي براي حمله رسيد. هرچند که مي‌توان سيم‌ها را نيز به گونه‌اي مورد محافظت قرار داد تا کمترين احتمال براي شنود و يا حتي تخريب فيزيکي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايه‌ي فيزيکي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنال‌هاي الکتريکي، هيچگونه تشعشعي از نوع الکترومغناطيسي وجود ندارد، لذا امکان استفاده از روش‌هاي معمول شنود به پايين‌ترين حد خود نسبت به استفاده از سيم در ارتباطات مي‌شود.

?-? – منابع تغذيه از آنجاکه داده‌هاي شناور در شبکه به منزله‌ي خون در رگهاي ارتباطي شبکه هستند و جريان آنها بدون وجود منابع تغذيه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراري اين جريان هستند، غير ممکن است، لذا چگونگي چينش و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي مي‌کنند. در اين مقوله توجه به دو نکته زير از بالاترين اهميت برخوردار است :
- طراحي صحيح منابع تغذيه در شبکه بر اساس محل استقرار تجهيزات شبکه‌. اين طراحي بايد به گونه‌اي باشد که تمامي تجهيزات فعال شبکه، برق مورد نياز خود را بدون آنکه به شبکه‌ي تامين فشار بيش‌اندازه‌اي (که باعث ايجاد اختلال در عملکرد منابع تغذيه شود) وارد شود، بدست آورند.- وجود منبع يا منابع تغذيه پشتيبان به گونه‌اي که تعداد و يا نيروي پشتيباني آنها به نحوي باشد که نه تنها براي تغذيه کل شبکه در مواقع نياز به منابع تغذيه پشتيبان کفايت کند، بلکه امکان تامين افزونگي مورد نياز براي تعدادي از تجهيزات بحراني درون شبکه را به صورت منفرد فراهم کند.


?-? – عوامل محيطي يکي از نکات بسيار مهم در امن سازي فيزيکي تجهيزات و منابع شبکه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملکرد شبکه مي‌شوند. از مهمترين عواملي در هنگام بررسي امنيتي يک شبکه رايانه‌اي بايد در نظر گرفت مي‌توان به دو عامل زير اشاره کرد :
- احتمال حريق (که عموماً غير طبيعي است و منشآ انساني دارد)- زلزله، طوفان و ديگر بلاياي طبيعي
با وجود آنکه احتمال رخداد برخي از اين عوامل، مانند حريق، را مي‌توان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي،‌ با هدف جلوگيري در اختلال کلي در عملکرد شبکه، وجود يک سيستم کامل پشتيبان براي کل شبکه است. تنها با استفاده از چنين سيستم پشتيباني است که مي‌توان از عدم اختلال در شبکه در صورت بروز چنين وقعايعي اطمينان حاصل کرد.

? – امنيت منطقي امنيت منطقي به معناي استفاده از روش‌هايي براي پايين آوردن خطرات حملات منطقي و نرم‌افزاري بر ضد تجهيزات شبکه است. براي مثال حمله به مسيرياب‌ها و سوئيچ‌هاي شبکه بخش مهمي از اين گونه حملات را تشکيل مي‌‌دهند. در اين بخش به عوامل و مواردي که در اينگونه حملات و ضد حملات مورد نظر قرار مي‌گيرند مي‌پردازيم.


?-? – امنيت مسيرياب‌هاحملات ضد امنيتي منطقي براي مسيرياب‌ها و ديگر تجهيزات فعال شبکه، مانند سوئيچ‌ها، را مي‌توان به سه دسته‌ي اصلي تقسيم نمود :
- حمله براي غيرفعال سازي کامل - حمله به قصد دستيابي به سطح کنترل
- حمله براي ايجاد نقص در سرويس‌دهيطبيعي است که راه‌ها و نکاتي که در اين زمينه ذکر مي‌شوند مستقيماً به امنيت اين عناصر به تنهايي مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفک هستند. لذا تأمين امنيت تجهيزات فعال شبکه به معناي تآمين قطعي امنيت کلي شبکه نيست، هرچند که عملاً مهمترين جنبه‌ي آنرا تشکيل مي‌دهد.


?-? – مديريت پيکربندي يکي از مهمترين نکات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پرونده‌ها مختص پيکربندي است. از اين پرونده‌ها که در حافظه‌هاي گوناگون اين تجهيزات نگاهداري مي‌شوند،‌ مي‌توان در فواصل زماني مرتب يا تصادفي، و يا زماني که پيکربندي تجهيزات تغيير مي‌يابند، نسخه پشتيبان تهيه کرد.
با وجود نسخ پشتيبان،‌ منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در کارايي تجهزات، که مي‌تواند منجر به ايجاد اختلال در کل شبکه شود، در کوتاه‌ترين زمان ممکن مي‌توان با جايگزيني آخرين پيکربندي، وضعيت فعال شبکه را به آخرين حالت بي‌نقص پيش از اختلال بازگرداند. طبيعي است که در صورت بروز حملات عليه بيش از يک سخت‌افزار، بايد پيکربندي تمامي تجهيزات تغييريافته را بازيابي نمود.نرم‌افزارهاي خاصي براي هر دسته از تجهيزات مورد استفاده وجود دارند که قابليت تهيه نسخ پشتيبان را فاصله‌هاي زماني متغير دارا مي‌باشند. با استفاده از اين نرم‌افزارها احتمال حملاتي که به سبب تآخير در ايجاد پشتيبان بر اثر تعلل عوامل انساني پديد مي‌آيد به کمترين حد ممکن مي‌رسد.


?-? – کنترل دسترسي به تجهيزات دو راه اصلي براي کنترل تجهزات فعال وجود دارد :
- کنترل از راه دور- کنترل از طريق درگاه کنسول
در روش اول مي‌توان با اعمال محدوديت در امکان پيکربندي و دسترسي به تجهيزات از آدرس‌هايي خاص يا استاندارها و پروتکل‌هاي خاص، احتمال حملات را پايين آورد.در مورد روش دوم، با وجود آنکه به نظر مي‌رسد استفاده از چنين درگاهي نياز به دسترسي فيزکي مستقيم به تجهيزات دارد، ولي دو روش معمول براي دسترسي به تجهيزات فعال بدون داشتن دسترسي مستقيم وجود دارد. لذا در صورت عدم کنترل اين نوع دسترسي، ايجاد محدوديت‌ها در روش اول عملاً امنيت تجهيزات را تآمين نمي‌کند.
براي ايجاد امنيت در روش دوم بايد از عدم اتصال مجازي درگاه کنسول به هريک از تجهيزات داخلي مسيرياب، که امکان دسترسي از راه‌دور دارند، اطمينان حاصل نمود.

 ?-? – امن سازي دسترسي علاوه بر پيکربندي تجهيزات براي استفاده از Authentication، يکي ديگر از روش‌هاي معمول امن‌سازي دسترسي، استفاده از کانال رمز شده در حين ارتباط است. يکي از ابزار معمول در اين روش( SSH(Secur Shell است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغيير در ارتباط که از معمول‌ترين روش‌هاي حمله هستند را به حداقل مي‌رساند.
از ديگر روش‌هاي معمول مي‌توان به استفاده از کانال‌هاي VPN مبتني بر IPsec اشاره نمود. اين روش نسبت به روش استفاده از SSH روشي با قابليت اطمينان بالاتر است، به گونه‌اي که اغلب توليدکنندگان تجهيزات فعال شبکه، خصوصاً توليد کنندگان مسيرياب‌ها،‌ اين روش را مرجح مي‌دانند.

?-? – مديريت رمزهاي عبور مناسب‌ترين محل براي ذخيره رمزهاي عبور بر روي خادم Authentication است. هرچند که در بسياري از موارد لازم است که بسياري از اين رموز بر روي خود سخت‌افزار نگاه‌داري شوند. در اين صورت مهم‌ترين نکته به ياد داشتن فعال کردن سيستم رمزنگاري رموز بر روي مسيرياب يا ديگر سخت‌افزارهاي مشابه است.


? – ملزومات و مشکلات امنيتي ارائه دهندگان خدمات زماني که سخن از ارائه دهندگان خدمات و ملزومات امنيتي آنها به ميان مي‌آيد، مقصود شبکه‌هاي بزرگي است که خود به شبکه‌هاي رايانه‌اي کوچکتر خدماتي ارائه مي‌دهند. به عبارت ديگر اين شبکه‌هاي بزرگ هستند که با پيوستن به يکديگر، عملاً شبکه‌ي جهاني اينترنت کنوني را شکل مي‌دهند. با وجود آنکه غالب اصول امنيتي در شبکه‌هاي کوچکتر رعايت مي‌شود، ولي با توجه به حساسيت انتقال داده در اين اندازه، ملزومات امنيتي خاصي براي اين قبيل شبکه‌ها مطرح هستند.
?-? – قابليت‌هاي امنيتي ملزومات مذکور را مي‌توان، تنها با ذکر عناوين، به شرح زير فهرست نمود :
? – قابليت بازداري از حمله و اعمال تدابير صحيح براي دفع حملات? – وجود امکان بررسي ترافيک شبکه، با هدف تشخيص بسته‌هايي که به قصد حمله بر روي شبکه ارسال مي‌شوند. از آنجاييکه شبکه‌هاي بزرگتر نقطه تلاقي مسيرهاي متعدد ترافيک بر روي شبکه هستند، با استفاده از سيستم‌هاي IDS بر روي آنها، مي‌توان به بالاترين بخت براي تشخيص حملات دست يافت.
? – قابليت تشخيص منبع حملات. با وجود آنکه راه‌هايي از قبيل سرقت آدرس و استفاده از سيستم‌هاي ديگر از راه دور، براي حمله کننده و نفوذگر، وجود دارند که تشخيص منبع اصلي حمله را دشوار مي‌نمايند، ولي استفاده از سيستم‌هاي رديابي، کمک شاياني براي دست يافتن و يا محدود ساختن بازه‌ي مشکوک به وجود منبع اصلي مي‌نمايد. بيشترين تآثير اين مکانيزم زماني است که حملاتي از نوع DoS از سوي نفوذگران انجام مي‌گردد.

?-? – مشکلات اعمال ملزومات امنيتي با وجود لزوم وجود قابليت‌هايي که بطور اجمالي مورد اشاره قرار گرفتند، پياده‌سازي و اعمال آنها همواره آسان نيست.
يکي از معمول‌ترين مشکلات،‌ پياده‌سازي IDS است. خطر يا ترافيکي که براي يک دسته از کاربران به عنوان حمله تعبير مي‌شود، براي دسته‌اي ديگر به عنوان جريان عادي داده است. لذا تشخيص اين دو جريان از يکديگر بر پيچيدگي IDS افزوده و در اولين گام از کارايي و سرعت پردازش ترافيک و بسته‌هاي اطلاعاتي خواهد کاست. براي جبران اين کاهش سرعت تنها مي‌توان متوسل به تجهيزات گران‌تر و اعمال سياست‌هاي امنيتي پيچيده‌تر شد.با اين وجود،‌ با هرچه بيشتر حساس شدن ترافيک و جريان‌هاي داده و افزايش کاربران، و مهاجرت کاربردهاي متداول بر روي شبکه‌هاي کوچکي که خود به شبکه‌هاي بزرگتر ارائه دهنده خدمات متصل هستند، تضمين امنيت، از اولين انتظاراتي است که از اينگونه شبکه‌ها مي‌توان داشت.

 

نویسنده مقاله :
ایمیل نویسنده:
منبع مقاله :
04 اردیبهشت 1387 مدير سايت 4331
0 رای

امنيت تجهيزات شبکه ,,zwnj,شبکه,تجهيزات,براي,امنيت,ndash,وجود,استفاده,حمله,توان

مرورگر شما (Internet Explorer 8) از رده خارج شده است. این مرورگر دارای مشکلات امنیتی شناخته شده می باشد و نمی تواند تمامی ویژگی های این وب سایت را به خوبی نمایش دهد.
جهت به روز رسانی مرورگر خود اینجا کلیک کنید.
×
نسخه مرورگر شما قدیمی است و نمی تواند تمامی ویژگی های این وب سایت را به خوبی نمایش دهد.
جهت به روز رسانی مرورگر خود اینجا کلیک کنید.
×
Powered by CMSIRAN © 2002 - 2017