‌تسلط بر مفاهیم پایه شبکه منطبق با استانداردهای بین‌المللی
آموزش رایگان دوره +Network، امنیت در طراحی شبکه‌ها (بخش 54)
در شماره گذشته آموزش نتورک‌پلاس با امنیت فیزیکی، Hashing، پروتکل SHA و خط‌مشی‌های امنیتی مدیریت آشنا شدیم، در این شماره مبحث فوق را خاتمه داده و به سراغ امنیت در شبکه‌ها خواهیم رفت.

برای مطالعه بخش پنجاه و سوم آموزش رایگان و جامع نتورک پلاس (+Network) اینجا کلیک کنید

 

Bring Your Own Device

دستگاه خود را بیاورید (BYOD) سرنام Bring Your Own Device اشاره به وضعیتی دارد که مردم می‌توانند گوشی‌‌های هوشمند، لپ‌تاپ‌ها یا سایر تجهیزات هوشمند خود را به منظور انجام کار یا مسئولیت‌هایی که به عهده دارند به مدرسه یا محیط کار بیاورند. در این زمینه شما با چهار اصطلاح زیر روبرو می‌شوید:

• نرم‌افزار خود را بیاورید BYOA سرنامbring your own application - کارکنان یا دانش‌آموزان از نرم‌افزاری که روی کامپیوتر یا گوشی‌ هوشمند ذخیره کرده‌اند استفاده می‌کنند.

• ابر خود را بیاورید BYOC سرنام bring your own cloud- کارکنان یا دانشجویان از برنامه ابری یا سرویس ذخیره‌سازی خود استفاده می‌کنند.

• فناوری خود را بیاورید BYOT سرنام bring your own technology – یک اصطلاح کلی است که سایر گزینه‌های BYO را شامل می‌شود.

• دستگاه خود را انتخاب کنید CYOD سرنام choose your own device- کارکنان یا دانش‌آموزان اجازه دارند یک دستگاه را با تعداد محدودی از قابلیت‌ها انتخاب کرده و در مدرسه یا محیط کار از آن استفاده کنند.

سازمان‌هایی که گزینه‌های BYOD را ارائه می‌کنند باید به جزییاتی همچون تخصیص مجوزها و تعیین محدودیت‌ها برای کارمندانی که از این دستگاه‌ها استفاده می‌کنند توجه ویژه‌ای داشته باشند. اصلی‌ترین نکته‌ای که باید به آن توجه داشته باشید در نحوه دسترسی این دستگاه‌ها به اینترنت است. بخشی از خط‌مشی‌های BYDO در رابطه با روال‌های پذیرش یا عدم پذیرش سازمانی است. فرآیند پیکربندی کلاینت‌های بی‌سیم برای دسترسی به شبکه، پذیرش سازمانی نام دارد. این پیکربندی‌ها می‌تواند به صورت خودکار توسط ابزاری به نام مدیریت دستگاه همراه (MDM) سرنام mobile device management انجام شود. MDM با تمام زیرساخت‌های رایج همراه و ارائه‌دهندگان خدمات کار می‌کند و می‌تواند از راه دور دستگاه‌هایی را اضافه یا حذف کند. از معروف‌ترین نرم‌افزارهای این حوزه می‌توان به AirWatch VMware  متعلق به air-watch.com  و Meraki Systems سیسکو meraki.cisco.com اشاره کرد.

Acceptable Use Policy

خط‌مشی کاربری پذیرفته شده (AUP) سرنام Acceptable Use Policy  برای کاربران شرح می‌دهد هنگام دسترسی به منابع شبکه چه کاری می‌توانند و چه کاری نمی‌توانند انجام دهند. این خط‌مشی همچنین مجازات‌های تخطی از این قوانین را تشریح کرده و ممکن است توضیح دهد که چگونه این اقدامات امنیت شبکه را افزایش می‌دهند. دقت کنید کارکنان به درستی نمی‌دانند چگونه باید از منابع شرکت استفاده کنند و چه محدودیت‌هایی برای آن‌ها وجود دارد در نتیجه جزئیات باید به روشنی برای آن‌ها تشریح شود. موضوع مهم دیگری که باید به آن دقت کنید در ارتباط با توافق عدم افشا (Non-Disclosure Agreement) است که اشاره به حفظ اطلاعات محرمانه و خصوصی سازمان دارد. این توافق مانع از آن می‌شود تا کارمندان خواسته یا ناخواسته اطلاعات شرکت را فاش کرده و باعث سلب اعتماد مشتریان نسبت به سازمان شوند. در کنار این موضوع باید خط‌مشی‌های مربوط به گذرواژه‌ها (Password Policy) نیز مشخص شود و مواردی همچون تغییر مرتب  گذرواژه‌ها، عدم استفاده از گذرواژه‌های آشنا برای پیشگیری از حملات مبتنی بر لغت‌نامه (dictionary attack)، به‌کارگیری ترکیبی از کاراکترها برای گذرواژه‌ها، استفاده از گذرواژه‌های طولانی و مواردی از این دست مشخص شوند.

privileged user agreement یا privileged access agreement

توافقنامه دسترسی مجاز privileged user agreement  یا privileged access agreement، به نگرانی‌های مرتبط با نحوه دسترسی منحصر به فرد مدیران و کارمندان پشتیبانی خاص به بخش‌های حساس پاسخ می‌دهد. به‌طور مثال، یک پزشک که به اطلاعات بیمار مبتلا به بیماری خاصی دسترسی دارد، باید توافقنامه دسترسی مجاز را امضا کند تا کارهایی که قادر به انجام آن‌ها است و کارهایی که نباید انجام دهد برای او به صراحت مشخص شود.

Anti-Malware Policy

نرم‌افزار ضدبدافزار به تنهایی از شبکه در برابر کد‌های مخرب محافظت نمی‌کند. از آنجایی که اکثر آلودگی‌‌ها از طریق به‌کارگیری فناوری‌ها و اتفاقات غیرمنتظره رخ می‌دهند، مهم است که تمام کاربران شبکه درک کنند چگونه می‌توانند مانع شیوع نرم‌افزارهای مخرب شوند. یک سیاست ضدبدافزاری، شامل قوانینی است که نحوه استفاده از نرم‌افزارهای ضدبدافزاری، نصب برنامه‌ها، به اشتراک‌گذاری فایل‌ها و استفاده از رسانه‌های ذخیره‌ساز خارجی مانند درایوهای فلش را تشریح می‌کند.

تا این بخش از مقاله شما را با مباحث مرتبط با مدیریت ریسک‌ها در شبکه آشنا کردیم. هرچند پیشنهاد می‌کنیم برای آشنایی بهتر و تسلط دقیق‌تر روی این مبحث در اینترنت برای هریک از کلیدواژه‌هایی که به آن‌ها اشاره کردیم جست‌وجویی انجام دهید تا آزمون نتورک‌پلاس را بدون مشکل پشت سر بگذارید. اکنون قصد داریم به سراغ مبحث امنیت در طراحی شبکه‌ها برویم.

امنیت در طراحی شبکه‌ها

در چند شماره آینده آموزش نتورک‌پلاس نقش دستگاه‌های امنیتی مختلف در بهبود امنیت شبکه، پیاده‌سازی امنیت روی دستگاه‌های اصلی، روش‌های مختلف دسترسی به شبکه و ابزارهایی که برای ایمن‌سازی شبکه‌های بی‌سیم در دسترس قرار دارند را بررسی خواهیم کرد.

Network Security Devices

بسیاری از دستگاه‌های شبکه به‌طور خاص با محور قرار دادن امنیت شبکه طراحی شده‌اند، در حالی که برخی دیگر بدون توجه به مباحث امنیتی آماده شده‌اند و برخی دیگر نیز ویژگی‌های امنیتی و توانایی‌های منحصر به فردی را ارائه می‌کنند. پروکسی‌ سرورها و ACLها از جمله تجهیزات شبکه‌ها به شمار می‌روند که دستگاه‌های غیر امنیتی با ویژگی‌های امنیتی هستند، در حالی که دیوارهای آتش و سامانه‌های IDS / IPS از جمله دستگاه‌های امنیتی ویژه شبکه‌ها هستند. اجازه دهید با نحوه عملکرد هر یک از این مولفه‌ها در طراحی امنیت شبکه بیشتر آشنا شویم.

پروکسی سرورها

یک راهکار افزایش امنیت شبکه، اضافه کردن یک پروکسی سرور است. یک پروکسی سرور یا پروکسی، به عنوان واسطی میان شبکه‌های خارجی و داخلی عمل کرده و ترافیک ورودی و خروجی را نمایش می‌دهد. پروکسی سرورها مقوله امنیت در لایه کاربردی OSI را مدیریت می‌کنند. اگرچه پروکسی سرورها در مقایسه با سایر دستگاه‌های امنیتی سطح پایینی از ایمنی را ارائه می‌دهند، اما می‌توانند مانع بروز حمله به منابع داخلی شبکه همچون سرورها و کلاینت‌های وب شوند. پروکسی درخواست یک کلاینت را برای یک پروکسی سرور ارسال کرده، در ادامه پروکسی سرور درخواست را بررسی کرده، در صورت نیاز بسته دریافت شده را پردازش و ارزیابی کرده و اگر درخواست مغایراتی با خط‌مشی‌های امنیتی تنظیم شده در شبکه نداشته باشد به بسته اجازه می‌دهد از دیوارآتش عبور کرده و درخواست روی شبکه ارسال شود. در مرحله آخر پروکسی سرور پاسخ را از اینترنت دریافت کرده و برای کلاینت ارسال می‌کند. در حقیقت پروکسی سرور یک شبکه خصوصی را به شبکه دیگری (معمولا اینترنت) نشان می‌دهد. درست است که جهان خارج یک پروکسی سرور را به عنوان یک سرور داخلی شبکه مشاهده می‌کند، اما در حقیقت پروکسی سرور یک فیلتر برای شبکه داخلی است. یکی از مهم‌ترین وظایف پروکسی‌سرور عدم شناسایی آدرس‌های شبکه داخلی از سوی جهان ورای پروکسی‌سرور است. به‌طور مثال، فرض کنید شبکه محلی شما از یک پروکسی سرور استفاده می‌کند و شما می‌خواهید از ایستگاه کاری خود و از طریق اینترنت برای ایستگاه کاری که درون شبکه محلی همکارتان قرار دارد ایمیلی ارسال کنید. این فرآیند به شرح زیر است:

مرحله 1: پیام شما به سرور پروکسی می‌رود. بسته به پیکربندی شبکه، ممکن است مجبور شوید به‌طور جداگانه به سرور پروکسی وارد شوید.

مرحله 2: پروکسی سرور به جای آدرس آی‌پی ایستگاه کاری یا همان منبع، فریم‌های داده‌ای را دومرتبه بسته‌بندی می‌کند تا پیامی ایجاد کند. در این حالت آدرس آی‌‌پی خود را به عنوان منبع نشان می‌دهد.

مرحله 3: پروکسی سرور داده‌های بسته‌بندی شده را برای یک دیوارآتش ارسال می‌کند.

مرحله 4: دیوارآتش آدرس آی‌پی منبع بسته‌ها را برای بررسی اصالت آن‌ها اعتبارسنجی می‌کند (بسته‌هایی که از سمت پروکسی سرور آمده‌اند.) و سپس پیام شما را به اینترنت می‌فرستد.

شکل زیر نشان می‌دهد چگونه یک پروکسی سرور ممکن است در طراحی شبکه قرار بگیرد.

پروکسی سرورها می‌توانند با ذخیره‌سازی فایل‌ها فرآیند دسترسی کاربران به اطلاعات را بهبود بخشد. به‌طور مثال، یک پروکسی سرور که بین یک شبکه محلی و یک وب سرور خارجی قرار می‌گیرد را می‌توان به گونه‌ای پیکربندی کرد تا صفحات وبی که به تازگی مشاهده شده‌اند را ذخیره کند. در مراجعات بعدی یک کاربر درون یک شبکه محلی که قصد مشاهده صفحات ذخیره شده را دارد، محتوای موردنیاز خود را از پروکسی سرور دریافت خواهد کرد. این راهکار مدت زمان رفت و برگشت روی یک اتصال WAN را حذف کرده و به دفعات اجازه می‌دهد کاربران از محتوای کش شده به جای رفتن به یک سرور خارجی استفاده کنند. در حالی که پروکسی سرورها به منابع روی اینترنت دسترسی دارند، اما یک پروکسی سرور معکوس (Reverse Proxy) که پشت یک دیوارآتش قرار دارد، سروری است که درخواست‌ها را از سمت بیرون شبکه (اینترنت) دریافت کرده و آن‌ها به سرورهای موجود در شبکه داخلی ارسال می‌کد. در نتیجه کاربران درخواست کننده سرویسی که از سمت اینترنت وارد می‌شوند از طریق پروکسی سرور معکوس احراز هویت می‌شوند. به عبارت ساده‌تر، در حالی که پروکسی‌سرورها دسترسی به منابع روی اینترنت را برای کلاینت‌ها امکان‌پذیر می‌کنند، پروکسی سرورهای معکوس به کلاینت‌های اینترنت اجازه می‌دهند از طریق سرورها به منابع یک شبکه دسترسی داشته باشند. پروکسی معکوس به ویژه هنگامی مفید است که آدرس‌های آی‌پی عمومی مشابه قصد دارند به چند وب‌سرور دسترسی پیدا کنند.

Access Control List

قبل از اینکه هکری بتواند به فایل‌های شما روی شبکه‌تان دسترسی پیدا کند، او باید از میان یک یا چند سوییچ و روتر عبور کند. اگر چه دستگاه‌هایی همچون دیوارهای آتش امنیت بیشتری را ارائه می‌دهند، اما سوئیچ‌ها و تنظیمات روترها نیز به میزان کمی امنیت را بهبود می‌بخشند، به ویژه هنگامی که این دستگاه‌ها در لبه شبکه قرار بگیرند و دسترسی به شبکه را کنترل کنند. عملکرد اصلی روتر بررسی بسته‌ها و هدایت آن‌ها بر مبنای اطلاعات آدرس‌دهی لایه شبکه است. فهرست‌های کنترل دسترسی (ACL) سرنام  Access Control Lists به روترها کمک می‌کنند بسته‌های خاص را بر مبنای محتویات آن‌ها به مکان‌های موردنظر ارسال کنند. فهرست کنترل دسترسی عملکردی شبیه به فیلتر داشته و به روتر کمک می‌کند تا اجازه دهد ترافیک عبور کرده یا مسدود شود. این‌کار بر مبنای پارامترهای زیر انجام می‌شود:

• پروتکل لایه شبکه (به‌طور مثال، IP یا ICMP)

• پروتکل لایه انتقال (به‌طور مثال، TCP یا UDP)

• آدرس IP منبع

• آدرس آی‌پی مقصد (که می‌تواند به وب‌سایت‌های خاصی اجازه داده یا آن‌ها را محدود کند)

• شماره پورت TCP یا UDP

هر مرتبه که روتر یک بسته را دریافت می‌کند، به فهرست کنترل دسترسی مراجعه کرده و بسته را بررسی می‌کند تا متوجه شود، بسته مطابق با معیارهای تعیین شده است یا خیر، اگر این‌گونه باشد اجازه انتقال بسته را می‌دهد. شکل زیر به خوبی این مسئله را تشریح می‌کند.

روتر کار خود را با آزمایش بسته واردشونده شروع می‌کند. اگر ویژگی‌های بسته مغایر با خط‌مشی‌ها باشد، بسته بلافاصله کنار گذاشته می‌شود. اگر ویژگی‌های بسته مطابق با چارچوب‌ها نباشد، روتر بسته را به سطح پایین‌تری ارسال می‌کند تا پارامترهای دیگر آن با فهرست کنترل دسترسی ارزیابی شود. اگر بسته با معیارهای مندرج در چارچوب ACL مطابقت نداشته باشد، ، بسته کنار گذاشته می‌شود (آخرین پاسخ در تصویر بالا که No است.) آخرین فرآیند تصمیم‌گیری که قاعده منع ضمنی (implicit deny rule) نام دارد، تضمین می‌كند كه هیچ‌گونه ترافیک غیرمجازی عبور پیدا نکرده است. در بیشتر روترها، هر رابط باید به یک ACL جداگانه اختصاص داده شود. ACLهای مختلف ممکن است با ترافیک ورودی و خروجی در ارتباط باشند. هنگامی که ACLها روی روتر نصب می‌شوند، هر ACL یک شماره یا نام دارد. فرمان access-list برای اختصاص یک دستورالعمل به یک ACL از پیش نصب شده استفاده می‌شود. فرمان باید ACL و همچنین آرگومان‌های مربوطه را شناسایی کند. در اینجا با چند نمونه از دستورالعمل‌ها در ACL که ترافیک ورودی به روتر را کنترل می‌کنند، آشنا خواهید شد. در این‌جا ACL به نام acl_2 مشخص شده است.

• اجازه می‌دهد ترافیک ICMP از هر آدرس آی‌پی یا شبکه به هر آدرس آی‌پی یا شبکه ارسال شود

access-list acl_2 permit icmp any any

• مانع از آن می‌شود ترافیک ICMP از هر آدرس آی‌پی یا شبکه به هر آدرس آی‌پی یا شبکه انتقال پیدا کند

access-list acl_2 deny icmp any any

• اجازه می‌دهد ترافیک TCP از آدرس 2.2.2.2 ماشین میزبان به آدرس 5.5.5.5 ماشین میزبان انتقال پیدا کند.

access-list acl_2 permit tcp host 2.2.2.2 host 5.5.5.5

• اجازه می‌دهد ترافیک TCP از  آدرس 2.2.2.2 ماشین میزبان به آدرس 3.3.3.3 ماشین میزبان مقصد از طریق پورت 80 وب انتقال پیدا کند. (پارامتر "eq" می‌گوید "equal to" و "www" یک کلمه کلیدی برای پورت 80 هستند)

access-list acl_2 permit tcp host 2.2.2.2 host 3.3.3.3 eq www

دستورالعمل‌ها همچنین می‌توانند از یک آدرس شبکه (گروهی از آدرس‌های آی‌پی) برای تعیین بخش‌های مختلف شبکه استفاده کنند که هر آدرس برای یک بخش و یک ماسک ویلدکارد (wildcard) استفاده می‌شود. عملکرد بیت‌ها در یک wildcard mask درست در نقطه مقابل بیت‌ها در زیر شبکه است. 0 در ماسک wildcard برای تطابق بیت‌های آدرس آی‌پی با آدرس شبکه استفاده شده و 1 اعلام می‌دارد که لزومی ندارد به بیت‌های آدرس‌ آی‌پی توجهی داشته باشید. به‌طور مثال، یک ماسک wildcard به شماره 0.0.0.255 می‌تواند به صورت 00000000.00000000.00000000.11111111 نوشته شود که اعلام می‌دارد سه اکتت اول یک آدرس آی‌پی باید با آدرس شبکه مطابقت داشته باشد و آخرین اکتت می‌تواند هر مقداری باشد. دستور زیر به ترافیک TCP اجازه می‌دهد زمانی که سه اکتت اول یک آدرس آی‌پی 10.1.1 هستند، صرفنظر از هر مقداری که اکتت آخر دارد، انتقال پیدا کنند.

access-list acl_2 permit tcp 10.1.1.0 0.0.0.255

توجه داشته باشید که یک فهرست دسترسی به‌طور خودکار روی روتر ایجاد نمی‌شود، زمانی که روتر فاقد ACL باشد، اجازه می‌دهد ترافیک انتقال پیدا کند. برای اطلاعات بیشتر در خصوص ACL به مقاله Access Control Lists مراجعه کنید.

در شماره آینده آموزش نتورک‌پلاس به سراغ مبحث دیوارهای آتش خواهیم رفت.


ماهنامه شبکه را از کجا تهیه کنیم؟

ماهنامه شبکه را می‌توانید از دکه‌های روزنامه فروشی تهران و شهرستان‌ها تهیه کنید. همچنین می‌توانید برای مطالعه شماره‌ها مختلف آن به کتابخانه‌های عمومی سراسر کشور مراجعه نمایید.

اشتراک ماهنامه شبکه

اشتراک ماهنامه شبکه یکی دیگر از راه‌های دسترسی به مطالب مجله است؛ به ویژه اشتراک آنلاین که با قیمتی مناسب محتوای کامل مجله، شامل مطالب و آگهی‌ها را در ختیار شما قرار می‌دهد.

برچسب: