امنیت شبکه چیست؟

امنیت شبکه چیست؟ و چطور امنیت شبکه های کامپیوتری را حفظ کنیم؟

امنیت شبکه یکی از مهمترین مسائلی است که در دنیای شبکه امروز مطرح می‌شود. در این مقاله به این سوال می‌پردازیم که «امنیت شبکه چیست ؟»، در اینجا سعی می‌کنیم موضوع امنیت شبکه را به صورت کامل بررسی کرده و ببینیم که چگونه امنیت شبکه‌های کامپیوتری ایجاد می‌شود، چه خطراتی در سر راه آن وجود دارد و در راه برقرار کردن این امنیت باید چه اقداماتی را انجام دهیم.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست

آنچه در ادامه این مقاله می خوانید:

امنیت شبکه چیست ؟

امنیت شبکه که در زبان انگلیسی به آن «Network Security» می‌گویند، مجموعه از از سیاست‌ها، مقررات و تمهیداتی است که توسط مدیر و یا مدیران شبکه به منظور جلوگیری و نظارت بر دسترسی غیرمجاز، سواستفاده، اصلاح، جلوگیری از تغییرات و یا محدود کردن دسترسی، در شبکه‌های کامپیوتری و منابع قابل دسترسی در شبکه تدوین شده و به آن اعمال می‌گردد.

محدوده این قوانین و تمهیدات می‌تواند شامل طیف گسترده ای فعالیت‌های نرم‌افزار و سخت‌افزاری باشد که در ادامه تمامی آن‌ها را به صورت دقیق بررسی می‌کنیم.

فهرست مقاله

نخستین گام در راه ایجاد امنیت شبکه‌های کامپیوتری

در زمانی که صحبت از «امنیت شبکه» به میان می‌آید کلمه‌های معادل آن یعنی «امنیت اطلاعات» نیز اغلب به جای همدیگر به کار گرفته می‌شوند. با این حال منظور ما از به کار بردن هر دو اینها یک مفهوم مهم یعنی امنیت شبکه است.

یکی از اساسی ترین مشکلاتی که برای کاربران و کارکنان سازمان‌های در زمینه امنیت به وجود می‌آید آن است که این افراد آشنایی کافی و کاملی در زمینه مشکلات و شیوه‌های نفوذ و دستیابی به اطلاعات محرمانه را ندارد و در نتیجه سبب می‌شوند که هکران به راحتی بتوانند وارد شبکه شده و به اطلاعات آن‌ها دسترسی داشته باشند. با توجه به رشد روز افزون اینترنت لازم است که امکانات حفاظت از اطلاعات نیز به همان سرعت و نسبت بهینه سازی و گسترده شوند. اکنون تجهیزات گسترده امنیتی هر کدام به منظوری برای کاربران و سازمان‌های بزرگ در دسترس است. تجهیزاتی مانند مسیریاب،استوریج، سوئیچ، فایروال و غیره هر کدام برای منظور امنیت خاصی طراحی شده اند. اما با این حال باز هم نفوذ‌ها صورت می‌گیرد.

یکی از مهمترین مواردی که باید در نظر داشت تفاوت میان «امنیت اطلاعات» که به معنای ایجاد امنیت کامل بر روی منابع اطلاعاتی و «امنیت شبکه» به معنای ایجاد امنیت در کل ساختار شبکه است.

هر کدام از زمینه‌های امنیت اطلاعات و امنیت شبکه شامل نرم‌افزارها و سخت‌افزارهای خودشان می‌شوند که با هم اشتراک‌های زیاد دارند. ما هر کدام از این موارد را به جای خود بحث می‌کنیم. با این حال شما می‌توانید در فروشگاه آی تی باز به بخش فایروال‌ها بروید و با انواع سیستم‌های امنیتی که در این بخش معرفی شده است آشنا شوید.

در شرکت‌های معمول از تکنیک DLP برای جلوگیری در برابر از دست رفتن داده‌ها استفاده می‌کنند. همچنین ایجاد مرزها و نواحی محدود دسترسی هم می‌تواند یکی از بهترین مواردی باشد که سبب حفظ امنیت اطلاعات می‌شود.

فهرست مقاله

مفاهیم مهم در زمینه امنیت شبکه

امنیت شبکه از ساده ترین بخش‌های کارش آغاز می‌شود. از زمانی که شما رمز خود را برای ورود به حساب کاربریتان وارد میکنید تا زمانی که از سیستم‌های پیشرفته امنیتی بهره برده می‌شود، شما با امنیت شبکه‌های کامپیوتری درگیری هستید.

در زمانی که ما از یک رمز ساده استفاده می‌کنیم، به آن «احراز هویت تک عامله» می‌گویند، این شیوه سنتی برای ورود به بیشتر سیستم‌های اطلاعاتی است اما در سال‌های اخیر شیوه «احراز هویت دو عامله» هم به وجود آمده است. در این شیوه از یک توکن، قفل سخت‌افزاری، کارت ATM، ارسال پیامک و یا دریافت ایمیل و رمز دوم هم استفاده می‌شود.

  • با این حال حالت‌های «احراز هویت‌های چندگانه» معمولا «سه گانه» هم وجود دارند که برای احراز هویت از اطلاعات بیومتریک افراد نیز استفاده می‌کنند.

در سال‌های اخیر تایید چندگانه نیز ایجاد شده است. در این سیستم‌ها علاوه بر اطلاعاتی که هر فرد باید وارد کند، سامانه هویت و اجازه ورود آن را به استحضار چند ادمین دیگر هم می‌رساند و بعد از تایید آن‌ها اجازه ورود داده می‌شود. این سیستم‌ها بیشتر در فضاهای مالی و یا منابع نظامی به کار گرفته می‌شود.

بعد از آنکه ما وارد یک سامانه شدیم بخش دوم اقدامات امنیتی شروع می‌شود. در این جا نرم‌افزارهای فایروال به بررسی سطح دسترسی ما می‌پردازند. بر اساس تمهیدات و سطوح تعریف شده ای که ادمین شبکه برای ما تعریف کرده است ما می‌توانیم به بخش‌های مشخصی از منابع اطلاعاتی دسترسی داشته باشیم.

با این که ما از اولین دیواره امنیت می‌گذریم، با این حال این امکان وجود دارد که هنوز هم انواع کرم‌های کامپیوتری، تروجان‌ها و یا سایر بدافزارها و جاسوس‌افزارها از طریق شبکه به رایانه ما و یا از طریق از رایانه ما به شبکه رایانه ای وارد شوند. برای جلوگیری از این تداخلات اولین سیستم‌های فایروال وارد عمل می‌شوند و به اسکن محتوای اطلاعات ما می‌پردازند. نرم‌افزارهای پیشگیری از نفوذ کمک شایانی به ما می‌کنند که بتوانید از تبادل چنین اطلاعاتی جلوگیری کنیم.

  • سامانه‌های جدید نرم‌افزاری این قدرت را دارند که از الگوهای داده و نه تنها پسوند فایل‌ها به شناسایی نرم‌افزارهای مخرب بپردازند. همچنین سامانه‌ها اکنون با استفاده از هوش مصنوعی قدرت قابل توجهی را به دست آورده اند و می‌توانند رفتارهای مخرب را به خوبی شناسایی کنند و یا حتی در صورت نیاز نسبت به محدود کردن فعالیت‌ها اقدام کنند.

برای آنکه بتوانیم اطلاعات را به خوبی در شبکه تبادل کنیم، هنوز هم به سیستم‌های امنیتی دیگری نیاز داریم که در ادامه بیشتر به آنها خواهیم پرداخت.

  • قدم سوم در برقراری ارتباطی میان کاربران شبکه و سایت منابع و تجهیزات شبکه، ایجاد حریم خصوصی و رمزنگاری است.

با توسعه سیستم‌های بیسیم و اینترنتی امکان شنود اطلاعاتی بسیار زیاد است. به همین خاطر « رمزنگاری» به عنوان یک تمهید بسیار مهم در اینجا تعریف می‌شود.

منابع امنیتی شبکه که به کندوهای عسل یا (Honeypots) معروف هستند، می‌تواند نظر هر هکری را به خود جلب کند. یکی از کاربرد سیستم‌های امنیتی آن است که تمامی اطلاعاتی که به این کندوهای عسل می‌رسند را از دید و تیررس هکرها دور نگاه دارند.به همین خاطر تمهیدات جدید رمزنگاری به صورت مرتب به بازار عرضه می‌شوند که در عین حفظ سرعت شبکه بتوانند امنیت را نیز در سطح بالا نگاه دارند.

رمزنگاری می‌تواند با استفاده از یک الگوی ثابت و یا متغیر باشد و همچنین ممکن است از کلید‌های خارجی و یا داخلی، خصوص یا عمومی در آن استفاده شود. تکنیک‌های هش گذاری و یا استفاده از توکن‌ها و رمز‌های خارجی از جمله مواردی هستند که برای رمزنگاری استفاده می‌شود. اکنون سیستم‌های دینامیک رمزنگاری جایگزین شیوه‌های سنتی رمزنگاری استاتیک شده اند.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست
فهرست مقاله

مدیریت امنیت شبکه‌های کامپیوتری

ساده ترین راه ایجاد امنیت در شبکه، «پیشگیری» است. در زیر مجموعه ای از اقدامات و تمهیدات امنیتی را برایتان مطرح کرده ایم که به راحتی به کمک آنها می‌توان امنیت را در سطح بالایی بالایی رعایت کرد. با این حال به موارد گفته شده در اینجا بسنده نکنید و همیشه تمهیدات امنیتی خودتان را به روز نگاه دارید و شیوه‌های امنیتی جدید را فرا بگیرید.

فهرست مقاله

تمهیدات امنیت شبکه برای منازل

  • از یک نرم‌افزار امنیت شبکه مطمئن استفاده کنید. سیستم‌های فایروال‌های خودتان را به روز نگاه دارید و ترجیحا از یک سیستم مدیریت و امنیت شبکه یکپارچه استفاده کنید.
  • حتما از یک نرم‌افزار آنتی ویروس به روز و مناسب با نسخه سیستم عامل خودتان استفاده کنید. یک نرم‌افزار آنتی ویروس خوب باید امکان جلوگیری از ورود جاسوس‌افزارها و یا سرقت اطلاعاتی را داشته باشد. همچنین باید بتواند پوشش مناسبی را برای ورود به شبکه‌های مالی برایتان ایجاد کنند.
  • علاوه بر این موارد یک نرم‌افزار آنتی ویروس باید این سیستم اسکن محتوایی را هم داشته باشد. به خصوص در زمان دانلود نرم‌افزارها و یا کپی کردن اطلاعات از روی فلاش‌ها و یا سایر منابع فعال اطلاعاتی باید بتواند محتوای آن‌ها را بررسی کند و الگوهای مشکوک را شناسایی کند.
  • در هنگامی که از ارتباطات بیسیم نظیر وای فای و یا بلوتوث استفاده می‌کنید از رمزهای قوی استفاده کنید. بهتر است از یک نرم‌افزار تولید رمز تصادفی و یا سیستم‌های رمزنگاری رایگانی که در اینترنت قرار دارد. استفاده کنید. استفاده از سرویس‌های رمزسازی این مزیت را دارد که بتوانید در هر جایی با یک رمز امن وارد سامانه‌های خود شوید و در عین حال آن‌ها بعد از مدتی رمز‌ها را به روز رسانی می‌کنند.
  • در زمانی که از یک شبکه بی سیم استفاده می‌کنید سعی کنید که نام شبکه SSID خود را بعد از مدتی تغییر دهید. همچنین امکان انتشار آن را محدود و یا غیرفعال کنید. با این که این کار شاید رد شبکه‌های خانگی کمی بی فایده به نظر برسد اما از امکان شناسایی سیستم‌ها جلوگیری می‌کند.
  • فیلتر سازی آدرس‌های MAC خود را فعال کنید. با این کار هر دستگاهی که قصد وصل شدن به شبکه شما را داشته باشید باید با شما هماهنگ کند و تمام دستگاه‌هایی که به سیستم شما متصل هستند کامل مسیر یابی می‌شوند.
  • به همه دستگاه‌هایی که به شبکه شما متصل می‌شوند یک IP بدهید.
  • امکان تشخیص اتصال نظیر حالت ICMP در مسیریاب را غیرفعال کنید.
  • هر چند وقت یک بار فهرست ثبت وقایع مسیر یاب یا فایروال خودتان را مورد بازبینی قرار دهید تا بتوانید اتصال‌ها و ترافیک‌های غیر عادی روی شبکه را شناسایی کنید. و آن را تشخیص دهید.
  • حتما برای همه حساب‌هایی که بر روی شبکه شما هستند یک رمز قوی تعیین کنید.
  • برای هر فرد از اعضای خانواده خودتان یک رمز و حساب کاربری جداگانه در نظر بگیرید و فعالیت‌ها را با حساب‌های غیر مدیریتی انجام دهید و حساب کاربری مهمان‌ها را غیرفعال کنید. برای این کال به سراغ کنترل پنل، ابزارهای مدیریتی و مدیریت کامپیوتر‌های مهمان بروید.
  • به کودکان و یا سایر اعضای خانواده موضوعات امنیت اطلاعات را یاد بدهید و نسبت به یادگیری این موضوع آن‌ها را تشویق کنید.

فهرست مقاله

امنیت شبکه‌های کامپیوتری برای کسب و کارهای متوسط

  • حتما برای سرور و یا تمامی رایانه‌های خودتان از یک سیستم مدیریت تهدید یکپارچه قوی و فایروال‌های مناسب استفاده کنید.
  • از نرم‌افزارهای آنتی ویروس قوی و نرم‌افزارهای امنیت اینترنتی مناسب استفاده کنید.
  • برای احراز هویت افراد در سیستم خود از رمز‌های قوی استفاده کنید (بهتر است که رمزها ترکیبی از حروف، اعداد و علائم باشند) و هر ماه آن‌ها را تغییر دهید. بهتر است که زمان تغییر رمزها به صورت تصادفی باشند و در فاصله‌های نامشخص انجام شوند، اما بیشتر از یک ماه تا چهل روز نباشند.
  • اگر در شبکه شما از اتصال بیسیم استفاده می‌کنید، استفاده از یک رمز عبور قوی را از یاد نبرید.
  • به کاربران خود به خصوص کسانی که به تازگی وارد سازمان شما شده اند، موضوعات امنیت فیزیکی و تمهیدات آموزشی را یاد بدهید و همیشه آن‌ها را به روز نگاه دارید.
  • از یک مشاور و تحلیلگر شبکه و یا کنترل کننده بخواهید که شبکه شما را تحلیل کرده و قابلیت‌های مناسب برای کنترل آن را به شما پیشنهاد بدهد.
  • به هیچ عنوان به دانش کنونی خودتان متکی نباشید، بهترین سیستم‌ها برای هک سیستم‌های قدیمی با مدیران خشک فکر است که فکر می‌کنند که سیستم آن‌ها آسیب ناپذیر است. همیشه به روز باشید و سعی کنید که آخرین تمهیدات امنیتی را در آن به کار ببرید.

فهرست مقاله

برای کسب و کارهای بزرگ

  • حتما تمهیدات امنیتی قوی را پیش از اجرای شبکه طراحی کنید. در واقع در ابتدا امنیت شبکه را طراحی کرده و بعد از آن شبکه را ایجاد کنید.
  • از سیستم‌های فایروال سخت‌افزاری و نرم‌افزاری با هم استفاده کنید و سایر منابع داده را از دسترس افراد ناشناخته و نامطمئن دور نگاه دارید.
  • از یک بسته نرم‌افزاری مطمئن نرم‌افزارهای آنتی ویروس و امنیت شبکه متناسب با اندازه و منابع اطلاعاتی خودتان استفاده کنید.
  • سیستم تعویض رمز قوی و به روزی داشته باشید و از سامانه تعویض رمز داینامیک استفاده کنید. بهتر است که کارمندان رمز شخصی نداشته باشند یا در صورت وجود بعد از هر ماه بخواهید که رمز خودشان را تغییر دهند.
  • هنگامی که از شبکه‌های بی سیم استفاده می‌کنید، تدابیر کافی برای انتخاب رمز و تغییر آن را به عمل بیاورید.
  • اقدامات احتیاطی و همچنین نحوه کار با دستگاه‌ها و حافظه‌ها و همچنین امنیت فیزیکی را به کارمندانتان آموزش دهید.
  • با یک کارشناس امنیت شبکه صحبت کنید و درباره ایجاد امنیت در درون شبکه خودتان از آن سوال کنید.
  • بهتر است که در ابتدا ورود به ساختمان و یا در کنار تجهیزات دیتاسنتر دوربین‌های مدار بسته به کار رود و دسترسی به آن نیز محدود گردد.
  • حصارهای مشخص با راهنمایی‌های کامل را در اطراف تجهیزاتی که دسترسی به آن محدود است به کار ببرید.
  • حتما از تجهیزات ایمنی، نظیر آژیر، کپسول آتش نشانی، لامپ‌های اضطراری و سایر تجهیزات و ملزومات استفاده کنید.

فهرست مقاله

امنیت شبکه‌های کامپیوتری در دانشگاه‌ها و مراکز آموزشی

  • حتما از یک نرم‌افزار آنتی ویروس و فایروال قوی و به روز شده استفاده کنید و دسترسی‌ها را محدود کنید.
  • در هنگام نصب نرم‌افزارها، از سلامت و نحوه به روز رسانی آن‌ها مطلع شوید.
  • اگر از تجهیزات بیسیم در شبکه استفاده می‌کنید حتما، از یک فایروال مناسب با آن استفاده کنید.
  • قوانین دسترسی و حمایت از کودکان در برابر اینترنت را فعال کنید.
  • به صورت دائمی بر دسترسی افراد به سایت‌های گوناگون به خصوص سایت‌هایی که از نظر امنیت شبکه مشکوک هستند نظارت داشته باشید. همچنین فضای دانلود را محدود به بخش خاصی از فضای ذخیره سازی کنید.
  • منابع مهم اطلاعاتی، مانند بانک‌های داده، آرشیو‌ها و غیره را از دسترسی عمومی دور نگاه دارید و سیستم نظارت دائمی را بر روی آن‌ها فعال کنید. همچنین آن‌ها را در برابر حمله‌های اینترنتی ،نفوذ و یا بد‌افزارها ایمن سازی بیشتری کنید.

فهرست مقاله

امنیت شبکه‌های کامپیوتری برای شرکت‌های بزرگ و یا سازمان‌های دولتی

  • حتما از نرم‌افزارها و سخت‌افزارهای فایروال و پروکسی قوی و متناسب با ترافیک و ابعاد شبکه خودتان استفاده کنید.
  • از نرم‌افزارهای آنتی ویروس و نظارت بر شبکه قوی و به روز شده استفاده کنید و آن‌ها را دائم به روز کنید.
  • سیستم رمزنگاری دینامیک و فعال داشته باشید و به صورت مرتب رمزها را عوض کنید.
  • فهرست‌ها و یا ارتباطات کاربران را محدود کنید. هیچ کاربری نباید بتواند به همه بخش‌ها به راحتی ورود پیدا کند.
  • سخت‌افزارها و منابع اصلی شبکه را در یک دیتاسنتر امن و به دور از دسترسی همگانی نگاه دارید.
  • همه میزبان‌ها باید در یک شبکه خصوصی قرار بگیرند، به نحوی که دسترسی بیرونی به آن‌ها میسر نباشد.
  • در اطراف منابع دیتاسنتر حصارهای امنیتی قرار دهید و بر روی آن‌ها تابلوهای راهنما نصب کنید و همچنین محدود ارتباطات بیسیم را محدود کنید.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست
فهرست مقاله

انواع تهدیدات امنیتی شبکه و منابع آن

اطلاعات ما در زمینه امنیت شبکه در سال‌های اخیر رشد بسیار زیادی داشته است. اکنون تجهیزات درخور امنیتی برای ایجاد امنیت شبکه و اطلاعات خود در اختیار داریم. با این حال برخی از تهدیدات به صورت روزمره و با الگوهای شناخته شده در جریان هستند که در زیر به آنها می‌پردازیم. با این حال، هر روز تهدیدات امنیتی جدیدی ایجاد شده و باید نحوه مقابله با آن‌ها را نیز فرا بگیریم.

فهرست مقاله

تهدید و حمله Denial-of-Service یا DOS

این تهدید، یکی از خطرناک تهدیدات شبکه است. به راحتی انجام می‌شود و به سختی می‌توان منبع آن را شناسایی کرد. یکی از مشکلات اساسی در این تهدید آن است که امکان لغو درخواست‌های دریافتی از سوی سرور، حتی درخواست‌هایی که امکان پاسخ دادن به آنها وجود ندارد، بسیار مشکل است و در نتیجه سرور به شدت درگیر حمله شده و امکان تدافع خود را از دست می‌دهد.

نحوه منطق اجرای یک حمله DOS بسیار ساده است. در این شیوه از حمله درخواست‌های زیادی به یک سرور ارسال می‌شود. در این حالت ممکن است میلیون‌ها درخواست جعلی از سوی تعداد زیادی از سرورهای مهاجم به یک سرور ارسال شود. این درخواست‌ها غالبا با یک نرم‌افزار ایجاد می‌شوند و بیشتر یک صفحه و یا محتوای ویژه بر روی یک وب سایت را تقاضا می‌کنند. در این صورت سرور تنها فرصت جوابگویی به این درخواست‌های جعلی را پیدا می‌کند و در نهایت از سرویس دهی به کاربران دیگر با درخواستهای واقعی در می‌ماند. ادامه این حمله می‌تواند به توقف سرور به صورت موقت و یا دائمی و یا حتی آسیب زدن به بانک‌های داده منجر شود.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست
فهرست مقاله

برخی از اقدامات امنیتی و دفاعی در برابر حملات و تهدیدات DOS:

محدود کردن ناحیه تحت پوشش، برای مثال نیازی به دسترسی به سایت‌هایی که زمینه کار آن‌ها به صورت ملی است در خارج از کشور وجود ندارد. حتی می‌توان برای ناحیه‌های مختلف جغرافیایی خارج از کشور سایت‌ها و مسیرهای دیگری را تعریف کرد. برای مثال سایت عرب زبان، انگلیسی زبان، چینی و غیره که سبب تفکیک و به حداقل رسیدن دسترسی می‌شود.

حتما از ابزارهای فیلتر کردن برای بستن درخواست‌های جعلی و یا با الگوهای مشابه استفاده کنید. بسیای از حملات DOS دارای الگوهای مشابه هستند و راحتی می‌توان وقوع آن‌ها را شناسایی کرد.

بسته‌های جعلی بیشتر بر اساس الگوهایی نظیر RFC1918 هستند که برای شبکه‌های خصوصی و شبکه Loopback آدرس دهی شده اند.

هنگامی که از یک سرویس میزبانی استفاده می‌کنید حتما عوامل مربوط به آن را به روز کنید.

فهرست مقاله

حملات به شیوه دسترسی غیرمجاز

دسترسی غیرمجاز می‌تواند یکی از رایج ترین حملاتی باشد که در هر شبکه ای اتفاق می‌افتد. در این شیوه حمله کننده سعی می‌کند به ناحیه منع شده اطلاعاتی و شبکه دسترسی پیدا کند. شکستن رمز، ایجاد مسیرهای فرعی، ایجاد هویت جعلی و یا استفاده از بدافزارها اصلی ترین شیوه انجام این حملات هستند.

فهرست مقاله

حمله به شیوه تخریب اطلاعات

تخریب اطلاعات یکی از مخرب ترین شبکه‌ها حمله است. در این شیوه مهاجم سعی می‌کند با انجام فرامینی در بانک داده اطلاعات خاصی را از بین ببرد. این کار می‌تواند به صورت محدود و یا به شکل بسیار گسترده باشد. بسته به نوع دسترسی مهاجم ممکن است شما در عرض چند ثانیه تمامی اطلاعات خودتان را از دست بدهید.

فهرست مقاله

حمله به شیوه اجرا فرامین غیرقانونی

این حمله نوعی دیگر از شیوه دسترسی غیرمجاز است. در این شیوه فرد با ورود به ناحیه کاربری و یا مدیریتی نسبت به اجرای دستور و یا مجموعه ای از دستورات که در شرایط عادی اجرای آن منع شده است اقدام می‌کند. در این شیوه ممکن است مهاجم نسبت به نوشتن، تغییر دادن، ارسال ایمیل، کپی برداری از اطلاعات و یا پاک کردن اطلاعات خاصی اقدام کند. گستردگی اجرای این حمله به قابلیت‌های فرد مهاجم بستگی دارد.

فهرست مقاله

انواع فایروال‌ها برای ایجاد امنیت در شبکه‌های کامپیوتری

برای ایجاد امنیت در یک شبکه رایانه ای ما این امکان را داریم که از سه نوع فایروال استفاده کنیم.

فهرست مقاله

فایروال‌های مسیر

نمونه اول فایروال‌های، به فایروال‌های مسیر کاربردی شناخته می‌شوند. آن‌ها از باستین‌هاست‌هایی ساخته شده اند که برای اجرا به صورت پروکسی سرور یک نرم‌افزار ویژه اجرا می‌شوند. این نرم‌افزار در لایه کاربردی ISO/OSI قدیمی اجرا می‌شود.

کلاینت‌های پشت فایروال باید به شکل«پروکسی شده، Proxitized» در آیند. پروکسی شده به معنای آن است که امکان شناخت پروکسی که آن‌ها را پیکربندی کرده است وجود داشته باشد، تا خدمات اینترنتی متناسب به آن‌ها ارائه شود. معمولا این‌ها دارای ویژگی‌های امنیتی هستند. زیرا در هنگام جابه جایی و عبور از شبکه به آنها اجازه عبور مجوز را نمی دهند. برای همین جابه جایی این دسته از بسته‌ها باید با استفاده از نرم‌افزارهای خاصی که برای عبور ترافیک شبکه هستند، انجام بگیرد.

فهرست مقاله

فایروال‌های فیلتر کننده بسته‌ها

در شیوه فیلتر کردن بسته‌ها، از روتورهای دارای ACL‌ها (لیست‌های دسترسی) استفاده می‌شود. به صورت پیش فرض، یک روتور می‌تواند هر نوع اطلاعاتی که به سمت آن ارسال می‌شود را نظارت کردن و بدون هیچ محدودیتی اعمالی را بر روی آن انجام دهد. با استفاده از ACL‌ها این امکان به وجود می‌آید که بتوان بر روی ترافیک شبکه و محتوای بسته‌ها، تمهیدات قانونی را اعمال کرد.

استفاده کردن از فایروال‌های فیلتر کردن بسته، به جای شیوه قبلی، منجر به تحمیل هزینه‌های اضافی می‌گردد. علت این مسئله به خاطر ویژگی کنترل دسترسی در لایه پایینی ISO/OSI است (به طور معمول، لایه انتقال یا لایه Session با توجه به سربار کمتر و فیلتری که به وسیله روتورها انجام می‌شود، بهینه شده شده اند، تا بهتر بتوانند موارد مرتبط به شبکه بندی را به اجرا درآورند. مسیر فیلترینگ بسته، اغلب بسیار سریعتر از لایه کاربردی است).

فایروال‌هایی با سیستم‌های ترکیبی

شیوه ترکیبی روشی است که از ترکیب دو شیوه بالا برای ایجاد انعطاف پذیری و سرعت بخشیدن به فیلترینگ استفاده می‌کند. در چنین روشی اتصالات جدید باید در لایه کاربردی تایید و به تصویب برسند. پس از آن، بقیه لایه اتصال به بلایه session فرستاده می‌شود. در آن جا بر روی بسته‌های تمهیدات فیلترینگ مرتبط اعمال شده تا مطمئن شویم که از اتصال درستی برخوردا هستند و بعد از آن اجازه تردد به آن‌ها داده می‌شود. (بسته‌ها در این حال باید هم از نظر محتوایی و هم از نظر مسیر تبادلی درست و امن تشخیص داده شوند).

احتمالات دیگری هم برای ترکیب انواع پروکسی‌های فیلتر کننده بسته‌ها و لایه‌های کاربردی وجود دارد. در کل می‌توان گفت که این حالت شامل مزیت‌هایی نظیر ارائه معیاری برای حفاظت از سرورها در برابر خدمات اینترنتی (مثلا یک سرور عمومی وب) می‌شود، همچنین می‌توان به ایجاد امنیت در یک مسیر لایه کاربردی به شبکه داخلی اشاره کرد.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست
فهرست مقاله

انواع دیگر حملات در شبکه‌های رایانه‌های

در بالا به چند نمونه از حمله‌های رایج به شبکه‌های کامپیوتری اشاره کردیم. در این جا بحث را توسعه می‌دهیم و به موارد دیگر می‌پردازیم.

فهرست مقاله

حمله به شیوه اسکن کردن پورت‌ها یا Port scanner

پورت‌های باز پاشنه آشیل هر سرور و محل رخنه اکثر هکرها به یک شبکه هستند. در اینجا معمول هکر پورت‌های باز سرور را با استفاده از ارسال درخواست‌هایی به آن‌ها شناسایی میکند با شناسایی پورت‌های باز، مراحل بعدی حمله طراحی و اجرا می‌شود.

فهرست مقاله

حمله به شیوه مرد میانی یا Man in the middle

این شیوه، نوعی شنود اطلاعاتی است. در واقع جز خطرناک ترین شکل حمله‌ها است. این شیوه که به صورت خلاصه به عنوان MITM شناخته می‌شود، به این گنه صورت می‌گیرد که مهاجم با استفاده از تکنیک‌هایی نظیر Arp Poisoning، در بین دو طرف ارتباط قرار می‌گیرد و بدون اینکه طرفین ارتباط متوجه شوند، نسبت به شنود اطلاعاتی، دستکاری ارتباطات تبادل شده و یا جمع آوری اطلاعات و داده‌ها اقدام می‌کنند.

فهرست مقاله

حمله با استفاده از شیوه‌های Arp Poisoning یا Arp Spoofing

پروتکل‌های Arp برای تبدیل IP به MAC استفاده می‌شود. هکرها می‌تواند با ایجاد بسته‌های GArp جعلی و معرفی IP Address‌های شبکه، حمله‌هایی را تعریف کنند. در این شیوه هکر می‌تواند با استفاده از بسته‌های GArp و IP Address‌های جعلی، که بر اساس بسته‌های Arp Table به روزرسانی می‌شوند، یک حمله MITM را طراحی کند. سپس نسبت به جمع آوری اطلاعات از خط ارتباطی اقدام کند. و بدون آنکه حمله وی شناسایی شود، به اطلاعات مورد نظر دسترسی پیدا کند.

فهرست مقاله

شیوه‌های فرعی حمله‌های DOS

همانطور ه گفته شد، حمله‌های DOS یا Denial of Service یکی از رایج ترین حمله‌هایی است که می‌تواند بر روی شبکه صورت بگیرد. اما این شیوه فقط به یک صورت انجام نمی شود. در سال‌های اخیر شیوه‌های دیگری از آن نیز به کار گرفته شده است. شیوه حمله DOS به صورت کلی در همه حالت به شیوه سرازیر کردن انبوهی از درخواست‌ها به سمت یک سرور است. در این حال سرور قادر به پاسخگویی به همه درخواست‌ها نمی باشد و در نتیجه کار آن به شکل موقت و یا دائمی مختل می‌شود.

فهرست مقاله

حمله DOS به صورت SYN Flood

در پروتکل TCP IP جهت ارتباط بین کلاینت و سرور باید یک پک همزمان ساز TCP SYN از کلاینت به سرور ارسال شود. با ارسال این بسته، سرور متوجه درخواست کلاینت برای ایجاد ارتباط می‌شود. در صورتی که این ارتباط توسط سرور تایید شود، یک پک تایید یا Syn/Ack در پاسخ به آن ارسال می‌شود. این کد به کلاینت پاسخ درخواستش را تفهیم می‌کند. با دریافت این تاییدیه کلاینت پاسخ تاییدیه را پس فرستاده و در نتیجه ارتباط‌های بعدی برقرار می‌شود. این مکانیزیم توسط هکرها به عنوان یک ابزار حمله در نظر گرفته می‌شود. در این شیوه هکر، از IP‌ها را بررسی کرده و یک سری از IP‌های جعلی را ایجاد می‌کند. در این شیوه درخواست بستن سیشن‌ها به سرور ارسال نمی شود. و در نتیجه سیشن‌های باز زیادی بر روی سرور ایجاد می‌شود. از آنجا که مدیریت کردن و پاسخگویی به این اتصال‌ها بسیار سخت و حتی ناممکن می‌شود. سرور از دسترس خارج شده و دیگر امکان پاسخگویی را نخواهد داشت.

فهرست مقاله

حمله DOS به صورت Smurf Attack

هکرها در این حمله از دو ابزار ویژه استفاده می‌کنند که شامل ip Spoofing و ICMP می‌شوند. در این شیوه با استفاده از IP Spoofing هکر یک IP از قربانی را جعل می‌کند و با استفاده از دستورات Ping نسبت به تولید ترافیک ICMP echo با مقصد Broadcasts اقدام می‌کند. در نتیجه تعداد زیادی از پاسخ‌های ICMP Reply برای قربانی ارسال می‌شود. با ازدیاد این پاسخ‌های ناخواسته، سرور توانایی خودش برای پاسخگویی را از دست داده و در نتیجه کار آن مختل شده و آن از کار می‌افتد.

فهرست مقاله

حمله DOS به صورت Ping Flood

در این نوع حمله از پروتکل ICMP به شیوه دیگری استفاده می‌شود. در حمله ping flood با بهره گیری از دستور ping کامپیوتر قربانی مورد حمله قرار می‌گیرد. Ping‌ها در این روش با حجم بالا، باعث overload شدن کامپیوتر قربانی می‌شوند. راحت ترین شیوه این نمونه حمله Ping Flood است که تحت پروتکل ICMP کار می‌کند.
در حالت عادی پینگ‌ها برای ارتباط میان رایانه‌ها به کار گرفته می‌شوند اما در زمان حمله، سیل گسترده ای از این پینگ‌ها برای یک سرور ارسال می‌گردد و در نتیجه کامپیوتر قربانی از کار افتاده و از دور خارج می‌شود.

فهرست مقاله

حملات DDOS یا Distributed Denial Of service

حملات DDOS شکل پیچیده تری از حمله‌های Ping Flood است. در این شیوه چند یا چندین رایانه با همدیگر به اجرای حمله می‌پردازند. سرپرستی حمله توسط یک رایانه اصلی یا Master است که بقیه دستگاه یا زامبی (Zombie)‌ها را کنترل می‌کنند.

در این حمله هم رایانه سرور اصلی (قربانی اولیه) و هم سایر منابع آن (قربانی‌های ثانویه) در معرض تهاجم قرار می‌گیرند. حملات DDOS می‌تواند سرورهای شرکت‌های بزرگ را از کار بیندازد و یا اختلالات جدی در کار آن‌ها به وجود بیاورد. اکثر سرورهای سازمان‌های دولتی، بانک‌ها و یا سایت شرکت‌های مهم از جمله قربانیان این حمله‌ها هستند. این شکل از حمله در شیوه‌های گوناگونی انجام می‌شود که در اینجا به آن نمی پردازیم ولی به صورت جدی می‌تواند آسیب‌های جدی به شبکه ما بزند.

امنیت شبکه، امنیت شبکه های کامپیوتری، امنیت شبکه چیست
فهرست مقاله

روش‌های ایجاد امنیت در شبکه‌های کامپیوتری

کنترل کردن سطح دسترسی‌ها

یکی از بهترین موانع برای جلوگیری از حمله هکر‌ها آن است که از دسترسی آن‌ها به انواع منابع شبکه جلوگیری شود. به فرایند کنترل دسترسی NAC گفته می‌شود که سرنامه عبارت Network Access Control است.

فهرست مقاله

نصب آنتی ویروس‌ها

نرم‌افزارهای ضد ویروس ، نقش بسیار مهمی را در ایجاد امنیت برای شبکه‌های کامپیوتری دارند. این نرم‌افزارها می‌توانند بدافزارها را شناسایی کرده و انواع کرم‌ها، تروجان‌ها، کرم‌ها و سایر نرم‌افزارهایی که از کدهای مخرب بهره می‌برند را شناسایی کند. با استفاده از راهکارهایی نظیر Signature Matching ، این نرم‌افزارها می‌توانند ویروس‌های را شناسایی کنند. در این فرایند سه وظیفه عمده انجام می‌شود:

  1.  کدهای ارسالی بازرسی می‌شوند.
  2. بر اساس الگوهایی موجود هویت آن‌ها شناسایی می‌شوند.
  3. در صورتی که این الگوها مغایر استاندارهای تایید شده باشد، نسبت به پاکسازی و آلودگی زدایی اقدام می‌شود.

فهرست مقاله

حفظ امنیت نرم‌افزاری در شبکه‌های رایانه ای

نرم‌افزارهایی که در شبکه رایانه ای به خدمت گرفته می‌شوند باید از نظر امنیت مورد وثوق باشند. بسیاری از نرم‌افزارهایی که اکنون در بازار ایران وجود دارند از نوع قفل شکسته هستند و به همراه کرک‌هایی ارائه می‌شوند. شاید اصل نرم‌افزار از یک کمپانی معتبر باشد، اما قطعا کرک‌های آن‌ها جزو تهدیدات اصلی شبکه حساب می‌شوند. برای همین ممکن است در شبکه ما مشکلاتی را ایجاد کنند. بسیاری از اوقات نرم‌افزارهای ارتباطی، گرافیکی و یا حتی نرم‌افزارهای ساده مانند مرورگرها، حفره‌های امنیتی را ایجاد می‌کنند که به راحتی قابل هکرها قابل استفاده هستند. برای همین چه نرم‌افزار به صورت خارجی تهیه شده باشد و یا چه به صورت یک نرم‌افزار داخلی طراحی نوشته شده باشد باید حتما از نظر ایمنی و امنیت بررسی شود.

فهرست مقاله

تجزیه و تحلیل رفتارهای ترافیکی در شبکه

یکی از پیشرفت‌هایی که در دنیای شبکه امروز به وجود آمد است، آن است که می‌تواند به کمک هوش مصنوعی و یا سایر سیستم‌های نرم‌افزاری و یا سخت‌افزاری، تحرک و الگوهای حرکت ترافیک شبکه را شناسایی کرد. اکنون فایروال‌ها از این الگوها برای تشخیص تحرکات ترافیکی و یا حتی رفتارهای خطرناک کاربران استفاده می‌کنند. از در اختیار داشتن چنین امکاناتی در شبکه خودمان باید مطمئن باشیم.

فهرست مقاله

پشتیبان گیری دائمی و مطمئن از اطلاعات

یکی از مهمترین ضربه‌های امنیتی، آن است که بخشی از اطلاعات برای همیشه از دست برود. این خطر می‌تواند به از دست رفتن یک کسب و کار بینجامد. به همین خاطر روش‌های جدید پشتیبان گیری از شبکه به وجود آمده است که در آن می‌توان از اطلاعات خودمان پشتیبان‌هایی را ایجاد کنیم. همچنین باید از شیوه‌های رمز نگاری بر روی اطلاعات استفاده کرد، تا در صورت به سرقت رفتن اطلاعات امکان بهره گیری از آن برای سارق وجود نداشته باشد.

فهرست مقاله

استفاده از فایروال‌های مناسب با شبکه

فایروال‌ها به صورت نرم‌افزاری و یا سخت‌افزاری، به مانند یک دیواره امنیتی میان ما و جهان خارج از شبکه مان عمل می‌کنند. فایروالهای سخت‌افزاری، امکان نظارت بر روی محتوال و مسیرهای ارتباطی شبکه مان را دارند. در حالی که فایروال های نرم‌افزاری صرفه به بررسی الگوها و محتواها می‌پردازند و قدرت نظارتی کمی را در اختیار ما قرار می‌دهند. در کنار این موارد، فایروال‌های سخت‌افزاری قدرت بسیار بالایی دارند و به همین خاطر می‌توانند بیشتر از حالت‌های نرم‌افزاری خود به کار گرفته شوند. درباره فایروال‌ها در فروشگاه سایت آی تی باز توضیحات کاملی دادیم.

در مقالات آینده بیشتر در همین وبلاگ بیشتر درباره امنیت شبکه توضیح خواهیم داد.
فهرست مقاله

پرسش های متداول

  • امنیت شبکه چیست؟

امنیت شبکه به مجموعه فعالیت‌ها، سیاست‌ها، تمهیدات و بهره‌گیری از سیستم‌های سخت‌افزاری و نرم‌افزاری گفته می‌شود که برای جلوگیری و نظارت بر دسترسی غیرمجاز، سو استفاده، اصلاح، جلوگیری از تغییرات یا محدود کردن دسترسی در شبکه‌های کامپیوتری و منابع قابل دسترسی در شبکه تدوین شده و به آن اعمال می‌گردد.

  • برای ایجاد امنیت شبکه از چه ابزارهای استفاده می‌شود؟

اساسی ترین ابزار به کار رفته برای ایجاد امنیت در شبکه، فایروال‌ها هستند. فایروال‌ها هم می‌توانند به صورت سخت‌افزار و هم نرم‌افزاری باشند. همچنین انواع پروتکل‌های شبکه و سیستم‌های رمزنگاری نیز برای برقراری امنیت به کار گرفته می‌شوند.

  • کندوهای عسل (Honeypots) به چه معنا هستند؟

کندوهای عسل به کلیه منابعی که در شبکه وجود دارند و می‌توانند برای هکرها جذاب باشند اطلاق می‌شوند. در واقع هدف از امنیت شبکه جلوگیری از نفوذ، دسترسی و یا تغییر کندوهای عسل در شبکه است. اصلی ترین کندوی عسل در شبکه نیز بانک‌های داده هستند.

  • رمزنگاری چیست؟ و چطور به امنیت شبکه‌های کامپیوتری کمک می‌کند؟

رمزنگاری به فرایند تغییر محتوای پیام با استفاده از یک الگوی خاص اشاره دارد که با کمک آن پیام تنها برای دو سر ارسال کننده و دریافت کننده اصلی قابل فهم باشد. امروزه از الگوریتم‌های متنوعی برای رمزنگاری در شبکه استفاده می‌شوند. این کار سبب می‌شود در صورتی که پیام به هر نحوی مورد دستبرد و شنود قرار گرفت محتوای آن برای هکر قابل فهم نباشد.

  • مفهوم حمله در شبکه اینترنتی به چه معناست؟

حمله به مجموعه اقداماتی گفته می‌شود که توسط هکرها و یا سایر افراد خارجی انجام می‌شود که سبب ایجاد اختلال، از کار افتادن و یا دسترسی غیرمجاز به منابع می‌شود. حمله‌ها می‌تواند به صورت انفرادی یا گروهی انجام شود. همچنین حمله‌ها می‌توانند توسط کاربر انسانی و یا نرم‌افزارها انجام شود.

  • تهدید در امنیت شبکه به معناست؟

تهدید هر اقدام بالقوه ای است که می‌تواند سبب ایجاد یک حمله و یا دسترسی غیرمجاز به شبکه شود. تهدیدات به صورت معمول خطرناک هستند و باید قبل از بروز آن‌ها تمهیدات بازدارنده برای آن‌ها انجام شود.

  • فایروال چیست؟

فایروال یا دیواره آتش، به مجموعه ای از اقدامات نرم‌افزاری و سخت‌افزاری گفته می‌شود که سبب جلوگیری از دسترسی افراد غیرمجازی به منابع شبکه می‌شود. فایروال‌ها انواع گوناگونی دارند و باید متناسب با رشد شبکه تقویت و به روز رسانی شوند.
فهرست مقاله

Rating: 5.0/5. From 3 votes.
Please wait...

2 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

منو اصلی

question