امنیت شبکه چیست؟ و چطور امنیت شبکه های کامپیوتری را حفظ کنیم؟
امنیت شبکه یکی از مهمترین مسائلی است که در دنیای شبکه امروز مطرح میشود. در این مقاله به این سوال میپردازیم که «امنیت شبکه چیست ؟»، در اینجا سعی میکنیم موضوع امنیت شبکه را به صورت کامل بررسی کرده و ببینیم که چگونه امنیت شبکههای کامپیوتری ایجاد میشود، چه خطراتی در سر راه آن وجود دارد و در راه برقرار کردن این امنیت باید چه اقداماتی را انجام دهیم.
آنچه در ادامه این مقاله می خوانید:
- امنیت شبکه چیست ؟
- نخستین گام در راه ایجاد امنیت شبکههای کامپیوتری
- مفاهیم مهم در زمینه امنیت شبکه
- مدیریت امنیت شبکههای کامپیوتری
- انواع تهدیدات امنیتی شبکه و منابع آن
- انواع فایروالهای برای ایجاد امنیت در شبکههای کامپیوتری
- انواع دیگر حملات در شبکههای رایانه ای
- حمله به شیوه اسکن کردن پورتها یا Port Scanner
- حمله به شیوه مرد میانی یا Man in the Middle
- حمله با استفاده از شیوههای Arp Poisoning یا Arp Spoofing
- شیوههای فرعی حملههای DOS
- حمله DOS به صورت SYN Flood
- حمله DOS به صورت Smurf Attack
- حمله DOS به صورت Ping Flood
- حملات DDOS یا Distributed Denial of Service
- روشهای ایجاد امنیت در شبکههای کامیپوتری
- پرسشهای متداول
امنیت شبکه چیست ؟
امنیت شبکه که در زبان انگلیسی به آن «Network Security» میگویند، مجموعه از از سیاستها، مقررات و تمهیداتی است که توسط مدیر و یا مدیران شبکه به منظور جلوگیری و نظارت بر دسترسی غیرمجاز، سواستفاده، اصلاح، جلوگیری از تغییرات و یا محدود کردن دسترسی، در شبکههای کامپیوتری و منابع قابل دسترسی در شبکه تدوین شده و به آن اعمال میگردد.
محدوده این قوانین و تمهیدات میتواند شامل طیف گسترده ای فعالیتهای نرمافزار و سختافزاری باشد که در ادامه تمامی آنها را به صورت دقیق بررسی میکنیم.
نخستین گام در راه ایجاد امنیت شبکههای کامپیوتری
در زمانی که صحبت از «امنیت شبکه» به میان میآید کلمههای معادل آن یعنی «امنیت اطلاعات» نیز اغلب به جای همدیگر به کار گرفته میشوند. با این حال منظور ما از به کار بردن هر دو اینها یک مفهوم مهم یعنی امنیت شبکه است.
یکی از اساسی ترین مشکلاتی که برای کاربران و کارکنان سازمانهای در زمینه امنیت به وجود میآید آن است که این افراد آشنایی کافی و کاملی در زمینه مشکلات و شیوههای نفوذ و دستیابی به اطلاعات محرمانه را ندارد و در نتیجه سبب میشوند که هکران به راحتی بتوانند وارد شبکه شده و به اطلاعات آنها دسترسی داشته باشند. با توجه به رشد روز افزون اینترنت لازم است که امکانات حفاظت از اطلاعات نیز به همان سرعت و نسبت بهینه سازی و گسترده شوند. اکنون تجهیزات گسترده امنیتی هر کدام به منظوری برای کاربران و سازمانهای بزرگ در دسترس است. تجهیزاتی مانند مسیریاب،استوریج، سوئیچ، فایروال و غیره هر کدام برای منظور امنیت خاصی طراحی شده اند. اما با این حال باز هم نفوذها صورت میگیرد.
یکی از مهمترین مواردی که باید در نظر داشت تفاوت میان «امنیت اطلاعات» که به معنای ایجاد امنیت کامل بر روی منابع اطلاعاتی و «امنیت شبکه» به معنای ایجاد امنیت در کل ساختار شبکه است.
هر کدام از زمینههای امنیت اطلاعات و امنیت شبکه شامل نرمافزارها و سختافزارهای خودشان میشوند که با هم اشتراکهای زیاد دارند. ما هر کدام از این موارد را به جای خود بحث میکنیم. با این حال شما میتوانید در فروشگاه آی تی باز به بخش فایروالها بروید و با انواع سیستمهای امنیتی که در این بخش معرفی شده است آشنا شوید.
در شرکتهای معمول از تکنیک DLP برای جلوگیری در برابر از دست رفتن دادهها استفاده میکنند. همچنین ایجاد مرزها و نواحی محدود دسترسی هم میتواند یکی از بهترین مواردی باشد که سبب حفظ امنیت اطلاعات میشود.
مفاهیم مهم در زمینه امنیت شبکه
امنیت شبکه از ساده ترین بخشهای کارش آغاز میشود. از زمانی که شما رمز خود را برای ورود به حساب کاربریتان وارد میکنید تا زمانی که از سیستمهای پیشرفته امنیتی بهره برده میشود، شما با امنیت شبکههای کامپیوتری درگیری هستید.
در زمانی که ما از یک رمز ساده استفاده میکنیم، به آن «احراز هویت تک عامله» میگویند، این شیوه سنتی برای ورود به بیشتر سیستمهای اطلاعاتی است اما در سالهای اخیر شیوه «احراز هویت دو عامله» هم به وجود آمده است. در این شیوه از یک توکن، قفل سختافزاری، کارت ATM، ارسال پیامک و یا دریافت ایمیل و رمز دوم هم استفاده میشود.
- با این حال حالتهای «احراز هویتهای چندگانه» معمولا «سه گانه» هم وجود دارند که برای احراز هویت از اطلاعات بیومتریک افراد نیز استفاده میکنند.
در سالهای اخیر تایید چندگانه نیز ایجاد شده است. در این سیستمها علاوه بر اطلاعاتی که هر فرد باید وارد کند، سامانه هویت و اجازه ورود آن را به استحضار چند ادمین دیگر هم میرساند و بعد از تایید آنها اجازه ورود داده میشود. این سیستمها بیشتر در فضاهای مالی و یا منابع نظامی به کار گرفته میشود.
بعد از آنکه ما وارد یک سامانه شدیم بخش دوم اقدامات امنیتی شروع میشود. در این جا نرمافزارهای فایروال به بررسی سطح دسترسی ما میپردازند. بر اساس تمهیدات و سطوح تعریف شده ای که ادمین شبکه برای ما تعریف کرده است ما میتوانیم به بخشهای مشخصی از منابع اطلاعاتی دسترسی داشته باشیم.
با این که ما از اولین دیواره امنیت میگذریم، با این حال این امکان وجود دارد که هنوز هم انواع کرمهای کامپیوتری، تروجانها و یا سایر بدافزارها و جاسوسافزارها از طریق شبکه به رایانه ما و یا از طریق از رایانه ما به شبکه رایانه ای وارد شوند. برای جلوگیری از این تداخلات اولین سیستمهای فایروال وارد عمل میشوند و به اسکن محتوای اطلاعات ما میپردازند. نرمافزارهای پیشگیری از نفوذ کمک شایانی به ما میکنند که بتوانید از تبادل چنین اطلاعاتی جلوگیری کنیم.
- سامانههای جدید نرمافزاری این قدرت را دارند که از الگوهای داده و نه تنها پسوند فایلها به شناسایی نرمافزارهای مخرب بپردازند. همچنین سامانهها اکنون با استفاده از هوش مصنوعی قدرت قابل توجهی را به دست آورده اند و میتوانند رفتارهای مخرب را به خوبی شناسایی کنند و یا حتی در صورت نیاز نسبت به محدود کردن فعالیتها اقدام کنند.
برای آنکه بتوانیم اطلاعات را به خوبی در شبکه تبادل کنیم، هنوز هم به سیستمهای امنیتی دیگری نیاز داریم که در ادامه بیشتر به آنها خواهیم پرداخت.
- قدم سوم در برقراری ارتباطی میان کاربران شبکه و سایت منابع و تجهیزات شبکه، ایجاد حریم خصوصی و رمزنگاری است.
با توسعه سیستمهای بیسیم و اینترنتی امکان شنود اطلاعاتی بسیار زیاد است. به همین خاطر « رمزنگاری» به عنوان یک تمهید بسیار مهم در اینجا تعریف میشود.
منابع امنیتی شبکه که به کندوهای عسل یا (Honeypots) معروف هستند، میتواند نظر هر هکری را به خود جلب کند. یکی از کاربرد سیستمهای امنیتی آن است که تمامی اطلاعاتی که به این کندوهای عسل میرسند را از دید و تیررس هکرها دور نگاه دارند.به همین خاطر تمهیدات جدید رمزنگاری به صورت مرتب به بازار عرضه میشوند که در عین حفظ سرعت شبکه بتوانند امنیت را نیز در سطح بالا نگاه دارند.
رمزنگاری میتواند با استفاده از یک الگوی ثابت و یا متغیر باشد و همچنین ممکن است از کلیدهای خارجی و یا داخلی، خصوص یا عمومی در آن استفاده شود. تکنیکهای هش گذاری و یا استفاده از توکنها و رمزهای خارجی از جمله مواردی هستند که برای رمزنگاری استفاده میشود. اکنون سیستمهای دینامیک رمزنگاری جایگزین شیوههای سنتی رمزنگاری استاتیک شده اند.
مدیریت امنیت شبکههای کامپیوتری
ساده ترین راه ایجاد امنیت در شبکه، «پیشگیری» است. در زیر مجموعه ای از اقدامات و تمهیدات امنیتی را برایتان مطرح کرده ایم که به راحتی به کمک آنها میتوان امنیت را در سطح بالایی بالایی رعایت کرد. با این حال به موارد گفته شده در اینجا بسنده نکنید و همیشه تمهیدات امنیتی خودتان را به روز نگاه دارید و شیوههای امنیتی جدید را فرا بگیرید.
تمهیدات امنیت شبکه برای منازل
- از یک نرمافزار امنیت شبکه مطمئن استفاده کنید. سیستمهای فایروالهای خودتان را به روز نگاه دارید و ترجیحا از یک سیستم مدیریت و امنیت شبکه یکپارچه استفاده کنید.
- حتما از یک نرمافزار آنتی ویروس به روز و مناسب با نسخه سیستم عامل خودتان استفاده کنید. یک نرمافزار آنتی ویروس خوب باید امکان جلوگیری از ورود جاسوسافزارها و یا سرقت اطلاعاتی را داشته باشد. همچنین باید بتواند پوشش مناسبی را برای ورود به شبکههای مالی برایتان ایجاد کنند.
- علاوه بر این موارد یک نرمافزار آنتی ویروس باید این سیستم اسکن محتوایی را هم داشته باشد. به خصوص در زمان دانلود نرمافزارها و یا کپی کردن اطلاعات از روی فلاشها و یا سایر منابع فعال اطلاعاتی باید بتواند محتوای آنها را بررسی کند و الگوهای مشکوک را شناسایی کند.
- در هنگامی که از ارتباطات بیسیم نظیر وای فای و یا بلوتوث استفاده میکنید از رمزهای قوی استفاده کنید. بهتر است از یک نرمافزار تولید رمز تصادفی و یا سیستمهای رمزنگاری رایگانی که در اینترنت قرار دارد. استفاده کنید. استفاده از سرویسهای رمزسازی این مزیت را دارد که بتوانید در هر جایی با یک رمز امن وارد سامانههای خود شوید و در عین حال آنها بعد از مدتی رمزها را به روز رسانی میکنند.
- در زمانی که از یک شبکه بی سیم استفاده میکنید سعی کنید که نام شبکه SSID خود را بعد از مدتی تغییر دهید. همچنین امکان انتشار آن را محدود و یا غیرفعال کنید. با این که این کار شاید رد شبکههای خانگی کمی بی فایده به نظر برسد اما از امکان شناسایی سیستمها جلوگیری میکند.
- فیلتر سازی آدرسهای MAC خود را فعال کنید. با این کار هر دستگاهی که قصد وصل شدن به شبکه شما را داشته باشید باید با شما هماهنگ کند و تمام دستگاههایی که به سیستم شما متصل هستند کامل مسیر یابی میشوند.
- به همه دستگاههایی که به شبکه شما متصل میشوند یک IP بدهید.
- امکان تشخیص اتصال نظیر حالت ICMP در مسیریاب را غیرفعال کنید.
- هر چند وقت یک بار فهرست ثبت وقایع مسیر یاب یا فایروال خودتان را مورد بازبینی قرار دهید تا بتوانید اتصالها و ترافیکهای غیر عادی روی شبکه را شناسایی کنید. و آن را تشخیص دهید.
- حتما برای همه حسابهایی که بر روی شبکه شما هستند یک رمز قوی تعیین کنید.
- برای هر فرد از اعضای خانواده خودتان یک رمز و حساب کاربری جداگانه در نظر بگیرید و فعالیتها را با حسابهای غیر مدیریتی انجام دهید و حساب کاربری مهمانها را غیرفعال کنید. برای این کال به سراغ کنترل پنل، ابزارهای مدیریتی و مدیریت کامپیوترهای مهمان بروید.
- به کودکان و یا سایر اعضای خانواده موضوعات امنیت اطلاعات را یاد بدهید و نسبت به یادگیری این موضوع آنها را تشویق کنید.
امنیت شبکههای کامپیوتری برای کسب و کارهای متوسط
- حتما برای سرور و یا تمامی رایانههای خودتان از یک سیستم مدیریت تهدید یکپارچه قوی و فایروالهای مناسب استفاده کنید.
- از نرمافزارهای آنتی ویروس قوی و نرمافزارهای امنیت اینترنتی مناسب استفاده کنید.
- برای احراز هویت افراد در سیستم خود از رمزهای قوی استفاده کنید (بهتر است که رمزها ترکیبی از حروف، اعداد و علائم باشند) و هر ماه آنها را تغییر دهید. بهتر است که زمان تغییر رمزها به صورت تصادفی باشند و در فاصلههای نامشخص انجام شوند، اما بیشتر از یک ماه تا چهل روز نباشند.
- اگر در شبکه شما از اتصال بیسیم استفاده میکنید، استفاده از یک رمز عبور قوی را از یاد نبرید.
- به کاربران خود به خصوص کسانی که به تازگی وارد سازمان شما شده اند، موضوعات امنیت فیزیکی و تمهیدات آموزشی را یاد بدهید و همیشه آنها را به روز نگاه دارید.
- از یک مشاور و تحلیلگر شبکه و یا کنترل کننده بخواهید که شبکه شما را تحلیل کرده و قابلیتهای مناسب برای کنترل آن را به شما پیشنهاد بدهد.
- به هیچ عنوان به دانش کنونی خودتان متکی نباشید، بهترین سیستمها برای هک سیستمهای قدیمی با مدیران خشک فکر است که فکر میکنند که سیستم آنها آسیب ناپذیر است. همیشه به روز باشید و سعی کنید که آخرین تمهیدات امنیتی را در آن به کار ببرید.
برای کسب و کارهای بزرگ
- حتما تمهیدات امنیتی قوی را پیش از اجرای شبکه طراحی کنید. در واقع در ابتدا امنیت شبکه را طراحی کرده و بعد از آن شبکه را ایجاد کنید.
- از سیستمهای فایروال سختافزاری و نرمافزاری با هم استفاده کنید و سایر منابع داده را از دسترس افراد ناشناخته و نامطمئن دور نگاه دارید.
- از یک بسته نرمافزاری مطمئن نرمافزارهای آنتی ویروس و امنیت شبکه متناسب با اندازه و منابع اطلاعاتی خودتان استفاده کنید.
- سیستم تعویض رمز قوی و به روزی داشته باشید و از سامانه تعویض رمز داینامیک استفاده کنید. بهتر است که کارمندان رمز شخصی نداشته باشند یا در صورت وجود بعد از هر ماه بخواهید که رمز خودشان را تغییر دهند.
- هنگامی که از شبکههای بی سیم استفاده میکنید، تدابیر کافی برای انتخاب رمز و تغییر آن را به عمل بیاورید.
- اقدامات احتیاطی و همچنین نحوه کار با دستگاهها و حافظهها و همچنین امنیت فیزیکی را به کارمندانتان آموزش دهید.
- با یک کارشناس امنیت شبکه صحبت کنید و درباره ایجاد امنیت در درون شبکه خودتان از آن سوال کنید.
- بهتر است که در ابتدا ورود به ساختمان و یا در کنار تجهیزات دیتاسنتر دوربینهای مدار بسته به کار رود و دسترسی به آن نیز محدود گردد.
- حصارهای مشخص با راهنماییهای کامل را در اطراف تجهیزاتی که دسترسی به آن محدود است به کار ببرید.
- حتما از تجهیزات ایمنی، نظیر آژیر، کپسول آتش نشانی، لامپهای اضطراری و سایر تجهیزات و ملزومات استفاده کنید.
امنیت شبکههای کامپیوتری در دانشگاهها و مراکز آموزشی
- حتما از یک نرمافزار آنتی ویروس و فایروال قوی و به روز شده استفاده کنید و دسترسیها را محدود کنید.
- در هنگام نصب نرمافزارها، از سلامت و نحوه به روز رسانی آنها مطلع شوید.
- اگر از تجهیزات بیسیم در شبکه استفاده میکنید حتما، از یک فایروال مناسب با آن استفاده کنید.
- قوانین دسترسی و حمایت از کودکان در برابر اینترنت را فعال کنید.
- به صورت دائمی بر دسترسی افراد به سایتهای گوناگون به خصوص سایتهایی که از نظر امنیت شبکه مشکوک هستند نظارت داشته باشید. همچنین فضای دانلود را محدود به بخش خاصی از فضای ذخیره سازی کنید.
- منابع مهم اطلاعاتی، مانند بانکهای داده، آرشیوها و غیره را از دسترسی عمومی دور نگاه دارید و سیستم نظارت دائمی را بر روی آنها فعال کنید. همچنین آنها را در برابر حملههای اینترنتی ،نفوذ و یا بدافزارها ایمن سازی بیشتری کنید.
امنیت شبکههای کامپیوتری برای شرکتهای بزرگ و یا سازمانهای دولتی
- حتما از نرمافزارها و سختافزارهای فایروال و پروکسی قوی و متناسب با ترافیک و ابعاد شبکه خودتان استفاده کنید.
- از نرمافزارهای آنتی ویروس و نظارت بر شبکه قوی و به روز شده استفاده کنید و آنها را دائم به روز کنید.
- سیستم رمزنگاری دینامیک و فعال داشته باشید و به صورت مرتب رمزها را عوض کنید.
- فهرستها و یا ارتباطات کاربران را محدود کنید. هیچ کاربری نباید بتواند به همه بخشها به راحتی ورود پیدا کند.
- سختافزارها و منابع اصلی شبکه را در یک دیتاسنتر امن و به دور از دسترسی همگانی نگاه دارید.
- همه میزبانها باید در یک شبکه خصوصی قرار بگیرند، به نحوی که دسترسی بیرونی به آنها میسر نباشد.
- در اطراف منابع دیتاسنتر حصارهای امنیتی قرار دهید و بر روی آنها تابلوهای راهنما نصب کنید و همچنین محدود ارتباطات بیسیم را محدود کنید.
انواع تهدیدات امنیتی شبکه و منابع آن
اطلاعات ما در زمینه امنیت شبکه در سالهای اخیر رشد بسیار زیادی داشته است. اکنون تجهیزات درخور امنیتی برای ایجاد امنیت شبکه و اطلاعات خود در اختیار داریم. با این حال برخی از تهدیدات به صورت روزمره و با الگوهای شناخته شده در جریان هستند که در زیر به آنها میپردازیم. با این حال، هر روز تهدیدات امنیتی جدیدی ایجاد شده و باید نحوه مقابله با آنها را نیز فرا بگیریم.
تهدید و حمله Denial-of-Service یا DOS
این تهدید، یکی از خطرناک تهدیدات شبکه است. به راحتی انجام میشود و به سختی میتوان منبع آن را شناسایی کرد. یکی از مشکلات اساسی در این تهدید آن است که امکان لغو درخواستهای دریافتی از سوی سرور، حتی درخواستهایی که امکان پاسخ دادن به آنها وجود ندارد، بسیار مشکل است و در نتیجه سرور به شدت درگیر حمله شده و امکان تدافع خود را از دست میدهد.
نحوه منطق اجرای یک حمله DOS بسیار ساده است. در این شیوه از حمله درخواستهای زیادی به یک سرور ارسال میشود. در این حالت ممکن است میلیونها درخواست جعلی از سوی تعداد زیادی از سرورهای مهاجم به یک سرور ارسال شود. این درخواستها غالبا با یک نرمافزار ایجاد میشوند و بیشتر یک صفحه و یا محتوای ویژه بر روی یک وب سایت را تقاضا میکنند. در این صورت سرور تنها فرصت جوابگویی به این درخواستهای جعلی را پیدا میکند و در نهایت از سرویس دهی به کاربران دیگر با درخواستهای واقعی در میماند. ادامه این حمله میتواند به توقف سرور به صورت موقت و یا دائمی و یا حتی آسیب زدن به بانکهای داده منجر شود.
برخی از اقدامات امنیتی و دفاعی در برابر حملات و تهدیدات DOS:
محدود کردن ناحیه تحت پوشش، برای مثال نیازی به دسترسی به سایتهایی که زمینه کار آنها به صورت ملی است در خارج از کشور وجود ندارد. حتی میتوان برای ناحیههای مختلف جغرافیایی خارج از کشور سایتها و مسیرهای دیگری را تعریف کرد. برای مثال سایت عرب زبان، انگلیسی زبان، چینی و غیره که سبب تفکیک و به حداقل رسیدن دسترسی میشود.
حتما از ابزارهای فیلتر کردن برای بستن درخواستهای جعلی و یا با الگوهای مشابه استفاده کنید. بسیای از حملات DOS دارای الگوهای مشابه هستند و راحتی میتوان وقوع آنها را شناسایی کرد.
بستههای جعلی بیشتر بر اساس الگوهایی نظیر RFC1918 هستند که برای شبکههای خصوصی و شبکه Loopback آدرس دهی شده اند.
هنگامی که از یک سرویس میزبانی استفاده میکنید حتما عوامل مربوط به آن را به روز کنید.
حملات به شیوه دسترسی غیرمجاز
دسترسی غیرمجاز میتواند یکی از رایج ترین حملاتی باشد که در هر شبکه ای اتفاق میافتد. در این شیوه حمله کننده سعی میکند به ناحیه منع شده اطلاعاتی و شبکه دسترسی پیدا کند. شکستن رمز، ایجاد مسیرهای فرعی، ایجاد هویت جعلی و یا استفاده از بدافزارها اصلی ترین شیوه انجام این حملات هستند.
حمله به شیوه تخریب اطلاعات
تخریب اطلاعات یکی از مخرب ترین شبکهها حمله است. در این شیوه مهاجم سعی میکند با انجام فرامینی در بانک داده اطلاعات خاصی را از بین ببرد. این کار میتواند به صورت محدود و یا به شکل بسیار گسترده باشد. بسته به نوع دسترسی مهاجم ممکن است شما در عرض چند ثانیه تمامی اطلاعات خودتان را از دست بدهید.
حمله به شیوه اجرا فرامین غیرقانونی
این حمله نوعی دیگر از شیوه دسترسی غیرمجاز است. در این شیوه فرد با ورود به ناحیه کاربری و یا مدیریتی نسبت به اجرای دستور و یا مجموعه ای از دستورات که در شرایط عادی اجرای آن منع شده است اقدام میکند. در این شیوه ممکن است مهاجم نسبت به نوشتن، تغییر دادن، ارسال ایمیل، کپی برداری از اطلاعات و یا پاک کردن اطلاعات خاصی اقدام کند. گستردگی اجرای این حمله به قابلیتهای فرد مهاجم بستگی دارد.
انواع فایروالها برای ایجاد امنیت در شبکههای کامپیوتری
برای ایجاد امنیت در یک شبکه رایانه ای ما این امکان را داریم که از سه نوع فایروال استفاده کنیم.
فایروالهای مسیر
نمونه اول فایروالهای، به فایروالهای مسیر کاربردی شناخته میشوند. آنها از باستینهاستهایی ساخته شده اند که برای اجرا به صورت پروکسی سرور یک نرمافزار ویژه اجرا میشوند. این نرمافزار در لایه کاربردی ISO/OSI قدیمی اجرا میشود.
کلاینتهای پشت فایروال باید به شکل«پروکسی شده، Proxitized» در آیند. پروکسی شده به معنای آن است که امکان شناخت پروکسی که آنها را پیکربندی کرده است وجود داشته باشد، تا خدمات اینترنتی متناسب به آنها ارائه شود. معمولا اینها دارای ویژگیهای امنیتی هستند. زیرا در هنگام جابه جایی و عبور از شبکه به آنها اجازه عبور مجوز را نمی دهند. برای همین جابه جایی این دسته از بستهها باید با استفاده از نرمافزارهای خاصی که برای عبور ترافیک شبکه هستند، انجام بگیرد.
فایروالهای فیلتر کننده بستهها
در شیوه فیلتر کردن بستهها، از روتورهای دارای ACLها (لیستهای دسترسی) استفاده میشود. به صورت پیش فرض، یک روتور میتواند هر نوع اطلاعاتی که به سمت آن ارسال میشود را نظارت کردن و بدون هیچ محدودیتی اعمالی را بر روی آن انجام دهد. با استفاده از ACLها این امکان به وجود میآید که بتوان بر روی ترافیک شبکه و محتوای بستهها، تمهیدات قانونی را اعمال کرد.
استفاده کردن از فایروالهای فیلتر کردن بسته، به جای شیوه قبلی، منجر به تحمیل هزینههای اضافی میگردد. علت این مسئله به خاطر ویژگی کنترل دسترسی در لایه پایینی ISO/OSI است (به طور معمول، لایه انتقال یا لایه Session با توجه به سربار کمتر و فیلتری که به وسیله روتورها انجام میشود، بهینه شده شده اند، تا بهتر بتوانند موارد مرتبط به شبکه بندی را به اجرا درآورند. مسیر فیلترینگ بسته، اغلب بسیار سریعتر از لایه کاربردی است).
فایروالهایی با سیستمهای ترکیبی
شیوه ترکیبی روشی است که از ترکیب دو شیوه بالا برای ایجاد انعطاف پذیری و سرعت بخشیدن به فیلترینگ استفاده میکند. در چنین روشی اتصالات جدید باید در لایه کاربردی تایید و به تصویب برسند. پس از آن، بقیه لایه اتصال به بلایه session فرستاده میشود. در آن جا بر روی بستههای تمهیدات فیلترینگ مرتبط اعمال شده تا مطمئن شویم که از اتصال درستی برخوردا هستند و بعد از آن اجازه تردد به آنها داده میشود. (بستهها در این حال باید هم از نظر محتوایی و هم از نظر مسیر تبادلی درست و امن تشخیص داده شوند).
احتمالات دیگری هم برای ترکیب انواع پروکسیهای فیلتر کننده بستهها و لایههای کاربردی وجود دارد. در کل میتوان گفت که این حالت شامل مزیتهایی نظیر ارائه معیاری برای حفاظت از سرورها در برابر خدمات اینترنتی (مثلا یک سرور عمومی وب) میشود، همچنین میتوان به ایجاد امنیت در یک مسیر لایه کاربردی به شبکه داخلی اشاره کرد.
انواع دیگر حملات در شبکههای رایانههای
در بالا به چند نمونه از حملههای رایج به شبکههای کامپیوتری اشاره کردیم. در این جا بحث را توسعه میدهیم و به موارد دیگر میپردازیم.
حمله به شیوه اسکن کردن پورتها یا Port scanner
پورتهای باز پاشنه آشیل هر سرور و محل رخنه اکثر هکرها به یک شبکه هستند. در اینجا معمول هکر پورتهای باز سرور را با استفاده از ارسال درخواستهایی به آنها شناسایی میکند با شناسایی پورتهای باز، مراحل بعدی حمله طراحی و اجرا میشود.
حمله به شیوه مرد میانی یا Man in the middle
این شیوه، نوعی شنود اطلاعاتی است. در واقع جز خطرناک ترین شکل حملهها است. این شیوه که به صورت خلاصه به عنوان MITM شناخته میشود، به این گنه صورت میگیرد که مهاجم با استفاده از تکنیکهایی نظیر Arp Poisoning، در بین دو طرف ارتباط قرار میگیرد و بدون اینکه طرفین ارتباط متوجه شوند، نسبت به شنود اطلاعاتی، دستکاری ارتباطات تبادل شده و یا جمع آوری اطلاعات و دادهها اقدام میکنند.
حمله با استفاده از شیوههای Arp Poisoning یا Arp Spoofing
پروتکلهای Arp برای تبدیل IP به MAC استفاده میشود. هکرها میتواند با ایجاد بستههای GArp جعلی و معرفی IP Addressهای شبکه، حملههایی را تعریف کنند. در این شیوه هکر میتواند با استفاده از بستههای GArp و IP Addressهای جعلی، که بر اساس بستههای Arp Table به روزرسانی میشوند، یک حمله MITM را طراحی کند. سپس نسبت به جمع آوری اطلاعات از خط ارتباطی اقدام کند. و بدون آنکه حمله وی شناسایی شود، به اطلاعات مورد نظر دسترسی پیدا کند.
شیوههای فرعی حملههای DOS
همانطور ه گفته شد، حملههای DOS یا Denial of Service یکی از رایج ترین حملههایی است که میتواند بر روی شبکه صورت بگیرد. اما این شیوه فقط به یک صورت انجام نمی شود. در سالهای اخیر شیوههای دیگری از آن نیز به کار گرفته شده است. شیوه حمله DOS به صورت کلی در همه حالت به شیوه سرازیر کردن انبوهی از درخواستها به سمت یک سرور است. در این حال سرور قادر به پاسخگویی به همه درخواستها نمی باشد و در نتیجه کار آن به شکل موقت و یا دائمی مختل میشود.
حمله DOS به صورت SYN Flood
در پروتکل TCP IP جهت ارتباط بین کلاینت و سرور باید یک پک همزمان ساز TCP SYN از کلاینت به سرور ارسال شود. با ارسال این بسته، سرور متوجه درخواست کلاینت برای ایجاد ارتباط میشود. در صورتی که این ارتباط توسط سرور تایید شود، یک پک تایید یا Syn/Ack در پاسخ به آن ارسال میشود. این کد به کلاینت پاسخ درخواستش را تفهیم میکند. با دریافت این تاییدیه کلاینت پاسخ تاییدیه را پس فرستاده و در نتیجه ارتباطهای بعدی برقرار میشود. این مکانیزیم توسط هکرها به عنوان یک ابزار حمله در نظر گرفته میشود. در این شیوه هکر، از IPها را بررسی کرده و یک سری از IPهای جعلی را ایجاد میکند. در این شیوه درخواست بستن سیشنها به سرور ارسال نمی شود. و در نتیجه سیشنهای باز زیادی بر روی سرور ایجاد میشود. از آنجا که مدیریت کردن و پاسخگویی به این اتصالها بسیار سخت و حتی ناممکن میشود. سرور از دسترس خارج شده و دیگر امکان پاسخگویی را نخواهد داشت.
حمله DOS به صورت Smurf Attack
هکرها در این حمله از دو ابزار ویژه استفاده میکنند که شامل ip Spoofing و ICMP میشوند. در این شیوه با استفاده از IP Spoofing هکر یک IP از قربانی را جعل میکند و با استفاده از دستورات Ping نسبت به تولید ترافیک ICMP echo با مقصد Broadcasts اقدام میکند. در نتیجه تعداد زیادی از پاسخهای ICMP Reply برای قربانی ارسال میشود. با ازدیاد این پاسخهای ناخواسته، سرور توانایی خودش برای پاسخگویی را از دست داده و در نتیجه کار آن مختل شده و آن از کار میافتد.
حمله DOS به صورت Ping Flood
در این نوع حمله از پروتکل ICMP به شیوه دیگری استفاده میشود. در حمله ping flood با بهره گیری از دستور ping کامپیوتر قربانی مورد حمله قرار میگیرد. Pingها در این روش با حجم بالا، باعث overload شدن کامپیوتر قربانی میشوند. راحت ترین شیوه این نمونه حمله Ping Flood است که تحت پروتکل ICMP کار میکند.
در حالت عادی پینگها برای ارتباط میان رایانهها به کار گرفته میشوند اما در زمان حمله، سیل گسترده ای از این پینگها برای یک سرور ارسال میگردد و در نتیجه کامپیوتر قربانی از کار افتاده و از دور خارج میشود.
حملات DDOS یا Distributed Denial Of service
حملات DDOS شکل پیچیده تری از حملههای Ping Flood است. در این شیوه چند یا چندین رایانه با همدیگر به اجرای حمله میپردازند. سرپرستی حمله توسط یک رایانه اصلی یا Master است که بقیه دستگاه یا زامبی (Zombie)ها را کنترل میکنند.
در این حمله هم رایانه سرور اصلی (قربانی اولیه) و هم سایر منابع آن (قربانیهای ثانویه) در معرض تهاجم قرار میگیرند. حملات DDOS میتواند سرورهای شرکتهای بزرگ را از کار بیندازد و یا اختلالات جدی در کار آنها به وجود بیاورد. اکثر سرورهای سازمانهای دولتی، بانکها و یا سایت شرکتهای مهم از جمله قربانیان این حملهها هستند. این شکل از حمله در شیوههای گوناگونی انجام میشود که در اینجا به آن نمی پردازیم ولی به صورت جدی میتواند آسیبهای جدی به شبکه ما بزند.
روشهای ایجاد امنیت در شبکههای کامپیوتری
کنترل کردن سطح دسترسیها
یکی از بهترین موانع برای جلوگیری از حمله هکرها آن است که از دسترسی آنها به انواع منابع شبکه جلوگیری شود. به فرایند کنترل دسترسی NAC گفته میشود که سرنامه عبارت Network Access Control است.
نصب آنتی ویروسها
نرمافزارهای ضد ویروس ، نقش بسیار مهمی را در ایجاد امنیت برای شبکههای کامپیوتری دارند. این نرمافزارها میتوانند بدافزارها را شناسایی کرده و انواع کرمها، تروجانها، کرمها و سایر نرمافزارهایی که از کدهای مخرب بهره میبرند را شناسایی کند. با استفاده از راهکارهایی نظیر Signature Matching ، این نرمافزارها میتوانند ویروسهای را شناسایی کنند. در این فرایند سه وظیفه عمده انجام میشود:
- کدهای ارسالی بازرسی میشوند.
- بر اساس الگوهایی موجود هویت آنها شناسایی میشوند.
- در صورتی که این الگوها مغایر استاندارهای تایید شده باشد، نسبت به پاکسازی و آلودگی زدایی اقدام میشود.
حفظ امنیت نرمافزاری در شبکههای رایانه ای
نرمافزارهایی که در شبکه رایانه ای به خدمت گرفته میشوند باید از نظر امنیت مورد وثوق باشند. بسیاری از نرمافزارهایی که اکنون در بازار ایران وجود دارند از نوع قفل شکسته هستند و به همراه کرکهایی ارائه میشوند. شاید اصل نرمافزار از یک کمپانی معتبر باشد، اما قطعا کرکهای آنها جزو تهدیدات اصلی شبکه حساب میشوند. برای همین ممکن است در شبکه ما مشکلاتی را ایجاد کنند. بسیاری از اوقات نرمافزارهای ارتباطی، گرافیکی و یا حتی نرمافزارهای ساده مانند مرورگرها، حفرههای امنیتی را ایجاد میکنند که به راحتی قابل هکرها قابل استفاده هستند. برای همین چه نرمافزار به صورت خارجی تهیه شده باشد و یا چه به صورت یک نرمافزار داخلی طراحی نوشته شده باشد باید حتما از نظر ایمنی و امنیت بررسی شود.
تجزیه و تحلیل رفتارهای ترافیکی در شبکه
یکی از پیشرفتهایی که در دنیای شبکه امروز به وجود آمد است، آن است که میتواند به کمک هوش مصنوعی و یا سایر سیستمهای نرمافزاری و یا سختافزاری، تحرک و الگوهای حرکت ترافیک شبکه را شناسایی کرد. اکنون فایروالها از این الگوها برای تشخیص تحرکات ترافیکی و یا حتی رفتارهای خطرناک کاربران استفاده میکنند. از در اختیار داشتن چنین امکاناتی در شبکه خودمان باید مطمئن باشیم.
پشتیبان گیری دائمی و مطمئن از اطلاعات
یکی از مهمترین ضربههای امنیتی، آن است که بخشی از اطلاعات برای همیشه از دست برود. این خطر میتواند به از دست رفتن یک کسب و کار بینجامد. به همین خاطر روشهای جدید پشتیبان گیری از شبکه به وجود آمده است که در آن میتوان از اطلاعات خودمان پشتیبانهایی را ایجاد کنیم. همچنین باید از شیوههای رمز نگاری بر روی اطلاعات استفاده کرد، تا در صورت به سرقت رفتن اطلاعات امکان بهره گیری از آن برای سارق وجود نداشته باشد.
استفاده از فایروالهای مناسب با شبکه
فایروالها به صورت نرمافزاری و یا سختافزاری، به مانند یک دیواره امنیتی میان ما و جهان خارج از شبکه مان عمل میکنند. فایروالهای سختافزاری، امکان نظارت بر روی محتوال و مسیرهای ارتباطی شبکه مان را دارند. در حالی که فایروال های نرمافزاری صرفه به بررسی الگوها و محتواها میپردازند و قدرت نظارتی کمی را در اختیار ما قرار میدهند. در کنار این موارد، فایروالهای سختافزاری قدرت بسیار بالایی دارند و به همین خاطر میتوانند بیشتر از حالتهای نرمافزاری خود به کار گرفته شوند. درباره فایروالها در فروشگاه سایت آی تی باز توضیحات کاملی دادیم.
در مقالات آینده بیشتر در همین وبلاگ بیشتر درباره امنیت شبکه توضیح خواهیم داد.
فهرست مقاله
پرسش های متداول
- امنیت شبکه چیست؟
امنیت شبکه به مجموعه فعالیتها، سیاستها، تمهیدات و بهرهگیری از سیستمهای سختافزاری و نرمافزاری گفته میشود که برای جلوگیری و نظارت بر دسترسی غیرمجاز، سو استفاده، اصلاح، جلوگیری از تغییرات یا محدود کردن دسترسی در شبکههای کامپیوتری و منابع قابل دسترسی در شبکه تدوین شده و به آن اعمال میگردد.
- برای ایجاد امنیت شبکه از چه ابزارهای استفاده میشود؟
اساسی ترین ابزار به کار رفته برای ایجاد امنیت در شبکه، فایروالها هستند. فایروالها هم میتوانند به صورت سختافزار و هم نرمافزاری باشند. همچنین انواع پروتکلهای شبکه و سیستمهای رمزنگاری نیز برای برقراری امنیت به کار گرفته میشوند.
- کندوهای عسل (Honeypots) به چه معنا هستند؟
کندوهای عسل به کلیه منابعی که در شبکه وجود دارند و میتوانند برای هکرها جذاب باشند اطلاق میشوند. در واقع هدف از امنیت شبکه جلوگیری از نفوذ، دسترسی و یا تغییر کندوهای عسل در شبکه است. اصلی ترین کندوی عسل در شبکه نیز بانکهای داده هستند.
- رمزنگاری چیست؟ و چطور به امنیت شبکههای کامپیوتری کمک میکند؟
رمزنگاری به فرایند تغییر محتوای پیام با استفاده از یک الگوی خاص اشاره دارد که با کمک آن پیام تنها برای دو سر ارسال کننده و دریافت کننده اصلی قابل فهم باشد. امروزه از الگوریتمهای متنوعی برای رمزنگاری در شبکه استفاده میشوند. این کار سبب میشود در صورتی که پیام به هر نحوی مورد دستبرد و شنود قرار گرفت محتوای آن برای هکر قابل فهم نباشد.
- مفهوم حمله در شبکه اینترنتی به چه معناست؟
حمله به مجموعه اقداماتی گفته میشود که توسط هکرها و یا سایر افراد خارجی انجام میشود که سبب ایجاد اختلال، از کار افتادن و یا دسترسی غیرمجاز به منابع میشود. حملهها میتواند به صورت انفرادی یا گروهی انجام شود. همچنین حملهها میتوانند توسط کاربر انسانی و یا نرمافزارها انجام شود.
- تهدید در امنیت شبکه به معناست؟
تهدید هر اقدام بالقوه ای است که میتواند سبب ایجاد یک حمله و یا دسترسی غیرمجاز به شبکه شود. تهدیدات به صورت معمول خطرناک هستند و باید قبل از بروز آنها تمهیدات بازدارنده برای آنها انجام شود.
- فایروال چیست؟
فایروال یا دیواره آتش، به مجموعه ای از اقدامات نرمافزاری و سختافزاری گفته میشود که سبب جلوگیری از دسترسی افراد غیرمجازی به منابع شبکه میشود. فایروالها انواع گوناگونی دارند و باید متناسب با رشد شبکه تقویت و به روز رسانی شوند.
فهرست مقاله
2 دیدگاه