افزایش امنیت در شبکه

 
سهراب بهروزیان
اردیبهشت ماه 85 شماره 21

اشاره :
امروزه علاوه بر افزایش تعداد کامپیوترها و تجهیزات در ادارات و شرکت‌ها ، مبحث نصب و راه‌اندازی شبکه در آنها و استفاده بهینه از منابع نیز رشد فزاینده‌ای داشته است.گاهی اوقات وسواس در استفاده بهینه از منابع اشترکی ( Shared Resources ) باعث فراموش کردن بحث امنیت در شبکه می شود. به هرحال اگر شبکه‌ای را مدیریت می‌کنید می‌بایست خطرات و راه‌هایی مقابله با آنها را حتماً بشناسید. در محیط شبکه باید اطمینان حاصل شود که داده‌های مهم و حساس به صورت خصوصی باقی بمانند تا فقط کاربران مجاز اجازه دسترسی به آن را داشته باشند. از طرف دیگر نه تنها امن ساختن اطلاعات حساس مهم می‌باشد بلکه حفاظت از عملیات در بستر شبکه‌ها نیز دارای اهمیت خاصی می‌باشد. با رعایت کردن اصول امنیت شبکه، هر شبکه‌ای می‌تواند از صدمات آگاهانه و نا آکاهانه در امان بماند. در هر صورت یک مدیر شبکه توانا باید در برقراری امنیت شبکه دارای تعادل باشد. اگر چه شبکه‌ها اکثر اطلاعات با ارزش و حساس تجاری و کاری را مدیریت می‌کنند اما نیازی نیست که یک شبکه آنقدر امنیت داشته باشد که افراد برای به انجام رساندن کارهای خود دچار مشکل شوند. بعنوان مثال افراد نباید برای در دسترسی به فایل‌های خود دچار مسائل پچیده و بغرنج شوند.


خطرات احتمالی
براساس تحقیقات صورت گرفته چند موضوع تهدید کننده اصلی امنیت در یک می‌باشد که عبارتند از:
• دستیابی غیر مجاز افراد داخلی و خارجی
• تهدید الکترونیکی
• سرقت اطلاعات محرمانه و غیرمحرمانه
• خسارت آگاهانه و ناآگاهانه

راه‌های بالابردن امنیت در شبکه
برای بالا بردن امنیت شبکه راه‌های گوناگونی وجود دارد که برخی از آنها عبارتند از:
•‌ آموزش شبکه و مبانی آن به کاربران
•‌ تعیین سطوح امنیت
• نصب نرم افزارهای محافظت از شبکه
• تنظیم سیاست‌های شبکه
• به رسمیت شناختن یا Authentication
• امنیت فیزیکی تجهیزات
• امنیت بخشیدن به کابل

آموزش
یک کاربر مجرب شبکه احتمال کمتری دارد که یک منبع شبکه را تخریب کند. Admin (مدیر شبکه) باید مطمئن شود که همه افرادی که از شبکه استفاده می‌کنند با رویه‌های کاری و امنیت شبکه آشنا باشند.
برای به انجام رساندن این مهم Admin باید یک راهنمایی کوتاه و ساده و کاملا" واضح به کاربرانی که دچار مشکلی هستند یا آنهایی که کاربران جدیدی می‌باشند ارائه کند.

تعیین سطوح امنیت
درجه و سطح امنیت شبکه بستگی به نوع محیطی که شبکه قرار است در آن فعالیت کند دارد. به طور مثال شبکه‌ای که دارای سرورهای بانک اطلاعاتی مانند SQL Server است بیشتر از شبکه‌ای که فقط کامییوترهای افراد را به یکدیگر متصل می‌کند به امنیت نیاز دارد.

تنظیم سیاست‌ها
امنیت شبکه نیاز به مجموعه‌ای از قوانین و سیاست‌ها ( Policies ) دارد تا چیزی برای تغییر دادن باقی نماند. تعیین و تنظیم سیاست امنیتی اولین گام یک شرکت یا سازمان برای اطمینان از امنیت داده‌ها می‌باشد. سیاست‌ها خط مشی شبکه و مدیر را ارائه می‌کنند و گام اصولی برای راه‌اندازی یک شبکه موفق می‌باشد.

به رسمیت شناختن یا Authentication
قبل از این که شما بتوانید به یک شبکه دسترسی داشته باشید باید نام کاربری و رمزعبور مجاز را وارد کنید. به دلیل اینکه کلمات عبور به حساب کاربران مرتبط می‌باشند. یک کامپیوتر که وظیفه ارزیابی نام کاربری و رمز عبور را در شبکه دارد اولین حفاظ مدیر شبکه در مقابل ورود افراد غیر مجاز می‌باشد.

امنیت فیزیکی تجهیزات
اولین نقطه نظر در امن ( Secure ) کردن داده‌ها ، امنیت فیزیکی سخت افزارهای شبکه می‌باشد. درجه امنیت بستگی به عوامل زیر خواهد داشت:
ـ اندازه شرکت یا سازمان
ـ اهمیت داده‌ها
ـ منابع موجود

بسته به عوامل فوق و در یک اداره مهم یکی از راه‌های بالا بردن امنیت دور نگهداشتن سخت‌افزارها و تجهیزات از دسترس افراد غیرمجاز می‌باشد. برای این منظور باید برای بخش کامپیوتر یک اتاق جداگانه برای نگهداری سرورها فراهم گردد. برای اتاق سرور وسایل و تجهیزات امنیتی مانند سیستم کنترل ورود و خروج پرسنل ، سیستم کنترل حریق و دوربین‌های مداربسته و ... لازم می باشد.
اما بعنوان مثال در یک شبکه نظیر به نظیر (  Peer-To-Peer ) ممکن است هیچ نوع سیاست سازمان یافته‌ای برای امنیت سخت‌افزاری وجود نداشته باشد. در این نوع شبکه کاربران برای امنیت کامییوترها و داده‌های خود مسئول هستند و کسی به نام مدیر شبکه در این نوع شبکه مفهومی ندارد.
بر خلاف شبکه‌های نظیر به نظیر ( Peer-To-Peer ) در سیستم‌های متمرکز جایی که داده‌های شرکت و کاربران مجزا اهمیت ییدا می‌کند ، Server ها باید از صدمه فیزیکی تصادفی یا عمدی در امان باشند. در هر گروهی همیشه افرادی یافت می‌شوند که وقتی Server ها دچار مشکلی شدند می‌خواهند قابلیت‌های فردی خود را به نمایش بگذارند. ممکن است آنها هم بدانند و هم ندانند در هر حال انجام چه کاری مهمی هستند. بهترین راه حل این است که از ورود این افراد برای تعمیر Server ها جلوگیری به عمل آید. همانطور که گفته شد یکی از راه حل این است که Server ها را در یک اتاق کامییوتر با دسترسی محدود قرار داده و درب آن را قفل کنید. بر حسب اینکه اندازه شرکت چقدر باشد ممکن است این راه‌حل عملی نباشد. اما به هر حال گذاشتن Server در یک دفتر یا یک کمد بزرگ و قفل کردن درب آن گام صحیحی در جهت امنیت بخشیدن به Server می‌باشد.

امنیت بخشیدن به کابل
کابل‌های مسی مانند کابل Coaxial همانند یک رادیو عمل می‌کنند. سیگنال‌های الکترونیکی از خود صاتع می‌کنند که باعث تقلید و تکرار اطاعات حمل شده می‌شود. این اطلاعات می‌توانند با تجهیزات مناسب الکترونیکی گوش داده شوند. همچنین ممکن است کابل مسی خدچه‌دار شود و اطلاعات مستقیما از کابل به سرقت روند. قطعات کابلی که داده‌های حساس را حمل می‌کنند باید تنها توسط افراد دارای مجوز قابل دستیابی باشند. این کابل‌ها باید از معماری ساختمان به گونه‌ای عبور کنند که قابل دستیابی نباشند مثلا" از طریق سقف ها ، دیوارها و کف زمین.

مدل‌های امنیتی
بعد از ییاده‌سازی امنیت برای اجزای فیزیکی شبکه مدیر شبکه باید مطمئن شود که منابع شبکه هم از دستیابی غیر مجاز و هم از صدمه تصادفی یا عمدی در امان اند. برای این منظور مدیر شبکه باید داده‌ها و منابع اشتراکی را توسط مدل‌های امنیتی موجود از دسترس افراد غیرمجاز دور نگه‌ دارد.

دو مدل امنیتی برای امن نگه داشتن داده‌ها و منابع سخت‌افزاری وجود دارد:
• منابع اشتراکی محافظت شده توسط کلمات عبور یاPassword Protected Share  یا(Share Level Security )
• مجوزهای دستیابی (Access Permissions )

منابع اشتراکی محافظت شده توسط کلمات عبور
ییاده سازی منابع اشتراکی محافظت شده توسط کلمه عبور در واقع دادن یک کلمه عبور با هر منبع اشتراکی است . در این مدل ، دستیابی به یک منبع اشتراکی وقتی حاصل می‌شود که کاربر کلمه عبور صحیح را وارد کند. در بعضی از سیستم‌ها ، منابع می‌توانند با انواع مختلف مجوزها به اشتراک گذارده شوند. به عنوان مثال در هنگام استفاده از Windows 9x پوشه ها می‌توانند به شکلFull  و Read Only  یا وابسته به کلمه عبور به اشتراک گذارده شوند.
در ادامه برای کاربرانی که با اصطلاحات Read Only و Full در هنگام اشتراک منابع آشنا نیستند توضیحات مختصری ارائه شده است.

Read Only : اگر منبع به اشتراک گذاشته شده به صورت Read Only تنظیم شده باشد کاربرانی که کلمه عبور را می‌دانند به فایل‌های آن دایرکتوری دستیابی فقط برای خواندن اطلاعات را خواهند داشت. آنها می‌توانند مستندات را نگاه کنند و آنها را بر روی ماشین خود کپی کنند یا آنها را چاب کنند ولی نمی‌توانند مستندات اصلی را تغییر دهند.

Full : در این نوع کاربرانی کلمه عبور را می‌دانند دستیابی کامل به فایل‌های درون پوشه ها خواهند داشت.به عبارت دیگر آنها می‌توانند فایل‌های داخل دایرکتوری اشتراکی را نگاه کرده ، تغییر داده و اضافه و پاک نمایند.

Depends Of Password ( وابسته به کلمه عبور ) : این بدان معنی است که یک منبع اشتراکی را طوری تنظیم کنیم که از دو سطح کلمه عبور استفاده کند. کلمه عبور برای دستیابی خواندن و کلمه عبور برای دستیابی کامل. کاربرانی که کلمه عبور دستیابی خواندن را بدانند فقط می‌توانند داده‌ها را بخوانند و کاربرانی که کلمه عبور دستیابی کامل را در اختیار دارند می‌توانند دستیابی کامل به اطلاعات داشته باشند.

مجوزهای دسترسی  (Access Permissions )
یکی از راه‌های اعمال امنیت در شبکه ، اعطای مجوزهای دستیابی بر اساس قوانین وضع شده به تک تک کاربران است. یک کاربر وقتی به شبکه Login می‌کند یک کلمه عبور تایب می‌نماید. دستگاه Server این ترکیب نام کاربر و کلمه عبور را ارزیابی می‌کند و از آن برای دادن اجازه دستیابی به منابع اشتراکی توسط چک کردن یک بانک اطلاعاتی مربوط به اجازه دستیابی کاربران به منابعی که بر روی دستگاه Server قرار دارد استفاده می‌نماید. امنیت با استفاده مجوز دسترسی سطح بالاتری از نظارت و کنترل بر قوانین دستیابی و همانطور امنیت فشرده بر روی سیستم نسبت به روش حفاظت از کلمات عبور ارائه می‌دهد. برای یک فرد آسانتر خواهد بود که کلمه عبور یک دستگاه چاپگر را به شخص دیگری بگوید تا اینک مجبور شود کلمه عبور شخصی خود را به فرد دیگری بگوید.

امنیت منابع
بعد از آنکه کاربر بر روی شبکه به رسمیت شناخته شد یعنی به شبکه Login کرد سیستم امنیتی به کاربر اجازه دستیابی به منابع مناسب و مجاز که توسط مدیر شبکه تنظیم شده است را می‌دهد.
کاربران کلمه عبور دارند ولی منابع مجوز دستیابی دارند. به عبارت بهتر هر منبع با یک حسار امنیتی محافظت می‌شود. این حصار چندین لایه یا در دارد که کاربران می‌توانند آن حصارهای امنیتی را پشت سرگذاشته و به منابع دستیابی داشته باشند. بعضی از این درها اجازه دستیابی بیشتری به کاربر می‌دهند. وظیفه Admin این است که مشخص کند کدام کاربران می‌توانند از کدام درها عبور کنند. مثلا یک در اجازه دستیابی کامل به کاربر می‌دهد در حالی که در دیگر اجازه دست یابی Read Only به کاربر می‌دهد.
هر منبع یا فایل اشتراکی با لیستی از کاربران یا گروه‌ها و مجوزهای مربوط به آنان ذخیره می‌گردد. شکل 1 مجوزهای مربوط به فایل‌ها و دایرکتوری‌های اشتراکی را نشان می‌دهد.

شکل1


وظیفه مدیر شبکه است که به هر کاربر مجوز دستیابی مناسب به هر منبع را دهد. بهترین راه برای پیاده سازی این موضوع از طریق گروه‌ها می‌باشد یعنی ابتدا مدیر یک گروه تعریف می‌کند سپس کاربران را به عضویت آن گروه در می‌آورد و حالا به آن گروه مجوز لازم را می‌دهد. مخصوصا در یک سازمان بزرگ که تعداد کاربران و منابع زیاد می‌باشد این موضوع باعث بالا رفتن سرعت کار و راحت شدن کار مدیر شبکه می‌شود. خانواده سیستم عامل‌هایWindows به مدیر اجازه می‌دهند که فایل یا پروندهایی را که میخواهند به افراد و کاربران زیادی مجوز استفاده دهند از امکان گروه‌ها استفاده کنند.

روش‌های دیگر برای امنیت بیشتر
روش‌های متفاوتی وجود دارد که مدیر شبکه می‌تواند سطح امنیت در یک شبکه را به وسیله آنها افزایش دهد. که برخی از آنها عبارتند از:
ـ استفاده از فایل‌های Log سیستم عامل شبکه ( Auditing )
ـ استفاده از کامپیوترهای بدون دیسک ( Diskless )
ـ به رمز درآوردن داده‌ها
ـ استفاده از آنتی ویروس برای محافظت در برابر ویروس‌ها

Auditing
Auditing انواع حوادث انتخاب شده را در فایل Log امنیتی شبکه بر روی یک دستگاه Server ثبت می‌کند.
این رویه فعالیت شبکه را که توسط Account کاربران انجام می‌شود را دنبال می‌نماید. Auditing باید بخشی از امنیت شبکه باشد زیرا رکوردهای اطلاعات رسیدگی نشان می‌دهند که کاربران به یک منبع خاص دستیابی بیدا کرده‌اند یا قصد دستیابی داشته‌اند. Auditing به Admin ها کمک می‌کند تا فعالیت‌های غیر مجاز یا غیر عمدی را شناسایی کنند. همچنین می‌تواند اطلاعات مفیدی در وضعیت‌هایی که سازمان می‌خواهد خود را به منابع شبکه جدیدی مجهز کند و نیاز به روشی برای تشخیص هزینه منابع دارد ارائه کند. Auditing اطلاعاتی در هنگام فعالیت‌های زیر در هنگام کار عادی شبکه ثبت می‌کند که در موقع لزوم برای مدیر شبکه این اطلاعات ثبت شده جنبه حیاتی دارد:

ـ اقدام کاربران به Log on  یا  Log off به شبکه
ـ ارتباط یا قطع ارتباط با یکی از منابع موجود
ـ به پایان رسیدن ارتباط
ـ غیر فعال کردن Account ها
ـ باز یا بسته کردن فایل‌ها
ـ اعمال تغییرات روی فایل‌ها
ـ ایجاد یا حذف پوشه ‌ها
ـ تغییر پوشه ‌ها
ـ حوادث و تغییرات در Server
ـ تغییرات کلمه عبور
ـ تغییر پارامترهای Log on

رکوردهای رسیدگی (Auditing Records ) به امنیت می‌توانند شامل این باشند که شبکه چگونه استفاده شده است. Admin می‌تواند با توجه به این اطلاعات گزارش‌هایی تهیه کند که هر تعداد فعالیت مشخص را با تاریخ و ساعت آن قید کند. به عنوان مثال تلاش‌های تکراری ناموفق برای Log on کردن به شبکه یا تلاش برای Log on کردن در ساعت‌های غیر مجاز می‌تواند نشان دهنده این باشد که یک کاربر غیر مجاز در حال تلاش برای دستیابی به شبکه در ساعت غیر مجاز می‌باشد.

کامپیوترهای بدون دیسک
کامپیوترهای بدون دیسک ( Diskless ) همانطور که از نامشان بر می‌آید دارای هیچ درایوی مانند هارد و فلاپی نمی‌باشند این نوع کامپیوترها همه کاری که یک کامپیوتر هارد دار می‌تواند انجام دهد ، را انجام می‌دهد به غیر از ذخیره داده‌ها بر روی هارد دیسک یا فلابی دیسک. این نوع کامپیوترها ایده‌آل سیستم‌های امنیتی می‌باشند زیرا کاربران نمی‌توانند داده‌ها را دانلود کنند و از آن استفاده کنند.
همچنین بعضی از شرکت‌ها به دلیل ارزان‌تر بودن کامپیوترهای بدون دیسک در مقایسه با کامپیوترهایی که کاملا" تجهیز شده‌اند از این نوع دستگاه‌ها استفاده می‌کنند. کامپیوترهای بدون دیسک نیاز به دیسک راه‌انداز ( دیسک Bootable ) ندارند. آنها قادر به Log on   کردن و ارتباط با Server می‌باشند زیرا نوع مخصوصی از تراشه ROM بر روی کارت شبکه این نوع دستگاه‌ها نصب شده است که می‌تواند عملیات راه‌انداری از دور را انجام دهد.

به رمز درآوردن داده‌ها
یک ابزار به رمز در آوردن داده‌ها قبل از اینکه اطلاعات بر روی شبکه ارسال شود آنرا به صورت به هم ریخته در می‌آورد. این عمل باعث می‌شود که داده‌ها غیرقابل خواندن شود حتی اگر یک فرد اقدام به خراش دادن کابل و اطلاعات از روی آن شود. وقتی که داده‌ها به کامپیوتر مورد نظر می‌رسد یک کلید ( Key ) که کد رمزگشایی اطلاعات به رمز درآمده می‌باشد بیت‌های داده‌های رسیده را کدگشایی کرده و به اطلاعات قابل فهم تبدیل می‌کند. الگوهای بیشرفته به رمز درآوردن داده‌ها به رمزرسانی و کلیدها را به صورت خودکار در آورده‌اند. بهترین سیستم‌های رمزگذاری سخت‌افزاری می‌باشند و تقریبا گران تمام می‌شوند. استاندارد معمول برای رمزگذاری ، استاندارد داده‌ها یا DES نام دارد. این سیستم تشریح می‌کند که داده‌ها چگونه باید به رمز در بیایند و کلیدها شامل چه مشخصه‌هایی باشند. DES در حال حاضر توسط دولت ایالات متحده آمریکا مشخص شده است. هم گیرنده و هم فرستنده نیاز به دستیابی به کلید دارند. در اینجا مشکلاتی بروز می‌کند زیرا تنها راه گرفتن کلید از یک مکان به مکان دیگر انتقال آن است که باعث می‌شود DES آسیب پذیر گردد. اما به هر حال دولت ایالات متحده همچنین در حال استفاده از استاندارد جدیدتری بنام ( CCEP ) است که ممکن است جایگزین DES شود. آژانس امنیت ملی آمریکا CCEP را عرضه کرده است و به سازندگان اجازه داده که به آن بپیوندند. تولید کنندگان مجازند تا با الگوریتم‌های طبقه‌بندی شده‌ایی در سیستم‌های اتباطی خود کار کنند. آژانس امنیت ملی این هدف را دنبال می‌کند که تولید کنندگان خودشان کلیدها را به استفاده کنندگان نهایی چنین سیستم‌هایی بدهند.

محافظت در برابر ویروس
ویروس‌های مخرب بیشتر در محیط‌های امروزی بیشتر معمول شده‌اند. بنابراین در هنگام برنامه‌ریزی رویه‌های امنیتی شبکه باید آنها را به حساب آورد. اگرچه هیچ برنامه محافظ در مقابل ویروس نمی‌تواند جلوی همه ویروس‌ها را بگیرد اما برنامه‌های ضد ویروس می‌تواند بعضی از کارهای زیر را انجام دهد:

ـ جلوگیری از فعالیت ویروس
ـ پاک کردن ویروس
ـ ترمیم خساراتی که یک ویروس به بخش خاصی زده است.
ـ برسی مرتب ویروس بعد از اینکه فعال شده است.

جلوگیری از دستیابی‌های غیر مجاز بهترین روش برای جلوگیری از ویروس‌ها می‌باشد. به دلیل اینکه جلوگیری مد نظر است مدیر شبکه نیاز دارد که مطمئن شود همگی امکانات استاندارد برای مقابله آماده‌اند اینها عبارتند از:

ـ کلمات عبور برای کاهش شانس دستیابی‌های غیر مجاز
ـ مجوزها و طرح دستیابی خوب برای همه کاربران
ـ ایجاد کردن Profile ها برای اصولی کردن ساختمان محیط شبکه و اینکه کاربران بتوانند پیکربندی‌ها و محیط خود را نگه دارند.
ـ سیاستی که مشخص کند چه نرم‌افزاری می‌تواند روی سیستم‌ها نصب گردد.
ـ‌ سیاستی برای پیاده سازی محافظت از ویروس‌ها بر روی دستگاه‌های Server و Workstation در شبکه.

  
نویسنده : ali gooliof ; ساعت ۱٠:٥۸ ‎ق.ظ روز ۱۳۸٧/٢/٢٤