مقدمه :

امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .

رویکرد امنیت شبکه لایه بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند

رویکرد امنیتی شبکه لایه بندی شده در 5 لایه قابل تعریف میباشد :

1.پیرامون
2.شبکه
3.میزبان
4.برنامه کاربردی
5.دیتا

و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی لایه بندی شده میباشد .
محافظت از اطلاعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد .

افزودن به ضریب عملکرد هکرها :

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد work factor استفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه لایه بندی شده دارد . ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن در شبکه میشود . شبکه با work factor بالا به سختی مورد دستبرد قرار میگیرد


مدل امنیت لایه بندی شده در زیر امده :

پیرامون:

فایروال ، انتی ویروس در سطح شبکه
رمزنگاری شبکه خصوصی مجازی

شبکه :

سیستم تشخیص / جلوگیری از نفوز IDS/IPS
سیستم مدیریت اسیب پذیری
تبعیت امنیتی کابر انتهایی
کنترول دسترسی / تایید هویت کاربر

میزبان :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
تبعیت امنیتی کاربرانتهایی
انتی ویروس
کنترول دسترسی / تایید هویت کاربر

برنامه کاربردی :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
کنترول دسترسی / تایید هویت کاربر
تعیین صحت ورودی

داده :

رمزنگاری
کنترول دسترسی / تایید هویت کاربر



مفاهیم امنیت شبکه (http://ashiyane.org/forums/showthread.php?t=25300)

در ادامه بخش به لایه های امنیتی میپردازیم :

امنیت پیرامون :

منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است .
پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ کننده شبکه میباشد .
در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون قرار دارند
بعنوان DMZ Demilitarized Zone شناخته میشوند . DMZ معمولا وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور های DNS را در بر میگیرد که باید در معرض اینترنت باشند . فایروال قوانین سفت و سختی در مورد اینکه چه چیزی وارد شبکه بشود و چگونه سرورها در DMZ میتوانند با اینترنت و شبکه داخلی تعامل داشته باشند را دارد .

تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند :

فایروال – معمولا یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد
1 . کنترول ترافیک 2 . تبدیل ادرس 3 . نقطه پایانی وی پی ان .

فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعلاوه فایروال به شبکه امن در تبدیل ادرسهای ip داخلی به ادرش های قابل رویت در اینترنت کمک میکند . این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه پایانی تونل وی پی ان عمل میکند

انتی ویروس شبکه – این نرم افزار در DMZ نصب میشود و محتوای ایمیل های وارد شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند . این انتی ویروس ها ایمیل های الوده SPAM را بلاک کرده و به مدیران شبکه خبر میدهد . انتی ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های مجزا صورت میگیرد

وی پی ان - یک شبکه اختصاصی مجازی وی پی ان از رمزنگاری سطح بالایی برای ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده میکنند .
وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک مسیریاب بر پایه وی پی ان فایروال با یک سرور در ناحیه DMZ پایان پذیرد . برقراری ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا اسان و ارزان پیاده سازی میشود .

مزایا و معایب :

تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند

لایه امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به wan ,lan داخلی شما اشاره دارد .
شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید .

تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند :

ids ها (سیستم تشخیص نفوز ) و ipsها (سیستم جلوگیری از نفوز ) تکنولوژی ids و isp ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل میکنند .
مشابه سیستم انتی ویروس ابزارهای ids , ips ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته مقایسه میکنند . هنگامی که حملات تشخیص داده میشود این ابزار وارد عمل شده .
ابزارهای ids مسوولین it را از وقوع یک حمله مطلع میکند ابزارهای ips یک گام جلوتر رفته و به طور خودکار ترافیک اسیب رسان را مسدود میکند .
ids ها و ips ها مشخصات مشترک زیادی دارند در حقیقت بیشتر ips ها در هسته خود یک ids دارند تفاوت کلیدی بین این دو تکنولوژی ها از نام انها استنباط میشود و محصولات ids تنها ترافیک اسیب رسان را تشخیص میدهند در حالیکه محصولات ips از ورود چنین ترافیکی به شبکه شما جلوگیری میکنند .

مدیریت اسیب پذیری – سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام میدهند :
شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت میکنند در گذشته این تکنولوژی va (تخمین اسیب پذیری ) نامیده میشود اما این تکنولوژی اصلاح شده است و بیشتر سیستم های موجود عملی بیش از va انجام میدهند .
سیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای data base از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم روند باسازی را مدیریت میکند

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای وی پی ان, ras میگیرد . روشهای امنیت نقاط اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند .

کنترول دسترسی / تایید هویت – کنترول دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد . معمولا تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند.

مزایا :

تکنولوژی های ids,ips و مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور می دهند ابزار ips و ids تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح بالاتری را از امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعلاوه شبکه ساختار پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح بالاتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند .

معایب :

ids تمایل به تولید تعداد زیادی علائم هشدار غلط دارند که به عنوان false positives نیز شناخته میشوند در حالیکه ids ممکن است که یک حمله را کشف و به اطلاع شما برسانند . مدیران ids ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط از دست بدهند برای تاثیر گذاری بالا یک ids باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و اسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار ips ها میتواند میزان زیادی در میان محصولات متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند .

لایه امنیت میزبان

سطح میزبان در مدل امنیت لایه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .
هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود .

تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند :

ids در سطح میزبان – ids های سطح میزبان عملیاتی مشابه ids های شبکه انجام میدهند ، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است . Ids های سطح میزبان برای مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه بالایی از مراقبت را فراهم میکنند .

va (تخمین اسیب پذیری ) سطح میزبان – ابزارهای va سطح میزبان یک ابزار شبکه مجزا را برای اسیب پذیری های امنیتی پویش میکنند . دارای دقت بالایی میباشد و از انجایی که va ها بطور مشخص برای ابزار میزبان پیکربندی میشوند .

تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز بودن فایروال ها و انتی ویروس ها رسیدگی میکنند .

انتی ویروس – هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس های شبکه استفاده میشوند لایه اضافه ای برای محافظت فراهم میکنند .

کنترول دسترسی / تصدیق هویت – ابزار کنترول دسترسی در سطح ابزار یک روش مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح بالایی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی میزبان وجود دارد .

لایه امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، رمزنگاری دیتا هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند .
تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند :

رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل pki,pgp,rsa هستند

کنترول دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها کابران مجاز دسترسی به دیتا خواهد داشت .