نکات مهم:‌

امنیت شبکه یکی‌ از مورد بسیار بسیار مهم می‌باشد که جا دارد به آن پرداخته شود.

وقتی‌ که از امنیت شبکه صحبت می‌کنیم شامل مورد بسیار زیادی میشود که هر کدام از آنها به تنهای میتواند مورد بحث قرار گیرد،همیشه در امنیت شبکه موضوی که بسیار اهمیت دارد لایه‌های دفأعی یک شبکه می‌باشد، باید یاد آوری کرد که اولین لایه دفأعی در امنیت شبکه و حتا امنیت فیزیکی‌ وجود یک ساختار و خط مشی‌ (policy) می‌باشد که بدون آن ،لیست کنترل ، فایروال و هر لایه دیگری بدون معنی می‌باشد دقیقا مثل ساختمانی می‌باشد که پایه ندارد !

برای داشتن policy باید پنج مرحله را در نظر داشت:

۱-بازرسی (inspection)

۲-حفاظت (protection)

۳-ردیابی (detection )

۴-واکنش (reaction )

۵-بازتاب  (reflection )

برای اینکه شبکه امنی‌ داشته باشیم باید همیشه این پنج مرحله را در نظر داشته باشیم.

اولین جای که باید در شبکه ایمن سازی شود،ایمن کردن تمامی  سندیت‌های (authortication) موجود می‌باشد.

رایجترین روش استفاده از شناسه کاربری و کلمه رمز است که به این مورد را باید در نظر داشت:

-بر رسی‌ و کنترل کلمات عبور کلیه کاربران به ویژه مدیرن سیستم.

-کلمات عبور برای سویچ‌ها و رتر‌ها که بسیار مهم می‌باشد.

-کلمات عبور مربوط به    SNMP

-کلمات عبور مربوط به پرینت سرور

-کلمات عبور مربوط به محافظ صفحه نمایش

در واقع شما باید امنیت کاملی را برای account password security در نظر داشته باشید.

دومین مورد، نصب و به روز رسانی آنتی ویروس‌ها روی همه کامپیوتر ها،سرور‌ها و میل سرور‌ها و وب سرور‌ها می‌باشد و همینطور به روز رسانی آنتی ویروس‌ها روی کامپیوتر کاربر‌ها باید به صورت اتوماتیک انجام شود و در صورت مشاهده مورد مشکوک حتما اقدامات امنیتی لازم انجام شود.

سومین مورد شامل نصب و به روز رسانی سیستم عامل و حفره‌های امنیتی سیستم‌های موجود است. باید حفره‌های امنیتی کلیه سرور ها، سوئیچ‌ها و روتر‌ها ، شناسایی و رفع شود و سرویس‌های غیر ضروری حذف و غیر فعال گردد.

چهارمین مورد که بسیار مهم است، دسته بندی کاربران و دادن سطح دسترسی مناسب با کار هر کاربر به آنها می‌باشد که همه نتوانند به همه فآیلها و دایرکتوریها دسترسی‌ داشته باشند.

پنجمین مورد، کنترل و config کردن device‌های موجود که شامل روتر ، سوئیچ و فایروال میباشد، که همه آنها باید بر اساس policy موجود در شبکه و با توجه به توپولوژی شبکه config شود .

تکنولوژی‌های مثل PAT, NAT, Filtering و غیره در این مرحله وجود دارد و به همین خاطر این مرحله یکی‌ از مهمترین مراحل امنیت یک شبکه می‌باشد.

مرحله بعدی، که آن هم بسیار مهم است داشتن یک استراتژی برای پشتیبانی‌ (backup ) است و اینکه مطمئن باشیم که این سیستم به درستی‌ کار می‌کند.

سپس باید به امنیت فیزیکی یک شبکه بپردازیم که شامل UPS‌ها میشود و باید مطمئن باشیم که آنها درست کار میکنند و اینکه اتاق سرور از درجه حرارت و رطوبت مناسب برخوردار باشد و همین طور در برابر سرقت و آتش سوزی هم ایمن باشد.به طور کلی‌ هر چیزی که مربوط به فیزیک شبکه میشود در این قسمت وجود دارد.

سپس باید به برسی‌ و تنظیم و آزمایش سیستم‌های auditing و logging می‌پردازیم این سیستم‌ها میتواند هم بر پایه host و هم بر پایه network باشد، سیستم‌های ردگیری و ثبت حملات هم در این مرحله نصب و تنظیم میگردد،باید کاملا اطمینان حاصل کنیم که تمام اطلاعات لازم ثبت شده و به خوبی‌ محافظت میگردد.

در ضمن درست بودن ساعت و تاریخ سیستم‌ها خیلی‌ مهم است چرا که در غیر این صورت امکان ردّ گیری و پیگیری قانونی در صورت لزوم وجود نخواهد داشت.

نکته دیگری که باید توجه داشته باشیم ایمن کردن Remote Access با پروتکل و تکنولوژی‌های امن.

باید در این قسمت با توجه به شرایط و امکانات ، ایمن‌ترین پروتکل و تکنولوژی‌ها را باید به خدمت گرفت.

نکته دیگر اینکه نصب فایروال‌های شخصی‌ در ساعت host‌ها و لایه‌های امنیتی مضاعفی به شبکه شما میدهد که بسیار مهم است، پس نصب فایروال‌ها را فراموش نکنید.

نکته آخر: شرایط بازیابی در حالت‌های ضروری را حتما بر رسی‌ کنید و به روز رسانی کنید این‌ها شامل خرابی‌ قطعات کامپیوتری، خرابکاری کاربران و خرابی‌ نشی‌ از مسأیل طبیعی ، نفوذ هکر‌ها به سیستم می‌باشد. استاندارد‌های Warm site  و Hot site را حتما رعایت کنید و به خاطر داشته باشید که اطلاعات باید همیشه در دسترس و محفوظ باشد و اینکه حتما در سایت‌های خبری و بولتن‌های امنیتی عضو شوید و اطلاعات خود را همیشه به روز کنید.

 

IP Security یا IPSec رشته ای از پروتکلهاست که برای ایجاد VPN مورد استفاده قرار می گیرند. مطابق با تعریف(IETF (Internet Engineering Task Force پروتکل IPSec به این شکل تعریف می شود:

یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به صورت منعطفی به پشتیبانی ترکیبی از تایید هویت ، جامعیت ، کنترل دسترسی و محرمانگی بپردازد.

در اکثر سناریوها مورد استفاده ،IPSec به شما امکان می دهد تا یک تونل رمزشده را بین دو شبکه خصوصی ایجاد کنید.همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم  می کند.اما IPSec تنها به ترافیک مبتنی بر IP اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر IP  نیز در شبکه وجود داشته باشد ، باید از پروتکل دیگری مانند GRE در کنار IPSec استفاده کرد.

IPSec به استاندارد de facto در صنعت برای ساخت VPN تبدیل شده است.بسیاری از فروشندگان تجهیزات شبکه ، IPSec را پیاده سازی کرده اند و لذا امکان کار با انواع مختلف تجهیزات از شرکتهای مختلف ، IPSec را به یک انتخاب خوب برای ساخت VPN مبدل کرده است.

 

 انواع IPSec VPN

شیوه های مختلفی برای دسته بندی IPSec VPN وجود دارد اما از نظر طراحی ، IPSec برای حل دو مسئله مورد استفاده قرار می گیرد :

1-     اتصال یکپارچه دو شبکه خصوصی و ایجاد یک شبکه مجازی خصوصی

2-     توسعه یک شبکه خصوصی برای دسترسی کاربران از راه دور به آن شبکه به عنوان بخشی از شبکه امن

بر همین اساس ، IPSec VPN ها را نیز می توان به دو دسته اصلی تقسیم کرد:

1-     پیاده سازی LAN-to-LAN IPSec

این عبارت معمولا برای توصیف یک تونل IPSec بین دو شبکه محلی به کار می رود. در این حالت دو شبکه محلی با کمک تونل IPSec و از طریق یک شبکه عمومی با هم ارتباط برقرار می کنند به گونه ای که کاربران هر شبکه محلی به منابع شبکه محلی دیگر، به عنوان عضوی از آن شبکه، دسترسی دارند. IPSecبه شما امکان می دهد که تعریف کنید چه داده ای و چگونه باید رمزنگاری شود.

2-     پیاده سازی Remote-Access Client IPSec

این نوع از VPN ها زمانی ایجاد می شوند که یک کاربر از راه دور و با استفاده از IPSec client نصب شده بر روی رایانه اش، به یک روتر IPSec یا Access server متصل می شود. معمولا این رایانه های دسترسی از راه دور به یک شبکه عمومی یا اینترنت و با کمک روش dialup یا روشهای مشابه متصل می شوند. زمانی که این رایانه به اینترنت یا شبکه عمومی متصل می شود، IPSec client موجود بر روی آن می تواند یک تونل  رمز شده را بر روی شبکه عمومی ایجاد کند که مقصد آن یک دستگاه پایانی IPSec،مانند یک روتر، که بر لبه شبکه خصوصی مورد نظر که کاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پایانه های IPSec محدود است اما با کمک روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند که برای پیاده سازی های بزرگ مناسب است.

 

 ساختار IPSec

IPSec برای ایجاد یک بستر امن یکپارچه ، سه پروتکل را با هم ترکیب می کند :

1-     پروتکل مبادله کلید اینترنتی ( Internet Key Exchange یا IKE )

این پروتکل مسئول طی کردن مشخصه های تونل IPSec بین دو طرف است. وظایف این پروتکل عبارتند از:

ü      طی کردن پارامترهای پروتکل

ü      مبادله کلیدهای عمومی

ü      تایید هویت هر دو طرف

ü      مدیریت کلیدها پس از مبادله

IKE مشکل پیاده سازی های دستی و غیر قابل تغییر IPSec را با خودکار کردن کل پردازه مبادله کلید حل می کند. این امر یکی از نیازهای حیاتی  IPSecاست. IKE خود از سه پروتکل تشکیل می شود :

ü      SKEME : مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند.

ü   Oakley : مکانیزم مبتنی بر حالتی را برای رسیدن به یک کلید رمزنگاری، بین دو پایانه IPSecتامین می کند.

ü      ISAKMP : معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می کند.

IKE به عنوان استاندارد RFC 2409 تعریف شده است. با وجودی که IKE کارایی و عملکرد خوبی را برایIPSec تامین می کند، اما بعضی کمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشکل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود که IKE v2 نام خواهد داشت.

2-     پروتکل Encapsulating Security Payload یا ESP

این پروتکل امکان رمزنگاری ، تایید هویت و تامین امنیت داده را فراهم می کند.

3-     پروتکل سرآیند تایید هویت (Authentication Header یا AH)

این پروتکل برای تایید هویت و تامین امنیت داده به کار می رود.

 

نرم افزاري است كه در يك شبكه حد واسط بين اينترنت و كاربران واقع مي شود. فلسفه ايجاد Proxy Server قراردادن يك خط اينترنت در اختيار تعداد بيش از يك نفر استفاده كننده در يك شبكه بوده است ولي بعدها امكانات و قابليتهايي به Proxy Server افزوده شد كه كاربرد آن را فراتر از به اشتراك نهادن خطوط اينترنت كرد . بطور كلي Proxy Server ها در چند مورد كلي استفاده مي شوند .

يك كاربرد Proxy Server ها ، همان به اشتراك گذاشتن يك خط اينترنت براي چند كاربر است كه باعث كاهش هزينه و كنترل كاربران و همچنين ايجاد امنيت بيشتر مي شود . كاربرد دوم Proxy Serverها ، در سايتهاي اينترنتي به عنوان Firewall مي باشد . كاربرد سوم كه امروزه از آن بسيار استفاده مي شود ، Caching اطلاعات است . با توجه به گران بودن هزينه استفاده از اينترنت و محدود بودن پهناي باند ارتباطي براي ارسال و دريافت اطلاعات ، معمولا'' نمي توان به اطلاعات مورد نظر در زمان كم و با سرعت مطلوب دست يافت . امكان Caching اطلاعات ، براي كمك به رفع اين مشكل در نظر گرفته شده است . Proxy Server ، سايتهايي را كه بيشتر به آنها مراجعه مي شود را دريك حافظه جداگانه نگاه مي دارد. به اين ترتيب براي مراجعه مجدد به آنها نيازي به ارتباط از طريق اينترنت نيست بلكه به همان حافظه مخصوص رجوع خواهد شد,  اين امر 

شبكه هاي متصل با سيم نيز در كنار شبكه هاي بي سيم در حال پيشرفت اند. اين پيشرفت باعث شده تا كامپيوترهاي رو ميزي بتوانند با سرعت 1000 مگابايت بر ثانيه به يكديگر متصل شوند. چندي است كه نسل تازه اي از شبكه هاي متصل با سيم با نام Eethernet گيگا بيتي زير سايه و درهياهوي شبكه هاي بي سيم متولد شده. اين استاندارد كه كه طراحي آن از حدود 6 سال پيش آغاز شده بود سرانجام به بار نشست و سرعت آن چهار برابر پر سرعت ترين شبكه بي سيم كنوني است. كنترل كننده هاي Ethernet گيگا بايتي كم كم جاي خود را روي بردهاي اصلي بازكرده و جاي كنترل كننده هاي Fast Ethernet را با سرعت 100 مگا بيت بر ثانيه مي گيرند. آزمايش هاي نشان داده اند كه سرعت شبكه هاي Ethernet گيگا بيتي در عمل به 90 مگا بيت بر ثانيه مي رسد. اين ميزان برابر است با ده برابر سرعت Fast Ethernet. آهنگ انتقال در Ethernet گيگابيتي در حال حاضر از هر سخت ديسكي بيشتر است. بنا براين هنگام كار با فايل هاي ويدئويي يا CAD كه روي كامپيوتر هاي سرويس دهنده ذخيره شده اند، شبكه سرعت كار را كاهش نمي دهد. هر چه سريعتر، هر چه ارزانتر با گسترش كنترل كننده هاي گيگابيتي، در خواست براي سوئيچ هاي مناسب نيز رو به افزايش است. قيمت اين دستگاه ها هم به طور همزمان رو به كاهش است به طوري كه يك سوئيچ گيگا بيتي با 8 درگاه سال گذشته حدود 2000 يورو پايين آمده. Ethernet گيگا بيتي با سرعت زيادي كه دارد براي انتقال داده ها روي شبكه هاي محلي هم بسيار مناسب است. دستگاه هاي Ethernet گيگا بيتي اگر چه با گونه هاي پيشين يعني Fast Ethernet و Ethernet مگا بيتي سازگارند اما براي بهره مندي از بيشترين سرعت بايد از هر 4 زوج سيم استفاده كرد. افزون بر اين از يك مدولاسيون پنج سطحي نيز استفاده مي شود. همه اينها

 چند سالی است که مبحث خدمات الکترونیک و تحت وب و بلاخص اینترنت بانک بازارش در ایران داغه و همه بانک ها چه خصوصی چه دولتی سعی میکنن با دادن خدمات نوین تر گوی سبقت رو از رقبا بربایند ولی آیا در کنار این دغدغه خدمات رسانی به امنیت هم توجه شده است؟

امروز به زبان ساده شما رو با SSL آشنا میکنم:

فرض کنید شما در خانه نشستین و قصد وارد کردن اطلاعات کارت خود برای استفاده از خدمات بانک مقصد دارید .البته غافل از اینکه در بین راه ارتباطی شما تا بانک هکر محترم نشسته و داره اطلاعات شما رو سرقت  میکنه.

 به این روش اصطلاحآ میگن Man in the Middle   از مزایای این مدل هکینگ راحت بودن و تقریبآ غیر قابل رد یابی بودن بعد از انجام رو میشه نام برد همچنین چون این مدل هکینگ مستقیم بر روی سرورهای بانکی انجام نمیشه و صرفآ محدوده ای از کاربران رو مورد هدف قرار میده بخش امنیت سیستم از وجود اون با خبر نخواهد شد.

یکی از روش هایی که برای مقابله با این هکرها وجود داره استفاده از تونل امن SSL   است. وقتی که سایتی رو با آدرس HTTPS مشاهده میکنید یعنی این کانال امن که اطلاعات شما را تا مقصد رمز نگاری میکند برقرار شده و شما با آرامش خاطر میتوانید اطلاعات مهم خود را در وب سایت مورد نظر وارد کنید.

البته همیشه استفاده از SSL یا همون HTTPS نمیتونه شما رو نجات بده چون اگر هکر یک اصطلاحآ گواهی جعلی را برای شما بفرسته دیگه دیتای شما چون با الگوریتم هکر رمز شده پس به راحتی توسط خود هکر هم قابل رمز گشایی است.

پس راه حل چیست؟

راه حل استفاده از گواهی  سرور های تایید شده در دنیاست که وب سایت مورد نظر را تایید خواهند کرد و در مرورگر خود با پیغام ارتباط غیر قابل اطمینان مواجه نمیشوید این گواهی ها قابل اجاره هستند درست مثل دامنه که اجاره میکنید.

  البته خود ادمین سیستم هم میتواند از گواهی های خود امضا Self-signed استفاده کنه که بازم مشکل ساز میشه چون کاربر در مرورگر خود با پیغام خطا مواجه میشه چون نتونسته گواهی رو با سرور های اصلی تایید کنه.

و اما مشکل اصلی کجاست؟

همیشه آموزش جامعه برای رعایت امنیت حد اقل در استفاده از سرویسها به اندازه کافی امریست دشوار و در عین حال زمان بر ، یکی از موارد مهمی که بایستی به کاربران آموخت اینست که به محض مواجه با خطاهای مرورگر مبنی بر گواهی نامه جعلی مراتب را جهت پیگیری به سیستم گزارش دهند تا شاید بتوان از ادامه حمله یک هکر جلوگیری کرد.

آیا ما در ایران از گواهی نامه های معتبر استفاده میکنیم؟

با نگاهی به چند سرویس بانکی به راحتی میتوان دید که جواب برای بخش اعظمی از سیستم بانکی نه است.(البته شاید دلیل اصلی تحریم ایران باشه).

ادمین سیستم یک گواهی جعلی ساخته و سرویس را راه اندازی کرده است و احتمالآ کلی هم در مورد کانال امن SSL برای مدیر توضیح داده و که دیگه ارتباط امن شد .

به دلیل این که ما داریم حساسیت کاربر رو در هنگام مشاهده صفحه اخطار مرورگر مبنی بر معتبر نبودن گواهی از بین میبریم و با توجه به اینکه از یک گواهی خود ساخته استفاده میکنیم پس هکر هم میتونه گواهی جعلی بسازه . پس نه تنها امنیت کاربر و سیستم بالا نرفته بلکه این بد ترین کار ممکن بوده که انجام شده.

به نظر من استفاده نکردن از SSL و استفاده از راهکارهای رمز نگاری در بخش کلاینت در شرایطی که نمیشه از گواهی های قانونی استفاده کرد بهترین راهه .  ابته کاملآ بدیهی است که نظارت بر چنین رفتارهایی در مثال ما که سیستم بانکی است به عهده بانک مرکزی است چون حتی اگر یک بانک هم دچار این مشکل باشد برای ترویج فرهنگ غلط استفاده از گواهی جعلی کافی است.

و فردا میلیاردها تومن باید خرج بشه تا  به کاربر بفهمونید اگر با خطای مرورگر مواجه شد به سیستم امنیت خبر بده…..

http://www.kerneldatarecovery.com