آرشیو دسته: فایروال Firewall

  • ۰

پیکربندی FirewallD در CentOS

پیکربندی FirewallD در CentOS

پیکربندی FirewallD در CentOS

همانطور که می‌دانید فایروال FirewallD جایگزین iptables در CentOS 7 و بسیاری از لینوکس‌های نسل جدید شده است. شما عزیزان می توانید در صورت نیاز به شناخت بیشتر این قابلیت به پست معرفی فایروال FirewallD که در دانشنامه منتشر شده است مراجعه نمایید. در این مطلب از سری آموزش‌های FirewallD با کانفیگ FirewallD در CentOS در خدمت شما خواهیم بود.

این فایروال که نسخه داینامیک iptables بشمار می‌رود از تنظیمات بسیار خوب و ساده‌ای برخوردار است و برای تنظیم آن شما می‌توانید از دستور firewall-cmd و یا محیط گرافیکی آن استفاده کنید.

در ابتدا شایان ذکر است که این فایروال دارای zone ها و تنظیمات زیادی است و در این مطلب به نحوه تنظیم zone ، پورت فورواردینگ ، کار کردن با سرویس ها و حذف و اضافه کردن پورت ها در خدمت شما خواهیم بود.

کانفیگ FirewallD در CentOS

ست کردن کانفیگ FirewallD در CentOS

برای وارد کردن و اعمال دستورات FirewallD به 2 شکل می‌توان اقدام کرد.

Permanent : هنگامی که از permanent در دستورات خود استفاده می‌کنید ، دستورات در فایل XML فایروال وارد شده ولی تا زمانی که فایروال را reload نکنید یا سیستم ریبوت نشود ، اعمال نمی گردد.

RunTime : هنگامی که دستوری را بدون هیچ سوییچی جهت ست کردن وارد کنید، دستور بلادرنگ اجرا شده ولی پس از Reload و یا ریبوت CentOS حذف می‌گردد.

به عنوان مثال برای اضافه کردن سرویس http در FirewallD به صورت Permanent به شکل زیر دستور وارد می‌شود.

و همین دستور برای اجرای RunTime به شکل زیر می باشد.

حال پس از وارد کردن دستور اول به صورت Permanent ، برای اجرای آن باید دستور زیر را وارد کنید.

با وارد کردن دستور بالا ، فایروال یک بار دیگر راه اندازی شده و دستورات وارد شده را اعمال می‌نماید.

نکته مهم: هنگام Reload کردن فایروال برای چند لحظه تمام تنظیمات وارد شده برای فایروال متوقف شده و دوباره شروع بکار می‌کنند. ترجیحاً در صورت ترافیک زیاد بر روی سرور دستور را به صورت RunTime و Permanentt وارد کنید تا تنظیم شما اعمال شده و پس از ریبوت CentOS همچنان پا برجا باقی بماند.

Zone های FirewallD

zone ها به عنوان یک ساختار از پیش تنظیم شده می‌باشند و شما می توانید آنها را نسبت به شرایط امنیتی و قرار گیری سرور در اینترنت یا شبکه داخلی و یا … انتخاب نمایید.

هر یک از Zone ها برای یک شبکه خاص تنظیم شده‌اند و ترافیک را نسبت به آن تنظیمات کنترل می‌کنند.

Zone پیش فرض در ابتدای فعال سازی فایروال Public می باشد.

Zone ها همچنین می‌توانند بر روی کارت شبکه‌های مختلف تنظیم شوند و هر کارت شبکه و ترافیک آن توسط قوانین یک Zone کنترل شود.

برای دیدن Zone فعال در FirewallD دستور زیر را وارد کنید.

برای تغییر Zone پیشفرض می‌توانید از دستور زیر استفاده نمایید.

برای دیدن کارت شبکه و Zone فعال بر روی آن از دستور زیر استفاده می‌شود.

همچنین برای دیدن تمام تنظیمات Zone مورد نظر از دستور زیر می‌توان بهره برد.

خروجی دستور بالا مشابه تصویر زیر خواهد بود.

پیکربندی FirewallD در CentOS

با توجه به خروجی در تصویر بالا ، نشان می‌دهد IPv4 و IPv6 در این zone فعال است و پورت‌های 80 ، 2222 و 2323 باز می باشند.

همچنین این Zone بر روی اینترفیس eno16777728 فعال می باشد.

برای دریافت تنظیمات تمام zone ها دستور زیر کاربردی است.

کار با سرویس‌های FirewallD

FirewallD برای سادگی کار مدیران لینوکسی ، تنظیمات سرویس‌هایی را از پیش کانفیگ کرده و شما تنها نیاز است که از نام آنها استفاده کنید تا تنظیمات بر zone مورد نظر اعمال شود.

همچنین شما می‌توانید به دلخواه خود سرویس را معرفی کنید.

فایل تنظیمات تمام سرویس‌ها از پیش تعیین شده در دایرکتوری usr/lib/firewalld/services/ و سرویس‌هایی که کاربران تعریف می‌کنند در دایرکتوری etc/firewalld/services/ قرار دارند.

برای دریافت لیست سرویس‌های از پیش تنظیم شده دستور زیر را وارد کنید.

برای فعال و یا غیرفعال کردن یک سرویس می‌توانید از دستورات زیر بهره ببرید.

Allow و Deny کردن پورت و پروتکل دلخواه در FirewallD

برای دسترسی دادن به یک پورت به مانند پورت 12345 به شکل زیر اقدام کنید.

همچنین برای حذف پورت 12345 که در دستور قبل دسترسی داده شد ، از دستور زیر استفاده می‌گردد.

تفاوت دو دستور قبل تنها در کلمات add و remove است که به ترتیب یک پورت را اضافه و یا حذف می‌کنند.

port forwarding در فایروال FirewallD

برای فوروارد کردن یک پورت به پورتی دیگر همانند دستور زیر می‌توان اقدام کرد.

در مثال بالا پورت 80 به پورت 12345 فوروارد شده است.

حال برای فوروارد کردن یک پورت به سرور دیگر از روش زیر استفاده می گردد.

ابتدا قابلیت masquerade را با دستور زیر در zone مورد نظر فعال کنید.

سپس به شکل زیر می‌توانید پورت را بر روی یک سرور دیگر فوروارد کنید.

در مثال بالا پورت 80 به پورت 8080 در سرور 192.168.1.1 فوروارد شده است.

در نهایت برای حذف دستور پورت فوروارد بالا از دستور زیر استفاده کنید.

در این آموزش نحوه باز و بستن پورت ها ، اضافه کردن و حذف سرویس ها و همچنین port Forwarding را در FirewallD فرا گرفتید.

در مقالات بعدی به تنظیمات پیشرفته کانفیگ FirewallD در CentOS و آموزش دستورات Rich Rules می‌پردازیم.

امیدواریم آموزش کانفیگ FirewallD در CentOS برای شما مفید واقع شده باشد.

 

 


  • ۰

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فایروال

فایروال چگونه کار می کند؟ در صورتیکه تاکنون مدت زمان کوتاهی از اینترنت استفاده کرده باشید و یا در یک اداره  مشغول بکار هستید که بستر لازم برای دستیابی به اینترنت فراهم شده باشد،  احتمالا” واژه  ” فایروال ” را  شنیده اید. مثلا” اغلب گفته می شود که : ” در اداره ما امکان استفاده از این سایت وجود ندارد ، چون سایت فوق را از طریق فایروال بسته اند ” .  در صورتیکه از طریق خط تلفن به مرکز ارائه دهنده خدمات اینترنت (ISP) متصل و  از اینترنت استفاده می نمائید ، امکان استفاده  فایروال توسط ISP مربوطه نیز وجود دارد. امروزه در کشورهائی که دارای خطوط ارتباطی با سرعت بالا نظیر DSL و یا مودم های کابلی می باشند ، بهه کاربران خانگی توصیه می گردد که هر یک از فایروال استفاده نموده و با استقرار لایه فوق بین شبکه داخلی در منزل و اینترنتت ، مسائل ایمنی را رعایت نمایند. بدین ترتیب با استفاده از یک فایروال می توان یک شبکه را در مقابل عملیات غیر مجاز توسط افراد مجاز و عملیات مجاز توسط افراد غیرمجاز حفاظت کرد.

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فایروال چیست ؟

فایروال نرم افزار و یا سخت افزاری است که اطلاعات ارسالی از طریق  اینترنت  به شبکه خصوصی و یا کامپیوتر شخصی را فیلتر می نماید. اطلاعات فیلترشده ، فرصت توزیع  در شبکه را بدست نخواهند آورد.

فرض کنید، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپیوتر بوده که بر روی هر کدام یک کارت شبکه نصب شده و یک شبکه درون سازمانی ( خصوصی ) ایجاد شده است . سازمان فوق دارای یک یا چند خط اختصاصی ( T1 و یا T3 ) برای استفاده از اینترنت است . بدون استفاده از فایروال تمام کامپیوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سایت و هر شخص بر روی اینترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و یا Telnet بمنظور ارتباط مستقیم با افراد حقوقی و یا حقیقی موجود بر روی اینترنت می باشند. عدم رعایت مسائل ایمنی توسط پرسنل سازمان، می تواند زمینه دستیابی به اطلاعات موجود در شبکه داخلی را برای سارقین و متجاوزان اطلاعاتی اینترنت فراهم نماید.

زمانیکه در سازمان فوق از فایروال استفاده گردد، وضعیت کاملا”  تغییر خواهد کرد. سازمان مربوطه می تواند برروی هر یک از خطوط ارتباطی اینترنت یک فایروال نصب نماید.فایروال مجموعه سیاست های امنیتی را پیاده سازی می نماید. مثلا” یکی از قوانین فوق می تواند بصورت زیر باشد :

– تمام کامپیوترهای موجود در شبکه مجاز به استفاده از اینترنت می باشند ، فقط یک فرد مجاز به استفاده از سرویس FTP است و سایر پرسنل مجاز به استفاده از سرویس فوق نخواهند بود.

یک سازمان می تواند برای هر یک از سرویس دهندگان خود ( وب ، FTP،  Telnet و … ) قوانین مشابه تعریف نماید. سازمان قادر به کنترل پرسنل  بهمراه  لیست سایت های مشاهده  خواهد بود.  با استفاده از  فایروال یک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فایروال ها بمنظور کنترل ترافیک یک شبکه از روش های زیر استفاده می نمایند:

فیلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فیلتر، آنالیز خواهند شد. بسته هائی که از آنالیز فوق سربلند بیرون  آیند از فایروال عبور داده شده و  بسته ها ئی  که شرایط لازم را برای عبور از فایروال را نداشته باشند دور انداخته شده و از فایروال عبور نخواهند کرد.

سرویس Proxy . اطلاعات درخواستی از طریق اینترنت توسط فایروال بازیابی و در ادامه در اختیار  درخواست کننده گذاشته خواهد شد. وضعیت فوق در مواردیکه کامپیوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نیز صدق می کند.

بهینه سازی استفاده از فایروال

فایروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پیکربندی کرد. در این راستا امکان اضافه  و یا حذف فیلترهای متعدد بر اساس شرایط متفاوت وجود خواهد داشت  :

آدرس های IP . هر ماشین بر روی اینترنت دارای یک آدرس منحصر بفرد با نام IP است . IP یک عدد 32 بیتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمایش داده می شود (Octet) . در صورتیکه یک آدرس IP خارج از شبکه، فایل های زیادی را از سرویس دهنده می خواند ( ترافیک و حجم عملیات سرویس دهنده را افزایش خواهد داد) فایروال می تواند ترافیک از مبداء آدرس فوق و یا به مقصد آدرس فوق را بلاک نماید.

اسامی دامنه ها ( حوزه ) . تمام سرویس دهندگان بر روی اینترنت دارای اسامی منحصر بفرد با نام ” اسامی حوزه”  می باشند. یک سازمان می تواند با استفاده از فایروال، دستیابی به سایت هائی را غیرممکن  و یا صرفا” امکان استفاده از یک سایت خاص را برای پرسنل خود فراهم نماید.

پروتکل ها . پروتکل نحوه گفتگوی بین سرویس دهنده و سرویس گیرنده را مشخص می نماید . پروتکل های متعدد با توجه به اهداف گوناگون در اینترنت استفاده می گردد. مثلا”  http  پروتکل وب و Ftpp پروتکل مربوط به دریافت و یا ارسال فایل هاا است . با استفاده از فایروال می توان، میدان  فیلتر نمودن را  بر روی  پروتکل ها متمرکز کرد.   برخی از پروتکل های رایج که می توان بر روی آنها فیلتر اعمال نمود بشرح زیر می باشند :

§       IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اینترنت است .

§       TCP)Transport Control Protocol ) مسئولیت تقسیم یک بسته اطلاعاتی به بخش های کوچکتر را دارد.

§       HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه  اطلاعات در وب است.

§       FTP)File Transfer Protocol) . پروتکل فوق برای دریافت و ارسال فایل ها استفاده می گردد.

§       UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نیاز ندارند استفاده می شود( پخش صوت و تصویر)

§       ICMP)Internet control  Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابین استفاده می شود.

§       SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.

§       SNMP)Simple Network  Management Protocol).از پروتکل فوق بمنظور اخذ  اطلاعات از یک کامپیوتر راه دور استفاده  میشود

§       Telnet . برای اجرای دستورات بر روی یک کامپیوتر از راه دور استفاده می گردد.

پورت ها . هر سرویس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اینترنت ارائه می دهد. مثلا” سرویس دهنده وب اغلب از پورت 80 و سرویس دهنده Ftp از پورت 21 استفاده می نماید.  یک سازمان ممکن است با استفاده از فایروال امکان دستیابی به پورت 21 را بلاک نماید.

کلمات و عبارات خاص . می توان با استفاده از فایروال کلمات و یا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی  که حاوی  کلمات مشخص شده  باشد  توسط فایروال بلاک خواهد شد.

همانگونه که اشاره شد فایروال ها به  دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فایروال های نرم افزاری بر روی کامپیوتری نصب می گردند که خط اینترنت به آنها متصل است .کامپیوتر فوق بمنزله یک Gateway رفتار می نماید چون تنها نقطه قابل تماس، بمنظور ارتباط کامپیوتر و اینترنت است . زمانیکه فایروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود.  امنیت فایروال های سخت افزاری بمراتب بیشتر از فایروال های نرم افزاری است .

تهدیدات

حمله کنندگان به شبکه های کامپیوتری از روش های متعددی استفاده می نمایند.

Remote Login .  امکان برقراری ارتباط با کامپیوتر و کنترل آن توسط فرد غیرمجاز است .  دامنه عملیات فوق می تواند از مشاهده و دستیابی به برخی از فایل ها تا اجرای برخی برنامه ها بر روی کامپیوتر باشد.

Application Backdoors . برخی از برنامه ها دارای امکانات ویژه ای برای دستیابی از راه دور می باشند. برخی دیگر از برنامه ها دارای اشکالاتی بوده بگونه ای که یک Backdoor را ایجاد و یا امکان دستیابی مخفی را ارائه می دهند. در هر حالتت امکان کنترل برنامه فراهم خواهد گردید.

SMTP session hijacking . پروتکل SMTP رایج ترین روش برای ارسال e-mail است . با دستیابی به لیستی از آدرس های e-mail ، یک شخص قادر به ارسال e-mail به هزاران کاربر دیگر خواهد شد.

اشکالات سیستم های عامل . سیستم های عامل نظیر سایر برنامه های کاربردی ممکن است دارای Backdoor باشند.

انفجار E-mail . یک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعیت فوق سیستم پست الکترونیکی قادر به دریافت تمام نامه های ارسالی نخواهد بود.

ماکرو. اغلب برنامه های کاربردی این امکان را برای کاربران خود فراهم می نمایند که مجموعه ای از اسکریپت ها را بمنظور انجام عملیات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نماید. اسکریپت های فوق ” ماکرو ” نامیده می شوند. حمله کنندگان به شبکه های کامپیوتری با آگاهی از واقعیت فوق، اقدام به ایجاد اسکریپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف  و یا باعث از کار افتادن کامپیوتر گردند.

ویروس . رایج ترین روش جهت آسیب رساندن به اطلاعات، ویروس است . ویروس یک برنامه کوجک است که قادر به تکثیر خود بر روی کامپیوتر دیگر است . عملکرد ویروس ها بسیار متفاوت بوده و از اعلام یک پیام ساده  تا حذف تمام داده ها  را میی تواند شامل گردد.

سرویس دهنده Proxy

سرویس دهنده Proxy اغلب با یک فایروال ترکیب می گردد. سرویس دهنده Proxy بمنظور دستیابی به صفحات وب توسط سایر کامپیوترها استفاده می گردد. زمانیکه  کامپیوتری درخواست یک صفحه وب را می نماید،  صفحه مورد نظر توسط سرویس دهنده Proxy بازیابی و در ادامه برای کامپیوتر متقاضی ارسال خواهد شد. بدین ترتیب تمام ترافیک ( درخواست و پاسخ ) بین درخواست کننده یک صفحه وب و پاسخ دهنده از طریق سرویس دهنده Proxy انجام می گیرد.

سرویس دهنده Proxy می تواند کارائی استفاده از اینترنت را افزایش دهد. پس از دستیابی  به یک صفحه وب ،  صفحه فوق بر روی سرویس دهنده Proxy  نیز ذخیره (Cache) می گردد. در صورتیکه در آینده قصد استفاده از صفحه فوق را داشته باشید  صفحه مورد نظر از روی سرویس دهنده Proxy در اختیار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود)

 


  • ۰

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

۱۰ ویژگی مهمی که در خرید یک دستگاه فایروال باید به دنبال آن باشید چیست؟

نکات کلیدی در خرید فایروال: فایروال ها نقش بسیار مهمی در شبکه ها ایفا میکنند. آنها شبکه را در برابر لیستی پایان ناپذیر از تهدیدات ایمن میکنند و دسترسی های خراب کاران را محدود میکنند. بسیاری از آنها بوسیله پروتکل های خاص ارتباطی، امکان ارتباط ایمن مراکز مختلف با یکدیگر را فراهم میکنند.

ما در این مقاله ۱۰ نکته ای که شما در هنگام خرید فایروال باید در نظر بگیرید یادآوری میکنیم:

 

  • ایمنی در سطح مناسب

بسیاری از شرکت های دنیا، اعم از خارجی و داخلی، در حال تولید دستگاه های یو تی ام و فایروال هستند. تمامی آنها ادعاهایی در مورد ویژگی های دستگاه های خود دارند. بر اساس ویژگی های دستگاه ها و قابلیت های امنیتی آنها، مدل های مختلفی عرضه میشوند که ویژگی های متفاوتی دارند.

شما میبایست مطمئن شوید که ویژگی هایی که انتخاب میکنید تمامی نیازهای شبکه شما را پوشش دهد و استانداردهای بین المللی دستگاه ها را رعایت کنند. مرجع تمامی استانداردهای بین اللملیICSA(Industry Standards for Packet Inspection) میباشد. این استاندارد مخفف “استاندارهای صنعت برای بررسی پکت ها” میباشد.

 

  • قابلیت دسترسی از طریق رابط کاربری

بسیاری از دستگاه ها بر مبنای سیستم های نوشتاری دستور (Command-Line-only) طراحی شده اند که کار را برای بسیاری از متخصصین سخت میکند. مطمئن شوید که دستگاهی که تهیه میکنید از رابط کاربری استاندارد و مناسبی برخوردار است. بسیاری از دستگاه ها تلاش میکنند که دستگاهی با رابط کاربری آسان و کاربرپسند ارائه دهند. این قابلیت فواید بسیاری دارد. از جمله آنها اجتنباب از اشتباهات در حین تنظیمات و نصب است. همچنین رابط کاربری آسان باعث میشود که خطاها و مشکلات سریعتر شناسایی و رفع شوند، کاربران سیستم و مدیران راحت تر و سریعتر آموزش ببینند، و تغییرات درون شبکه سریعتر اتفاق بیفتد.

 

  • پشتیبانی از VPN

یکی از مهم ترین ویژگی های دستگاه های فایروال ایجاد بستر ارتباطی بر اساس تونل ایمن است که هکرها و کاربران نامعتمد را از شبکه دور میکند. یک فایروال خوب میتواند یک شبکه مجازی ایمن ایجاد کند و آن را به طور کامل مانیتور نماید. در صورتیکه ارتباط ایمن بین مراکز برای شما مهم است، حتما به دنبال دستگاه ای باشید که کانال های SSL و IPSec را ساپورت کنند.

 

  • قدرت پشتیبانی از پهنای باند بالا

در برخی از شبکه ها، فایروال ها تنها برای مباحث امنیتی و کنترل پورت ها استفاده میشود. برخی دیگر از ویژگی های سوئیچینگ و روتینگ دستگاه ها نیز استفاده میکنند و به عنوان Internet Gateway از آن استفاده میکنند. بدیهی است نیاز سخت افزاری در هریک از این دستگاه ها متفاوت بوده و میبایست دستگاه هایی متناسب با نیاز شبکه تهیه کرد.

 

  • ساپورت مناسب

مطمئن شوید که دستگاهی که تهیه میکنید، دارای ساپورت ۲۴ ساعت و هفت روزه هفته است. وقتی یک دستگاه جدید و گران قیمت است، این اصلا بدان معنی نیست که شما مشکلی با آن نخواهید داشت. در هنگام خرید دستگاه ها دقت نمایید که از کیفیت خدمات پس از فروشی که از فروشند دریافت میکنید آگاه گردید.

 

  • سیستم بی سیم ایمن

در بسیاری از موارد ، سرویس های بی سیم در سازمان ارائه نمیشوند و خیلی از کارشناسان IT تمایلی به داشتن دستگاه هایی که قابلیت کنترل سیستم بی سیم را داشته باشند احتیاجی ندارند. ولی تهیه این قابلیت این امکان را به کارشناسان میدهد که در صورت نیاز به این قابلیت، مثلا در هنگامیکه سرویس اینترنت بی سیم به مهمان ها ارائه میشود، این امکان را با چند تغییر ساده در ساختار شبکه و بدون هزینه اضافی در اختیار داشته باشند.

 

  • ایمنی در Gateway

داشتن قابلیت هایی نظیر آنتی ویروس مرکزی، آنتی اسپم، Spyware، و غیره، میتواند تا حد زیادی نیاز شبکه به پراکندگی این سرویس ها در سرورهای مختلف و یا حتی خارج از شبکه را حل نماید.

 

  • فیلترینگ محتوا

در حالیکه بسیاری از کارشناسان شبکه، فیلترینگ محتوا را بوسیله ابزارهایی نظیر OpenDNS انجام میدهند، برخی تولید کنندگان فایروال و یو تی ام این قابلیت ها را در دستگاه های خود قرار داده اند. مزیت این روش این است که تمامی سرویس هایی که در شبکه شما نیاز است، از Gateway Security تا Content Filtering در یک دستگاه جمع شده اند. تنها نکته این دستگاه ها قیمت بیشتر آنها نسبت به سایر دستگاه ها خواهد بود.

 

  • مانیتورینگ پیشرفته و گزارش گیری یکپارچه

تعداد گزارشات و لاگ هایی که یک دستگاه فایروال در طی یک روز تولید میکند بسیار زیاد است. در یک روز کاری، یک دستگاه فایروال هزاران حمله نفوذ را شناسایی و بلاک میکند، ویروس ها و بدافزارها را شناسایی میکند و تعداد زیادی اتصالات موفق و ناموفق را مدیریت و ثبت میکند. اما این اطلاعات تنها زمانی مفید هستند که در یک سیستم جامع و گویای گزارش گیری ارائه شوند.

شما باید به دنبال دستگاهی باشید که گزارشات دقیق، گویا و کاربردی تولید و ارائه میدهند. یک فایروال خوب میبایست سیستم ایجاد و ارسال ایمیل در مواقع هشدار را نیز پشتیبانی کند.

 

  • قابلیت Failover

بعضی سازمان ها نیازمند قابلیت Failover هستند. این قابلیت به دستگاه ها اجازه میدهند که بصورت رزرو در کنار یکدیگر کار کرده و در صورتیکه، به هر دلیلی، یکی از آنها از مدار خارج شد، دیگری وارد مدار شده و ادامه فعالیت بدون هیچگونه خللی ادامه یابد. بسیاری از دستگاه های فایروال قابلیت Automatic Failover را پشتیبانی نمیکنند. پس اگر قصد خرید یک دستگاه را دارید و این قابلیت برای شما مهم است، حتما در بین ویژگی های آن این مطلب را جستجو کنید.

 

 


  • ۰

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall ، پاسخگوی نیازهای امنیتی متفاوتی در سازمانهای مختلف می باشند . مدیران امنیت شبکه  با توجه به نیاز شبکه تحت مدیریتشان می توانند  UTM فایروال سایبروم مورد نیاز خود را با انتخاب لایسنس مستقل یا بصورت راه اندازی کنند  .

 

وقتی که شما قصد خرید یک فایروال سایبروم را دارید در واقع در ایتدا شما قیمت یک دستگاه سخت افزاری را خواهید گرفت که دارای برخی از امکانات محدود فایروال می باشد . در امکانات اولیه فایروال سایبروم ، شما گزینه هائی مانند :

–          تنظیمات مربوط به اینترفیس های شبکه و ایجاد شبکه های مخنلف

–          تنظیمات مربوط به رول های دسترسی Access Role  در بخش مربوط به فایروال

–          ایجاد کاربران ، گروهها و اعمال Policy های مربوط به آنها

–          ایجاد یک شبکه VPN و تنظیمات ارتباطی شبکه خصوصی مجازی

–          و برخی از امکانات دیگر

 

اما بخش مهمی که باید در راه اندازی یک فایروال سایبروم در شبکه به آن نیاز دارید این است که آیا در شبکه خود سروری یا سرویسی را دارید که نیاز به Publish  کردن آن در اینترنت باشد یا خیر ؟

آیا نیاز دارید که فایلهای ورودی و خروجی در شبکه شما را یک آنتی ویروس بررسی کرده و آلودگی ها را کنترل کند؟

اگر در سازمان خود از سرویسهای ایمیل استفاده می کنید آیا نیاز به آنتی اسپم در فایروال سایبروم دارید ؟

IPS بخش مهمی از امکانات هر فیروالی می باشد که این مورد نیز جزء لایسنسهای فایروال سایروم محسوب می شود .

 

بطور خلاصه اگر شما به امکانات نرم افزاری نیاز دارید  حتماً باید یکی از انواع لایسنس فایروال سایبروم را خریداری نمائید .

اگر قصد خرید فایروال سایبروم  را دارید می توانید  اشتراکهای یکساله ، دوساله و سه ساله لایسنس سایبروم را بصورت یکجا یا جداگانه بنابر نیاز امنیتی خود خریداری نمایند :
لایسنسهای جداگانه سایبروم :

  • لایسنس آنتی  ویروس و ضد بد افزار سایبروم (Antivirus and Antispyware)
  • لایسنس آنتی اسپم (AntiSpam)
  • لایسنس فیلترینگ وب و نرم افزارهای تحت اینترنت (Web and Application Filter)
  • لایسنس سیستم جلوگیری از نفوذ (IPS)
  • لایسنس فایروال نرم افزارهای تحت وب (Web Application Firewall)
  • لایسنس Outbound Anti-Spam
  • لایسنس پشتیبانی 5*8 یا 7*24

 

 

 

لایسنس های یکجا سایبروم (Cyberoam Bundled Subscription)

  • Security Value Subscription (SVS)

لایسنس فایروال سایبروم SVS پاسخگوی نیاز سازمانهایی است که نیازمند امنیت پست الکترونیکی (Mail Server Security) نمی باشند . لایسنس SVS شامل آنتی ویروس و آنتی بد افزار ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Total Value Subscription (TVS)

لایسنس فایروال سایبروم  TVSپاسخگوی نیاز سازمانهایی است که نیازمند امنیت جامع و کامل می باشند . لایسنس TVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Comprehensive Value Subscription (CVS)

لایسنس فایروال سایبروم  CVSپاسخگوی تمام نیازهای امنیتی سازمانهایی است که میزبان نرم افزارهای کاربردی تحت وب می باشند . لایسنس CVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، فایروال نرم افزارهای تحت وب ، سیستم جلوگیری از نفوذ ، پشتیبانی 7*24 می باشد .

 

Security for varied network needs

Cyberoam meets the varying security needs of customers. Depending on their specific needs, customers can configure Cyberoam UTM appliances to secure their network with choice of individual and bundled security solutions.

Cyberoam security features that come with the UTM appliance at no extra cost

1 CRwi & CRwiNG range of Appliances only      2 Not supported by Cyberoam virtual network security appliances

Cyberoam security features can be subscribed to, individually or as bundles, and are available as 1 year, 2 year and 3 year subscriptions.

Individual Subscriptions

Bundled Subscriptions

Security Value Subscription (SVS) /Security Value Subscription Plus (SVSP) – This security bundle meets the needs of organizations with non-email security requirements. SVS includes Gateway Anti-Virus & Anti-Spyware, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. SVSP covers these security services with 24×7 support.These bundled security offerings are available for CRia and CR NG series of network security appliances.

Total Value Subscription (TVS) / Total Value Subscription Plus (TVSP) – This security bundle offers total security to organizations along with email security. TVS includes Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. TVSP covers these security services with 24×7 support. These bundled security offerings are available for CRia and CR NG series of network security appliances.

Comprehensive Value Subscription (CVS) – This security bundle meets the needs of organizations hosting web-facing applications. CVS includes Web Application Firewall, Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 24×7 Email, phone and chat Tech Support. This bundled security offering is available for CR NG series of network security appliances and Cyberoam virtual security appliances.

 

 


  • ۰

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

مقدمه :

Firewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار . معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یFirewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار .

 

معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یک شبکه عمومی مانند اینترنت به آن دسترسی داشته باشیم .

دلیل بسیار ساده ای دارد ؟ که آن نیاز به بقاء و رقابت است . اعتبار کمپانیها در اینترنت به تبلیغات تولیداتشان می باشد . اینترنت به صورت شگفت انگیزی در حال رشد است .

مانند یک فروشگاه بسیار بزرگ بیشتر مردم به طرف اینترنت می آیند وهمانطوریکه در یک فروشگاه باید محصولات سالم باشند و بعد از فروش گارانتی بشوند اطلاعات و داده و انتقالات آنها نیز باید به صورت امن و گارانتی شده باشد .

حال باید مکانیزمهایی برای حفاظت از شبکه داخلی یا اینترنت شرکت در مقابل دسترسی های غیر مجاز ارائه دهیم

 

Firewall های مختلفی با ساختارهای مختلف وجود دارد ولی عقیده اصلی که پشت آنها خوابیده یکسان است . شما به شبکه ای نیاز دارید که به کاربرانتان اجازه دسترسی به شبکه های عمومی مانند اینترنت را بدهد و برعکس .

مشکل زمانی پیش می آید که کمپانی شما بدون در نظر گرفتن معیارهای امنیت بخواهد به اینترنت وصل شود و شما در معرض دسترسی از طرف Server های دیگر در اینترنت هستید. نه تنها شبکه داخلی کمپانی در مقابل دسترسی های غیر مجاز آسیب پذیر است بلکه تمام Server های موجود در شبکه کمپانی در معرض خطر هستند .

بنابراین به فکر محافظت از شبکه می افتید و اینجاست که نیاز به یک Firewall احساس می شود .

به هر حال قبل از فکر کردن درباره Firewall باید سرویسها واطلاعاتی که می خواهید روی اینترنت در دسترس عموم قرار دهید مشخص کنید .

آشکارست که در ابتدا شما می خواهید مطمئن شوید که سرور شما امن است شما می توانید مجوزهای دسترسی , انتقال فایل و اجرای راه دور و همچنین منع مجوزهای ورود دوباره , Telnet , Ftp , SMTP ودیگر سرویسها . اگر شما بخواهید از این سرویسها استفاده کنید نیاز به Firewall دارید

به هر حال Firewall چیست ؟ اساسا یک فایروال جداکننده شبکه های امن از ناامن در اینترنت است . Firewall تمام اتصالاتی که از اینترنت به شبکه های محافظت وارد می شوند را فیلتر می کند .

قبل از تعریف اینکه چه نوع از Firewall ها بهترین مجموعه برای نیازهای ماست , ما باید توپولوژی شبکه را برای تعیین اجزای آن مانند Hub ها , Switch ها , Router ها و Cabling آنالیز کنیم تا بهترین Firewall که مخصوص این توپولوژی باشد را پیدا کنیم .

برای ایجاد امنیت در شبکه ما نیاز به بررسی شبکه داخلی از لحاظ مدل لایه بندی ISO آن داریم بطوریکه می دانید Reapter ها و Hub ها در لایه اول , Switch ها و Bridge ها در لایه دوم و Router ها در لایه سوم , یک Firewall در تمام لایه های شبکه می تواند عمل کند ( از جمله در هر هفت لایه ) لایه ها مسئول پاسخگویی به کنترل و ایجاد نشستها و بکارگیری آنها می باشند . بنابراین با یک Firewall ما می توانیم جریان اطلاعات را در طول ایجاد کنترل کنیم .

Firewall ها به ما امکان مدیریت دروازه های ورود به Web را می دهد و امکان تمرکز روی پروژه اصلی را می دهد .

 

The purpose of a Firewall

Firewall ها به تنهایی نمی توانند امنیت شبکه را برقرار کنند آنها فقط یک قسمت از سایت شما را امن می کنند و به منظور امنیت شبکه باید محدوده ای از شبکه را مشخص کنید و نیاز به این دارید که چیزهایی در شبکه که باید محدود شوند را تعیین کنید ویک سیاست امن را گسترش دهید و مکانیسمهایی برای اعمال سیاستهای مورد نظر روی شبکه را ایجاد کنید البته مکانیسمهایی پشت Firewall ها هستند که می توانید به صورت عجیبی سطح امنیت را بالا ببرید .

این مکانیسمها بعد از اعمال سیاست امنیت مشخص می شوند و نه قبل از آن . برای ایجاد یک مکانیسم امن برای محافظت از Web Site شما باید یک Firewall برای نیازهای خود مشخص کنید وآن را پیاده سازی کنید.

ایجاد امنیت از سازمانی به سازمان دیگر متفاوت است البته این بستگی به چیزی که آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روی UNIX , NT , Dos کار می کند . شما دقیقا به بستر اجرایی مورد نظر خود دقت کنید همانطور که اجرای پروژه را مشخص می کنیم باید سطوح امنیت را نیز مشخص کنیم تا بتوانیم آن را پیاده سازی کنیم . این یک روش برای موفقیت در پیاده سازی مکانیسمهای امنیت است .

Firewall ها علاوه براین که امنیت واقعی را برقرار می کنند یک نقش اساسی در مدیریت امنیت را پوشش می دهند .

 

Firewall Role of Protection The

Firewall ها امنیت در شبکه را برقرار می کنند و ریسک Server های روی شبکه را با فیلتر کردن کاهش می دهند به عنوان مثال : شببکه دارای ریسک کمتری می باشد به علت اینکه پروتکلهای مشخص شده روی Firewall می توانند روی شبکه اعمال وظیفه کنند .

مشکل فایروالها محدودیت آنها در دسترسی به و از اینترنت است و شما مجبور می شوید که از Proxy Server استفاده کنید .

Firewalls Providing Access Control

سرورها می توانند از بیرون قابل دسترس باشند مثلا کسی ویروسی را با Mail می فرستند و بعد از اجرا , فایروال را از کار می اندازد . بنابراین تا جایی که امکان دارد از دسترسی مستقیم به سرورها جلوگیری کرد .

 

 

 

 

The Security Role of a Firewall

ما می توانیم به جای آنکه Server را محدود کنیم یک سرور را با تمام دسترسیهای ممکن به اینترنت وصل کنیم و Server دیگر را پشت Firewall به عنوان Backup از سرور قبلی داشته باشیم . با هک شدن یا خرابی سرور اولی ما می توانیم آن را بازیابی کنیم .

روشهای دیگر برای اعمال امنیت روی شبکه ممکن است موجب تغییراتی روی هر Server شبکه شود ممکن است تکنیکهای بهتری نسبت به Firewall ها باشد ولی Firewall ها برای پیاده سازی بسیار آسان هستند برای اینکه Firewall ها فقط یک نرم افزار مخصوص هستند .

یکی از مزایای Firewall ها استفاده آنها برای اینکه بتوانیم با Log کردن دسترسی به سایت آمار دسترسیهای به سایت خود را مشخص کنیم .

 

Advantages and Disadvantages of Firewalls

Firewall ها دارای مزایای بسیاری می باشند با این وجود دارای معایب نیز هستند . بعضی از Firewall در مقابل محدود کردن کاربران و درهای پشتی (Back door ) که محل حمله هکرها ست که امنیت ندارند .

 

Access Restrictions

Firewall ها برای ایجاد امنیت بعضی از سرویسها مانند Telnet , Ftp , Xwindow را از کار می اندازند و این تنها محدود به فایروالها نمی شود . بلکه در سطح سایت نیز می شود این کار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد که امنیت درهای پشتی کمپانی به وسیله Firewall تامین نمی شود بنابراین اگر شما هیچ محدودیتی در دسترسی به مودم نداشته باشد این در بازی برای هکرها ست

SLIP , PPP از راههای ورودی می باشند و سئوال پیش می آید که اگر این سرویسها وجود داشته باشند چرا از Firewall استفاده می کنیم .

Risk of Insider Attacks

ریسک دسترسی اعضای داخلی .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصمیم برای برپایی یک Firewall در شبکه دو سطحی می باشد .

Installation , Use of the System

سیاستهای دسترسی به شبکه محدودیتهایی بر روی شبکه در سطح بالا به ما می دهد . همچنین چگونگی به کارگیری این سرویسها را نیز مشخص می کند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده یک سیاست دسترسی به اینترنت یا مدیر Web و سرویسهای الکترونیکی معمولی هستید این سیاستها به دلایل زیر باید انعطاف پذیر باشند

اینترنت هر روز با سرعت غیر قابل پیش بینی رشد می کند . وقتی اینترنت تغییر تغییر می کند سرویسهای آن نیز تغییر می کند . بنابراین سیاستهای کمپانی باید تغییر کند و شما باید آماده ویرایش و سازگار کردن این سیاستها بدون تغییر در امنیت اولیه باشد .

کمپانی شما دارای ریسکهای متغیر با زمان است و شما باید در مقابل این ریسکها امنیت پردازشها را تامین کنید .

 

Service-Access Policy

سیاستهای دسترسی باید روی ورودی کابران متمرکز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسیاری از نتایج بد در مورد امنیت از پسوردهای ضعیف و غیر قابل تغییر ناشی می شوند .

پسوردها در اینترنت از راههای زیادی شکسته می شوند بنابراین بهترین پسوردها نیز بی ارزشند .

مسئله این است که پسوردهایی که باید با یک الگوریتم خاصی ساخته شوند می توان با آنالیز سیستم به پسوردها والگوریتم استفاده شده پی برد مگر اینکه پسوردها بسیار پیچیده باشند.یک کرکر می تواند با برنامه خود پسورد تعدادی از کاربران را امتحان کرده و با ترکیب نتایج ساختار کلی الگوریتم استفاده شده را بدست آورد و پسورد کاربران مختلف را مشخص کند.

همچنین باید فراموش نکرد که بعضی از سرویسهای TCP , UDP در سطح آدرس سرور هستند و نیازی به کاربران خاص خود ندارند .

به عنوان مثال یک هکر می تواند آدرس IP خود را با سرور یک کاربر معتبر یکسان کند واز طریق این کاربر یک مسیر آزاد به سرور مورد نظر باز کند و این کابر به عنوان یک واسط بین دو سرور عمل می کند .

هکر می تواند یک درخواست به کابر داده واین کاربر از سرور خود اطلاعات را به سرور هکر انتقال می دهد.این پروسه به عنوان IP Spoofing می باشد.

بیشتر روترها بسته های مسیر یابی شده منبع را بلاکه می کنند و حتی می توانند آنها از فیلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در یک روتر را بریا فیلتر کردن بسته هایی که بین روترها میانی جابجا می شوند به کار می برند این روترها بسته های IP را براساس فیلدهای زیر فیلتر می کنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 


  • ۰

حمله های DoS

حمله های DoS

حمله های DoS

حمله های DoS

حمله های DoS: هدف از حملات DoS ، ایجاد اختلال در منابع و یا سرویس هائی است که کاربران قصد دستیابی و استفاده از آنان را دارند ( از کار انداختن سرویس ها ) . مهمترین هدف این نوع از حملات ، سلب دستیابی کاربران به یک منبع خاص است . در این نوع حملات، مهاجمان با بکارگیری روش های متعددی تلاش می نمایند که کاربران مجاز را به منظور دستیابی و استفاده از یک سرویس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرویس هائی که یک شبکه ارائه می نماید ، اختلال ایجاد نمایند . تلاش در جهت ایجاد ترافیک کاذب در شبکه ، اختلال در ارتباط بین دو ماشین ، ممانعت کاربران مجاز به منظور دستیابی به یک سرویس ، ایجاد اختلال در سرویس ها ، نمونه هائی از سایر اهدافی است که مهاجمان دنبال می نمایند . در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و یک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد . استفاده صحیح و قانونی از برخی منابع نیز ممکن است ، تهاجمی از نوع DoS را به دنبال داشته باشد . مثلا” یک مهاجم می تواند از یک سایت FTP که مجوز دستیابی به آن به صورت anonymous می باشد ، به منظور ذخیره نسخه هائی از نرم افزارهای غیرقانونی ، استفاده از فضای ذخیره سازی دیسک و یا ایجاد ترافیک کاذب در شبکه استفاده نماید . این نوع از حملات می تواند غیرفعال شدن کامپیوتر و یا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوریت و تاکید بر نقش و عملیات مربوط به هر یک از پروتکل های شبکه و بدون نیاز به اخذ تائیدیه و یا مجوزهای لازم ، صورت می پذیرد . برای انجام این نوع حملات از ابزارهای متعددی استفاده می شود که با کمی حوصله و جستجو در اینترنت می توان به آنان دستیابی پیدا کرد . مدیران شبکه های کامپیوتری می توانند از این نوع ابزارها ، به منظور تست ارتباط ایجاد شده و اشکال زدائی شبکه استفاده نمایند . حملات DoS تاکنون با اشکال متفاوتی ، محقق شده اند . در ادامه با برخی از آنان آشنا می شویم .

  • Smurf/smurfing : این نوع حملات مبتنی بر تابع Reply  پروتکل  Internet Control Message Protocol) ICMP)  ،بوده و بیشتر با نام  ping شناخته شده می باشند .( Ping ، ابزاری است که پس از فعال شدن از طریق خط دستور ، تابع Reply  پروتکل ICMP را فرامی خواند) .  در این نوع حملات ، مهاجم اقدام به ارسال بسته های اطلاعاتی Ping به آدرس های Broadcast شبکه نموده که در آنان آدرس مبداء هر یک از بسته های اطلاعاتی Ping شده با آدرس کامپیوتر قربانی ، جایگزین می گردد .بدین ترتیب یک ترافیک کاذب در شبکه ایجاد و امکان استفاده از منابع شبکه با اختلال مواجه می گردد.
  • Fraggle : این نوع از حملات شباهت زیادی با حملات از نوع  Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان  اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast  ( مشابه تهاجم  Smurf  ) می نمایند . این نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و یا پورت 19 ( Chargen ) ، هدایت می گردند.
  • Ping flood : در این نوع تهاجم ، با ارسال مستقیم درخواست های Ping به کامپیوتر فربانی ، سعی می گردد که  سرویس ها  بلاک  و یا فعالیت آنان کاهش یابد. در یک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته های اطلاعاتی به حدی زیاد می شود که سیستم ( کامپیوتر قربانی ) ، قادر به برخورد مناسب با اینچنین بسته های اطلاعاتی نخواهد بود .
  • SYN flood : در این نوع تهاجم از مزایای three-way handshake  مربوط به TCP استفاده می گردد . سیستم مبداء اقدام به ارسال  مجموعه ای  گسترده از درخواست های synchronization ) SYN)  نموده بدون این که acknowledgment ) ACK) نهائی  آنان را ارسال نماید. بدین ترتیب half-open TCP sessions (ارتباطات نیمه فعال ) ، ایجاد می گردد . با توجه به این که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقی خواهد ماند ، تهاجم فوق ، سرریز بافر اتصال کامپیوتر مقصد را به دنبال داشته و عملا” امکان ایجاد ارتباط وی با سرویس گیرندگان معتبر ، غیر ممکن می گردد .
  •  Land : تهاجم فوق، تاکنون در نسخه های متفاوتی از سیستم های عامل ویندوز ، یونیکس ، مکینتاش و IOS سیسکو،مشاهده شده است . در این نوع حملات ، مهاجمان اقدام به ارسال یک بسته اطلاعاتی TCP/IP synchronization ) SYN) که دارای آدرس های مبداء و مقصد یکسان به همراه  پورت های مبداء و مقصد مشابه می باشد ، برای سیستم های هدف  می نمایند . بدین ترتیب سیستم قربانی، قادر به پاسخگوئی مناسب بسته اطلاعاتی نخواهد بود .
  • Teardrop : در این نوع حملات از یکی از خصلت های UDP در پشته TCP/IP برخی سیستم های عامل ( TCPپیاده سازی شده در یک سیستم عامل ) ، استفاده می گردد. در حملات  فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی fragmented برای سیستم هدف با مقادیر افست فرد در دنباله ای از بسته های اطلاعاتی می نمایند . زمانی که سیستم عامل سعی در بازسازی بسته های اطلاعاتی اولیه  fragmented می نماید،  قطعات ارسال شده بر روی یکدیگر بازنویسی شده و اختلال سیستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخی از سیستم های عامل ، سیستم هدف ، Crash و یا راه اندازی مجدد می گردد .
  •  Bonk : این نوع از حملات بیشتر متوجه ماشین هائی است که از سیستم عامل ویندوز استفاده می نمایند . در حملات فوق ، مهاجمان اقدام به ارسال  بسته های اطلاعاتی UDP  مخدوش به مقصد  پورت 53 DNS ، می نمایند  بدین ترتیب در عملکرد سیستم  اختلال ایجاد شده و سیستم  Crash می نماید .
  • Boink : این نوع از حملات مشابه تهاجمات  Bonk می باشند. با این تفاوت که در مقابل استفاده از  پورت 53 ، چندین پورت ، هدف قرارمی گیرد .
Port Service
7 Echo
11 Systat
15 Netstat
19 Chargen
20 FTP-Data
21 FTP
22 SSH
23 Telnet
25 SMTP
49 TACACS
53 DNS
80 HTTP
110 POP3
111 Portmap
161/162 SNMP
443 HTTPS
1812 RADIUS

متداولترین پورت های استفاده شده در حملات DoS

یکی دیگر از حملات DoS ، نوع خاص و در عین حال ساده ای از یک حمله DoS می باشد که با نام Distributed DoS ) DDoS) ، شناخته  می شود .در این رابطه می توان از نرم افزارهای  متعددی  به منظور انجام این نوع حملات و از درون یک شبکه ، استفاده بعمل آورد. کاربران ناراضی و یا افرادی که دارای سوء نیت می باشند، می توانند بدون هیچگونه تاثیری از دنیای خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرویس ها در شبکه نمایند. در چنین حملاتی ، مهاجمان نرم افزاری خاص و موسوم به  Zombie  را توزیع  می نمایند . این نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و یا بخشی از سیستم کامپیوتری آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسیب اولیه به سیستم هدف  با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائی خود را با بکارگیری مجموعه ای  وسیع از میزبانان انجام خواهند داد.  ماهیت و نحوه انجام این نوع از حملات ، مشابه یک تهاجم استاندارد DoS بوده ولی  قدرت تخریب و آسیبی که مهاجمان متوجه سیستم های آلوده می نمایند ، متاثر از مجموع ماشین هائی ( Zombie )  است که تحت کنترل مهاجمان  قرار گرفته شده است .

به منظور حفاظت شبکه ، می توان فیلترهائی را بر روی روترهای خارجی شبکه به منظور دورانداختن بسته های اطلاعاتی مشمول حملات  DoS ، پیکربندی نمود .در چنین مواردی می بایست از فیلتری دیگر که امکان مشاهده ترافیک (مبداء از طریق اینترنت)  و یک آدرس داخلی شبکه را فراهم می نماید ، نیز استفاده گردد.

 

 

 

 


  • ۰

امنیت در شبکه های بی سیم

امنیت در شبکه های بی سیم

مهمترین وظیفه یک شبکه کامپیوتری فراهم سازی امکان برقراری ارتباط میان گره های آن در تمام زمانها و شرایط گوناگون است به صورتی که برخی از محققین امنیت در یک شبکه را معادل استحکام و عدم بروز اختلال در آن می دانند. هر چند از زاویه ای این تعریف می تواند درست باشد اما بهتر است اضافه کنیم که امینت در یک شبکه علاوه بر امنیت کارکردی به معنی خصوصی بودن ارتباطات نیز هست. شبکه ای که درست کار کند و مورد حمله ویروسها و عوامل خارجی قرار نگیرد اما در عوض تبادل اطلاعات میان دو نفر در آن توسط دیگران شنود شود ایمن نیست. فرض کنید می خواهید با یک نفر در شبکه تبادل اطلاعات – بصورت email یا chat و… – داشته باشید، در اینصورت مصادیق امنیت در شبکه به این شکل است:

هیچ کس (فرد یا دستگاه) نباید بتواند وارد کامپیوتر شما و دوستتان شود .

تبادل اطلاعات شما را بشنود و یا از آن کپی زنده تهیه کند .

با شبیه سازی کامپیوتر دوست شما، به عنوان او با شما تبادل اطلاعات کند.

کامپیوتر شما یا دوستتان را از کار بیندازد

از منابع کامپیوتر شما برای مقاصد خود استفاده کند.

برنامه مورد علاقه خود – یا یک تکه کد کوچک – را در کامپیوتر شما نصب کند،

در مسیر ارتباطی میان شما و دوستتان اختلال بوجود آورد .

با سوء استفاده از کامپیوتر شما به دیگران حمله کند .

1-7-  مفاهیم امنیت شبکه

امنیت شبکه یا Network Security  پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود . مراحل ذیل برای ایجاد امنیت پیشنهاد وتایید شده اند:

1- شناسایی بخشی که باید تحت محافظت قرار گیرد.

2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3- تصمیم گیری درباره چگونگی تهدیدات

4- پیاده سازی امکاناتی که بتوانند از دار ایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی وکنترل تجهیزات شبکه است.

امنیت در تجهیزات را میتوان به دو دسته تقسیم کرد :

–  امنیت فیزیکی

–  امنیت منطقی

1-1-7- امنیت فیزیکی

امنیت فیزیکی بازه وسیعی از تدابیر را در بر م یگیرد که استقرار تجهیزات در مکانهای امن و به دور ازخطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمل هاند. با استفاده از افزونگی، اطمینان ازصحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت افزار و یا سروی سدهنده مشابه جایگزین  میشود) بدست می آید.

در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خط رهایی که از این طریق تجهزات شبکه را تهدیدمی کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله ها می توان به راه حل ها وترفندهای دفاعی در برابر اینگونه حملات پرداخت.

2-1-7- امنیت منطقی

امنیت منطقی به معنای استفاده از رو شهایی برای پایین آوردن خطرات حملات منطقی و نر مافزاری برضد تجهیزات شبکه است. برای مثال حمله به مسیریاب ها و سوئیچ های شبکه بخش مهمی از این گونه حملات را تشکیل می دهند.

2-7- امنیت در شبکه های بی سیم

از آن جا که شبکه های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه ها، که بر اساس سیگنال های رادیویی اند، مهم ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه ها، با وجود امکانات نهفته در آن ها که به مدد پیکربندی صحیح م یتوان به سطح قابل قبولی از بعد امنیتی دست یافت،ضمن معرفی ” امنیت در شبکه های بی سیم ” بنا داریم در این سری از مقالات با عنوان این شبکه ها با تأکید بر ابعاد امنیتی آن ها، به روش های پیکربندی صحیح که احتمال رخ داد حملات را کاهش می دهند بپردازیم.

3-7- منشأ ضعف امنیتی در شبکه های بی سیم و خطرات معمول

خطر معمول در کلی هی شبکه های بی سیم مستقل از پروتکل و تکنولوژی مورد نظر، برمزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنال های رادیویی به جای سیم و کابل، استوار است. با استفاده از این سیگنال ها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نه چندان قدرتمند این شبکه ها، خود را به عنوان عضوی از این شبکه ها جازده و در صورت تحقق این امر، امکان دست یابی به اطلاعات حیاتی، حمله به سرویس دهنده گان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گره های شبکه با یکدیگر، تولید داده های غیرواقعی و گمراه کننده، سوءاستفاده از پهنای باند مؤثر شبکه و دیگرفعالیت های مخرب وجود دارد.

در مجموع، در تمامی دست ههای شبکه های بی سیم، از دید امنیتی حقایقی مشترک صادق است  :تمامی ضعف های امنیتی موجود در شبک ههای سیمی، در مورد شبکه های بی سیم نیز صدق م یکند. در واقع نه تنها هیچ جنبه یی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکه های بی سیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژه یی را نیز موجب است.

  • نفوذگران، با گذر از تدابیر امنیتی موجود، م یتوانند به راحتی به منابع اطلاعاتی موجود بر روی سیستم های رایانه یی دست یابند.
  • اطلاعات حیاتی ای که یا رمز نشده اند و یا با روشی با امنیت پایین رمزشده اند، و میان دو گره در شبکه های بی سیم در حال انتقال م یباشند، می توانند توسط نفوذگران سرقت شده یا تغییر یابند.
  • حمله های DoSبه تجهیزات و سیست مهای بی سیم بسیار متداول است.
  • نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکه های بی سیم، می توانند به شبکه ی مورد نظر بدون هیچ مانعی متصل گردند.
  • با سرقت عناصر امنیتی، یک نفوذگر می تواند رفتار یک کاربر را پایش کند. از این طریق می توان به اطلاعات حساس دیگری نیز دست یافت.
  • کامپیوترهای قابل حمل و جیبی، که امکان و اجازه ی استفاده ازشبکه ی بی سیم را دارند، به راحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، می توان اولین قدم برای نفوذ به شبکه را برداشت.
  • یک نفوذگر می تواند از نقاط مشترک میان یک شبکه ی بی سیم در یک سازمان و شبک هی سیمی آن (که در اغلب موارد شبکه ی اصلی و حساس تری محسوب می گردد) استفاده کرده و با نفوذ به شبکه ی بی سیم عملاً راهی برای دست یابی به منابع شبکه ی سیمی نیز بیابد.
  • در سطحی دیگر، با نفوذ به عناصر کنترل کننده ی یک شبک هی بی سیم،امکان ایجاد اختلال در عمل کرد شبکه نیز وجود دارد.

همان گونه که گفته شد، اغلب شبکه های محلی بی سیم بر اساس ساختار فوق، که به نوع Infrastructure نیز موسوم است، پیاده سازی می شوند. با این وجود نوع دیگری از شبکه های محلی بی سیم نیز وجود دارند که از همان منطق نقطه به نقطه استفاده می کنند. در این شبکه ها که عموماً Ad hoc نامیده می شوند یک نقطه ی مرکزی برای دسترسی وجود ندارد و سخت افزارهای همراه – مانند کامپیوترهای کیفی و جیبی یاگوشی های موبایل – با ورود به محدوده ی تحت پوشش این شبکه، به دیگر تجهیزات مشابه متصل می گردند. این شبکه ها به بستر شبکه ی سیمی متصل نیستند و به همین منظور IBSS (Independent Basic Service Set) نیز خوانده میشوند.

شکل 1-7- شبکه های Ad hoc

شبکه های Ad hoc سویی مشابه شبکه های محلی درون دفتر کار هستند که در آنها نیازی به تعریف و پیکربند ی یک سیستم رایانه یی به عنوان خادم وجود ندارد. در این صورت تمامی تجهیزات متصل به این شبکه می توانند پرونده های مورد نظر خود را با دیگر گره ها به اشتراک بگذارند.

4-7- امنیت در شبکه های محلی بر اساس استاندارد 802.11

با طرح قابلیت های امنیتی این استاندارد، می توان از محدودیت های آن آگاه شد و این استاندارد و کاربرد را برای موارد خاص و مناسب مورد استفاده قرار داد.

استاندارد 802.11 سرویس های مجزا و مشخصی را برای تأمین یک محیط امن بی سیم در اختیار قرار می دهد. این سرویس ها اغلب توسط پروتکل WEP(Equivalent Privacy Wired)  تأمین می گردند و وظیفه ی آن ها امن سازی ارتباط میان مخدوم ها ونقاط دسترسی بی سیم است. درک لایه یی که این پروتکل به امن سازی آن می پردازد اهمیت ویژه یی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه های دیگر، غیر از لایه ی ارتباطی بی سیم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکه ی بی سیم به معنی استفاده از قابلیت درونی استاندارد شبکه های محلی بی سیم است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر ارتباطی وجود دارد.

شکل 2-7- محدوده ی عملکرد استاندارد امنیتی 802.11

5-7- قابلیت ها و ابعاد امنیتی استاندارد 802.11

در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکه های بی سیم بر اساس استاندارد 802.11 فراهم می کند WEPاست. این پروتکل با وجود قابلیت هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه های بی سیم را به نحوی، ولو سخت و پیچیده، فراهم م یکند. نکته یی که باید به خاطر داشت این ست که اغلب حملات موفق صورت گرفته در مورد شبک ههای محلی بی سیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام می گذارد، هرچند که فی نفسه دچار نواقص و ایرادهایی نیزهست.

بسیاری از حملاتی که بر روی شبکه های بی سیم انجام می گیرد از سویی است که نقاط دسترسی با شبکه ی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه های ارتباطی دیگری که بر روی مخدوم ها و سخت افزارهای بی سیم، خصوصاً مخدوم های بی سیم، وجود دارد، به شبکه ی بی سیم نفوذ می کنند که این مقوله نشان دهنده ی اشتراکی هرچند جزءیی میان امنیت در شبکه های سیمی وبی سیم یی ست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.

سه قابلیت و سرویس پایه توسط IEEE برای شبک ههای محلی بی سیم تعریف می گردد :

Authentication ·

هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی سیم است. این عمل که در واقع کنترل دسترسی به شبکه ی بی سیم است. این مکانیزم سعی دارد که امکان اتصال مخدوم هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.

Confidentiality ·

محرمانگی هدف دیگر WEP است . این بُعد از سرویس ها و خدمات WEP  با هدف ایجاد امنیتی در حدود سطوح  شبکه های سیمی طراحی شده است. سیاست این بخش از WEPجلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکه ی محلی بی سیم است.

Integrity ·

هدف سوم از سرویس ها و قابلیت های WEPطراحی سیاستی است که تضمین کند پیام ها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدومهای بی سیم و نقاط دسترسی، در حین انتقال دچار تغییر نمیگردند. این قابلیت درتمامی استانداردها، بسترها و شبک ههای ارتباطاتی دیگر نیز کم وبیش وجود دارد.

نکته ی مهمی که در مورد سه سرویس WEP وجود دارد نبود سرویس های معمول Authorization  و Auditingدر میان سرویس های ارایه شده توسط این پروتکل است .

6-7- ضعف های اولیه ی امنیتی WEP

در قسمت های قبل به سرویس های امنیتی استاندارد 802.11 پرداختیم . در ضمنِ ذکر هریک از سرویس ها، سعی کردیم به ضعف های هریک اشاره یی داشته باشیم . در این قسمت به بررسی ضعف های تکنیک های امنیتی پایه ی استفاده شده در این استاندارد می پردازیم.

همان گونه که گفته شد، عملاً پایه ی امنیت در استاندارد 802.11 بر اساس پروتکل WEP استوار است WEP در حالت استاندارد بر اساس کلیدهای ۴٠ بیتی برای رمزنگاری توسط الگوریتم RC 4 استفاده می شود، هرچند که برخی از تولیدکننده گان نگارش های خاصی از WEPرا با کلیدهایی با تعداد بیت های بیش تر پیاده سازی کرده اند.

نکته ای که در این میان اهمیت دارد قائل شدن تمایز میان نسبت بالارفتن امنیت واندازه ی کلیدهاست . با وجود آن که با بالارفتن اندازه ی کلید (تا ١٠۴ بیت ) امنیت بالاترمی رود، ولی از آن جاکه این کلیدها توسط کاربران و بر اساس یک کلمه ی عبور تعیین می شود، تضمینی نیست که این اندازه تماماً استفاده شود . از سوی دیگر همان طور که درقسمت های پیشین نیز ذکر شد، دست یابی به این کلیدها فرایند چندان سختی نیست، که در آن صورت دیگر اندازه ی کلید اهمیتی ندارد.

متخصصان امنیت بررسی های بسیاری را برای تعیین حفره های امنیتی این استاندارد انجام داده اند که در این راستا خطراتی که ناشی از حملاتی متنوع، شامل حملات غیرفعال و فعال است، تحلیل شده است.

حاصل بررسی های انجام شده فهرستی از ضعف های اولیه ی این پروتکل است :

١. استفاده از کلیدهای ثابت WEP

یکی از ابتدایی ترین ضعف ها که عموماً در بسیاری از شبکه های محلی بی سیم وجود دارد استفاده از کلیدهای مشابه توسط کاربران برای مدت زمان نسبتاً زیاد است . این ضعف به دلیل نبود یک مکانیزم مدیریت کلید رخ می دهد. برای مثال اگر یک کامپیوتر کیفی یا جیبی که از یک کلید خاص استفاده می کند به سرقت برود یا برای مدت زمانی در دسترس نفوذگر باشد، کلید آن به راحتی لو رفته و با توجه به تشابه کلید میان بسیاری از ایستگاه های کاری عملاً استفاده از تمامی این ایستگاه ها ناامن است.از سوی دیگر با توجه به مشابه بودن کلید، در هر لحظه کانال های ارتباطی زیادی توسط یک حمله نفوذپذیر هستند.

٢ Initialization Vector (IV) .

این بردار که یک فیلد ٢۴ بیتی است در قسمت قبل معرفی شده است . این بردار به صورت متنی ساده فرستاده می شود . از آن جایی که کلیدی که برای رمزنگاری مورد استفاده قرار می گیرد بر اساس IV تولید می شود، محدوده ی IVعملاً نشان دهنده ی احتمال تکرار آن و در نتیجه احتمال تولید کلیدهای مشابه است . به عبارت دیگر در صورتی که IVکوتاه باشد در مدت زمان کمی می توان به کلیدهای مشابه دست یافت.

این ضعف در شبکه های شلوغ به مشکلی حاد مبدل می شود . خصوصاً اگر از کارت شبکه ی استفاده شده مطمئن نباشیم . بسیاری از کارت های شبکه از IV های ثابت استفاده می کنند و بسیاری از کارت های شبکه ی یک تولید کننده ی واحد IVهای مشابه دارند. این خطر به همراه ترافیک بالا در یک شبکه ی شلوغ احتمال تکرار IVدر مدت زمانی کوتاه را بالاتر می برد و در نتیجه کافی ست نفوذگر در مدت زمانی معین به ثبت داده های رمز شده ی شبکه بپردازد و IVهای بسته های اطلاعاتی را ذخیره کند . با ایجاد بانکی از IVهای استفاده شده در یک شبکه ی شلوغ احتمال بالایی برای نفوذ به آن شبکه در مدت زمانی نه چندان طولانی وجود خواهد داشت.

٣. ضعف در الگوریتم

از آن جایی که IV در تمامی بسته های تکرار می شود و بر اساس آن کلید تولید می شود، نفوذگر می تواند با تحلیل و آنالیز تعداد نسبتاً زیادی از IVها و بسته های رمزشده بر اساس کلید تولید شده بر مبنای آن IV به کلید اصلی دست پیدا کند . این ، فرایند عملی زمان بر است ولی از آن جاکه احتمال موفقیت در آن وجود دارد لذا به عنوان ضعفی برای این پروتکل محسوب می گردد.

۴. استفاده از CRC رمز نشده

در پروتکل WEP، کد  CRCرمز نمی شود . لذا بسته های تأییدی که از سوی نقاط دسترسی بی سیم به سوی گیرنده ارسال می شود بر اساس یک CRCرمزنشده ارسال می گردد و تنها در صورتی که نقطه ی دسترسی از صحت بسته اطمینان حاصل کند تأییدآن را می فرستد. این ضعف این امکان را فراهم می کند که نفوذگر برای رمزگشایی یک بسته، محتوای آن را تغییر دهد و CRCرا نیز به دلیل این که رمز نشده است، به راحتی عوض کند و منتظر عکس العمل نقطه ی دسترسی بماند که آیا بسته ی تأیید را صادر میکند یا خیر.

ضعف های بیان شده از مهم ترین ضعف های شبکه های بی سیم مبتنی بر پروتکل WEP هستند. نکته یی که در مورد ضعف های فوق باید به آن اشاره کرد این است که در میان این ضعف ها تنها یکی از آن ها (مشکل امنیتی سوم ) به ضعف در الگوریتم رمزنگاری بازمی گردد و لذا با تغییر الگوریتم رمزنگاری تنها این ضعف است که برطرف می گردد و بقیه ی مشکلات امنیتی کماکان به قوت خود باقی هستند.

 

7-7- خطرها، حملات و ملزومات امنیتی

همان گونه که گفته شد، با توجه به پیشرفت های اخیر، در آینده ای نه چندان دور باید منتظر گستردگی هرچه بیش تر استفاده از شبکه های بی سیم باشیم. این گستردگی، با توجه به مشکلاتی که از نظر امنیتی در این قبیل شبکه ها وجود دارد نگرانی هایی را نیز به همراه دارد. این نگرانی ها که نشان دهنده ی ریسک بالای استفاده از این بستر برای سازمان ها و شرکت های بزرگ است، توسعه ی این استاندارد را در ابهام فرو برده است. در این قسمت به دسته بندی و تعریف حملات،خطرها و ریسک های موجود در استفاده از شبکه های محلی بی سیم بر اساس استاندارد IEEE 802.11x می پردازیم.

مطابق درخت فوق، حملات امنیتی به دو دسته ی فعال و غیرفعال تقسیم می گردند.

حملات غیرفعال

در این قبیل حملات، نفوذگر تنها به منبعی از اطلاعات به نحوی دست می یابد ولی اقدام به تغییر محتوال اطلاعات منبع نمی کند. این نوع حمله می تواند تنها به یکی از اشکال شنود ساده یا آنالیز ترافیک باشد.

– شنود

در این نوع، نفوذگر تنها به پایش اطلاعات ردوبدل شده می پردازد. برای مثال شنود ترافیک روی یک شبکه ی محلی یا یک شبکه ی بی سیم (که مد نظر ما است) نمونه هایی از این نوع حمله به شمار می آیند.

–  آنالیز ترافیک

در این نوع حمله، نفوذگر با کپی برداشتن از اطلاعات پایش شده، به تحلیل جمعی داده ها می پردازد. به عبارت دیگر بسته یا بسته های اطلاعاتی به همراه یکدیگر اطلاعات معناداری را ایجاد می کنند.

 

 

 

حملات فعال

در این نوع حملات، برخلاف حملات غیرفعال، نفوذگر اطلاعات مورد نظر را، که از منابع به دست می آید، تغییر می دهد، که تبعاً انجام این تغییرات مجاز نیست. از آن جایی که در این نوع حملات اطلاعات تغییر می کنند، شناسایی رخ داد

حملات فرایندی امکان پذیراست. در این حملات به چهار دسته ی مرسوم زیر تقسیم بندی می گردند :

– تغییر هویت

در این نوع حمله، نفوذگر هویت اصلی را جعل می کند. این روش شامل تغییر هویت اصلی یکی از طرف های ارتباط یا قلب هویت و یا تغییر جریان واقعی فرایند پردازش اطلاعات نیز می گردد.

– پاسخ های جعلی

نفوذگر در این قسم از حملات، بسته هایی که طرف گیرنده ی اطلاعات در یک ارتباط دریافت می کند را پایش می کند. البته برای اطلاع از کل ماهیت ارتباط یک اتصال از ابتدا پایش می گردد ولی اطلاعات مفید تنها اطلاعاتی هستند که از سوی گیرنده برای فرستنده ارسال می گردند. این نوع حمله بیش تر در مواردی کاربرد دارد که فرستنده اقدام به تعیین هویت گیرنده می کند. در این حالت بسته های پاسخی که برای فرستنده به عنوان جواب به سؤالات فرستنده ارسال می گردند به معنای پرچمی برای شناسایی گیرنده محسوب می گردند. لذا در صورتی که نفوذگر این بسته ها را ذخیره کند و در زمانی که یا گیرنده فعال نیست، یا فعالیت یا ارتباط آن به صورت آگاهانه –به روشی-توسط نفوذگر قطع شده است ، می تواند مورد سوء استفاده قرار گیرد. نفوذگر با ارسال مجدد این بسته ها خود را به جای گیرنده جا زده و از سطح دسترسی مورد نظر برخوردار می گردد.

– تغییر پیام

در برخی از موارد مرسوم ترین و متنوع ترین نوع حملات فعال تغییر پیام است. از آن جایی که گونه های متنوعی از ترافیک بر روی شبکه رفت وآمد می کنند و هریک از این ترافیک ها و پروتکل ها از شیوه ای برای مدیریت جنبه های امنیتی خود استفاده می کنند، لذا نفوذگر با اطلاع از پروتکل های مختلف می تواند برای هر یک از این انواع ترافیک نوع خاصی از تغییر پیام ها و در نتیجه حملات را اتخاذ کند. با توجه به گسترده گی این نوع حمله، که کاملاً به نوع پروتکل بسته گی دارد، در این جا نمی توانیم به انواع مختلف آن بپردازیم، تنها به یادآوری این نکته بسنده می کنیم که این حملات تنها دست یابی به اطلاعات را هدف نگرفته است و می تواند با اعمال تغییرات خاصی، به گمراهی دو طرف منجر شده و مشکلاتی را برای سطح مورد نظر دسترسی که می تواند یک کاربر عادی باشد فراهم کند.

– حمله های DoS (Denial-of-Service )

این نوع حمله، در حالات معمول، مرسوم ترین حملات را شامل می شود. در این نوع حمله نفوذگر یا حمله کننده برای تغییر نحوه ی کارکرد یا مدیریت یک سامانه ی ارتباطی یا اطلاعاتی اقدام می کند. ساده ترین نمونه سعی در از کارانداختن خادم های نرم افزاری و سخت افزاری ست. پیرو چنین حملاتی، نفوذگر پس از از کارانداختن یک سامانه، که معمولاً سامانه ای ست که مشکلاتی برای نفوذگر برای دسترسی به اطلاعات فراهم کرده است، اقدام به سرقت، تغییر یا نفوذ به منبع اطلاعاتی می کند. در برخی از حالات، در پی حمله ی انجام شده، سرویس مورد نظر به طور کامل قطع نمی گردد و تنها کارایی آن مختل می گردد. در این حالت نفوذگر می تواند با سوءاستفاده از اختلال ایجاد شده به نفوذ از طریق/ به همان سرویس نیز اقدام کند.

8-7- هفت مشکل امنیتی مهم شبکه های بی سیم 802.11

موفقیت حیرت انگیز 802.11 به علت توسعه ” اترنت بی سیم “است. همچنانکه 802.11 به ترقی خود ادامه می دهد، تفاوت هایش با اترنت بیشتر مشخص می شود. بیشتر این تفاوت ها به دلیل نا آشنایی نسبی بسیاری از مدیران شبکه با لایه فیزیکی فرکانس رادیویی است. در حالیکه همه مدیران شبکه باید درک پایه ای از لینک رادیویی داشته باشند، تعدادی از ابزارها برای کمک به آنها به خدمت گرفته می شوند. آنالایزرهای (تحلیل کننده ) شبکه های بی سیم برای مدت ها ابزاری لازم برای مهندسان شبکه در اشکال زدایی و تحلیل پروتکل بوده اند. بسیاری از آنالایزرها بعضی کارکردهای امنیتی را نیز اضافه کرده اند که به آنها اجازه کار با عملکردهای بازرسی امنیتی را نیز می دهد.

در این سلسله مقاله هفت مشکل از مهم ترین آسیب پذیری های امنیتی موجود در LANهای بی سیم، راه حل آنها و در نهایت چگونگی ساخت یک شبکه بی سیم امن  مورد بحث قرار می گیرد. بسیاری از پرسش ها در این زمینه در مورد ابزارهایی است که مدیران شبکه می توانند استفاده کنند. یک آنالایزر از اولین خریدهایی است که یک مدیر شبکه باید انجام دهد. آنالایزرها علاوه بر عملکردهای سنتی تحلیل پروتکل و ابزار تشخیص عیب، می توانند برای تشخیص بسیاری از نگرانی های امنیتی که استفاده ازهفت » شبکه بی سیم را کند می کنند، استفاده شوند.

مسأله شماره ١: دسترسی آسان

LAN های بی سیم به آسانی پیدا می شوند. برای فعال کردن کلاینت ها در هنگام یافتن آنها، شبکه ها باید فریم های

Beacon با پارامتر های شبکه را ارسال کنند. البته، اطلاعات مورد نیاز برای پیوستن به یک شبکه، اطلاعاتی است که برای اقدام به یک حمله روی شبکه نیاز است. فریم های Beacon توسط هیچ فانکشن اختصاصی پردازش نمی شوند و این به این معنی است که شبکه 802.11 شما و پارامترهایش برای هر شخصی با یک کارت 802.11 قابل استفاده است. نفوذگران با آنتن های قوی می توانند شبکه ها را در مسیرها یا ساختمان های نزدیک بیابند و ممکن است اقدام به انجام حملاتی کنند حتی بدون اینکه به امکانات شما دسترسی فیزیکی داشته باشند.

راه حل شماره ١: تقویت کنترل دسترسی قوی

دسترسی آسان الزاماً با آسیب پذیری مترادف نیست. شبکه های بی سیم برای ایجاد امکان اتصال مناسب طراحی شده اند، اما می توانند با اتخاذ سیاستهای امنیتی مناسب تا حد زیادی مقاوم شوند. یک شبکه بی سیم می تواند تا حد زیادی در این اتاق محافظت شده از نظر الکترومغناطیس محدود شود که اجازه نشت سطوح بالایی از فرکانس رادیویی را نمی دهد. به هرحال، برای بیشتر موسسات چنین برد هایی لازم نیستند.

تضمین اینکه شبکه های بی سیم تحت تأثیر کنترل دسترسی قوی هستند، می تواند از خطر سوءاستفاده از شبکه بی سیم بکاهد.تضمین امنیت روی یک شبکه بی سیم تا حدی به عنوان بخشی از طراحی مطرح است. شبکه ها باید نقاط دسترسی را در بیرون ابزار پیرامونی امنیت مانند فایروال ها قرار دهند و مدیران شبکه باید به استفاده از VPN ها برای میسر کردن دسترسی به شبکه توجه کنند. یک سیستم قوی تأیید هویت کاربر باید به کار گرفته شود و ترجیحاً با استفاده از محصولات جدید که برپایه استاندارد IEEE 802.1x هستند. 802.1 x انواع فریم های جدید برای تأیید هویت کاربر را تعریف می کند و از دیتابیس های کاربری جامعی مانند RADIUS بهره می گیرد. آنالایزرهای باسیم سنتی می توانند با نگاه کردن به تقاضاهای RADIUS و پاسخ ها، امکان درک پروسه تأیید هویت را فراهم کنند. یک سیستم آنالیز خبره برای تأیید هویت 802.11 شامل یک روتین عیب یابی مشخص برای  LAN  هاست که ترافیک تأیید هویت را نظاره می کند و امکان تشخیص عیب را برای مدیران شبکه فراهم می کند که به آنالیز بسیار دقیق و کدگشایی فریم احتیاج ندارد. سیستم های آنالیز خبره که پیام های تأیید هویت802.1 x را دنبال می کنند، ثابت کرده اند که برای استفاده در LAN های استفاده کننده از802.1 x فوق العاده باارزش هستند. هرگونه طراحی، بدون در نظر گرفتن میزان قدرت آن، باید مرتباً بررسی شود تا سازگاری چینش فعلی را با اهداف امنیتی طراحی تضمین کند. بعضی موتورهای آنالیز تحلیل عمیقی روی فریم ها انجام می دهند و می توانند چندین مسأله معمول امنیت802.1 x را  تشخیص دهند. تعدادی از حملات روی شبکه های باسیم در سال های گذشته شناخته شده اند و لذا وصله های فعلی به خوبی تمام ضعف های شناخته شده را در این گونه شبکه ها نشان می دهند. آنالایزرهای خبره پیاده سازی های ضعیف را برای مدیران شبکه مشخص می کنند و به این ترتیب مدیران شبکه می توانند با به کارگیری سخت افزار و نرم افزار ارتقاء یافته، امنیت شبکه را حفظ کنند.پیکربندی های نامناسب ممکن است منبع عمده آسیب پذیری امنیتی باشد، مخصوصاً اگر LANهای بی سیم بدون نظارت مهندسان امنیتی به کارگرفته شده باشند. موتورهای آنالیز خبره می توانند زمانی را که پیکربندی های پیش فرض کارخانه مورد استفاده قرارمی گیرند، شناسایی کنند و به این ترتیب می توانند به ناظران کمک کنند که نقاطی از دسترسی را که بمنظور استفاده از ویژگی های امنیتی پیکربندی نشده اند، تعیین موقعیت کنند. این آنالایزرها همچنین می توانند هنگامی که وسایلی از ابزار امنیتی قوی مانند VPN ها یا  802.1 xاستفاده نمی کنند، علائم هشدار دهنده را ثبت کنند.

مسأله شماره ٢: نقاط دسترسی نامطلوب

دسترسی آسان به شبکه های LAN  بی سیم امری منفک از راه اندازی آسان آن نیست.  این دو خصوصیت در هنگام ترکیب شدن با یکدیگر می توانند برای مدیران شبکه و مسوولان امنیتی ایجاد دردسر کنند. هر کاربر می تواند به فروشگاه کامپیوتر نزدیک خود برود، یک نقطه دسترسی! بخرد و بدون کسب اجازه ای خاص به کل شبکه متصل شود. بسیاری از نقاط دسترسی با اختیارات مدیران میانی عرضه می شوند و لذا دپارتمان ها ممکن است بتوانند LAN بی سیمشان را بدون صدور اجازه از یک سازمان IT مرکزی در بکارگرفته شده توسط ” نامطلوب ” معرض عموم قرار دهند. این دسترسی به اصطلاح کاربران ، خطرات امنیتی بزرگی را مطرح می کند. کاربران در زمینه امنیتی خبره نیستند و ممکن است از خطرات ایجاد شده توسط LAN های بی سیم آگاه نباشند. ثبت بسیاری از  ورودها به شبکه نشان از آن دارد که ویژگی های امنیتی فعال نیستند و بخش بزرگی از آنها تغییراتی نسبت به پیکربندی پیش فرض نداشته اند و با همان پیکربندی راه اندازی شده اند.

راه حل شماره ٢ : رسیدگی های منظم به سایت

مانند هر تکنولوژی دیگر شبکه، شبکه های بی سیم به مراقبت از سوی مدیران امنیتی نیاز دارند. بسیاری از این تکنولوژی ها به دلیل سهولت استفاده مورد بهره برداری نادرست قرار می گیرند، لذا آموختن نحوه یافتن شبکه های امن نشده ازاهمیت بالایی برخوردار است.استفاده از یک آنتن و جستجوی آنها به این منظور که بتوانید قبل از نفوذگران این شبکه ها را پیدا کنید. نظارت های فیزیکی سایت باید به صورت مرتب و در حد امکان انجام گیرد.اگرچه هرچه نظارت ها سریع تر انجام گیرد، امکان کشف استفاده های غیرمجاز بیشتر است، اما زمان زیادی که کارمندان مسوول این امر باید صرف کنند، کشف تمامی استفاده های غیرمجاز را بجز برای محیط های بسیار حساس، غیرقابل توجیه می کند. یک راهکار برای عدم امکان حضور دائم می تواند انتخاب ابزاری در اندازه دستی باشد. این عمل می تواند استفاده تکنسین ها از اسکنرهای دستی در هنگام انجام امور پشتیبانی کاربران، برای کشف شبکه های غیرمجاز باشد.

یکی از بزرگترین تغییرات در بازار 802.11 در سال های اخیر ظهور 802.11 a به عنوان یک محصول تجاری قابل دوام بود. این موفقیت نیاز به ارائه ابزارهایی برای مدیران شبکه های802.11 a را بوجود آورد. خوشبختانه 802.11 a از همان MAC پیشینیان خود استفاده می کند، بنابراین بیشتر آنچه مدیران راجع به 802.11 و تحلیل کننده ها می دانند، بدرد می خورد. مدیران شبکه باید دنبال محصولی سازگار باشند که هر دو استاندارد  802.11 aو 802.11 bرا بصورت یکجا و ترجیحاً به صورت همزمان پشتیبانی کند. چیپ ست های دوباندی 802.11 a/b و کارت های ساخته شده با آنها به آنالایزرها اجازه می دهد که روی هر دو باند بدون تغییرات سخت افزاری کار کنند، و این بدین معنی است که مدیران شبکه نیاز به خرید و آموزش فقط یک چارچوپ پشتیبانی شده برای هر دو استاندارد دارند. این روال باید تا 802.11 g ادامه یابد، تا جایی که سازندگان آنالایزرها کارت های 802.11 a/b/g را مورد پذیرش قرار دهند.بسیاری از ابزارها می توانند برای انجام امور رسیدگی به سایت و ردیابی نقاط دسترسی نامطلوب استفاده شوند، اما مدیران شبکه باید از نیاز به همگامی با آخرین تکنیک های استفاده شده در این بازی موش و گربه! آگاه باشند. نقاط دسترسی می توانند در هر باند فرکانسی تعریف شده در 802.11 بکارگرفته شوند، بنابراین مهم است که تمام ابزارهای مورد استفاده در بررسی های سایت بتوانند کل محدوده فرکانسی را پویش کنند. حتی اگر شما استفاده از b  802.11 را انتخاب کرده اید، آنالایزر استفاده شده برای کار نظارت بر سایت، باید بتواند همزمان نقاط دسترسی802.11 a  را نیز پویش کند تا در طول یک بررسی کامل نیازی به جایگزین های سخت افزاری و نرم افزاری نباشد.بعضی نقاط دسترسی نامطلوب سعی دارند کانالهایی را به صورت غیرقانونی روی کانال های 802.11 b به کار بگیرند که برای ارسال استفاده نمی شوند. برای مثال قوانین FCC تنها اجازه استفاده از کانال های ١ تا ١١ از 802.11 bرا می دهد. کانال های ١٢ تا ١۴ جزء مشخصات آن تعریف شده اند اما فقط برای استفاده در اروپا و ژاپن کاربرد دارند. به هرحال، بعضی کاربران ممکن است از نقطه دسترسی کانال های اروپایی یا ژاپنی استفاده کنند، به این امید که رسیدگی یک سایت متمرکز روی کانال های مطابق با FCC  از کانال های فرکانس بالاتر چشم پوشی کند. این قضیه مخصوصاً برای ردیابی ابزارهایی اهمیت دارد که بیرون باند فرکانسی مجاز بکارگرفته شده اند تا از اعمال اجرایی اتخاذ شده توسط نمایندگی های مجاز برحذر باشند. آنالایزرهای غیرفعال (Passive Analyzers) ابزار ارزشمندی هستند زیرا استفاده های غیرمجاز را تشخیص می دهند، اما چون توانی ارسال نمی کنند استفاده از آنها قانونی است.مدیران شبکه همواره تحت فشار زمانی هستند، و به روش آسانی برای یافتن نقاط دسترسی نامطلوب و در عین حال چشم پوشی از نقاط دسترسی مجاز نیاز دارند. موتورهای جستجوی خبره به مدیران اجازه می دهند که لیستی از نقاط دسترسی مجاز را پیکربندی کنند. هر نقطه دسترسی غیرمجاز باعث تولید علامت هشدار دهنده ای می شود. در پاسخ به علامت هشدار دهنده، مدیران شبکه می توانند از ابزار دیگری برای پیدا کردن نقطه دسترسی براساس مقیاس های قدرت سیگنال استفاده کنند. اگرچه این ابزارها ممکن است خیلی دقیق نباشند، ولی برای محدود کردن محوطه جستجوی نقطه دسترسی نامطلوب به اندازه کافی مناسب هستند.

مسأله شماره ٣: استفاده غیرمجاز از سرویس

چندین شرکت مرتبط با شبکه های بی سیم نتایجی منتشر کرده اند که نشان می دهد اکثر نقاط دسترسی با تنها تغییرات مختصری نسبت به پیکربندی اولیه برای سرویس ارائه می گردند. تقریباً تمام نقاط دسترسی که با پیکربندی پیش فرض مشغول به ارائه سرویس هستند WEP (Wired Equivalent Privacy) را فعال نکرده اند یا یک کلید پیش فرض دارند که توسط تمام تولیدکنند گان محصولات استفاده می شوند. بدون WEP دسترسی به شبکه به راحتی میسر است. دو مشکل به دلیل این دسترسی باز می تواند بروز کند: کاربران غیرمجاز لزوماً از مفاد ارائه سرویس تبعیت نمی کنند، و نیز ممکن است تنها توسط یک اسپم ساز اتصال شما به ISPتان لغو شود.

راه حل شماره ٣ : طراحی و نظارت برای تأیید هویت محکم

راه مقابله مشخص با استفاده غیرمجاز، جلوگیری از دسترسی کاربران غیرمجاز به شبکه است. تأیید هویت محکم و محافظت شده توسط رمزنگاری یک پیش شرط برای صدور اجازه است، زیرا امتیازات دسترسی برپایه هویت کاربر قرار دارند. روش های VPNکه برای  حفاظت از انتقال در لینک رادیویی به کارگرفته می شوند، تأیید هویت محکمی را ارائه می کنند. تخمین مخاطرات انجام شده توسط سازمان ها نشان می دهد که دسترسی به 802.1 x باید توسط روش های تأیید هویت برپایه رمزنگاری تضمین شود. از جمله این روش ها می توان به TLS (Layer Security Transport) ، TTLS(Tunneled Layer Security Transport ) یا  PEAP (Protected Extensible Authentication Protocol) اشاره کرد.

هنگامی که یک شبکه با موفقیت راه اندازی می شود، تضمین تبعیت از سیاست های تایید هویت و اعطای امتیاز مبتنی بر آن حیاتی است. همانند مسأله نقاط دسترسی نامطلوب، در این راه حل نیز نظارت های منظمی بر تجهیزات شبکه بی سیم باید انجام شود تا استفاده از مکانیسم های تأیید هویت و پیکربندی مناسب ابزارهای شبکه تضمین شود. هر ابزار نظارت جامع باید نقاط دسترسی را در هر دو باند فرکانسی802.11 b (باند  GHz ISM 2.4) و (802.115 a GHz U-NII) تشخیص دهد و پارامترهای عملیاتی مرتبط با امنیت را نیز مشخص کند. اگر یک ایستگاه غیرمجاز متصل به شبکه کشف شود، یک رسیور دستی می تواند برای ردیابی موقعیت فیزیکی آن استفاده شود. آنالایزرها نیز می توانند برای تأیید پیکربندی بسیاری از پارامترهای نقاط دسترسی استفاده گردند و هنگامی که نقاط دسترسی آسیب پذیری های امنیتی را نمایان می کنند، علائم هشدار دهنده صوتی تولید کنند.

مسأله شماره ۴ : محدودیت های سرویس و کارایی

LAهای بی سیم ظرفیت های ارسال محدودی دارند. شبکه های802.11 b سرعت انتقالی برابر با 11 Mbps و شبکه های برپایه تکنولوژی جدید 802.11 a نرخ انتقال اطلاعاتی تا  Mbps 54 دارند. البته ماحصل مؤثر واقعی، به دلیل بالاسری لایه MAC تقریباً ، تا نیمی از ظرفیت اسمی می رسد. نقاط دسترسی کنونی این ظرفیت محدود را بین تمام کاربران مربوط به یک نقطه دسترسی قسمت می کنند. تصور اینکه چگونه برنامه های محلی احتمالاً چنین ظرفیت محدودی را اشغال می کنند یا چگونه یک نفوذگر ممکن است یک حمله انکار سرویس(DoS)  روی این منابع محدود طرح ریزی کند، سخت نیست.ظرفیت رادیویی می تواند به چندین روش اشغال شود. ممکن است توسط ترافیکی که از سمت شبکه باسیم با نرخی بزرگتر از توانایی کانال رادیویی می آید، مواجه شود. اگر یک حمله کننده یک ping flood را از یک بخش اترنت سریع بفرستد، می تواند به راحتی ظرفیت یک نقطه دسترسی را اشغال کند. با استفاده از آدرس های broadcast امکان اشغال چندین نقطه دسترسی متصل به هم وجود دارد. حمله کننده همچنین می تواند ترافیک را به شبکه رادیویی بدون اتصال به یک نقطه دسترسی بی سیم تزریق کند. 802.11 طوری طراحی شده است که به چندین شبکه اجازه به اشتراک گذاری یک فضا وکانال رادیویی را می دهد. حمله کنندگانی که می خواهند شبکه بی سیم را از کار بیاندازند، می توانند ترافیک خود را روی یک کانال رادیویی ارسال کنند و شبکه مقصد ترافیک جدید را با استفاده از مکانیسم CSMA/CA تا آنجا که می تواند می پذیرد. مهاجمان بداندیش که فریم های ناسالم می فرستند نیز ظرفیت محدود را پر می کنند. همچنین ممکن است مهاجمان تکنیک های تولید پارازیت رادیویی را انتخاب کنند و اقدام به ارسال اطلاعات با نویز بالا به شبکه های بی سیم مقصد کنند.بارهای بزرگ ترافیک الزاماً با نیات بدخواهانه تولید نمی شوند. انتقال فایل های بزرگ یا سیستم client/server ترکیبی ممکن است مقادیر بالایی از دیتا روی شبکه ارسال کنند. اگر تعداد کافی کاربر شروع به گرفتن اندازه های بزرگی از دیتا از طریق یک نقطه دسترسی کنند، شبکه شبیه سازی دسترسی dial-upرا آغاز می کند.

راه حل شماره ۴ : دیدبانی شبکه

نشان یابی مسائل کارایی با دیدبانی و کشف آنها آغاز می شود. مدیران شبکه بسیاری از کانال ها را برای کسب اطلاعات در مورد کارایی در اختیار دارند: از ابزارهای تکنیکی خاص مانند                                                                    (Simple Network Management Protocol) SNMPگرفته تا ابزارهای بالقوه قوی غیرفنی مانند گزارش های کارایی کاربران. یکی از مسائل عمده بسیاری از ابزارهای تکنیکی، فقدان جزئیات مورد نیاز برای درک بسیاری از شکایت های کاربران در مورد کارایی است. آنالایزرهای شبکه های بی سیم می توانند با گزارش دهی روی کیفیت سیگنال و سلامت شبکه در مکان کنونی خود، کمک باارزشی برای مدیر شبکه باشند. مقادیر بالای ارسال های سرعت پایین می تواند بیانگر تداخل خارجی یا دور بودن یک ایستگاه از نقطه دسترسی باشد. توانایی نشان دادن سرعت های لحظه ای روی هر کانال، یک تصویر بصری قوی از ظرفیت باقی مانده روی کانال می دهد که به سادگی اشغال کامل یک کانال را نشان می دهد. ترافیک مفرط روی نقطه دسترسی می تواند با تقسیم ناحیه پوشش نقطه دسترسی به نواحی پوشش کوچک تر یا با اعمال روش شکل دهی ترافیک در تلاقی شبکه بی سیم با شبکه اصلی تعیین شود.در حالیکه هیچ راه حل فنی برای آسیب پذیری های ناشی از فقدان تأیید هویت فریم های کنترل و مدیریت وجود ندارد، مدیران می توانند برای مواجهه با آنها گام هایی بردارند. آنالایزرها اغلب نزدیک محل های دردسرساز استفاده می شوند تا به تشخیص عیب کمک کنند و به صورت ایده آل برای مشاهده بسیاری از حملات  DoSکار گذاشته می شوند. مهاجمان می توانند با تغییر دادن فریم های 802.11 با استفاده از یکی از چندین روش معمول واسط های برنامه نویسی 802.11 موجود، از شبکه سوءاستفاده کنند. حتی یک محقق امنیتی ابزاری نوشته است که پیام های قطع اتصال فرستاده شده توسط نقاط دسترسی به کلاینت ها را جعل می کند. بدون تأیید هویت پیام های قطع اتصال بر اساس رمزنگاری، کلاینت ها به این پیام های جعلی عمل می کنند و اتصال خود را از شبکه قطع می کنند. تا زمانی که تأیید هویت به صورت یک فریم رمزشده استاندارد درنیاید، تنها مقابله علیه حملات جعل پیام، مکان یابی حمله کننده و اعمال عکس العمل مناسب است.

ربایی! Session و MAC مسأله شماره ۵: جعل

شبکه های 802.11 فریم ها را تأیید هویت نمی کنند. هر فریم یک آدرس مبداء دارد، اما تضمینی وجود ندارد که ایستگاه فرستنده واقعاً فریم را ارسال کرده باشد! در واقع همانند شبکه های اترنت سنتی، مراقبتی در مقابل جعل مبداء آدرس ها وجود ندارد. نفوذگران ARP(Resolution Protocol Address) می توانند از فریم های ساختگی برای هدایت ترافیک و تخریب جداول استفاده کنند. در سطحی بسیار ساده تر، نفوذگران می توانند ایستگاه های در حال استفاده را مشاهده MAC (Medium Access Control) آدرس های کنند و از آن آدرس ها برای ارسال فریم های بدخواهانه استفاده کنند. برای جلوگیری ازاین دسته از حملات، مکانیسم تصدیق هویت کاربر برای شبکه های 802.11 در حال ایجاد است. با درخواست هویت از کاربران، کاربران غیرمجاز از دسترسی به شبکه محروم می شوند. اساس تصدیق هویت کاربران استاندارد 802.1 x است که در ژوئن 2001 تصویب شده است. 802.1 x می تواند برای درخواست هویت از کاربران به منظور تأیید آنان قبل از دسترسی به شبکه مورد استفاده قرار گیرد، اما ویژگی های دیگری برای ارائه تمام امکانات مدیریتی توسط شبکه های بی سیم مورد نیاز است.

نفوذگران می توانند از فریم های جعل شده در حملات اکتیو نیز استفاده کنند. نفوذگران می توانند از فقدان تصدیق هویت نقاط دسترسی sessions علاوه بر ربودن نشست ها(  چراغ دریایی ) Beaconبهره برداری کنند. نقاط دسترسی توسط پخش فریم های توسط نقاط دسترسی ارسال می شوند تا Beacon مشخص می شوند. فریم های کلاینت ها قادر به تشخیص وجود شبکه بی سیم و بعضی موارد دیگر شوند. هر SSID(Identifier Service Set) ایستگاهی که ادعا می کند که یک نقطه دسترسی است و نیز نامیده می شود، منتشر می کند، به عنوان network name که معمولاً Identifier  بخشی از شبکه مجاز به نظر خواهد رسید. به هرحال، نفوذگران می توانند به راحتی تظاهر کنند که نقطه دسترسی هستند، زیرا هیچ چیز در 802.11 از نقطه دسترسی نمی خواهد که ثابت کند واقعاً یک نقطه دسترسی است. در این نقطه، یک نفوذگر گواهی های لازم را سرقت کند و از آنها man-in-the-middleتواند با طرح ریزی یک حمله برای دسترسی به شبکه استفاده کند. خوشبختانه، امکان استفاده از پروتکل هایی که TLS وجود دارد. با استفاده از پروتکل x تأیید هویت دوطرفه را پشتیبانی می کنند در 802.1 قبل از اینکه کلاینت ها گواهی های هویت خود را ارائه (Transport Layer Security ) کنند، نقاط دسترسی باید هویت خود را اثبات کنند. این گواهی ها توسط رمزنگاری قوی برای ارسال بی سیم محافظت می شوند. ربودن نشست حل نخواهد شد تا زمانی که بپذیرد . i تصدیق هویت در هر فریم را به عنوان بخشی از802.11MAC 802.11.

راه حل شماره ۵ : پذیرش پروتکل های قوی و استفاده از آنها

یک تهدید خواهد بود. مهندسان شبکه باید روی MAC جعل  iتا زمان تصویب 802.11 تمرکز کنند و شبکه های بی سیم را تا آنجا که ممکن MAC خسارت های ناشی از جعلنقاط APاست از شبکه مرکزی آسیب پذیرتر جدا کنند. بعضی راه حل ها جعل  دسترسی را کشف می کنند و به طور پیش فرض برای مدیران شبکه علائم هشدار دهنده تولید می کنند تا بررسی های بیشتری انجام دهند. در عین حال، می توان فقط  با استفاده از پروتکل های رمزنگاری قوی مانند IPSec . از نشست ربایی! جلوگیری کرد آنالایزرها می توانند در بخشی از تحلیل فریم های گرفته شده، سطح امنیتی مورد استفاده را تعیین کنند. این تحلیل می تواند در یک نگاه به مدیران شبکه بگوید آیا پروتکل های امنیتی مطلوبی استفاده می شوند یا خیر.

قوی، ممکن است که تمایل به استفاده از تصدیق VPN  علاوه بر استفاده از پروتکل های داشته باشید. بعضی جزئیات آنالیز وضعیت تصدیق x هویت قوی کاربر با استفاده از 802.1 ارائه می کند. X، نتایج باارزشی روی قسمت بی سیم تبادل تصدیق هویت 802.1x 802.1 هنگام انجام نظارت بر سایت، آنالایزر نوع تصدیق هویت را مشخص می کند و این بررسی به مدیران شبکه اجازه می دهد که محافظت از کلمات عبور توسط رمزنگاری قوی ر ا تضمین کنند.

مسأله شماره ۶: تحلیل ترافیک و استراق سمع

802.11 هیچ محافظتی علیه حملاتی که بصورت غیرفعال (passive) ترافیک را مشاهده  می کنند، ارائه نمی کند. خطر اصلی این است که 802.11 روشی برای تامین امنیت دیتای در حال انتقال و جلوگیری از استراق سمع فراهم نمی کند Header  فریم ها همیشه «in the clear» هستند و برای هرکس با در اختیار داشتن یک آنالایزر شبکه بی سیم قابل مشاهده هستند. فرض بر این بوده است که جلوگیری از استراق سمع در مشخصات   WEP(Wired Equivalent Privacy) ارائه گردد. بخش زیادی در مورد رخنه های WEPنوشته شده است که فقط از اتصال ابتدایی بین شبکه و فریم های دیتای کاربر محافظت می کند. فریم های مدیریت و کنترل توسط WEPرمزنگاری و تصدیق هویت نمی شوند و به این ترتیب آزادی عمل زیادی به یک نفوذگر می دهد تا با ارسال فریم های جعلی اختلال به وجود آورد. پیاده سازی های اولیه WEP نسبت به ابزارهای crackمانند WEPcrack و AirSnort آسیب پذیر هستند، اما آخرین نسخه ها تمام حملات شناخته شده را حذف می کنند. به عنوان یک اقدام احتیاطی فوق العاده، آخرین محصولات WEP  یک گام فراتر می روند و از پروتکل های مدیریت کلید برای تعویض کلید WEP در هر پانزده دقیقه استفاده می کنند. حتی مشغول ترین LANبی سیم آنقدر دیتا تولید نمی کند که بتوان در پانزده دقیقه کلید را بازیافت کرد.

راه حل شماره ۶ : انجام تحلیل خطر

هنگام بحث در مورد خطر استراق سمع، تصمیم کلیدی برقراری توازن بین خطر استفاده از WEPتنها و پیچیدگی بکارگیری راه حل اثبات شده دیگری است. در وضعیت فعلی برای امنیت لایه لینک، استفاده از WEP با کلیدهای طولانی و تولیدکلید پویا توصیه می شود.  WEP تا حد زیادی مورد کنکاش قرار گرفته است و پروتکل های امنیتی علیه تمام حملات شناخته شده تقویت شده اند. یک قسمت بسیار مهم در این تقویت، زمان کم تولید مجدد کلید است که باعث می شود نفوذگر نتواند در مورد خصوصیات کلید WEP قبل از ، جایگزین شدن، اطلاعات عمده ای کسب کند.اگر شما استفاده از WEPرا انتخاب کنید، باید شبکه بی سیم خود را نظارت کنید تا مطمئن شوید که مستعد حمله AirSnort  نیست. یک موتور آنالیز قوی به طور خودکار تمام ترافیک دریافت شده را تحلیل می کند و ضعف های شناخته شده را در فریم های  محافظت شده توسط WEP بررسی می کند. همچنین ممکن است بتواند نقاط دسترسی و ایستگاه هایی را که WEP  آنها فعال نیست نشان گذاری کند تا بعداً توسط مدیران  شبکه بررسی شوند. زمان کوتاه تولید مجدد کلید ابزار بسیار مهمی است که در کاهش خطرات مربوط به شبکه های بی سیم استفاده می شود. بعنوان بخشی از نظارت سایت، مدیران شبکه می توانند از آنالایزرهای قوی استفاده کنند تا مطمئن شوند که سیاست های تولید کلید مجدد WEP توسط تجهیزات مربوطه پیاده سازی شده اند.

اگر از LAN بی سیم شما برای انتقال دیتای حساس استفاده می شود، ممکن است WEP برای نیاز شما کافی نباشد. روش های رمزنگاری قوی مانند IPSec و SSL ،SSH   برای انتقال دیتا به صورت امن روی کانال های عمومی طراحی شده اند و برای سال ها مقاومت آنها در برابر حملات ثابت شده است، و یقیناً سطوح بالاتری از امنیت را ارائه می کنند. نمایشگرهای وضعیت نقاط دسترسی می توانند بین نقاط دسترسی که از WEP ،802.1 x و VPN استفاده می کنند، تمایز قائل شوند تا مدیران شبکه بتوانند بررسی کنند و که آیا در آنها از سیاست های رمزنگاری قوی تبعیت می شود یا خیر.

علاوه بر استفاده از پروتکل های VPN قوی، ممکن است که تمایل به استفاده از تصدیق هویت قوی کاربر با استفاده از802.1 x  داشته باشید. بعضی جزئیات آنالیز وضعیت تصدیق 802.1 x، نتایج باارزشی روی قسمت بی سیم تبادل تصدیق هویت 802.1 x ارائه می کند.

آنالایزر هنگام انجام نظارت بر سایت، نوع تصدیق هویت را مشخص می کند و این بررسی به مدیران شبکه اجازه می دهد که محافظت از کلمات عبور توسط رمزنگاری قوی را تضمین کنند.

مسأله شماره ٧: حملات سطح بالاتر

هنگامی که یک نفوذگر به یک شبکه دسترسی پیدا می کند، می تواند از آنجا به عنوان نقطه ای برای انجام حملات به سایر سیستم ها استفاده کند. بسیاری از شبکه ها یک پوسته بیرونی سخت دارند که از ابزار امنیت پیرامونی تشکیل شده، به دقت پیکربندی شده و مرتب دیده بانی می شوند. اگرچه درون پوسته یک مرکز آسیب پذیر نرم قرار دارد.

LAN های بی سیم می توانند به سرعت با اتصال به شبکه های اصلی آسیب پذیر مورد  استفاده قرار گیرند، اما به این ترتیب شبکه در معرض حمله قرار می گیرد. بسته به امنیت پیرامون، ممکن است سایر شبکه ها را نیز در معرض حمله قرار دهد، و می توان شرط بست که اگر از شبکه شما به عنوان نقطه ای برای حمله به سایر شبکه ها استفاده شود، حسن شهرت خود را از دست خواهید داد.

راه حل شماره ٧ : هسته را از LAN بی سیم محافظت کنید

به دلیل استعداد شبکه های بی سیم برای حمله، باید به عنوان شبکه های غیرقابل اعتماد مورد استفاده قرار بگیرند. بسیاری از شرکت ها درگاه های دسترسی guest در اتاق های آموزش یا سالن ها ارائه می کنند. شبکه های بی سیم به دلیل احتمال دسترسی توسط کاربران غیرقابل اعتماد می توانند به عنوان درگا ه های دسترسی guestتصور شوند. شبکه بی سیم را بیرون منطقه پیرامون امنیتی شرکت قرار دهید و از تکنولوژی کنترل دسترسی قوی و ثابت شده مانند یک فایروال بین LAN بی سیم و شبکه مرکزی استفاده کنید، و سپس دسترسی به شبکه مرکزی را از طریق روش های VPN

تثبیت شده ارائه کنید.


  • ۰

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهای مبتنیبر فناوری اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداری الکترونیکی جزء راهبردهای اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراری امنیت شبکههای کامپیوتری است. به همین دلیل تکنولوژی فایروالهای در طول عمر این محصول تغییرات زیادی داشته است. این تغییرات بیشتر به دلیل تولد ایدههای جدید در تهدیدات شبکهای بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژی در تولید فایروال معرفی شود. این تکنولوژی که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه ای را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهای امروزی شود.

مقدمه

گسترش استفاده از فضای تبادل اطلاعات در کشور طی سالهای گذشته و برقراری ارتباط از طریق وب، موجب افزایش بکارگیری فنآوری اطلاعات و وابستگی نهادهای مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههای مختلف تلاشهای ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاری و نرم افزارها در حوزه های گوناگون ICT، ارائه راهکارها و تدوین سیاستهای خرد و کلان جهت صیانت از فضای تبادل اطلاعات، تربیت نیروهای مختصص به منظور حفاطت از شبکههای تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیای دیجیتال نمود بیشتری پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیریها در سیستمهای رایانهای، تکنولوژی در راستای محافظت از این سیستمهای نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههای بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژی تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژی UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژی به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروری در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمندیهای امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژی بررسی میشود. در بخش 3 معماری و مکانیسمهای امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیری و جمعبندی ارائه میشود.

 تکنولوژی فایروال و نیازمندیهای جدید

 تهدیدات محتمل سیستمهای رایانه ای

به منظور مقابله با تهدیداتی که حوزههای مختلف فنآوری اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروری به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهای پیشنهادی را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندی نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهای متفاوتی از سوی مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. برای دستیابی به این هدف، چنانچه منابع مشترک سیستم به گونهای توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهای این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهای اساسی دیسک
  • تولید پردازش و اشغال پهنای باند پردازنده
  • تخریب و کنترال سرویسهای شبکه توسط مهاجم
  • ذخیره پیامهای پخش شده، ارسال پیام و درخواست پاسخ از رایانههای شبکه
  • استفاده از اتصالهای غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهای نوشته میشوند که رفتاری مخرب و غیر عادی داشته باشند. معمولاً این برنامهها از طرق مختلف برای کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجرای آن اقدام مینماید. شیوههای مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههای سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهای مخفی جهت دسترسی غیرمجاز
  • اسبهای تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهای موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهای زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراری روابط اجتماعی
  • تخریب فیزیکی منابع رایانه ای و شبکه ای

 

نقش ابزارهای کنترل ترافیک

امروزه فایروالهای حالتمند ، IDSها، و آنتی ویروسهای مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوری اطلاعات حملات و سرایتهای موفق متعددی را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهای فایروال سنتی و کمبودهای آنها

فایروالهای حالتمند در ابتدا برای امنسازی ارتباط با اینترنت بوسیله یک واسط امن بین شبکههای قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهای از خطمشیهای فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهای متعددی را برای گذشتن از خطمشیهای فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهای باز روی فایروال و یا سیستمهای موجود در ناحیه قابل اعتماد
  • نرمافزارهای مخرب نظیر تروژانهایی که روی سیستمهای موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهای نسل قدیمی در بازرسی بخش دادهای بسته جهت شناسایی انواع کدهای مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ برای حمله مورد استفاده قرار گیرد.
  • بسیاری از فایروالهای جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههای تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهای قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهای مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهای IDS سنتی و کمبودهای آنها

همانند فایروالهای سنتی، IDSهای سنتی با آمدن تهدیدات مدرن و پیچیده جای خود را به فنآوریهای جدیدتر میدهند. حمله کنندگان ضعفهای سیستمهای IDS را شناخته و متدهای جدیدی برای گذشتن از این سیستمهای نظارتی پیادهسازی کردهاند. مثالهایی از ضعف سیستمهای IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهای شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهای IDS معمولاً به عنوان ابزارهای نظارتی کاربری دارند و قابلیت ممانعت از ترافیک مشکوک در این سیستمهای وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهای IDS، این سیستمها معمولاً در مقابل حجم بالای ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهای IDS حجم زیادی false positive تولید میکنند که برای جلوگیری از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

برای حل مشکلات فوق، بسیاری از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدی از این محصولات به نام IPS روی آوردهاند. سیستمهای IPS میتوانند به صورت Inline در توپولوژی شبکه قرار گیرند و کنشهای مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهای تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهای مبتنی بر میزبان و کمبودهای آنها

یکی از پر کاربردترین نرمافزارهای امنیتی، سیستمهای آنتی ویروس مبتنی بر میزبان است. این نرمافزارهای آنتی ویروس بهعنوان یکی از معمولترین راهحلهای امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهای از سال 1980 میلادی و بهدلیل حضور فایلهای ویروسی میباشد. گرچه حضور نرمافزارهای آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهای تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداری و ارتقای الگوهای ویروسی برای این نرمافزارهای پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهای موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدی و یا غیرعمدی میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهای ویروس برای نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهای پیشرفته قادرند قبل از فعال شدن آنتی ویروس روی میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیری میکنند.

بدیهی است سازمانهایی که از نرمافزارهای آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردی از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی برای سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاری از کدهای مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهای مخرب را قبل از رسیدن به میزبانهای تشخیص داده و بلاک نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که برای اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهای جلوگیری و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیری، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههای امنیتی نام برد که سعی در ارائه سرویسهای امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهای قدیمی برای بدست آوردن تک تک این سرویسهای امنیتی ابزارهای مجزا به همراه پیچیدگیهای نصب، بهروز سازی، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازی و مدیریت متمرکز، تمامی نیازمندیهای امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهای سنتی (امنیت لایه ای به صورت چند نقطه ای)

امروزه بسیاری از سازمانها سعی در پیاده سازی سیستمهای امنیتی با ترکیب راهحلهای مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداری، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاری نامناسب بین سیستمهای امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که برای کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم برای تهیه انواع محصولات مختلف امنیتی برای رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت دارای زیرساخت IT لازم برای نگهداری و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام دارای سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداری و پشتیبانی از رویکردهای چند نقطهای برای یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازی محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-ای-به-صورت-چند-نقطه-ای

راه حل مدرن (ابزارهای امنیتی مجتمع)

مفهوم اولیه ابزارهای امنیتی مجتمع، مفهوم جدیدی نیست و به زبان ساده به معنای ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهای امنیتی، ابزارهای امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهای جوان دارای کمبودهای زیادی بودهاند. به خصوص اگر یکپارچه سازی کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازی شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیری محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازی کارکردهای امنیتی باید بهنحوی انجام شود که تکنولوژیهای مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازی محصول Appliance خواهد شد که قابلیت توسعه سرویسهای امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهای جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازی مکانیسمهای امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازی-مکانیسمهای-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههای کاربردی امنیتی با کارایی بالا، و صرفهجویی در هزینههای عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهای امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدی نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاری دسته محصولات مدیریت امنیت شامل UTM، فایروالهای سنتی، و ابزارهای UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهای سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاری از شرکتهای تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهای تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتری به نتیجه رسیده است، بهطوری که بیشتر شرکتهای معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را برای تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماری محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههای شبکه و بهطور خاص در لایه محتوا ارائه میکند. برای این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهای امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهای متنوع
  • امکان تشخیص و جلوگیری از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتوای ترافیک (بهطور معمول برای محتوای Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روی ترافیک Mail
  • مدیریت پهنای باند

نکته کلیدی در تولید محصولات UTM ارائه یک معماری مناسب برای چیدمان مکانیسمهای فوق میباشد که بتواند بهترین کارایی را روی محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهای امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههای سخت افزاری میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاری از شرکتهای بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماری نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهای امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهای اصلی این معماری میباشد. در این معماری اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاری از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست برای بازرسی در ماژولهای امنیتی دیگر شود. از نکات دیگر این معماری قرار دادن بازرسیهای محتوا در انتهای حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتوای ترافیکهای مشکوک میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماری ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدی در پیادهسازی این معماری ملاحظات پیادهسازی ارتباطات بین ماژولها میباشد. برای نمونه معماری ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههای محصول میباشد. همچنین نکته دیگری که در پیادهسازی این معماری باید در نظر گرفت، نوع مدل مدیریتی است که محصول برای مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازی آسان و سریع خطمشیهای سراسری سازگار
  3. § تکیه بر گزارشات و نظارتهای برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم برای نصب و مدیریت تمامی ویژگیهای امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازی آنها، و پشتیبانیهای آتی را ساده کرده است.

  • محصولات UTM دارای مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاری تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهای ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل برای عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم برای فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهای مجزای امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهای تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده برای تولید قرار داد. بنابراین چالشهای یک محصول پیچیده و بزرگ را برای تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی برای تولید مساله کارایی محصول و میزان تاخیر شبکه برای بازرسی تمامی مکانیسمهای امنیتی است. این چالش به عنوان مساله اصلی برای انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههای جدید در تولید این محصول با معماری کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندی و نتیجه گیری

در این مقاله تکنولوژی جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماری و چالشهای اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهای انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه های کامپیوتری به این محصول، به نظر میرسد که دولت و شرکتهای خصوصی باید برنامه ویژهای را برای تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268


آخرین دیدگاه‌ها

    دسته‌ها