امنیت شبکه امنیت شبکه چیست؟ به زبان ساده به مجوعه اقداماتی که به منظور محفاظت از شبکه های کامپیوتری در برابر حمالت داخلی و خارجی انجام می گردد امنیت شبکه گفته میشود .در واقع امنیت شبکه فرایند اقدامات پیشگیرانه سخت افزاری و نرم افزاری برای محافظت از منابع شبکه، در برابر دسترسی غیر مجاز افراد ناشناس که قصد سرقت یا تخریب اطالعات را دارند را شامل می شود ..این اقدامات از الیه های بیرونی شبکه آغاز و تا الیه های داخلی ادامه دارد .هر الیه امنیتی ،دارای سیاستهای کنترلی خاص به منظور مدیریت سطح دسترسی کاربران مجاز و جلوگیری از نفوذ هکرها به اطالعات شبکه می باشد. مؤسسه معتبر SANSتعریف امنیت شبکه را کامل تر می کند امنیت شبکه فرایند اقدامات پیشگیرانه فیزیکی و نرم افزاری برای محافظت از زیرساخت های شبکه از دسترسی غیر مجاز ،سوء استفاده ،سوء عملکرد ،اصالح ،تخریب یا افشای نامناسب است ،بنابراین ایجاد پلت فرم امن برای رایانه ها ،کاربران و برنامه ها در یک محیط امن برعهده ی امنیت شبکه است . امنیت اطالعات از گذشته تا حاال با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حمالت به امنیت سازمانها نیز آغاز شد .سیستم های قدیمی امنیت و تکنولوژی حمالت جدید چالشهایی هستند که ادرات و سازمان ها با آن روبهرو شدند .امروزه اطالعات(داده ها) از مهمترین و اصلی ترین دارایی های یک سازمان محسوب میشوند .در گذشته های نه چندان دور حفاظت از اطالعات و داده ها بسیار آسانتر بود .تمامی اطالعات و دادهها بهصورت فیزیکی و بهطورکلی دستی و مکتوب در صندوقهایی محافظت میشدند و افرادی به عنوان نگهبان از این اطالعات محافظت فیزیکی میکردند .بهاینترتیب امنیت دادهها و اطالعات درگذشته تأمین میشد .میتوان گفت از همان زمان سرقت دادهها بوده است .اکنونکه دنیای دادهها و اطالعات از آنالوگ به دیجیتال تغییر کرده است ،شیوه سرقت و بهطورکلی انواع تهدیدات نیز با آن تغییر کردهاند. با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حمالت به امنیت سازمانها نیز آغاز شد .سیستم های قدیمی امنیت و تکنولوژی حمالت جدید چالشهایی هستند که ادرات و سازمان ها با آن روبهرو شدند .امروزه اطالعات(داده ها) از مهمترین و اصلی ترین دارایی های یک سازمان محسوب میشوند .در گذشته های نه چندان دور حفاظت از اطالعات و داده ها بسیار آسانتر بود .تمامی اطالعات و دادهها بهصورت فیزیکی و بهطورکلی دستی و مکتوب در صندوقهایی محافظت میشدند و افرادی به عنوان نگهبان از این اطالعات محافظت فیزیکی میکردند .بهاینترتیب امنیت دادهها و اطالعات درگذشته تأمین میشد .میتوان گفت از همان زمان سرقت دادهها بوده است .اکنونکه دنیای دادهها و اطالعات از آنالوگ به دیجیتال تغییر کرده است ،شیوه سرقت و بهطورکلی انواع تهدیدات نیز با آن تغییر کردهاند. اصول امنیت شبکه در باال با تعاریف امنیت شبکه آشنا شدیم .اما چطور میتوان برنامه ای برای اجرای امنیت شبکه داشت .استرتژی کلی در در این مورد شامل سه مرحله می باشد .در واقع امنیت شبکه شامل موارد زیر است: .1حفاظت:باید سیستم ها و شبکه خود را به درستی پیکربندی کنیم. .2تشخیص :باید به طور کامل شبکه را مانیتور کرده و تغییرات و استفاده از منابع شبکه که نشانه هایی از نفوذ است را تشخیص دهیم. .3واکنش :پس از شناسایی مشکالت ،به سرعت باید به آنها پاسخ دهید و به سرعت محیط امن را در شبکه خود فراهم آورید. به طور خالصه ،این یک استراتژی دفاعی است .اگر یک موضوع مشترک در میان کارشناسان امنیتی وجود داشته باشد ،این است که تکیه بر تک خط اولیه دفاع ،خطرناک است ،زیرا هر یک از ابزار دفاعی می تواند توسط دشمن شکست بخورد .شبکه شما یک خط یا یک نقطه نیست :این قلمرو است و حتی اگر یک مهاجم به بخشی از آن حمله کرده باشد ،اگر شما سیستم دفاعی خود را به درستی سازماندهی کرده باشید ،هنوز منابع الزم برای جمع آوری و نجات آن ها را دارید. روش های امنیتی شبکه برای پیاده سازی این نوع استراتژی ،انواع تکنیک های تخصصی و روش های امنیتی شبکه وجود دارد .اما پیشنهاد سیسکو(شرکت زیرساخت شبکه) استفاده از شیوه زیر برای از بین بردن انواع مختلف آسیب به شبکه می باشد. کنترل دسترسی: ما باید بتوانیم دسترسی کاربران و دستگاه های غیر مجاز را به شبکه خود مسدود کنیم .کاربران مجاز دسترسی به شبکه فقط قادر به کار با مجموعه محدودی از منابع هستند که برای آنها مجاز بوده است(کنترل سطح دسترسی). ضد تروجان: ویروس ها ،کرم ها و تروجان ها تالش می کنند در سراسر شبکه پخش شوند و می توانند روزها یا هفته ها در دستگاه های آلوده بدون عالمت باقی بمانند .وظیفه ما تالش امنیتی برای جلوگیری از نفوذ این نوع بدافزارها و همچنین از بین نرم افزارهای مخرب که راه را برای آنها باز میگذارند می باشد. امنیت برنامه: برنامه های ناامن اغلب راه هاییبرای نفوذ مهاجمان به شب که ما می باشند .ما باید از سخت افزار ،نرم افزار و فرآیندهای امنیتی برای جلوگیری از این نفوذ استفاده کنیم. تجزیه و تحلیل شبکه: ما باید بدانیم که رفتار شبکه عادی چگونه است ،تا بتوانیم نقص ها و موارد مشکوک در آن را به درستی تشخیص دهیم .تشخیص این موارد که این شبکه در حالت عاد ی و نرمال چه مقدار منابع استفاده میکند و یا حجم انتفال اطالعات در آن چگونه است به ما کمک میکند که بار اضافی روی شبکه را شناسایی و مشکل را حل کنیم. پیشگیری از دست دادن داده ها: متاسفانه انسان ها بزرگترین ضعف امنیتی شبکه به حساب می آیند .ما نیاز به پیاده سازی فن آوری ها و فرایندها داریم تا اطمینان حاصل کنیم که کارکنان عمدا یا به طور غیرمستقیم اطالعات حساس را به خارج از شبکه ارسال نمی کنند. امنیت ایمیل: فیشینگ یکی از رایج ترین شیوه های حمله و دسترسی به شبکه است .ایمیل یک ابزار قوی و آسان برای تبادل اطالعات است. اطالعاتی که در یک ایمیل تبادل می شود ،ممکن است دارای ارزش زیادی باشد که آن را به یک هدف عالی برای هکرها تبدیل کند.ابزارهای امنیتی ایمیل می توانند پیام هایورودی و خروجی به شبکه را کنترل و از نفوذ به شبکه و خروج اطالعات جلوگیری کنند. فایروال ها: شاید پدربزرگ!! دنیای امنیت شبکه به حساب می آیند .ما بافایروال ها قوانینی را که تعریف می کنیم که ورود و خروج اطالعات از داخل شبکه ما و اینترنت به چه صورت انجام گیرد .در واقع ما به کمک فایروال ها تعیین میکنیم که کدام دیتا ها حق ورود و خروج را دار ند و کدامیک نباید داخل و خارج شوند .فایروال ها معموال در مرز بین شبکه ما و اینترنت قرار میگیرند. سیستم تشخیص نفوذ و پیشگیری: این سیستم ها ترافیک شبکه را شناسایی و از حمالت جلوگیری میکنند.این کار غالبا با استفاده از اطالعات کارکرد شبکه و مقایسه آن با بانک اطالعاتی انجام میپذیرد. دستگاه تلفن همراه و امنیت بی سیم: دستگاه های بی سیم دارای نقص های امنیتی فراوان و برای شبکه بسیار خطرناک می باشند .موبایل ها و سیستم هایی که با وایرلس به شبکه متصل می شوند باید به صورت دقیق مورد بررسی قرار گرفته و تست امنیت شوند. تقسیم بندی شبکه: تقسیم بندی تعریف شده توسط نرم افزار ،ترافیک شبکه را به طبقه بندی های مختلفی تقسیم میکندو اجرای سیاست های امنیتی را ساده تر می کند .مثال میتوان سازمان به واحد ها مختلف تقسیم و سیاست های امنیتی مختص به همان واحد اجرا گردد. اطالعات امنیتی و مدیریت رویداد ها: این محصوالت به طور خودکار اطالعات را از ابزارهای مختلف شبکه برای جمع آوری داده هایی که نیاز به شناسایی و پاسخ دادن به تهدیدات دارند ،می گیرند. :VPN ابزاری معموال مبتنی بر IPsecیا SSLاست که ارتباط بین یک دستگاه و یک شبکه امن را تأیید می کند .به عبارت دیگر ایجاد یک "تونل" امن و رمزگذاری شده در اینترنت دانشی تخصصی به نام "امنیت شبکه" یکی از مواردی که مدیران ارشد سازمانها و ادارات باید بسیار مورد توجه قرار دهند ،میزان اطالع آنها از اصول و مفاهیم بحث امنیت شبکه است .با اینکه که برونسپاری این مهم بهمنظور ارتقا امنیت شبکه سازمان امری ضروری و الزم است ،ولی این نکته حائز اهمیت است که دانستن مفاهیم و اطالعات کافی درباره امنیت شبکه برای مدیران شبکه سازمانها امری ضروری و اجتناب ناپذیر است .در ادامه با برخی تهدیدات و راه های مبارزه با آن به طور مختصر آشنا خواهید شد. حمالت غیر فعال Passive( (:این حمالت در مقابل امنیت شبکه سازمان میباشند که با هدف شناسایی شبکه ،شخص نفوذ کننده اقدام به مانیتورینگ شبکه سازمان میکند .از آنجاییکه در این حمله نفوذ کننده هیچ گونه فعالیت خرابکارانه ای انجام نمیدهد تشخیص این نوع از حمالت بسیار سخت و دشوار می باشد .برای نمونه یکی از انواع حمالت Passiveآن است که نفوذ کننده اقدام به Captureکردن بستههای شبکه داخلی سازمان میکند .نکته امیدوار کننده اینکه این نوع از حمالت به آسانی و با رمزنگاری صحیح در زیرساخت شبکه قابل پیشگیری باشد. حمالت فعال (:)Activeدر این نوع از حمالت ،حملهکننده به طور مستقیم حمالتی را روی سرورهای سازمان صورت میدهد و چون حمالت به صورت آشکار انجام میگیرد به راحتی قابل مشاهده و مانیتورینگ است .از راهکار های مقابله با این حمالت میتوان از راه اندازی فایروالها (نرم افزاری و سخت افزاری) و همچنین سیستمهای IPSنام برد. حمالت داخلی )Close-in(:در این نوع از حمالت نفوذ کننده به صورت فیزیکی به سیستم ها دسترسی پیدا میکند .متاسفانه با دسترسی فیزیکی به سیستمها تقریبا شخص نفوذ کننده کارهای بسیاری را میتواند انجام دهد وخسارتهای جبرانناپذیری به سازمان وارد کند .راه مناسب و منطقی مقابله با این نوع از حمالت تأمین امنیت فیزیکی سیستم ها و سرورها است. حمالت خودی (:)Insiderاین نوع حمالت به شبکه معموال توسط کاربران داخلی سازمان ها که دسترسیهایی به سیستمها و ازالعات دارند انجام میگیرد .سطح دانش و آگاهی این کاربران از شبکه های کامپیوتری بهطوری است که میتوانند به سیستمها نفوذ کنند .راهکار جلوگیری از این نوع حمالت امنیت در الیه ۲و تمرکز بر روی ()Authenticationتصدیق هویت میباشد ضمن اینکه امنیت فیزیکی بایدبهطور کامل تأمین شود. راهکارهای امنیت شبکه ا رزیابی خطرات و آسیب پذیری ها و آنالیز و تحلیل انتخاب کنترلرهای مناسب بهینه سازی سرور ها ،کالینت ها ،وب سایت و محیط شبکه سازمان بهینه سازی شبکه های Cache,NAT, Proxy , IPو مسیریابی مشاوره در انتخاب استانداردهای امنیتی مناسب مشاوره در تعریف و به کارگیری خطوط راهنما و دستورالعمل های اجرایی امنیت اطالعات آموزش در محل و یا به صورت دوره ای در سطوح مختلف آزمایش استحکام سیستم ها با سعی در شکستن آنها