‫امنیت شبکه‬
‫امنیت شبکه چیست؟‬
‫به زبان ساده به مجوعه اقداماتی که به منظور محفاظت از شبکه های کامپیوتری در برابر حمالت داخلی و خارجی انجام می گردد‬
‫امنیت شبکه گفته میشود‪ .‬در واقع امنیت شبکه فرایند اقدامات پیشگیرانه سخت افزاری و نرم افزاری برای محافظت از منابع شبکه‪،‬‬
‫در برابر دسترسی غیر مجاز افراد ناشناس که قصد سرقت یا تخریب اطالعات را دارند را شامل می شود‪ ..‬این اقدامات از الیه های‬
‫بیرونی شبکه آغاز و تا الیه های داخلی ادامه دارد‪ .‬هر الیه امنیتی ‪ ،‬دارای سیاستهای کنترلی خاص به منظور مدیریت سطح دسترسی‬
‫کاربران مجاز و جلوگیری از نفوذ هکرها به اطالعات شبکه می باشد‪.‬‬
‫مؤسسه معتبر ‪ SANS‬تعریف امنیت شبکه را کامل تر می کند‬
‫امنیت شبکه فرایند اقدامات پیشگیرانه فیزیکی و نرم افزاری برای محافظت از زیرساخت های شبکه از دسترسی غیر مجاز‪ ،‬سوء‬
‫استفاده‪ ،‬سوء عملکرد‪ ،‬اصالح‪ ،‬تخریب یا افشای نامناسب است‪ ،‬بنابراین ایجاد پلت فرم امن برای رایانه ها‪ ،‬کاربران و برنامه ها در یک‬
‫محیط امن برعهده ی امنیت شبکه است ‪.‬‬
‫امنیت اطالعات از گذشته تا حاال‬
‫با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حمالت به امنیت سازمانها نیز آغاز‬
‫شد‪ .‬سیستم های قدیمی امنیت و تکنولوژی حمالت جدید چالشهایی هستند که ادرات و سازمان ها با آن روبهرو شدند‪ .‬امروزه‬
‫اطالعات(داده ها) از مهمترین و اصلی ترین دارایی های یک سازمان محسوب میشوند‪ .‬در گذشته های نه چندان دور حفاظت از‬
‫اطالعات و داده ها بسیار آسانتر بود‪ .‬تمامی اطالعات و دادهها بهصورت فیزیکی و بهطورکلی دستی و مکتوب در صندوقهایی محافظت‬
‫میشدند و افرادی به عنوان نگهبان از این اطالعات محافظت فیزیکی میکردند‪ .‬بهاینترتیب امنیت دادهها و اطالعات درگذشته تأمین‬
‫میشد‪ .‬میتوان گفت از همان زمان سرقت دادهها بوده است‪ .‬اکنونکه دنیای دادهها و اطالعات از آنالوگ به دیجیتال تغییر کرده‬
‫است‪ ،‬شیوه سرقت و بهطورکلی انواع تهدیدات نیز با آن تغییر کردهاند‪.‬‬
‫با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حمالت به امنیت سازمانها نیز آغاز‬
‫شد‪ .‬سیستم های قدیمی امنیت و تکنولوژی حمالت جدید چالشهایی هستند که ادرات و سازمان ها با آن روبهرو شدند‪ .‬امروزه‬
‫اطالعات(داده ها) از مهمترین و اصلی ترین دارایی های یک سازمان محسوب میشوند‪ .‬در گذشته های نه چندان دور حفاظت از‬
‫اطالعات و داده ها بسیار آسانتر بود‪ .‬تمامی اطالعات و دادهها بهصورت فیزیکی و بهطورکلی دستی و مکتوب در صندوقهایی محافظت‬
‫میشدند و افرادی به عنوان نگهبان از این اطالعات محافظت فیزیکی میکردند‪ .‬بهاینترتیب امنیت دادهها و اطالعات درگذشته تأمین‬
‫میشد‪ .‬میتوان گفت از همان زمان سرقت دادهها بوده است‪ .‬اکنونکه دنیای دادهها و اطالعات از آنالوگ به دیجیتال تغییر کرده‬
‫است‪ ،‬شیوه سرقت و بهطورکلی انواع تهدیدات نیز با آن تغییر کردهاند‪.‬‬
‫اصول امنیت شبکه‬
‫در باال با تعاریف امنیت شبکه آشنا شدیم‪ .‬اما چطور میتوان برنامه ای برای اجرای امنیت شبکه داشت‪ .‬استرتژی کلی در در این مورد‬
‫شامل سه مرحله می باشد‪ .‬در واقع امنیت شبکه شامل موارد زیر است‪:‬‬
‫‪ .1‬حفاظت‪:‬باید سیستم ها و شبکه خود را به درستی پیکربندی کنیم‪.‬‬
‫‪ .2‬تشخیص ‪:‬باید به طور کامل شبکه را مانیتور کرده و تغییرات و استفاده از منابع شبکه که نشانه هایی از نفوذ است را‬
‫تشخیص دهیم‪.‬‬
‫‪ .3‬واکنش‪ :‬پس از شناسایی مشکالت‪ ،‬به سرعت باید به آنها پاسخ دهید و به سرعت محیط امن را در شبکه خود فراهم‬
‫آورید‪.‬‬
‫به طور خالصه‪ ،‬این یک استراتژی دفاعی است‪ .‬اگر یک موضوع مشترک در میان کارشناسان امنیتی وجود داشته باشد‪ ،‬این است که‬
‫تکیه بر تک خط اولیه دفاع‪ ،‬خطرناک است‪ ،‬زیرا هر یک از ابزار دفاعی می تواند توسط دشمن شکست بخورد‪ .‬شبکه شما یک خط‬
‫یا یک نقطه نیست‪ :‬این قلمرو است و حتی اگر یک مهاجم به بخشی از آن حمله کرده باشد‪ ،‬اگر شما سیستم دفاعی خود را به‬
‫درستی سازماندهی کرده باشید‪ ،‬هنوز منابع الزم برای جمع آوری و نجات آن ها را دارید‪.‬‬
‫روش های امنیتی شبکه‬
‫برای پیاده سازی این نوع استراتژی‪ ،‬انواع تکنیک های تخصصی و روش های امنیتی شبکه وجود دارد‪ .‬اما پیشنهاد سیسکو(شرکت‬
‫زیرساخت شبکه) استفاده از شیوه زیر برای از بین بردن انواع مختلف آسیب به شبکه می باشد‪.‬‬
‫کنترل دسترسی‪:‬‬
‫ما باید بتوانیم دسترسی کاربران و دستگاه های غیر مجاز را به شبکه خود مسدود کنیم‪ .‬کاربران مجاز دسترسی به شبکه فقط قادر‬
‫به کار با مجموعه محدودی از منابع هستند که برای آنها مجاز بوده است(کنترل سطح دسترسی)‪.‬‬
‫ضد تروجان‪:‬‬
‫ویروس ها‪ ،‬کرم ها و تروجان ها تالش می کنند در سراسر شبکه پخش شوند و می توانند روزها یا هفته ها در دستگاه های آلوده‬
‫بدون عالمت باقی بمانند‪ .‬وظیفه ما تالش امنیتی برای جلوگیری از نفوذ این نوع بدافزارها و همچنین از بین نرم افزارهای مخرب که‬
‫راه را برای آنها باز میگذارند می باشد‪.‬‬
‫امنیت برنامه‪:‬‬
‫برنامه های ناامن اغلب راه هاییبرای نفوذ مهاجمان به شب که ما می باشند‪ .‬ما باید از سخت افزار‪ ،‬نرم افزار و فرآیندهای امنیتی برای‬
‫جلوگیری از این نفوذ استفاده کنیم‪.‬‬
‫تجزیه و تحلیل شبکه‪:‬‬
‫ما باید بدانیم که رفتار شبکه عادی چگونه است‪ ،‬تا بتوانیم نقص ها و موارد مشکوک در آن را به درستی تشخیص دهیم‪ .‬تشخیص‬
‫این موارد که این شبکه در حالت عاد ی و نرمال چه مقدار منابع استفاده میکند و یا حجم انتفال اطالعات در آن چگونه است به ما‬
‫کمک میکند که بار اضافی روی شبکه را شناسایی و مشکل را حل کنیم‪.‬‬
‫پیشگیری از دست دادن داده ها‪:‬‬
‫متاسفانه انسان ها بزرگترین ضعف امنیتی شبکه به حساب می آیند‪ .‬ما نیاز به پیاده سازی فن آوری ها و فرایندها داریم تا اطمینان‬
‫حاصل کنیم که کارکنان عمدا یا به طور غیرمستقیم اطالعات حساس را به خارج از شبکه ارسال نمی کنند‪.‬‬
‫امنیت ایمیل‪:‬‬
‫فیشینگ یکی از رایج ترین شیوه های حمله و دسترسی به شبکه است‪ .‬ایمیل یک ابزار قوی و آسان برای تبادل اطالعات است‪.‬‬
‫اطالعاتی که در یک ایمیل تبادل می شود‪ ،‬ممکن است دارای ارزش زیادی باشد که آن را به یک هدف عالی برای هکرها‬
‫تبدیل کند‪.‬ابزارهای امنیتی ایمیل می توانند پیام هایورودی و خروجی به شبکه را کنترل و از نفوذ به شبکه و خروج اطالعات‬
‫جلوگیری کنند‪.‬‬
‫فایروال ها‪:‬‬
‫شاید پدربزرگ!! دنیای امنیت شبکه به حساب می آیند‪ .‬ما بافایروال ها قوانینی را که تعریف می کنیم که ورود و خروج اطالعات از‬
‫داخل شبکه ما و اینترنت به چه صورت انجام گیرد‪ .‬در واقع ما به کمک فایروال ها تعیین میکنیم که کدام دیتا ها حق ورود و خروج‬
‫را دار ند و کدامیک نباید داخل و خارج شوند‪ .‬فایروال ها معموال در مرز بین شبکه ما و اینترنت قرار میگیرند‪.‬‬
‫سیستم تشخیص نفوذ و پیشگیری‪:‬‬
‫این سیستم ها ترافیک شبکه را شناسایی و از حمالت جلوگیری میکنند‪.‬این کار غالبا با استفاده از اطالعات کارکرد شبکه و مقایسه‬
‫آن با بانک اطالعاتی انجام میپذیرد‪.‬‬
‫دستگاه تلفن همراه و امنیت بی سیم‪:‬‬
‫دستگاه های بی سیم دارای نقص های امنیتی فراوان و برای شبکه بسیار خطرناک می باشند‪ .‬موبایل ها و سیستم هایی که با وایرلس‬
‫به شبکه متصل می شوند باید به صورت دقیق مورد بررسی قرار گرفته و تست امنیت شوند‪.‬‬
‫تقسیم بندی شبکه‪:‬‬
‫تقسیم بندی تعریف شده توسط نرم افزار‪ ،‬ترافیک شبکه را به طبقه بندی های مختلفی تقسیم میکندو اجرای سیاست های امنیتی‬
‫را ساده تر می کند‪ .‬مثال میتوان سازمان به واحد ها مختلف تقسیم و سیاست های امنیتی مختص به همان واحد اجرا گردد‪.‬‬
‫اطالعات‬
‫امنیتی‬
‫و‬
‫مدیریت‬
‫رویداد‬
‫ها‪:‬‬
‫این محصوالت به طور خودکار اطالعات را از ابزارهای مختلف شبکه برای جمع آوری داده هایی که نیاز به شناسایی و‬
‫پاسخ دادن به تهدیدات دارند‪ ،‬می گیرند‪.‬‬
‫‪:VPN‬‬
‫ابزاری معموال مبتنی بر ‪ IPsec‬یا ‪ SSL‬است که ارتباط بین یک دستگاه و یک شبکه امن را تأیید می کند‪ .‬به عبارت دیگر ایجاد‬
‫یک "تونل" امن و رمزگذاری شده در اینترنت‬
‫دانشی تخصصی به نام "امنیت شبکه"‬
‫یکی از مواردی که مدیران ارشد سازمانها و ادارات باید بسیار مورد توجه قرار دهند‪ ،‬میزان اطالع آنها از اصول و مفاهیم بحث‬
‫امنیت شبکه است‪ .‬با اینکه که برونسپاری این مهم بهمنظور ارتقا امنیت شبکه سازمان امری ضروری و الزم است‪ ،‬ولی این نکته حائز‬
‫اهمیت است که دانستن مفاهیم و اطالعات کافی درباره امنیت شبکه برای مدیران شبکه سازمانها امری ضروری و اجتناب ناپذیر‬
‫است‪ .‬در ادامه با برخی تهدیدات و راه های مبارزه با آن به طور مختصر آشنا خواهید شد‪.‬‬
‫حمالت غیر فعال‪ Passive( (:‬این حمالت در مقابل امنیت شبکه سازمان میباشند که با هدف شناسایی شبکه‪ ،‬شخص نفوذ‬
‫کننده اقدام به مانیتورینگ شبکه سازمان میکند‪ .‬از آنجاییکه در این حمله نفوذ کننده هیچ گونه فعالیت خرابکارانه ای انجام نمیدهد‬
‫تشخیص این نوع از حمالت بسیار سخت و دشوار می باشد‪ .‬برای نمونه یکی از انواع حمالت ‪ Passive‬آن است که نفوذ کننده اقدام‬
‫به ‪ Capture‬کردن بستههای شبکه داخلی سازمان میکند‪ .‬نکته امیدوار کننده اینکه این نوع از حمالت به آسانی و با رمزنگاری‬
‫صحیح در زیرساخت شبکه قابل پیشگیری باشد‪.‬‬
‫حمالت فعال (‪:)Active‬در این نوع از حمالت‪ ،‬حملهکننده به طور مستقیم حمالتی را روی سرورهای سازمان صورت میدهد و‬
‫چون حمالت به صورت آشکار انجام میگیرد به راحتی قابل مشاهده و مانیتورینگ است‪ .‬از راهکار های مقابله با این حمالت میتوان‬
‫از راه اندازی فایروالها (نرم افزاری و سخت افزاری) و همچنین سیستمهای ‪ IPS‬نام برد‪.‬‬
‫حمالت داخلی‪ )Close-in(:‬در این نوع از حمالت نفوذ کننده به صورت فیزیکی به سیستم ها دسترسی پیدا میکند‪ .‬متاسفانه با‬
‫دسترسی فیزیکی به سیستمها تقریبا شخص نفوذ کننده کارهای بسیاری را میتواند انجام دهد وخسارتهای جبرانناپذیری به سازمان‬
‫وارد کند‪ .‬راه مناسب و منطقی مقابله با این نوع از حمالت تأمین امنیت فیزیکی سیستم ها و سرورها است‪.‬‬
‫حمالت خودی (‪:)Insider‬این نوع حمالت به شبکه معموال توسط کاربران داخلی سازمان ها که دسترسیهایی به سیستمها و‬
‫ازالعات دارند انجام میگیرد‪ .‬سطح دانش و آگاهی این کاربران از شبکه های کامپیوتری بهطوری است که میتوانند به سیستمها‬
‫نفوذ کنند‪ .‬راهکار جلوگیری از این نوع حمالت امنیت در الیه‪ ۲‬و تمرکز بر روی (‪)Authentication‬تصدیق هویت میباشد ضمن‬
‫اینکه امنیت فیزیکی بایدبهطور کامل تأمین شود‪.‬‬
‫راهکارهای امنیت شبکه‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ا رزیابی خطرات و آسیب پذیری ها و آنالیز و تحلیل انتخاب کنترلرهای مناسب‬
‫بهینه سازی سرور ها ‪ ،‬کالینت ها ‪ ،‬وب سایت و محیط شبکه سازمان‬
‫بهینه سازی شبکه های ‪ Cache,NAT, Proxy , IP‬و مسیریابی‬
‫مشاوره در انتخاب استانداردهای امنیتی مناسب‬
‫مشاوره در تعریف و به کارگیری خطوط راهنما و دستورالعمل های اجرایی امنیت اطالعات‬
‫آموزش در محل و یا به صورت دوره ای در سطوح مختلف‬
‫آزمایش استحکام سیستم ها با سعی در شکستن آنها‬