خانه / مقالات / نکاتی در مورد امنیت شبکه های کامپیوتری

نکاتی در مورد امنیت شبکه های کامپیوتری

امنیت شبکه یا Network Security پردازه ای است که طی آن شبکه در مقابل انواع مختلف تهدیدات داخلی خارجی امن می شود. مراحل ذیل برای ایجاد امنیت توصیه تایید شده اند:
۱- شناسایی بخشی که باید تحت حفاظت قرار گیرد.
۲- تصمیم گیری در مورد مسائل ی که باید در مقابل آنها از بخش مورد نظر حفاظت کرد.۳-تصمیم گیری در مورد چگونگی تهدیدات۴-پیاده سازی امکاناتی که بتوانند از دارایی های شما به نحوه ای حفاظت کنند که از نظر نرخ به صرفه باشد.۵- مرور مجدد همیشگی پردازه و تقویت آن درصورت یاقتن نقطه ضعف

350px Schematic Proxy Server.svg نکاتی در مورد امنیت شبکه های کامپیوتری
خرید فیلتر شکن

Firewall:
دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه بیرونی (مثلاً اینترنت) قرار می گیرد و ضمن نظارت بر دسترسی ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.
انواع دیواره های آتش
۱-دیواره های آتش هوشمند۲- دیواره های آتش مبتنی بر پروکسی
دیواره های آتش هوشمند
امروزه حملات هکرها تکنیکی هوشمند شده است به نحوی که با دیواره های آتش فیلترهای معمولی که معین اتشان برای تمام روشن است نمی توان با آنها مواجهه کرد. پس باید با استفاده از دیواره های آتش و فیلترهای هوشمند با آنها مواجه شد.از آنجا که دیواره های آتش با استفاده از حذف بسته ها بستن پورت های حساس از شبکه حفاظت می کنند چون دیواره های آتش بخشی از ترافیک بسته ها را به داخل شبکه هدایت می کنند، ( برای چه که در غیر این صورت رابطه ما با جهان ی خارج از شبکه قطع می شود)، پس هکرها می توانند با استفاده از بسته های مصنوعی مجاز شناسایی پورت های باز به شبکه حمله کنند. بر همین اساس هکرها ابتدا بسته هایی ظاهراً مجاز را به سمت شبکه ارسال می کنند.یک فیلتر معمولی اجازه عبور بسته را می دهد و رایانه هدف هم چون انتظار دریافت این بسته را نداشته به آن جواب لازم را می دهد. پس هکر بدین وسیله از باز بودن پورت مورد نظر و فعال بودن رایانه هدف اطمینان حاصل می نماید . برای پیشگیری از آن نوع نفوذها دیواره آتش باید به آن بسته هایی اجازه عبور دهد که با درخواست قبلی ارسال شده اند.حال با داشتن دیواره آتشی که بتواند ترافیک خروجی شبکه را برای چند ثانیه در حافظه خود حفظ کرده و آن را موقع ورود خروج بسته مورد پردازش قرار دهد می توانیم از دریافت بسته های دیواره های آتش هوشمند فقط نقش ایست بازرسی را ایفا می کنند با ایجاد رابطه بین رایانه های داخل و خارج شبکه کاری از پیش نمی برد. اما دیواره های آتش مبتنی بر پروکسی بعد از ایجاد رابطه کار را شروع می نماید . در این دیواره های آتش مبتنی بر پروکسی مانند یک واسطه عمل می نماید ، به نحوی که رابطه بین طرفین به صورت غیرمستقیم صورت می گیرد. این دیواره های آتش در لایه سوم دیواره آتش عمل می کنند، پس می توانند بر داده های ارسالی در لایه کاربرد نیز نظارت داشته باشند.
دیواره های آتش مبتنی بر پروکسی باعث ایجاد دو رابطه می شود:
۱ – رابطه بین مبدا پروکسی۲ – رابطه بین پروکسی و مقصدحال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد بررسی قرار دهد در واقع پروکسی را مورد بررسی قرار داده است نمی تواند از داخل شبکه اطلاعات مهمی به دست آورد.دیواره های آتش مبتنی بر پروکسی به حافظه بالا و CPU بسیار سریع نیاز دارند از آنجایی که دیواره های آتش مبتنی بر پروکسی باید تمام نشست ها را مدیریت کنند گلوگاه شبکه محسوب می شوند. پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه می شود. ولی بهترین توصیه برای شبکه های رایانه ی مصرف همزمان از هر دو نوع دیواره آتش است. با استفاده از پروکسی به تنهایی بارترافیکی بسیاری بر پروکسی وارد می شود. با مصرف از دیواره های هوشمند نیز همانگونه که قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با مصرف از هر دو نوع دیواره آتش به صورت همزمان نیز بار ترافیکی پروکسی با حذف بسته های مشکوک توسط دیواره آتش هوشمند کم شدن پیدا می نماید و هم با ایجاد رابطه واسط توسط پروکسی از تهدید ات اقطعا لی بعد از ایجاد رابطه پیشگیری می شود.

عملکرد کلی و مشکلات مصرف از دیوار آتش
بسته های IPقبل از ورود خروج به شبکه ابتدا وارد دیوار آتش میشوند و منتظر میمانند تا طبق معیارهای حفاظتی امنیتی پردازش شوند. بعد از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد:۱- مجوز عبور بسته صادر میشود (Accept Mode) 2- بسته حذف میشود (Blocking Mode)3- بسته حذف شده و جواب مناسب به مبدا آن بسته داده شود (Response Mode)
در حقیقت دیوار آتش محلی است جهت ایست و بازرسی بسته های اطلاعاتی به گونه‌ای که بسته ها بر طبق تابعی از قواعد امنیتی و حفاظتی، پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر می شود.
مبانی طراحی دیواره آتش:از آنجایی که معماری شبکه به صورت لایه لایه است در مدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایه ها را بگذراند، هر لایه برای انجام وظیفه خود تعدادی فیلد معین به ابتدای بسته اطلاعاتی اضافه کرده و آنرا تحویل لایه پایین تر میدهد. قسمت اعظم کار یک دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه header هر بسته میباشد.در بسته ای که وارد دیوار آتش می شود به تعداد لایه ها (۴ لایه ) سرآیند مفرق وجود خواهد داشت اکثرا ً سرآیند لایه اول (لایه فیزیکی Network Interface در شبکه اینترنت) اهمیت چندانی ندارد چرا که محتوای این فیلد ها تنها روی کانال فیزیکی از شبکه محلی معنا دارد و در گذر از هر شبکه مسیریاب این فیلدها عوض خواهد شد. بیشترین ارزش در سرآیندی است که در لایه های دوم ،سوم چهارم به یک واحد از اطلاعات اضافه خواهد شد.در لایه شبکه دیوار آتش فیلدهای بسته IP را پردازش و تحلیل می کند.. در لایه انتقال دیوار آتش فیلدهای بسته های TCP یا UDP را پردازش و تحلیل می کند.. در لایه کاربرد دیوار آتش فیلدهای سرآیند و همچنین محتوای خود داده ها را بررسی می کند.با توجه به لایه لایه بودن معماری شبکه پس یک دیوار آتش نیز لایه به لایه خواهد بود
لایه اول فایروال:
لایه اول در دیوار آتش بر طبق تحلیل بسته IPو فیلد های سرآینداین بسته کار می کند و در این بسته فیلدهای زیر قابل نظارت و بررسی می باشند :آدرس مبداء وشماره شناسایی یک دیتاگرام وآدرس مقصد شماره پروتکل وزمان حیات بسته .مهمترین خصوصیت لایه اول از دیوار آتش آن است که در این لایه بسته ها به طور مجزا مستقل از نیز بررسی می شود و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یک بسته نیست. به همین دلیل آسان ترین سریعترین تصمیم گیری در این لایه انجام می شود.لایه دوم دیوار آتشدر این لایه از فیلد های سرآیند لایه انتقال برای تحلیل بسته استفاده می شودلایه سوم دیوار آتشدر این لایه حفاظت بر طبق نوع سرویس برنامه کاربردی انجام می شود. یعنی با در نظر گرفتن پروتکلی در لایه چهارم به تحلیل داده ها می پردازد. تعداد سرایند ها در این لایه بسته به نوع سرویس بسیار متنوع زیاد است. بنابرای ن در لایه سوم دیوار آتش جهت هر سرویس مجاز (مثل سرویس پست الکترونیکی، سرویس ftp، سرویس وب و …) باید یک سلسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل اندازه و پیچیدگی پردازش در لایه سوم زیاد است. توصیه مؤکد آنست که تمام سرویسهای غیر ضروری و شماره پورت هایی که مورد استفاده نیستند در لایه دوم مسدود شوند تا کار درلایه سوم کمتر باشد.چنانچه یک بسته در یکی از لایه های دیواره آتش شرایط عبور را احراز نکند همانجا حذف شده به لایه های بالاتر ارجاع داده نمی شود بلکه این امکان وجود دارد که آن بسته جهت پیگیری های امنیتی نظیر ثبت عمل ردگیری به سیستمی جانبی تحویل داده شود.سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا به ماهیتشان در یکی از سه لایه دیوار آتش تعریف می شوند به عنوان مثال بازرسی های زیر در دیوارآتش بسیار رایج است:قواعد تعیین آدرس های ممنوع در اولین لایه از دیوار آتش قواعد بستن برخی از سرویسها مثل Telnet یا FTP در لایه دوم قواعد تحلیل سرآیند متن یک نامه الکترنیکی صفحه وب در لایه سوماهمیت Firewall دریک شبکهPersonalاین نوع فایروال بر روی ایستگاههای کاری نصب می گردد وظیفه امن نمودن همان ایستگاه کاری را بر عهده دارندHost Baseاین نوع فایروال بر روی سرورهای شبکه نصب می شود و وظیفه امن نمودن سرور ویِژگزینشه را بر عهده دارندGate wayاین نوع فایروال در مسیرهای اصلی عبور اطلاعات قرار میگیرد دسترسی های بین شبکه ای را کنترل می نماید.
می توانید با تنظیم هر کدام از مسائل زیر به فایروال دیکته بکنید که چگونه عمل نماید :
۱)نشانی :IPاگر زمان اداره شبکه مکانی خود متوجه شدید که رایانه ای از طریق اینترنت مرتب بهserver شبکه شما وصل می شود و بار ترافیکی بسیاری ایجاد می نماید ،می توانید از فایروال خود بخواهید که به آن رایانه یا نشانی IP معین اجازه ورودبه شبکه را ندهد.۲)نام حوزه (Domain name):از آنجا که نشانیIP یک عدد ۳۲بیتی استفاده از آن آسان نیست،به تمام serverها در اینترنت علاوه بر نشانی IP نام حوزه اختصاص میدهند.شما می توانید فایروال را طوری تنظیم بکنید که رایانه های شبکه مکانی بتواند به وب سایت های خاصی (با نشانی حوزه خاص)دسترسی داشته باشند. یا اینکه به معین کردن نام حوزه در فایروال به رایانه های شبکه تان مجوز بدهید که از آن وب سایت ها دیدن کنند.۳)پورت و پروتکل:پروتکل ، مجموعه قوانین ضروری بمنظور قانونمند نمودن نحوه ارتباطات در شبکه های رایانه ی است فایروال می توانداز طریق شماره پورت های رایانه ها که برای رابطه با یکدیگر به کار می برند،اطلاعات رد بدل شده را کنترل نماید ،همچنین می توان کلمات واصطلاحات خاصی را در بانک اطلاعاتی فایروال معین کرد. در اینصورت وارد یا خارج شدن اطلاعات فایروال محتوای آنها را تحلیل می نماید چنانچه با کلمات خاصی که برایش معین کرده ایم روبه رو شوداجازه نمی دهد آن اطلاعات عبورکنند.امنیت تجارت الکترونیک؛ قابل دسترس،‌ قابل اجرانکته بسیار با اهمیت در اینجاست که نحوه های ویِژگزینشه امنیتی جهت حفاظت از معلت ات اینترنتی چنان سخت گیرانه طراحی شده اند که می توان ادعا کرد ‘دیگر فرق چندانی میان انجام معلت ات حضوری و مبادلات الکترونیک باقی نمانده است.’درست به همان نحو که یک مشتری، اطلاعات شخصی، محرمانه و حساس خود را به صورت رو در رو در اختیار هر فروشنده ای قرار نمی دهد و جوانب امنیتی را به طور کامل حفظ میکند، در حوزه مبادلات آنلاین نیز نباید این اطلاعات را در صفحات، پایگاه ها و نیز سرورهایی که فاقد مدارک و گواهی نامه های ویِژگزینشه امنیتی می باشند ،‌ وارد کند .علاوه بر این، در لایه های ارتباطی بالاتر، مدیر شبکه خدمات دهنده باید نهایت دقت احتیاط را در اطمینان از عدم وجود هر گونه کد یا وسائل مخرب (ویروس، تروژان، وسائل هک و …) و نیز هرگونه آسیب پذیری (حفره ها و نقص های امنیتی) به کار برد تا امنیت داده ها و اطلاعات ذخیر شده در سرور مورد تهدید قرار نگیرند. همان گونه که بیان شد، بسیاری از برنامه های مخرب مانند تروژان ها با هدف ایجاد آسیب پذیری در سرورها یا سیستم های متصل به آن، تنها از طریق کاربران خانگی یا سایر شبکه های خدمات گیرنده،‌ سازمان های ارائه دهنده خدمات آنلاین را تهدید می کنند. دسترسی های غیر مجاز در سطوح بالا، سرقت داده های حساس محرمانه ایجاد خسارت های قابل توجه … تهدیدهای دائم شایعی می باشند که از کوچکترین فرصت باریکترین روزنه مصرف مطلوب می کنند.از طرف دیگر، مراجع صدور گواهی نامه های دیجیتال،‌ مسئول صدور تأییدیه های امنیتی برای سرورها و شبکه ها بر طبق پروتکل های امنیتی هستند . این مراکز تصمیم گیری می توانند جهت شرکت های ارائه کننده خدمات الکترونیک، مشتری ها و حتی کاربران عادی اینترنت نیز گواهی نامه های دیجیتال صادر کنند.به عنوان نمونه ای از این مراجع معتبر می توان به گروه VeriSign اشاره کرد که عمده فعالی ت های امنیتی زیرتهیه در اینترنت را به عهده دارد.

مطلب پیشنهادی

افزایش ممبر واقعی کانال تلگرام

افزایش ممبر واقعی کانال تلگرام تمامی ممبر ها ایرانی هستند و خودشان عضو می شوند …