امنیت شبکه...1:مفاهیم امنیت در شبکه
- شروع کننده موضوع آوای علم
- تاریخ شروع
تعاریف امنیت شبکه
تعاریف امنیت شبکه
بر اساس واژه نامه Webster امنیت به معنای کیفیت یا حالت امن بودن ، رهایی از خطر ، ترس و احساس نگرانی و تشویش می باشد . این تعبیر در دنیای الکترونیکی نیز صادق می باشد اما اگر بخواهیم تعریفی تخصصی در این زمینه داشته باشیم می توانیم بگوییم که، برقراری امنیت در حفظ و بقاء 4 اصل می باشد:
1-محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل دسترس باشد .
2-تمامیت : یک سیستم از عناصری متشکل است که در کار هم برای رسیدن به هدفی یکسان همکاری دارند . حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم می باشد .
3-دسترس پذیری : اطلاعات بایستی به هنگام نیاز ، توسط افراد مجاز قابل دسترس باشد .
4-عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی ، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند .
در مورد امنیت دیدگاه های متفاوتی وجود دارد و مسئله ای که اهمیت دارد نوع نگرش به این موضوع است و اینکه اینطور نیست که فرآیند ایمن سازی یک سیستم شروع و در برهه ای از زمان متوقف شود و بگوییم که سیستم امن است بلکه تا هنگامی که سیستم به کار خود ادامه می دهد می بایست این فرآیند نیز با آن به صورت موازی حرکت نماید تا در هنگام برخورد با تهدیدات جدید و عوامل مخاطره انگیزی که در نظر گرفته نشده و یا در اثر گذشت زمان بوجود خواهد آمد شاهد فروپاشی مجموعه نباشیم .
مسئله دیگر که در خصوص نگرش به موضوع امنیت از اهمیت ویژه ای برخوردار می باشد این است که امنیت این نیست که آن را تنها در استفاده از فایروال ، آنتی ویروس و نرم افزار و یا سخت افزار های این چنینی ببینیم بلکه می بایست یک سری عوامل به صورت هدفمند و متناسب با شرایط گردآوری شود تا یک سیستم ایمن بوجود آید . پس نگاه سیستمی این موضوع را مشخص می نماید که برای برقراری سطح مناسبی از امنیت می بایست ابعاد آن به صورت دقیق در نظر گرفته شود چرا که نادیده گرفتن یک عنصر خیلی ساده از این سیستم ممکن است تمامی عناصر دیگر مجموعه را تحت تاثیر قرار داده و فرآیند کلی سیستم را دچار مخاطراتی نماید .
موضوع دیگر این است که یک سیستم مبتنی بر تکنولوژی اطلاعات در شرایط آرمانی و دنیایی به دور از بد خواهی ها می تواند به خوبی فعال باشد اما آنجا که پای مخاطرات ، مسائل سود جویی ، کنار زدن رقبا از طریق مختل سازی سرویس شان و یا به دست آوری غیر مجاز اطلاعات مهم و حساس یک سازمان تا کارهای تفریحی برخی افراد که منجر به ایجاد برنامه های مخرب و تغییرات غیر مجاز در محتوای سایت ها می شود به میان می آید امنیت به عنوان یک مکمل برای مصون نگه داشتن سیستم تکنولوژی اطلاعات معرفی می گردد.
همچنین در خصوص امنیت این موضوع را باید در نظر گرفت که یک سیستم امنیتی مانند یک زنجیر می باشد و حلقه های زنجیر در واقع همان اجزاء سیستم می باشند که به صورت پیوسته به یکدیگر متصل شده اند و استحکام و توانایی زنجیر در گرو استحکام و یکپارچگی حلقه های آن می باشد . حال در نظر بگیرید که در این رشته اگر فقط یکی از این حلقه ها توانایی لازم را نداشته باشد و نسبت به بقیه ضعیف تر باشد در اثر یک فشار ممکن است پاره شده و یکپارچگی و انسجام کل سیستم (زنجیر) را از بین ببرد .
پس هنگام در نظر گرفتن درجه امنیت سیستم می بایست درجه امنیت ضعیف ترین عضو را به عنوان فاکتور اصلی در نظر بگیریم .
عبارت های «امنیت شبکه» و «امنیت اطلاعات» اغلب به جای یگدیگر مورد استفاده قرار می گیرند . امنیت شبکه به طور کلی برای فراهم کردن امکان حفاظت از مرزهای یک سازمان در برابر نفوذگران (مانند هکرها) به کار می رود. با این حال، امنیت اطلاعات به صراحت بر روی محافظت از منابع اطلاعاتی در برابر حمله ویروس ها یا اشتباهات ساده توسط افراد درون سازمان متمرکز شده است و برای این منظور از تکنیک های جلوگیری از "از دست رفتن داده ها (DLP)" بهره می برد . یکی از این تکنیک ها، تقسیم بندی شبکه های بزرگ توسط مرزهای داخلی است .
تعاریف امنیت شبکه
بر اساس واژه نامه Webster امنیت به معنای کیفیت یا حالت امن بودن ، رهایی از خطر ، ترس و احساس نگرانی و تشویش می باشد . این تعبیر در دنیای الکترونیکی نیز صادق می باشد اما اگر بخواهیم تعریفی تخصصی در این زمینه داشته باشیم می توانیم بگوییم که، برقراری امنیت در حفظ و بقاء 4 اصل می باشد:
1-محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل دسترس باشد .
2-تمامیت : یک سیستم از عناصری متشکل است که در کار هم برای رسیدن به هدفی یکسان همکاری دارند . حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم می باشد .
3-دسترس پذیری : اطلاعات بایستی به هنگام نیاز ، توسط افراد مجاز قابل دسترس باشد .
4-عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی ، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند .
در مورد امنیت دیدگاه های متفاوتی وجود دارد و مسئله ای که اهمیت دارد نوع نگرش به این موضوع است و اینکه اینطور نیست که فرآیند ایمن سازی یک سیستم شروع و در برهه ای از زمان متوقف شود و بگوییم که سیستم امن است بلکه تا هنگامی که سیستم به کار خود ادامه می دهد می بایست این فرآیند نیز با آن به صورت موازی حرکت نماید تا در هنگام برخورد با تهدیدات جدید و عوامل مخاطره انگیزی که در نظر گرفته نشده و یا در اثر گذشت زمان بوجود خواهد آمد شاهد فروپاشی مجموعه نباشیم .
مسئله دیگر که در خصوص نگرش به موضوع امنیت از اهمیت ویژه ای برخوردار می باشد این است که امنیت این نیست که آن را تنها در استفاده از فایروال ، آنتی ویروس و نرم افزار و یا سخت افزار های این چنینی ببینیم بلکه می بایست یک سری عوامل به صورت هدفمند و متناسب با شرایط گردآوری شود تا یک سیستم ایمن بوجود آید . پس نگاه سیستمی این موضوع را مشخص می نماید که برای برقراری سطح مناسبی از امنیت می بایست ابعاد آن به صورت دقیق در نظر گرفته شود چرا که نادیده گرفتن یک عنصر خیلی ساده از این سیستم ممکن است تمامی عناصر دیگر مجموعه را تحت تاثیر قرار داده و فرآیند کلی سیستم را دچار مخاطراتی نماید .
موضوع دیگر این است که یک سیستم مبتنی بر تکنولوژی اطلاعات در شرایط آرمانی و دنیایی به دور از بد خواهی ها می تواند به خوبی فعال باشد اما آنجا که پای مخاطرات ، مسائل سود جویی ، کنار زدن رقبا از طریق مختل سازی سرویس شان و یا به دست آوری غیر مجاز اطلاعات مهم و حساس یک سازمان تا کارهای تفریحی برخی افراد که منجر به ایجاد برنامه های مخرب و تغییرات غیر مجاز در محتوای سایت ها می شود به میان می آید امنیت به عنوان یک مکمل برای مصون نگه داشتن سیستم تکنولوژی اطلاعات معرفی می گردد.
همچنین در خصوص امنیت این موضوع را باید در نظر گرفت که یک سیستم امنیتی مانند یک زنجیر می باشد و حلقه های زنجیر در واقع همان اجزاء سیستم می باشند که به صورت پیوسته به یکدیگر متصل شده اند و استحکام و توانایی زنجیر در گرو استحکام و یکپارچگی حلقه های آن می باشد . حال در نظر بگیرید که در این رشته اگر فقط یکی از این حلقه ها توانایی لازم را نداشته باشد و نسبت به بقیه ضعیف تر باشد در اثر یک فشار ممکن است پاره شده و یکپارچگی و انسجام کل سیستم (زنجیر) را از بین ببرد .
پس هنگام در نظر گرفتن درجه امنیت سیستم می بایست درجه امنیت ضعیف ترین عضو را به عنوان فاکتور اصلی در نظر بگیریم .
عبارت های «امنیت شبکه» و «امنیت اطلاعات» اغلب به جای یگدیگر مورد استفاده قرار می گیرند . امنیت شبکه به طور کلی برای فراهم کردن امکان حفاظت از مرزهای یک سازمان در برابر نفوذگران (مانند هکرها) به کار می رود. با این حال، امنیت اطلاعات به صراحت بر روی محافظت از منابع اطلاعاتی در برابر حمله ویروس ها یا اشتباهات ساده توسط افراد درون سازمان متمرکز شده است و برای این منظور از تکنیک های جلوگیری از "از دست رفتن داده ها (DLP)" بهره می برد . یکی از این تکنیک ها، تقسیم بندی شبکه های بزرگ توسط مرزهای داخلی است .
امنیت شبکه یا [FONT="]Network Security[/FONT] پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1-شناسایی بخشی که باید تحت محافظت قرار گیرد .
2-تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد .
3-تصمیم گیری درباره چگونگی تهدیدات .
4-پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد .
[FONT="]1-[/FONT]مرور مجدد و مداوم پردازه و تقویت آن در صورت یافتن نقطه ضعف.
ادامه دارد...
آخرین ویرایش:
1- منابع شبکه[FONT="][/FONT]
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند . لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند .
1-[FONT="] [/FONT] تجهیزات شبکه مانند روترها ، سوئیچ ها و فایروالها .
2-[FONT="] [/FONT]اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند .
3-[FONT="] [/FONT]منابع نامحسوس شبکه مانند عرض باند و سرعت .
4-[FONT="] [/FONT]اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی .
5-[FONT="] [/FONT]ترمینال هایی که برای استفاده از منابع مختلف به شبکه متصل می شوند .
6-[FONT="] [/FONT]اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان .
7-[FONT="] [/FONT]خصوصی نگهداشتن عملیات کاربران و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود .
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند . لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند .
1-[FONT="] [/FONT] تجهیزات شبکه مانند روترها ، سوئیچ ها و فایروالها .
2-[FONT="] [/FONT]اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند .
3-[FONT="] [/FONT]منابع نامحسوس شبکه مانند عرض باند و سرعت .
4-[FONT="] [/FONT]اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی .
5-[FONT="] [/FONT]ترمینال هایی که برای استفاده از منابع مختلف به شبکه متصل می شوند .
6-[FONT="] [/FONT]اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان .
7-[FONT="] [/FONT]خصوصی نگهداشتن عملیات کاربران و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود .
2- حمله[FONT="][/FONT]
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم . حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است . برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم :
1-[FONT="] [/FONT]دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه .
2-[FONT="] [/FONT]دستکاری غیرمجاز اطلاعات بر روی یک شبکه .
3-[FONT="] [/FONT]حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا [FONT="]Denial of Service[/FONT] نام دارند .
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است . تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود . اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است . منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزم های اتصال و ارتباط دانست .
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است ، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
1-[FONT="] [/FONT]ثابت کردن محرمانگی داده
2-[FONT="] [/FONT]نگهداری جامعیت داده
3-[FONT="] [/FONT] نگهداری در دسترس بودن داده
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم . حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است . برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم :
1-[FONT="] [/FONT]دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه .
2-[FONT="] [/FONT]دستکاری غیرمجاز اطلاعات بر روی یک شبکه .
3-[FONT="] [/FONT]حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا [FONT="]Denial of Service[/FONT] نام دارند .
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است . تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود . اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است . منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزم های اتصال و ارتباط دانست .
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است ، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
1-[FONT="] [/FONT]ثابت کردن محرمانگی داده
2-[FONT="] [/FONT]نگهداری جامعیت داده
3-[FONT="] [/FONT] نگهداری در دسترس بودن داده
3- تحلیل خطر [FONT="][/FONT]
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد . در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد ، اما امنیت ارزان به دست نمی آید . بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند . دو فاکتور اصلی در تحلیل خطر عبارتند از :
1-[FONT="] [/FONT]احتمال انجام حمله .
2-[FONT="] [/FONT]خسارت وارده به شبکه در صورت انجام حمله موفق .
4- سیاست امنیتی[FONT="][/FONT]
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند . سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد . جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند . در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد :
1-[FONT="] [/FONT]چه و چرا باید محافظت شود .
2-[FONT="] [/FONT]چه کسی باید مسئولیت حفاظت را به عهده بگیرد .
3-[FONT="] [/FONT] زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند .
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1-[FONT="] [/FONT]مجاز ([FONT="]Permissive[/FONT]) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است .
2-[FONT="] [/FONT] محدود کننده ([FONT="]Restrictive[/FONT]) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است .
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسب تر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد . المانهای دخیل در سیاست امنیتی در [FONT="]RFC 2196[/FONT][FONT="] [/FONT]لیست و ارائه شده اند.
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند . سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد . جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند . در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد :
1-[FONT="] [/FONT]چه و چرا باید محافظت شود .
2-[FONT="] [/FONT]چه کسی باید مسئولیت حفاظت را به عهده بگیرد .
3-[FONT="] [/FONT] زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند .
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1-[FONT="] [/FONT]مجاز ([FONT="]Permissive[/FONT]) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است .
2-[FONT="] [/FONT] محدود کننده ([FONT="]Restrictive[/FONT]) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است .
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسب تر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد . المانهای دخیل در سیاست امنیتی در [FONT="]RFC 2196[/FONT][FONT="] [/FONT]لیست و ارائه شده اند.
5- طرح امنیت شبکه[FONT="][/FONT]
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم . المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
1-[FONT="] [/FONT]ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری [FONT="]SSH[/FONT]
2-[FONT="] [/FONT]فایروالها
3-[FONT="] [/FONT]مجتمع کننده های [FONT="]VPN[/FONT] برای دسترسی از دور
4-[FONT="] [/FONT]تشخیص نفوذ
5-[FONT="] [/FONT]سرورهای امنیتی [FONT="]AAA[/FONT] ( [FONT="] [/FONT][FONT="]Authentication[/FONT][FONT="]،[/FONT][FONT="] Authorization and Accounting [/FONT]) و سایر خدمات [FONT="]AAA[/FONT] برای شبکه
6-[FONT="] [/FONT] مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم . المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
1-[FONT="] [/FONT]ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری [FONT="]SSH[/FONT]
2-[FONT="] [/FONT]فایروالها
3-[FONT="] [/FONT]مجتمع کننده های [FONT="]VPN[/FONT] برای دسترسی از دور
4-[FONT="] [/FONT]تشخیص نفوذ
5-[FONT="] [/FONT]سرورهای امنیتی [FONT="]AAA[/FONT] ( [FONT="] [/FONT][FONT="]Authentication[/FONT][FONT="]،[/FONT][FONT="] Authorization and Accounting [/FONT]) و سایر خدمات [FONT="]AAA[/FONT] برای شبکه
6-[FONT="] [/FONT] مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه
6- نواحی امنیتی[FONT="][/FONT]
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند . در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است . تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند . همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود .
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند .
1-[FONT="] [/FONT]تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند . معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود . دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن ([FONT="]SRA[/FONT]) کنترل می شود . کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود .
2-[FONT="] [/FONT]سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند . کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند .
3-[FONT="] [/FONT]سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند . درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق [FONT="]DMZ[/FONT] یا [FONT="]Demilitarized Zone[/FONT] می گویند .
4-[FONT="] [/FONT]استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا در صورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از [FONT="]Backdoor[/FONT] نیز کم شود .
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند . در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است . تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند . همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود .
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند .
1-[FONT="] [/FONT]تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند . معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود . دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن ([FONT="]SRA[/FONT]) کنترل می شود . کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود .
2-[FONT="] [/FONT]سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند . کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند .
3-[FONT="] [/FONT]سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند . درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق [FONT="]DMZ[/FONT] یا [FONT="]Demilitarized Zone[/FONT] می گویند .
4-[FONT="] [/FONT]استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا در صورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از [FONT="]Backdoor[/FONT] نیز کم شود .
Similar threads
Similar threads
-
امنیت شبکه ی بی سیم خود را حفظ کنید- شروع شده توسط s.1.8.1.18
- پاسخ ها: 2
-
امنیت شبکه...2:انواع حملات در شبکه های رایانه ای- شروع شده توسط آوای علم
- پاسخ ها: 3
-
-
-
بیشتر از شبکه و امنیت آن بدانید !!- شروع شده توسط HOSSEINSAFAEI
- پاسخ ها: 55