امنيت شبكه
در يك شبكه قبل از ايجاد نوع مكانيزم امنيتي ابتدا بايد سايت امنيتي شبكه را مشخص نمود يا بهتر بگوييم اساسنامة امنيتي تنظيم گردد كه اصولاً اين كار به عهدة گروه امنيتي هرشبكه يا سازمان مي باشد كه در اصل با توجه به اساسنامة امنيتي سعي در ايجاد امنيت به كمك مكانيزمهاي امنيتي و مديريت كنترل امنيت شبكه خواهند داشت.
در يك شبكه قبل از ايجاد نوع مكانيزم امنيتي ابتدا بايد سايت امنيتي شبكه را مشخص نمود يا بهتر بگوييم اساسنامة امنيتي تنظيم گردد كه اصولاً اين كار به عهدة گروه امنيتي هرشبكه يا سازمان مي باشد كه در اصل با توجه به اساسنامة امنيتي سعي در ايجاد امنيت به كمك مكانيزمهاي امنيتي و مديريت كنترل امنيت شبكه خواهند داشت.
نقش يك «اساس نامه امنيتي»در سازمان
در اغلب موارد ، تشكيلات اقتصادي همچون شبكه هاي كامپيوتري در برابر تغييرات فشرده و ناگهاني با ضعف و شكست مواجه مي شدند. يك پروژه ابتدايي امنيتي نيز از اين مقوله مستثنا نيست.
شما بايد قبل از پياده سازي هر چيزي، ابتدا طرح و برنامه داشته باشيد و سپس ابزار لازم را مهيا سازيد. هميشه اين ضرب المثل را به خاطر داشته باشيد كه «يك كيلو پيشگيري بهتر از يك خروار علاج است». امنيت شما بخشي از پيشگيري شما است. دليل اينكه بيشتر تشكيلات اقتصادي با شكست مواجه مي شوند به اين دليل است كه آنها هدف اصلي از اين تشكيلات را براي خود مشخص نمي كنند و نمي دانند كه بايد در آينده نيز فعاليت خود را ادامه دهند! براي مثال، اين درست نيست كه به سادگي بگوييم براي امنيت بالاتر شبكه خود نياز به يك ديوار آتش داريم. شما بايد به طور دقيقي مشخص كنيد كه «چه چيزي» را «چگونه» مي خواهيد امن كنيد. چه نوع از فيلترينگ را مي خواهيد شما پياده سازي كنيد؟ چه مقدار دسترسي را مي خواهيد به كاربران خود اهداء كنيد؟ آيا شما مي خواهيد كه كاربران اينترنتي را تعيين هويت كنيد و فعاليت هاي آنها را ثبت كنيد؟ فقط با پاسخ دادن به اين سوالات و سوال هاي ديگر است كه مي توانيد به طور دقيق مشخص كنيد كه چه لازم داريد و چه چيزي را بايد خريداري كنيد و به طور جزيي تر براي ديواره آتش خود چه سياستي را در پيش بگيريد تا آنچه را كه در نظر داريد را پياده سازي كنيد.
براي محتويات يك اساس نامه امنيتي دو ديدگاه و انديشه وجود دارد. ايده اول اساس نامه امنيتي، «يك سند در برگيرنده كلي مي باشد» كه شامل كليه دستورات و توصيه هاي ساده تا جزيي ترين مشخصات و پيكربندي هاي آن باشد. در ذات خودش، اساس نامه امنيتي يك اساس نامه به تنهايي نمي باشد و به همان مقدار روال هايي را نيز در بر مي گيرد.
رهيافت دوم اساس نامه امنيتي نيز در برگيرنده يك سند كلي شامل دستورات و توصيه هاي ساده تا جزيي ترين مشخصات و پيكربندي ها مي باشد اما ممكن است اين دستورات فقط در محدوده اساس نامه امنيتي نباشد و محدوده هاي ديگر را نيز در بر گيرد. هر دو اين رهيافت ها مسايل خاص خودشان را دارند و درستي هر كدام از اين رهيافت ها بستگي به محيط كاري شما دارد. سود رهيافت «سند كلي اساس نامه امنيتي»، اين است كه تمامي اطلاعات شما به صورت روال هاي مشخص و قابل پياده سازي در يك سند واحد خلاصه مي شود بنابراين دنبال كردن اين دستورات ساده تر و پياده سازي آن آسان تر مي باشد. از ديدگاه منفي، اين رهيافت به تغييرات احتمالي آينده حساس مي باشد زيرا كه اساس نامه ها براي دستورات جزيي به روز رساني مي شوند.
سود رهيافت «اساس نامه امنيتي فقط يك اساس نامه است» اين است كه به طور موثري به صورت كامل نوشته مي شود و از طرح جزييات خودداري مي كند و فقط به طور ساده مطرح مي كند كه چه كاري بايد انجام شود. از مضرات اين روش اين است كه تمامي اسناد و اطلاعات پياده سازي اساس نامه امنيتي در قالب چندين سند ارائه مي گردد كه دنبال كردن هر يك از آنها مشكل تر از روش قبل است.
در عمل ، بهتر آن است كه رهيافت «سند كلي اساس نامه امنيتي» براي سازمانهاي كوچك و رهيافت دوم براي سازمانهاي بزرگ مطرح شود زيرا كه در سازمانهاي بزرگ تغييرات با دشواري همراه است.
يك قدم به جلو:
براي اينكه شما به نقش و اهميت اساس نامه امنيتي پي ببريد نياز است كه چندين اصطلاح تخصصي را تعريف كنيم:
سياست ها يا اساس نامه ها: سياست ها به طور ساده وضعيتي هستند كه بايد اتفاق بيفتند. به عنوان مثال يك سياست امنيتي اين است كه كليه ترافيك هاي عمومي (همچون اينترنت) بايد رمزگذاري شوند.
استاندارد ها : استاندارد ها چگونگي عملكرد بعضي چيز ها را تعريف مي كنند. براي مثال ممكن است ما براي بعضي از پيش نياز هاي سياست هاي امنيتي خود، نياز به 3 DEC و IPSec داشته باشيم.
روال ها : روال ها مشخص مي كنند كه چگونه ابزاري بايد پيكربندي شوند و در اصل «استانداردها» را با «سياستها» براي ابزار هاي مختلف تطابق ميدهند. براي مثال شما ممكن است روال هايي را براي چگونگي پيكربندي DEC 3 و IPSec در مسيرياب هاي خود تعريف كرده باشيد تا بدين وسيله داده خود را رمزگذاري كنيد.
هدف اساس نامه امنيتي :
به طور كلي، اساس نامه امنيتي براي اين وجود دارد كه هر كسي به طور دقيق و از قبل تعريف شده بداند كه در كار با منابع سازمان و تشكيلات چه كار انجام دهد و روي آنها نيز تعهد لازم را داشته باشد. اساسنامه امنيتي نياز دارد كه مشخص كند شما داراي چه استاندارد هاي امنيتي هستيد.آيا بايد تمامي سيستم هايي كه در شبكه پياده سازي شده اند توسط يك سرور TACACS + تعيين هويت شوند؟ سياست هاي امنيتي شماست كه حكم مي دهد آيا بايد اين اتفاق بيفتد يا خير. اساسنامه امنيتي شما بايد مشخص كند كه اهداف امنيتي شما چه هستند. آيا سازمان شما سعي ميكند كه فشارهاي ناشي از ويروس ها و كرم ها را كاهش دهد؟ آيا آنها سعي مي كنند كه خطرات دسترسي هاي بيروني را محدود كنند ؟ نبايد اين وضعيف ها را فراموش كرد و بايد براي آنها چاره اي انديشيد. حتما آنها را بنويسيد و تعريف كنيد. حتما بخشي را در مجموعه خود در نظر بگيريد به همراه افرادي كه مراقب باشند تا قوانين امنيتي رعايت شوند و در صورتي كه گروهي از افراد اين قوانين را در نظر نگرفتند با آنها برخورد مناسب صورت گيرد. حتما سندي را نيز تهيه كنيد تا به كاربران بگويد كه «چرا شما بايد اين كار ها را انجام دهيد و چرا ما آنها را از شما مي خواهيم».
يك اساس نامه امنيتي (Security Policy) چيست؟
«يك سياست امنيتي انجام اعمالي است كه بايد صورت بگيرد تا بتوان از اطلاعات ذخيره شده درشبكه و كامپيوترهاي محافظت كرد»
يك سياست امنيتي موثر باعث ايجاد امنيت نسبي براي كاربران مي شود و به كاربران اجازه مي دهد تا بتوانند بدون ترس كارهاي خود را انجام دهند. يك سياست امنيتي چيزي جز يك استراتژي براي نگهداري اطلاعات و منابع شبكه نيست. با داشتن يك سياست امنيتي خوب كه بتواند موارد زير را پوشش دهد مي توانيد در كمترين زمان ممكن عكس العمل انجام دهيد.
1- برآورد ريسك
2- سياستهاي كلمه عبور
3- مسئوليتهاي سوپر وايزري (Administrator)
4- مسئوليتهاي كاربري
5- سياستهاي ايميل
6- سياستهاي اينترنتي
7- سياستهاي پشتيبان گيري
8- سياستهاي كشف مزاحمت
اما صرفنظر از اينكه شما به يك شبكه LAN متصل هستيد يا در يك شبكه WAN حضور داريد وجود سياستهاي امنيتي براي شما يك اصل ضروري است. حالا مي خواهيم مختصري به مطالب ارائه شده در بالا بپردازيم.
1- برآورد ريسك :
برآورد ريسك چيزي است كه شما قبل از پياده سازي طرح شبكه تان به آن نياز داريد. اين برآورد به شما كمك مي كند تا بتوانيد يك خط مشي خوب براي امنيت شبكه تان ايجاد كنيد. بوسيله اين ارزيابي مي توانيد براي سوالات مختلفي كه در رابطه با امنيت شبكه تان پيش مي آيد ، جوابي پيدا كنيد. سوالاتي از قبيل : براي ايجاد امنيت به چه چيزهايي احتياج داريم ، با چه خطراتي ممكن است مواجه باشيم ، براي ايجاد امنيت چقدر مي توانيم هزينه صرف كنيم و ...
2- سياستهاي كلمه عبور
سياستهاي كلمه عبور يكي از مسائل مهم امنيت شبكه است. يكي از مطالبي كه كاربران هميشه بايد مد نظر قرار دهند محرمانه نگهداشتن كلمات عبور خود است. بطور معمول اكثر كاربران عادي عادت دارند پسوردشان را روي تقويم روميزي بنويسند يا آنرا زير صفحه كليد بچسبانند ...!؟
چرا ؟ چون كه هيچ سياستي براي نگهداري از پسوردها تعيين نشده. نيازي نيست كه اين نكته را يادآور شويم كه چه اتفاقي خواهد افتاد اگر كه يك كاربر غير مجاز بتواند به صرف داشتن يك پسورد به منابع شبكه دسترسي داشته باشد. بنابراين وجود يك سياست امنيتي حساب شده براي پسوردها امري ضروري است بگونه اي كه هم جنبه هاي مديريتي و هم جنبه هاي كاربري در آن حفظ شود. براي همين توجه شما را به نكات زير معطوف مي كنيم:
1- كلمات عبور نبايد شامل لغات موجود در ديكشنري باشد
2- حتي الامكان اسم شخص يا چيزي نباشد (چون معمولا اسم اشيا در ديكشنري وجود دارد)
3- نام مكان خاصي نباشد
4- تركيب مشخصي از كلمات روي كيبرد نباشد
5- شماره تلفن نباشد
6- نبايد تركيبي از موارد بالا بعلاوه يك حرف يا رقم باشد (مثل ali123 )
3- مسئوليتهاي مدير شبكه:
مسئوليتهاي يك مدير بسيار زياد است كه در اين مقاله به بخشي از آنها اشاره مي شود. يكي از مسئوليتهايي كه غالبا به دست فراموشي سپرده مي شود اين است كه بسياري از ابزارها مثل روترها ، سوئيچ ها ، سيستم عاملها داراي نامهاي كاربري پيش فرض با پسورد معين است . اين وظيفه مدير شبكه است كه اين نامهاي كاربري را غير فعال كرده يا پسوردشان را با يك پسورد مناسب تغيير دهد. اگر يك هكر به روشي از روشهاي موجود بتواند از نوع سخت افزارهاي استفاده شده در شبكه شما مطلع شود ، براحتي مي تواند تنظيمات سخت افزارهاي شما را به نحوي تغيير دهد كه راه را براي ورود بي دردسر خود مهيا سازد.
4- مسئوليتهاي كاربران:
اولين مسئوليتي كه بر عهده كاربران است اين است كه سياستهاي امنيتي محيط پيرامون خود را بياموزند. اين بدين معني است كه بايد بايد يك برنامه آموزشي مناسب براي تمامي كاربران تازه وارد و قديمي تهيه كرد. اين آموزش مي تواند به روشهاي زيادي پياده سازي شود. بعضي از شركتها با انتشار خبرنامه ها ، بعضي ديگر از CBT ها و عده اي هم از اضافه كردن پيامها به ايميل افراد اين كار را انجام مي دهند.
5- سياستهاي كنترل ايميل:
امروزه موضوعي كه باعث نگراني اغلب شركتها شده است ، ضميمه مخرب بعضي از ايميل هاست. اگر شما لزومي براي تعريف سياستهاي ايميل نمي بينيد اجازه دهيد تا فقط 3 گونه از اين ميلها را نام ببرم.
مليسا ، I love you و ANNAKOURNIKOVA نمونه هايي از اين ضميمه هاي خطرناك است كه به همراه يك ايميل مي تواند شبكه اي را ويران كنند.
در اينجا قطعه كوچكي از گزارش گروه امنيتي CERT را در مورد ويروس I love you مي خوانيم :
«كرم Love Letter يك كد مخرب Vbscript است كه به گونه هاي مختلفي شيوع پيدا مي كند. در تاريخ 8 مي سال CERT/CC 2000 يا همان CERT Cordination Center گزارشيهايي از 650 سايت مختلف دريافت كردند كه اين گزارشها حاكي از آلوده شدن پانصد هزار كامپيوتر در شبكه اينترنت بود. علاوه بر اين خسارات ، شبكه ها متحمل ترافيك سنگيني شدند كه توسط اين كرم روي شبكه توليد مي شد كه براي اطلاعات بيشتر ميتوانيد به آدرس www.cert html.02-2000-org/summaries/CS مراجعه كنيد
6-- سياستهاي اينترنتي:
اينترنت مجموعه شگفت آوري از اطلاعات است كه تنها با چند كليك ساده مي توان به اين اطلاعات دسترسي پيدا كرد كه از ميان اين اطلاعات ، ممكن است بعضي از آنها حاوي مطالب غير اخلاقي باشد. لذا شما صريحا محتاج به يك سياست مخصوص براي استفاده از اينترنت مي باشد. اگر شما در شبكه خود از فايروال استفاده مي كنيد ، با استفاده از فيلترينگ به راحتي مي توانيد سياستهاي خود را پياده سازي نماييد .
7-پشتيبان گيري و احياي اطلاعات:
هنگامي كه شما ريسكها را ارزيابي مي كنيد براحتي مي توانيد تشخيص دهيد كه كدام اطلاعات براي شما حياتي هستند. نيازي نيست كه وقت و سرمايه تان را براي چيزي صرف كنيد كه ارزش خاصي ندارد. پشتيبان گيري به دلايل زير عمل مهمي است:
1- هنگامي كه سيستم ها Crash مي كنند اطلاعات خود را از دست مي دهند
2- هنگامي كه داده ها توسط ويروسها تخريب مي شوند
3- هنگامي كه كامپيوتر شما به سرقت مي رود
4- هنگامي كه هكر ها اطلاعات شما را تخريب يا دستكاري مي كنند
5- هنگامي كه كاربري بطور اتفاقي اطلاعات را پاك مي كنند
6- هنگام بروز حوادث طبيعي مانند آتش سوزي ، سيل و ...
به دلايل فوق شما بايد يك سياست مدون براي پشتيبان گيري از اطلاعات خود تعيين كنيد . در اين سياست بايستي موارد زير را مد نظر قرار دهيد:
1- برنامه پشتيبان گيري چه زماني بايد اجرا شود و هر چند وقت يكبار اجرا شود
2- چه نوع پشتيباني بايد گرفته شود (كامل ، تفاضلي ، افزايشي ، تركيبي )
3- از چه رسانه اي براي ذخيره سازي اطلاعات بايد استفاده شود (CD يا Tape يا...)
8- سياستهاي سيستم هاي كشف مزاحمت:
بسياري از شركتهاي وجود دارند كه IDS هاي تجاري توليد مي كنند و شما توسط آنها مي توانيد امنيت شبكه خود را تضمين كنيد. فقط به هنگام انتخاب IDS بايد دقت داشته باشيد كه سيستم كشف مزاحمت بتواند خواسته هاي شما را برآورده سازد. يكي از نكاتي كه بايد هنگام انتخاب در نظر داشته باشيد نوع IDS اي است كه انتخاب ميكنيد (IDS معمولي تمام ترافيك را تحت كنترل دارد ولي IDS هاي Host Base مستقيما بر روي سيستمي نصب ميشوند كه مي خواهند اطلاعاتش را مونيتور كنند)
چگونه يك اساسنامه امنيتي را تدوين كنيم؟
اجزاي اساس نامه امنيتي
اشخاص اغلب به اساس نامه امنيتي شركت ها فقط به عنوان يك سند جداگانه نگاه مي كنند. حتي در اينجا من نيز همين كار را كرده ام. در حقيقت مانند پروتكل هاي TCP/IP كه از چندين پروتكل تشكيل شده است، اساس نامه امنيتي نيز از چندين سياست(Policy) به خصوص تشكيل شده است؛ مانند سياستهاي دسترسي بيسيم يا سياستهاي فيلترينگ ترافيك ورودي به شبكه. مانند روش شناسي هاي عمومي اساس نامه امنيتي، براي تمامي آنها اجزاي عمومي مشتركي وجود دارد. در اين فصل به اين اجزا و روش شناسي ها مي پردازيم.
منبع: ماهنامه پردازشگر