ایمن سازی تجهیزات شبکه

ایمن سازی تجهیزات شبکه

در این بخش اصول اولیه امنیت شبکه و تجهیزات شبکه مورد بحث ما است که در قالب دو بحث اصلی تجهیزات شبکه مورد بررسی قرار می گیرند:

  1. امنیت فیزیکی
  2. امنیت منطقی

۱-امنیت فیزیکی:

امنیت فیزیکی بخش عظیمی از تدابیر را شامل می شود که استقرار تجهیزات در مکانی امن و به دور از خطر حملات نفوذ گران و استفاده از افزایش تعداد پشتیبان سیستم از آن جمله اند. با استفاده از افزایش تعداد پشتیبان اطمینان از صحت عملکرد سیستم در صورت بروز و وقوع نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت افزار و یا سرویس دهنده مشابه جایگزین می شود) بدست می آید.

در بررسی امنیت فیزیکی و اعمال آن ابتدا باید به خطرهایی که تچهیزات شبکه را تهدید می کنند نگاهی داشته باشیم پس از شناخت نسبتا کامل این خطرها و حمله ها می توان به راه حل و ترفندهای  دفاعی در برابر این گونه حملات بپردازیم.

پس در نتیجه تجهیزات شبکه و ساختار قرار گیری و طرح اصلی آن برا فرآیند امنیت شبکه بسیار حائز اهمیت می باشد.

۱-۱ افزایش تعداد (پشتیبان) در محل استقرار شبکه

یکی از راه حل ها در قالب تهیه پشتیبان از شبکه های کامپیوتری ایجاد سیستمی کامل مشابه شبکه ی اولیه ی در حال کار است در این راستا شبکه ی ثانویه ی کاملا مشابه شبکه ی اولیه چه از بعد تجهیزات و چه از بعد کار کرد در محلی که می توانند از نظر جغرافیایی با شبکه ی اول فاصله ای نه چندان کوتاه نیز داشته باشد برقرار می شود.
با استفاده از این دو سیستم مشابه علاوه بر آنکه در صورت وقوع حوادث که کار کرد هر یک از این دو شبکه را به طور کامل مختل می کند (مانند زلزله) میتوان از شبکه ی دیگر به طور کاملا جاگزین استفاده کرد در استفاده های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه حجم ترافیک و پردازش بر روی دو شبکه ی مشابه پخش می شود تا زمان پایش به حداقل ممکن برسد.

با وجود آنکه استفاده از این روش در شبکه های معمول که حجم چندانی ندارند به دلیل هزینه های تحمیلی بالا امکان پذیر و اقتصادی یه تظر نمی رسد ولی در شبکه های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اولویت های اول به حساب می ایند از الزامات است.

۲-۱ توپولوژی شبکه

طراحی توپولوژی شبکه یکی از عوامل اصلی است که در زمان وقوع حملات فیزیکی می تواند از خطای کلی شبکه جلوگیری کرد.

در این مورد سه طراحی که معمول هستند مورد بررسی قرار می گیرند:

الف- طراحی سری: (BUS)

در این طراحی با قطع خط تماس میان دونقطه در شبکه کلیه سیستم به دوتکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه  به ناحیه دیگر امکان پذیر نخواهد بود.

ب- طراحی ستارها(Btar)

در این طراحی در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از سرور اصلی سرویس دهی به دیگر نقاط دچار اختلال نمی گردد با این وجود از آنجا که سرور اصلی در اینمیان نقش محوری دارد در صورت اختلال در کارایی این نقطه مرکزی که می تواند بر اثر حمله فیزیکی به آن رخ دهد ارتباط کل شبکه دچار اختلال می شود هر چند که با در نظر گرفتن (پشتیبان) برای سرور اصلی از احتمال چنین حالتی کاسته می شود.

ج- طراحی مش:(Mesh)

در این طراحی که تمامی نقاط در ارتباط هستند هر گونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد با وجود آنکه زمان بندی سرویس دهی را دچار اختلال خواهدکرد. پیاده سازی چنین روش با وجود امنیت  بالا به دلیل محدودیت های اقتصادی تنها در موارد خاص و بحرانی انجام می گیرد.

۳-۱محل های امن برای تجهیزات شبکه

در تعیین محل امن برای تجهیزات شبکه دو نکته اهمیت دارد:

یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متفاوت باشد به گونه ای که ورود به محل مشخص باشد.

  • در نظر داشتن محلی در داخل ساختمان تجهیزات شبکه قرار گرفته است تدابیر امنیتی بکار گرفته شده برای امن سازی مجموعه ی و حتی موارد امنیتی بیشتری برای آن در نظر گرفت و حتی یک مسیر مشخص جهت دسترسی به تجهیزات وجود داشته باشد. با این وجود در انتخاب فضای نصب تجهیزات محلی که کاملا جدا باشد (که نسبتا پرهزینه خواهد بود) و مکانی که درون محلی نسبتا عمومی قراردارد و از مکان های بلا استفاده سود برده است (که باعث ایجاد خطرهای امنیتی می گردد) می توان اعتدالی منطقی را در نظر داشت.
  • در مجموع می توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت: محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل ها و مکانیزم ها دسترسی دیجیتالی به همراه ثبت زمان ها مکان ها و کدهای کاربری دسترسی انجام شده.
  • استفاده از دوربین های حفاظتی در ورودی حفاظتی در ورودی محل های استقرار تجهیزات شبکه و اتاق های اتصالات و مراکز پایگاه های داده.
  • اعمال ترفندهایی برای اطمینان از رعایت اصول ایمنی

۴-۱ انخاب لایه کانال ارتباطی امن

  • با وجود آنکه زمان حمله ی فیزیکی به شبکه های کامپیوتری آنگونه که در قدیم شایع بوده گذشته است و در حال حاضر تلاش اغلب نفوذ گران بر روی به دست گرفتن کنترل یکی از خادم ها و سرویس دهندهای مورد اطمینان شبکه معطوف شده است ولی گونه ای از حمله ای فیزیکی کماکان دارای خطری بحرانی است.
  • عمل شنود بر روی سیم های مسی چه در coax وچه در زوج های تابیده هم اکنون نیز از راه های نفوذ به شمار می آیند با استفاده از شنود می توان اطلاعات بدست آمده از تلاش های دیگر برای نفوذ در سیستم های کامپوتری را گسترش داد و به جمع بندی مناسبی برای حمله رسید
  • هرچند که می توان سیم ها را نیز به کونه ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد ولی در حال حاضر امن ترین روش ارتباطی در لایه ی فیزیکی استفاده از فیبرهای نوری است در این روش به دلیل نبود سیگنال های الکتریکی هیچگونه تشعشی از نوع الکترو مغناطیسی وجود ندارد لذل امکان استفاده از روش های معمول شنود به پایین ترین حد خود نسبت به استفاده از سیم در ارتباطات می شود.
تجهیزات شبکه
تجهیزات شبکه

۵-۱ منابع تغذیه

 

 

 

 

 

 

 

 

 

 

 

  • از آنجا که داده های شناور در شبکه به منزله ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تعذیه که با فعال نگاه داشتن نقاط شبکه موجب برقراری این جریان هستند غیر ممکن است لذا چگونگی پیکربندی و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می کنند در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است:
  • طراحیصحیح منابع تغذیه در شبکه براساس محل استقرار تجهیزات شبکه این طراحی باید به گونه ای باشد که تمامی تجهیزات فعال شبکه برق مورد نیاز خود را بدون آنکه به شبکه برق فشار بیش از اندازه ای( که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود بدست آورند.
  • وجود منبع یا منابع تغذیه پشتیبان( ups) به گونه ای که تعداد و یا توان پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه شتیبان کفایت کند بلکه امکان تامین برق بیشاز مورد نیاز برای تعدادی از تجهیزات حرانی درون شبکه را به صورت منفرد فراهم کند.

۶-۱عوامل محیلی

  • احتمال حریق(که عموما غیر طبیعی است و منشا انسانی دارد):
  • زلزله- طوفان و دیگر بلاهای طبیعی یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه امنیت در برار عوامل محیطی است نفوذ گران در برخی از موارد با تاثیر گذاری بر روی این عوامل باعث ایجاد اختلال در عملکرد شبکه می شوند از مهمتریت عواملی در هنگام بررسی امنیتی یک شبکه رایانه ای باید در نظر گرفت می توان به دو عامل زیر اشاره کرد:
  • با و جود آنکه احتمال رخداد برخی از این عوامل مانند حریق را می توان تا حدودی زیادی محدود نمود ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی با هدف جلوگیری در اختلال کلی در عملکرد شبکه و جود یک سیستم کامل پشتیبان برای کل شبکه است تنها با استفاده از چنین سیستم پشتیبانی است که می توان از عدم اختلال در شبکه در صئرت بروز چنین وقایعی اطمینان حاصل کرد.
تجهیزات شبکه
تجهیزات شبکه

۲-امنیت منطقی

  • امنیت منطقی به معنای استفاده از روش هایی برای پایین آوردن خطرات حملات منطقی و نرم افزاری بر ضد تجهیزات شبکه است یرای مثال حمله به مسیریاب و سوئیچ های شبکه بخش مهمی از این گونه حملات را تشکیل می دهند. در این بخش از امنیت شبکه به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می گیرند می پردازیم.

۱-۲امنیت مسیریاب ها

  • حملات ضد امنیتی برای مسیریاب ها و دیگر تجهیزات فعال شبکه مانند سوئیچ ها را می توان به سه دسته ی اصلی تقسم نمود:
  • -حمله برای غیر فعال سازی کامل
  • حمله به قصد دستسابی به سطح کنترل
  • حمله برای ایجاد نقض در سرویس دهی
  • طبیعی است که راه ها و نکاتی که در این زمینه ذکر می شوند مستقیما تنها به امنیت این عناصر مربوط بوده و از امنیت دیگر مسیرهای ولو با این تجهیزات منفک هستند لذا تامین امنیت تجهیزات فعال شبکه به معنای تامین قطعی امنیت کلی شبکه نیست هر جند که عملا مهمترین جنبه ی آنرا تشکیل می دهد.

۲-۲مدیریت پیکر بندی

  • یکی از مهمترین نکات در امنیت شبکه و تجهیزات نگاهداری نسخ پشتیبان از پروندها مختص پیکربندی است از این پروندها که در حافظه های گوناگون این تجهیزات نگاهداری می شوند.می توان زمانب مرتب یا تصادفی و یا زمانی که پیکر بندی تجهیزات تغییر می یابند نسخه پشتیبان تهیه کرد.
  • با وجود نسخ پشتیبان منطبق با آخرین تغییرات اعمال شده در تجهیزات در هنگام رخداد اختلال در کارایی تجهیزات که می تواند منجر به ایجاد اختلال در کل شبکه شود در کوتاه ترین زمان ممکن می توان با جایگزینی آخرین پیکربندی وضعیت فعال شبکه را به آخرین حالت بی نقص پیش از اختلال باز گرداند طبیعی است که در صورت بروز حملات علیه بیش از یک سخت افزار باید پیکر بندی تمامی تجهیزات تغییر یافته را بازیابی نمود. نرم افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله های زمانی متغیر دارا می باشند با استفاده از این نرم افزارها احتمال حملاتی که به سبب تاخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می آید به کمترین حد ممکن می رسد.

۳-۲کنترل دسترسی به تجهیزات شبکه

  • دو راه اصلی برای کنترل تجهیزات فعال وجود دارد
  • کنترل از راه دور
  • کنترل از طریق در گاه کنسول
  • در روش اول می توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس هایی خاص یا استاندارها و پرو تکل های خاص احتمال حملات را پایین آورد
  • در مورد روش دوم با وجود آنکه به نظر می رسد استفاده از چنین درگاهی نیاز به دسترسی فیزیکی مستقیم به تجهیزات دارد ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد لذا در صورت عدم کنترل این نوع دسترسی ایجاد محدودیت ها در روش اول عملا امنیت تجهیزات را تامین نمی کند. برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی در گاه کنسول به هریک از تجهیزات داخلی مسیر یاب که امکان دسترسی از راه دور دارند اطمینان حاصل نمود.

۴-۲امن سازی دسترس به تجهیزات شبکه

  • علاوه بر پیکر بندی تجهیزات برای امنیت شبکه استفاده از AUhenticationیکی دیگر از روش های معمول امن سازی دسترسی استفاده دسترسی استفاده از کانال رمز شده در حین ارتباط است یکی از ابزار معمول در این روش(secure sheII) است sshارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول ترین روش هایی حمله هستند را به حداقل می رساند.
  • از دیگر روش های معمول می توان به استفاده از کانال های vpnمیتنی بر ipsec اشاره نمود این روش نسبت به روش استفاده از ssHروشی یا قابلیت اطمینان بالاتر است به گونه ای که اغلی تولید کنندگان تجهیزات فعال شبکه خصوصا تولید کنددگان مسیریاب ها این روش را ارجح تر می داندد.

network-3

۵-۲مدیریت رمزهای عبور

  • مناسب ترین محل برای ذخیره رمزهای عبور بر روی سرور AUTHenticaton است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت افزار نگاه داری شومد در این صورت مهم ترین نکته به یاد داشتن فعال کردن سیسنم رمز نگاری بر روی مسیریاب یا دیگر سخت افزارها مشابه است.
  • ملزومات و مشکلات امنیتی ارائه دهندگان خدمات
  • زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می آید مقصود شبکه های بزرگی است که خود به شبکه های رایانه ای کوچکتر خدماتی ارائه می دهند به عبارت دیگر این شبکه ها ی بزرگ هستند که با پیوستن به یکدیگر عملا شبکه ی کوچکتر رعایت می شود ولی با توجه به حسلسیت انقال داده در این اندازه ملزومات امنیتی خاصی برای این قبیل شبکه ها مطرح هستند.

نوشته های مرتبط