طراحی شبکه امن

طراحی شبکه امن مستقل از طراحی شبکه نیست

درگذشته (وحتی این روزها) بارها پیش آمده  که یکی از مشتریان به من گفه است ((ما کار شبکه را به پایان رسانده ایم، و اکنون وقت آن است که به امنیت فکر کنیم قطعا به یک حفاظ نیاز داریم، و چیزهایی هم درباره، IDS شنیده ایم)).طراحی به این روش که در آن (( امنیت)) به شبکه (( اضافه )) می شود- باعث کاهش کارایی شبکه شده و مزاحمتهایی را برای کارمندان IT و تیم عملیاتی شبکه به بار می آورد اگرچه امنیت از دیدگاه طراحی شبکه (( مفت)) بدست نمی آید اما اگر آن را از ابتدا در طرحهایتان لحاظ کنید می توانید به یک طرح متوازن دست یابید به این ترتیب هم

امنیت شبکه و هم قابلیت اطمینان و گسترش پذیری آن بهبود می یابد. اجازه دهید یک مثال ساد را بررسی کنیم. فکر کنید می خواهید بین یک مرز داده گروهی از کاربران و یک شرکت راه دور که می خواهد به مرکز داده شما وصل شود ارتباط برقرر نمایید. اگر از امنیت صرفنظر کنید.

در اینجا ناگهان نماینده تیم امنیت اطلاعات (INFOSEC:INFormaTiONSE) سر می رسد و می گوید: (( وای چه کار می کنید؟ چرا شرکت راه دور اجازه دسترسی مستقیم به داده های سازمان را دارد؟ ما اینجا به امنیت نیاز داریم )) شما تصمیم می گیرید که یک حفاظ نرم افزاری را به همراه مجموعه ای از ACLها به مسیر یاب اضافه کنید تا بتوانید بر جریان اطلاعات بین مرکز داده و شرکت راه دور نظارت داشته باشید.

حال که مسیر یاب وظبفه حفاظ را هم بر عهده گرفته است. کارایی آن کاهش می یابد این تنزل کارایی فقط بین شرکت راه دور و مرکز داده نیست بلکه کاربران شبکه هم آن را احساس می کنند به این ترتیب امنیت نه تنها بهبودی به همراه نداشته بلکه بر شبکه تاثیر منفی گذاشته است حتی اگر از حفاضهای سخت افزاری در کنار مسیر یاب استفاده کنید مشکلات ناشی از پیچیدگی پیکر بندی دو ابزار را نمی توان دست کم گرفت. حال به عقب برگردید و طراحی نو و با توجه به نیازمندیهای امنیتی نتیجه ایجاد یک شبکه امن می باشد.

 کمتری در بر دارد راه اندازی و نگهداری آن ساده تر است؛ و از همه مهمتر تاثیر سوئی بر ارتباط کاربران  با مرکز داده ندارد. اگر چه این مثال خیلی ساده بود، امیدوارم منظور مرا درک کرده باشید: همیشه سعی کنید امنیت را از ابتدای طراحی در نظر بگیرید. متاسفانه اگر به شما شبکه ای بدهند و بخواهند که امنیت آن را بهبود دهید کار به این سادگی نخواهد بود در این موارد سعی کنید طرح را به بخشهای کاری کوچکتری تقسیم کنید، و امنیت هر بخش را مستقلا بهبود دهید. کا را با بخشی شروع کنید که کمترین امنیت را داراست از طراحی مجدد نهراسید چون کاری که بر مبنای طرح بدی استوار شود  درآینده شما را با مشکل مواجه می کند.

طراحی شبکه امن

همه چیز هدف ایجاد امنیت شبکه  است

به عنوان طراحی شبکه های امن، یکی از نخستین چیزهایی که باید در نظر بگبربد وابستگی اجزای شبکه به یکدیگر است. یک مهاجم می تواند هر یک از این اجزا را به عنوان هدف انتخاب کند و با استفاده از این وابستگی ها به هدف نهایی خود برسد. به عنوان مثال فرض کنید مهاجم قصد دارد سایت وب شما ار پایین بیاورد لیست زیر گزینه های پیش روی مهاجم را نشان می دهد: یک ضعف امنیتی در کاربردها یا سیستم عامل سیستم شما پیدا کند،از آن بهره گیرد تا به اختیارات root دسترسی داشته باشد سپس به راحتی سرور راپایین بیاورد یا محتوای آن را تغییر دهد.

جریانی از ترافیک منع خدمت ( DOS:DeniaIof service) را روزانه سرور وب شما کند تا منابع آن مصرف شوند و سرور قدرت پاسخگویی را از دست بدهد.

با پی ریزی یک حمله DDOS تمام پهنای باند شما را مصرف کند تا کاربران مشروع نتوانند به سرور وب شما دسترسی داشته باشند آن قدر بسته هایی پوچ به سمت مسیریاب یا حفاظ بفرسستد تا کاربران برای مشروع نتوانند به سرور وب شما دسترسی داشته باشند.

آن قدر بسته های پوچ به سمت مسیر یاب یا حفاظ بفرستد که این ابزارها نتوانند بسته های مشروع را پردازش کنند سرور DNS شما یا ISP شما را تسخیر کند و رکورد نام سروروب شما را به یک سرور جعلی تغییر دهد.سروردیگری را درهمان زیرشبکه سرور وب شما تسخیرکند و حمله جعل ARP ای را اجرا نماید که با مانع دسترسی به سرور وب می شود و یا با پی ریزی یک حمله مرد میانی (MITM:MAN  IN  THE  MIddIE) محتوا را پیش از ارسال به مقصد تغییر دهد.

سوییچ اینترنتی را که در دسترس اینترنت سرور وب را فراهم می کند تسخیر کرده و پورت مربوطه را غیر فعال نماید. اطلاعات مسیر دهی ISP شما را تغییر دهد تا در خواستهایی را که به زیر شبکه IP شما فرستاده می شوند به جای دیگری هدایت کند. این لیست افراد تنها به موارد فوق محدود نمی شود در این مثال مهاجم برای اجرای حمله چندین (( هدف )) را می توانست انتخاب کند از جمله:

طراحی شبکه امن

امنیت کد کاربردها و سیستم عامل

مقاومت کاربردها و سیستم عامل در برابر DoS

پهنای باند اینترنت

نوشته های مرتبط