مدیریت محافظت از شبكه‌هاي كامپيـــــوتري 2

امنیـــــت شبکــــــــــــــــــــــــه
 

امنیت شبکه
نرم افزار مدیریت می تواند شما را در مورد امنیت منابع شبکه نیز کمک کند. معمولاً انجام اینکار به اطلاعات مربوط به کاربران و فعالیتهای کاربران نیاز دارد.البته اکثر سیستم های عامل مدرن تهیه گزارش امنیتی از جزئیات را فراهم می سازند. اما تهیه گزارش امنیت یکی سازی شده بدین معنی است که مدیر شبکه نباید گزارشهای امنیتی هر سرور را بطور جداگانه وارسی کند. وارد شدن به سیستم توسط افراد بدون مجوزرا می توان بصورت مستقیم به کنسول مدیریت مدیر شبکه گزارش داد.
عملیات شبکه
یک مدیر شبکه باید از عملیات و اجرای شبکه گزارش تهیه کند و بسیازی از زیر بناهای مدیریتی ابزارهای ضروری را جهت اندازه گیری اجرای عملیات شبکه فراهم می سازند. مدیران شبکه میتوانند انواع گسترده ای از خصایص عملیاتی شبکه را نظارت کنند و یک baseline شبکه ایجاد کنید. بعلاوه جمع آوری اینگونه اطلاعات روند توسعه شبکه را نیز مشخص می کند و مدیر شبکه می تواند قبل از برخورد با مشکل کمی منابع اقدامات لازم را انجام دهد.
تجزیه و تحلیل هزینه شبکه
عملیات شبکه به هزینه نیاز دارد و یک شبکه فقط می تواند مقدار منابع مشخص شده ای را در اختیار یک اربر یا گروه قرار دهد. یک مدیر شبکه باید اقدامات لازم را برای روش استفاده از یک شبکه فراهم سازد. اغلب اعمال چنین وضعیتی بصورت دستی مشکل یا حتی غیر ممکن است اما زیر بناهای مدیریت ابزارهای تجزیه و تحلیل لازم را فراهم می سازند تا یک مدیر شبکه بتواند شبکه را بنحوی که مانند یک منبع مصرفی می باشد نظارت داشته باشند و بعد مالی را در مورد کاربران شبکه بکار گیرد. پس از اینکه یک مدیر شبکه کاربران و فعالیتهای مربوط را از لحاظ کمیتی مشخص نمود مرتبط نمودن هزینه با کاربران ممکن می شود در بعضی موارد ویژگیهای تجزیه و تحلیل نرم افزار مدیریت شبکه حتی می توانند امکان تغییر برای دسترسی به شبکه را فراهم سازند.
بغیراز موارد مالی، مدیریت باید کاربران و گروههایی که به منابع شبکه دسترسی دارند را شناسایی کند. با شناسایی شفاف موارد استفاده ، یک مدیر شبکه می تواند ارتقاءهای صحیح را برنامه ریزی کند یا اقدامات لازم را جهت ساده تر نمودن عملیات شبکه بکار گیرد. می توانید بر اساس بکارگیری داده ها تصمیمات مربوط به ارتقاء را اتخاذ نمایید و به این گروه سرور خاصی را تخصیص دهید. انجام اینکار سرور موجود را برای سرویس دهی به سایر کاربران آزاد می سازد.
تکنیک های مدیریت و عیب یابی
در حال حاضر انواع گوناگونی از نرم افزارهای مدیریت شبکه در بازار نرم افزار وجود دارند. همچنین شرکتهایی مانند Compaq ، HP ، Getaway و غیره نیز نرم افزارهای مدیریت عرضه کرده اند. با چنین گستردگی در انواع اینگونه نرم افزارها، انتخاب بهترین ابزار می تواند مشکل باشد.
هنگام انتخاب یک نرم افزار مدیریت شبکه عوامل زیر را در نظر داشته باشید:
    مستندات را بخوانید.
    امنیت را بخوبی درک کنید
    آسان بودن یافتن وسایل در شبکه.
    آسان بودن پیکربندی مربوط به عملیات یافتن وسایل در شبکه
    آسان بودن سفارشی سازی polling نمودن وسایل مهم
    آسان بودن پیکربندی پیامهای خطا
    آسان بودن ایجاد و سازماندهی گزارش رویداد
    آسان بودن شناسایی وسایل
    آسان بودن افزودن وسایل جدید
    آسان بودن بکارگیری اقدامات رفع عیب
 
دیواره های آتش
محصولی سخت افزاری  و یا نرم افزاری می باشد که شبکه را از دستیابی بدون اجازه کاربران خارجی حفظ می کند. اگر شبکه شما به اینترنت متصل است حتما باید از نوعی از دیواره های آتش برای محافظت شبکه استفاده کنید چون مزاحمان خارجی می توانند براحتی شبکه را دچار اختلال کنند.
فیلتر کردن بسته ها
در این روش ، دیواره آتش بسته های دریافتی را بررسی کرده و بنابر اطلاعات موجود در هردهای پروتکلهایی که در ایجاد بسته سهیم بوده اند، تصمیم می گیرد که به آنها اجازه عبور به شبکه دیگر را بدهد یا خیر. یک دیواره آتش می تواند بسته ها را بنابر هر یک از خصوصیات زیر فیلتر کند:
•    آدرس‌های سخت افزاری
•    آدرس‌های IP
•    شناسه پروتکل
•    شماره پورت ها

NAT
یک تکنیک لایه شبکه که با مخفی کردن آدرس های IP کامپیوترهای مستقر در شبکه آنها را در مقابل مزاحمان اینترنتی محافظت می کند. اگر شبکه را بدون استفاده از یک نوع دیواره آتش به اینترنت متصل کنید، برای اینکه کامپیوترهای این شبکه بتوانند با کامپیوترهای دیگر موجود در اینترنت ارتباط برقرار کنند باید از آدرسه های IP ثبت شده استفاده کنید. از طرف دیگر بنابر تعریف، آدرس های IP ثبت شده از اینترنت قابل رؤیت هستند در نتیجه هر کسی می تواند از طریق اینترنت به کامپیوترهای شبکه شما دسترسی داشته باشد و با کمی ذکاوت به همه منابع دسترسی پیدا کند. اما استفاده از ترجمه آدرس شبکه به شما این امکان را می دهد که با وا
ذاری آدرس های IP ثبت نشده به کامپیوترهای خود آنها را از زاویه دید کاربران اینترنتی خارج کنید.
پروکسی سرور
محصولاتی نرم افزاری مشابه با مسیریابهای NAT  ، با این تفاوت که در لایه کاربرد مدل OSI کار می کنند. یک پروکسی سرور همانند یک مسیریاب LAN بعنوان رابط بین سرویس گیرنده های موجود در یک شبکه و منابع اینترنتی مورد نیاز آنها عمل می کند. سرویس گیرنده ها در خواست های خود را به پروکسی سرور می فرستند سپس پروکسی سرور هم آن درخواست ها را به سرور اینترنتی مقصد منتقل می کند. سرور اینترنتی جواب درخواست را به پروکسی سرور می فرستد و آنهم به نوبه خود داده ها را به سرویس گیرنده منتقل می کند. به اینصورت سرویس گیرنده از طریق اینترنت قابل رویت نمی باشد.مزیت دیگر پروکسی در اینست که مدیران شبکه می توانند آنها را طوری پیکربندی کنند که بنابر نیاز ترافیک ورودی را فیلتر کنند تا جلوی کاربران را از دسترسی به یکسری از سرویس های بخصوص بگیرند.
مشکل اصلی پروکسی سرورها اینست که باید برنامه های آنها را برای اینکه بتوانند از آنها استفاده کنند پیکربندی کنید گرچه یک مسیریاب NAT کامپیوترهای شبکه شما را محافظت می کند ولی پیکربندی تعداد زیادی برنامه برای استفاده از پروکسی بسیار وقت گیر است.اما سرویس گیرنده ها و پروکسی سرورهایی با قابلیت تشخیص خودکار وجود دارند که یک برنامه را قدر به شناسایی پروکسی سرورهای موجود در شبکه و استفاده از آنها می کند.

دیوارهای آتش و سرورهای Proxy
دو ابزار مهم و محبوب استفاده شده جهت ایمن سازی شبکه ها عبارتند از دیوارهای آتش و سرورهای proxy . وظیفه اساسی یک دیوار آتش فراهم نمودن سپر حفاظ برای ترافیک شبکه است تا از دسترسی های بدون مجوز به یا از یک کامپیوتر شبکه جلوگیری شود. سرورهای proxy جهت تکمیل نمودن تقاضاهای کاربران داخلی میباشد که با منابع خارجی می خواهند ارتباط برقرار کنند. سرویسهای proxy را می توان بطور مستقیم از طریق دیوار آتش یا بر روی کی میزبان مجزا در رابطه با یک دیوار آتش فراهم نمود.
درک یک دیوار آتش
دیوارهای آتش می توانند اشکال و اندازه های متفاوت داشته باشند و در مواردی دیوار آتش در واقع مجموعه ای از چندین کامپیوتر متفاوت است.
ما در اینجا یک دیوار آتش را در نظر می گیریم که بین شبکه های داخلی و خارجی مانند اینترنت قرار می گیرند و ترافیک بین این شبکه ها را کنترل می کنند. دیوارهای آتش باید خصایص زیر را داشته باشند:
    تمامی ارتباطات باید از دیوار آتش عبور کنند.
    دیوار آتش فقط ترافیکی را اجازه می دهد که دارای مجوز است.
    دیوار آتش باید بتواند از خود نیز حفاظت کند.
اگر یک مسیر متفاوت شبکه موجود باشد، تأثیرگذاری دیوار آتش بطور قابل ملاحظه ای کاهش می یابد بعلاوه، اگر دیوار آتش نتواند تفاوت بین ترافیک با مجوز و بدون مجوز را تشخیص دهد، یا اگر بنحوی پیکربندی شده است تا ارتباطات خطرناک یا بدن نیاز را اجازه دهد، کاربرد دیوار آتش نیز از بین می رود. در نهایت دیوار آتش باید بتواند از خود حفاظت کند.
یک دیوار آتش می تواند یک مسیریاب،یک کامپیوتر شخصی، یک میزبان یا مجموعه ای از میزبانهای تنظیم شده باشد تا یک شبکه خصوصی را حفاظت کند. یک دیوار آتش معمولاً خارج از محیط شبکه و بطور مستقیم بین شبکه و منابع خارجی قرار می گیرد. روشی که دیوار آتش عمل می کند به خود دیوار آتش و قوانین / سیاستهای پیکربندی شده برای دیوار آتش بستگی دارد چهار مقوله از تکنولوژیهای دیوار آتش موجود زیر لیست شده اند:
*Packet Filters
*Applicattion Gateways
*Circuit – Level Getaways
*Stateful Packet – Inspection Engins
دیوارهای آتش و TCP/IP
TCP/IP مجموعه ای از پروتکلها و برنامه های کاربردنی است که توابع خاصی را در رابطه با لایه های خاص مدل OSI یا مدل Open System Interconnect انجام می دهد. انتقال داده ها از طریق TCP/IP بوسیله انتقال مستقل بلوکهایی از داده بر روی شبکه به شکل بسته ها صورت می گیرد. هر لایه مدل TCP/IP یک سرنام به بسته اضافی می کند. بر اساس تکنولوژی دیوار آتش مورد استفاده، دیوار آتش جهت تصمیم گیری در مورد دسترسی از اطلاعات موجود در این سرنام ها استفاده می کند.
دیوارهای آتش از نوع فیلتر سازی بسته
دیوارهای آتش فیلترسازی بسته با فیلترسازی ارتباطات شبکه بر اساس اطلاعات موجود در سرنام های TCP/IP هر بسته حفاظت سیستم را فراهم می سازد. دیوار آتش سرنام هر بسته را وارسی می کند و با استفاده از اطلاعات موجود در سرنام بسته را می پریرد یا رد می کند.
فیلترهای بسته بر اساس اطلاعات زیر در سرنام تصمیم گیری می کنند:
    آدرس IP مبدأ
    آدرس IP مقصد
    پروتکل شبکه مورد استفاده
    درگاه مبدأ TCP یا UDP
    درگاه مقصد TCP یا UDP
    نوع پیام ICMP ، اگر پروتکل از نوع ICMP باشد.
مزیتها و کاستی های فیلترسازی بسته
مزیتها عبارتند از:
    سرعت – فیلترسازی را می توان مانند سرعت پردازنده های امروزی پیاده سازی کرد.
    هزینه – فیلترهای بسته تقریباً ارزان یا رایگان می باشند.
    مدیریت خوب ترافیک – فیلترهای بسته ساده را می توان جهت حذف ترافیکهای آشکار بدون مجوز استفاده نمود.
    ترانسپارانسی – رفتار عملیاتی کاربر بدلیل پیداسازی یک فیلتر بسته تغییر نمی یابد.
کاستی ها عبارتند از:
    ارتباط مستقیم بین میزبانهای خارجی و داخلی
    فیلترهای بسته بخوبی اندازه پذیر نمی باشند.
    فیلترهای بسته در رابطه با حمله های spoofing مقاوم نمی باشند. این نوع حمله معمولاً اطلاعات قلابی در سرنام های TCP/IP در در بردارد.
دیوارهای آتش از نوع Application Gateways
Application Gateways تصمیم گیریهای دسترسی را بر اساس اطلاعات موجود در یک بسته در تمامی هفت لایه مدل OSI اتخاذ می کند. این روش درجه بالاتری از امنیت را در مقایسه با یک فیلتر بسته ارئه می دهد اما اینکار ار در رابطه با از دست دادن ترانسپارانسی سرویسها انجام می دهد. Application Gateways اغلب بعنوان واسط برای برنامه های کاربردی مانند پست الکترونیکی، FTP ،Telnet ،HTTP و الی آخر عمل می کند. خصوصاً Application Gateways به عنوان یک سرور برای سرویس گیرنده و به عنوان یک سرویس گیرنده برای سرور واقعی عمل می کند.
 
دیوار آتش از نوع Circute-Level Gateways
این نوع دیوار آتش مانند Application Gateways می باشد، اما برنامه کاربردی مربوطه خصوصیت هوشیار بودن ندارد. یک Circute-Level Gateways با ربه نمودن اتصالهای TCP از شبکه داخلی به شبکه خارجی عمل می کند. یک اتصال مستقیم بین سرویس گیرنده و سرور هرگز رخ نمی دهد. بدلیل اینکه این روش نمی تواند پروتکل برنامه کاربردی را درک کند، باید اطلاعات اتصال از طریق سرویس گیرنده هایی که پروتکل را درک می کنند و جهت کار با این پروتکل برنامه ریزی شده اند عرضه شوند. بطور کل یک Application Gateways از روالهای تغییر یافته استفاده می کند، در حالیکه Circute-Level Gateways سرویس گیرنده های تغییر یافته را بکار می گیرد.
دیوار آتش از نوع stateful-packet-inspection-engine
بسته ها را بر اساس یک سری قاعده مشابه با قوانین packet-filtering اجازه می دهد یا رد می کند. زمانیکه یک دیوار آتش در state هوشیاری است، تصمیم گیریهای دسترسی را نه تنها بر اساس آدرسهای ip و درگاهها بلکه بر اساس syn ، ACK اعداد سریال و سایر داده های موجود در سرنام TCP اتخاذ می کند. در حالیکه فیلترهای بسته می توانند بسته ها را بطور مجزا اجازه دهند یا رد کنند و برای ارتباطات TCP دوطرفه به قوانین مربوط به مجوز نیاز دارند، دیوارهای آتش SPI وضعیت هر جلسه را وارسی می کنند و بصورت پویا طبق نیاز جلسه های خاص درگاهها را باز می کنند و می بندند. دیوارهای آتش SPI جهت ترکیب سرعت و قابلیت انعطاف پذیری فیلترهای بسته یا امنیت Application-Level از proxy های برنامه کاربردی توسعه یافته اند.

فصل چهاردهـم

مدل‌های مختلــــــف امنیتـــــــــــــــــــی
 

مدل های مختلف امنیتی
 امنیت سطح – کاربر
   در مدل امنیتی سطح – کاربر برای هر کابربری یک حساب کاربری مجزا ایجاد می شود. در صورتی که بخواهید به کاربران اجازه دستیابی به منابع یک کامپیوتر بخصوص را بدهید باید آنها را از لیست حسابهای کاربران انتخاب و جوازهای دلخواه را به آنها اختصاص دهید.
امنیت سطح – مشترک
 در این مدل امنیتی کاربران به منابع مشترک مختلف کامپیوترهای خود یک کلمه عبور اختصاص می‌دهند. در صورتیکه کاربری بخواهد به یک منبع مشترک کامپیوتر دیگر دسترسی پیدا کند باید کلمه قبور مناسب را داشته باشد.
این کلمه های عبور مشترک روی کامپیوترهای مربوط به خود ذخیره می شوند.
 

فصل پانزدهـــم

پروتکل‌های امنیتــــــــــــــــــــــــی
 

پروتکل‌های امنیتی
علاوه بر امکانات امنیتی موجود در سیستم عامل های شبکه پروتکل‌های امنیتی استانداردی هم وجود دارند که برنامه های کاربردی و سیستم عامل ها از آنها برای محافظت داده های در حال عبور در شبکه استفاده می کنند. این پروتکل‌ها معمولاًروی داده ها یک رمز نگاری بخصوصی انجام می دهند و روشی که کامپیوترها باید از آن برای خواندن داده های رمزنگاری شده توسط یکدیگر استفاده کنند را تعریف می کنند.
انواع پروتکل‌های امنیتی
IPSec
IPSec  یک اصطلاح عامیانه برای توصیف استانداردهایی است که توسط IETF منتشر شده است و مربوط به ایمن سازی داده های در حال عبور روی شبکه ها با استفاده از احراز هویت و رمزنگاری می باشد. اغلب پروتکل هایی که دارای قابلیت رمزنگاری داده های در حال عبور در شبکه را دارند برای استفاده در اینترنت یا تبادل اطلاعات بین انواع بخصوصی از سرورها و سرویس گیرنده ها طراحی شده اند تا زمان IPSec هیچ استانداردی برای محافظت از داده های در حال عبور در شبکه وجود نداشت. البته شما می توانستید دستیابی به منابع مختلف را با کلمه عبور کنترل کنید اما داده های واقعی در حال عبور در رسانه شبکه محافظت شده نبودند.
L2TP
IPSec در مد تونل هم می تواند بطور مستقل و هم با همکاری پروتکل L2TP کار کند. این پروتکل از پروتکل CSL2F و PPTP مشتق و در یکی از سندهای IETF تعریف شده است. L2TP با بسته بندی فریم‌های PPP  در بسته های UDP یک تونل محافظ ایجاد می کند. فریم های PPP حتی اگر حاوی داده های اتصال گرای TCP هم باشند می توانند داخل یک دیتاگرام بدون اتصال UDP حمل شوند در واقع فریم های PPP می‌توانند حتی شامل داده های IPX و یا NetBEUI هم باشند.
L2TP بخودی خود دارای هیچگونه امکان رمزنگاری نمی‌باشد. البته امکان ایجاد یک تونل، بدون رمزنگاری داده های داخل آن وجود دارد اما به درسر آن نمی ارزد. این پروتکل برای کپسوله کردن و رمزنگاری کل دیتاگرام UDP که شامل فریم PPP هم می شود از پروتکل ESP استفاده می کند. بنابراین هر بسته آماده عبور در شبکه حاوی داده های اصلی کپسوله شده در یک فریم PPP که خود در یک فریم L2TP ، یک دیتاگرام UDP ، یک فریم ESP ، یک دیتاگرام IP و نهایتاً یک فریم PPP دیگر کپسوله شده است می باشد.
SSL
SSL یک پروتکل امنیتی تک منظوره می باشد که برای محافظت داده های در حال انتقال بین سرورهای وب و مرورگرهای سرویس گیرنده طراحی شده است . تقریباً همه سرورهای وب و مرورگرهای موجود از این پروتکل پشتیبانی می کنند.
SSL همانندIPsec دارای سرویس های احراز هویت و رمزنگاری می‌باشد. احراز هویت و توافق بر سر روش مورد استفاده برای رمز نگاری داده ها توسط پروتکل SSLHP انجام می شود. سپس پروتکل SSLRP داده ها را برای رمزنگاری بسته بندی می کند. وقتیکه یک مرورگر وب به یک سرور ایمن شده متصل می شود، سرور یک گواهی دیجیتال را که خود از یک صادر کننده گواهی بدست آورده است به سرویس گیرنده می فرستد. سرویس گیرنده با استفاده از کلید عمومی همان صادرکننده گواهی کلید عمومی سرور را از گواهی دیجیتال بیرون می کشد. وقتی مرورگر توانست کلید عمومی سرور را بدست آورد، می تواند داده هایی که توسط سرور رمزنگاری و فرستاده شده است را رمزگشایی کند.

فصل شانزدهـم

مواردی در مورد امنیت شبکه‌ها
 

امنیت ارتباطات
در اینجا نگاهی به امنیت ارتباطات که در خصوص ‹تحویل مطمئن و سری بیتها از مبداء به مقصد بدون هیچ تغییر  یا دستکاری و همچنین چگونگی جلوگیری از تزریق بیتهای ناخواسته به لینک ارتباطی› می اندازیم.
IPsec
IPsec  در مستندات REC 2401 ،۲۴۰۲ ،۲۴۰۶ تشریح گشت. از آنجا که تمام کاربران نمی خواهند که از رمزنگاری استفاده کنند، لذا استفاده از آن اختیاری است. البته برای آن که طرح IPsec  عمومیت خود را از دست ندهد و در همان بدو کار کثرت پروتکل بوجود نیاید تصمیم بر آن شد که در تمام حالات رمزنگاری انجام شود ولیکن در عوض، یک الگوریتم «پوچ» تعریف گردید. این الگوریتم پوچ به دلیل سادگی راحتی در پیاده سازی وسرعت بسیار بالا در RFC 2410 تشریح و از آن ستایش شده است!!!! شاید سریعترین الگوریتم دنیا باشد!
طراحی کامل IPsec متشکل از یک چارچوب کاری برای ارائه خدمات چندگانه، شامل تعدادی الگوریتم و مولفه است. دلیل ارائه چندین رده خدمات ان است که شاید همه نخواهند برای استفاده از تمام آنها هزینه بپردازند فلذا این خدمات به صورت انتخابی در اختیار کاربران هستند. خدمات ویژه عبارتند از «ارسال محرمانه بسته ها» ، «تضمین صحت» و حفاظت در مقابل حملاتی که بر اساس آنها یک بخش از داده ها به صورت تکراری ارسال می شوند . تمام خدمات فوق بر اساس رمزنگاری با کلید متقارن انجام می شود زیرا در سطح لایه شبکه کارایی و سرعت بسیار بالا، کاملاً حیاتی است. دلیل استفاده از چندین الگوریتم رمزنگاری آن بوده که شاید الگوریتمی که امروزه امن به حساب می آید در آینده شکسته شود. وقتی IPsec مستقل از الگوریتم خاص طراحی شده باشد، حتی در صورت شکسته شدن یک الگوریتم در آینده، باز هم قابل استفاده خواهد بود و به حیات خود ادامه می دهد.
دلیل مولفه های چندگانه ای که این پروتکل دارد انست که بتوان فقط بر روی یک اتصال TCP متمرکز شد و از داده هایی که بین دو ماشین خاص در شبکه مبادله می شود مراقبت کرد یا آنکه از بین کل مسیریابها صرفاً ترافیک بین دو مسیریاب امن، رمزنگاری شود.
یکی از جنبه های نسبتاً عجیب IPsec آن است که اگر چه این پروتکل در لایه IP قرار می گیرد ولیکن برخلاف IP ، اتصال گرا است . در واقع این مسئله چندان هم عجیب و دور از ذهن نیست زیرا برای ایجاد امنیت باید یک کلید رمز بین ماشینها توافق و ایجاد گردد که در اصل نوعی از اتصال محسوب می شود.
البته هزینه برقراری این چنین اتصالی بر روی حجم زیادی از بسته ها سرشکن می شود. یک «اتصال» در عرف IPsec اصطلاحاً SA  نامیده می شود. یک SA ، اتصالی یکطرفه بین دو نقطه پایانی در شبکه است که به آن یک «شناسه امنیت» درون بسته هایی که در شبکه و مبتنی بر یک اتصال سیر می کنند جاسازی شده و از آن برای جستجوی کلید متناظر و همچنین بدست آوردن اطلاعات مرتبط با بسته های امن ورودی استفاده می‌شود.
 
دیوارهای آتش
پیاده سازی مدرنی از روش قدیمی و قرون وسطایی حصارهای امنیتی است: خندقی عمیق دور تا دور قلعه خود حفر کنید این الگو همه را مجبور می کند تا برای ورود یا خروج از قلغه از یک پل متحرک و واحد بگذرند و بتوان همه را توسط پلیس حراست بازرسی کرد. در دنیای شبکه های کامپیوتری، همین راهکار ممکن خواهد بود: یک شرکت می تواند هر تعداد شبکه محلی داشته باشد که به صورت دلخواه به هم متصل شده اند، اما تمام ترافیک ورودی یا خروجی شرکت صرفاً از طریق یک پل متحرک میسر است.
دیوار آتش با پیکربندی دو مؤلفه دارد: (۱) یک جفت مسیریاب که عمل غربال سازی بسته ها را انجام می دهند. .(۲)دروازه برنامه های کاربردی. ساختار ساده تری نیز وجود دارد ولیکن حسن بزرگ این طرح آنست که هر بسته باید از دو مرحله غربال سازی و یک مرحله بازرسی محتوایی توسط دروازه، بگذرد. هیچ مسیر دیگری نیز وجود ندارد. خوانندگانی که فکر می کنند فقط یک مرحل بازرسی امنیتی کافی است، به احتمال زیاد اخیراً یک پرواز بین المللی با خطوط هوایی نداشته اند!
هر غربال کننده بسته، یک مسیریاب استاندارد با برخی از ویژگیهای بیشتر است. این قابلیت اجازه می دهد که تمام بسته های ورودی و خروج بازرسی شوند. بسته هایی که بتوانند برخی از معیارها و شرایط را احراز کنند بطور طبیعی هدایت می شوند و آنهایی که در این بازرسی مردود شوند حذف می گردند.
شبکه های خصوصی مجازی(VPN)
شبکه ای که از کامپیوترهای شرکت و خطوط اجاره ای تلفن تشکیل شده اصطلاحاً«شبکه خصوصی» نامیده می شود.
شبکه های خصوصی، بسیار خوب و مطمئن عمل می کنند. اگر خطوط در اختیار شرکت، تماماً اجاره ای باشند، هیچ ترافیکی نمی تواند به بیرون از شرکت نشت کند و اخلال گر مجبور است به صورت فیزیکی از خطوط انتقال انشعاب گرفته و بدانها متصل شود که انجام این کار نیز ساده نخواهد بود. مشکل بزرگ شبکه های خصوصی آنست که اجاره کردن یک خط T1 در هر ماه هزاران دلار هزینه دارد خطوط T3 میز چندین برابر گرانتر هستند. وقتی شبکه های عمومی داده و بعد از آن اینترنت به صحنه آمد، بسیاری از شرکتها تصمیم گرفتند که انتقال داده های خود را از طریق شبکه های عمومی موجود انجام بدهند که هزینه ناچیزی دارد ولیکن در عوض امنیت یک شبکه خصوصی ندارد.
احساس این نیاز به ابداع VPN انجامید که بر روی زیر ساخت شبکه عمومی بنا شده است ولی اکثر ویژگیهای یک شبکه خصوصی را عرضه می کند. این گونه شبکه ها از آن جهت «مجازی» نامیده شده اندکه صرفاً یک توهم هستند دقیقاً مثل «مدار مجازی» که در آن هیچ مدار واقعی در کار نیست یا « حافظه مجازی» که در آن هیچ حافظه واقعی از نوع RAM وجود ندارد.
امنیت نامه های الکترونیکی
وقتی یک پیام توسط پست الکترونیکی بین دو سایت راه دور مبادله می شود بطور معمول آن نامه در طی مسیر خود از دهها ماشین میانی عبور خواهد کرد. هر یک از این ماشینها قادرند آن را بخوانند یا برای استفاده های بعدی ذخیره کنند. بر خلاف آنچه که بسیاری از مردم می اندیشند، حریم خصوصی عملاً وجود ندارد ولیکن علیرغم این بسیاری از افراد علاقمندند نامه هایی را که ارسال می کنند فقط گیرنده مورد نظر بخواند نه هیچکس دیگر نه رئیس آنها و نه حتی حکومت. این احساس نیاز بسیاری از گروهها و افراد را ترغیب کرد که اصول رمزنگاری را که تا اینجا بررسی کردیم بر روی نامه های الکترونیکی اعمال کرده و یک سیستم امن پست الکترونیکی به وجود بیاورد.
سیستم های امن پست الکترونیکی
•    PGP
•    PEM
•    S/MIME
امنیت وب
تا اینجا دو زمینه بسیار مهم را که مقوله امنیت در آنها ضروری است مطالعه کرده ایم: امنیت در مخابره داده ها و امنیت در سیستم پست الکترونیکی. می توانید اینها را به عنوان سوپ و پیش غذا تلقی کنید. حال وقت آن رسیده تا به موضوع اصلی بپردازیم:«امنیت وب» . امروزه وب جولانگاه اخلالگران و ترودیهایی است که به کارهای کثیف خو مشغولند. در بخشهای آتی به برخی از موارد و مشکلات مربوط به امنیت وب نگاهی خواهیم انداخت.
بطور تقریبی امنیت وب را می توان در سه بخش تقسیم کرد: اول آن که چگونه اشیاء و منابع به روشی مطمئن نامگذاری شوند؟ دوم آنکه چگونه می توان ارتباطی تایید شده و مطمئن برقرار کرد؟ سوم وقتی یک وب سایت برای مشتری خود یک قطعه کد قابل اجرا می فرستد چه اتفاقی می افتد؟ پس از آنکه به تهدیدهای بالقوه در وب نگاهی انداختیم این سه مورد را در نظر داشته باشیم:
•    تهدیدها
•    نامگذاری مطمئن
•    لایه سوکتهای امن
 

فصل هفدهـــــم

مبانی امنیــــــــــــــــت در شبکــــــــــــــــــــــــه‌ها
 

مبانی امنیت شبکه
دلیل اینکه از دیواره های آتش استفاده می کنیم این است که دیوارهای آتش جهت تشخیص و تصمیم گیری در رابطه با ارتباطات مجوزدار و بدون مجوز استفاده می شوند. سیستم ها و داده های شرکتی سه خصوصیت اصلی دارند که از طریق دیوار آتش محافظت می شود:
    خطر از دست دادن محرمانه بودن داده ها
    خطر از دست دادن سلامت و تمامیت داده ها
    خطر از دست دادن قابلیت دسترسی به داده ها
انواع رایج حملات
در واقع روشهای زیادی را یک فرد بدون مجوز می تواند جهت دسترسی به یک سیستم بکار گیرد. در زیر لیست خلاصه ای از حملات رایج فراهم شده است:
    مهندسی اجتماعی – یک هکر یک مدیر شبکه یا یک کاربر با مجوز را بنحوی وادار می کند تا جزئیات وارد شدن به سیستم را در اختیارش بگذارند.
    خرابیهای نرم افزاری – یک هکر یک جریان برنامه نویسی را دنبال می کند و یک برنامه کارردی را یا سرویسی را مجبور می کند تا فرامین بدون مجوز را اجرا کند.
    ویروسها یا کدهای با ویروس – یک هکر یک کاربر با مجوز را به اجرای یک برنامه خاص مجبور می کند. رایجترین روش برای چنین حمله ای استفاده از یک ویروس در یک پست الکترونیکی می باشد.
    پیکربندی ضعیف سیستم – یک هکر می تواند خطاهای پیکربندی سیستم را در سرویسها و / یا شماره های حساب موجود مورد سوء استفاده قرار دهد.
اقدامات امنیتی خوب
مقاوم سازی سیستم ها در برابر حملات
هنگام مقاوم سازی میزبانها،لیست زیر را در نظر داشته باشید:
۱-    تمامی سرویسهای غیر ضروری را غیر فعال سازید.
۲-    شماره های حساب و گروههای غیر ضروری را حذف کنید. کلمه های رمز را تغییر دهید . اشتراکهایی را که به وارد شدن به سیستم بصورت محاوره ای نیاز ندارند را غیر فعال سازید.
۳-    مابقی سرویسها را برای افزایش امنیت مجدداً پیکربندی کنید.
۴-    تمامی عملیات مدیریتی را ایمن سازید.
۵-    از کلمه های رمز قوی استفاده کنید.
حفاظت از شبکه در برابر ویروسها
اگرچه اکثر محصولات نرم افزاری در بازار مفید، سازنده و سودمند می باشد، نرم افزارهایی وجود دارند که اهداف بدی را در بر دارند – ویروس کامپیوتری چنین نرم افزارهایی جهت وارد شدن به یک شبکه بدون دانش کاربر طراحی شده اند که غالباً در برنامه های معمولی یا حتی پیامهای پست الکترونیکی پنهان می شوند. ویروسها توابع خود را بدون دریافت مجوز از کاربر اجرا می کنند. در ماهیت یک ویروس کامپیوتری قطعه ای کد قلبل اجرا استکه بطور مخفیانه اجرا می شود و می تواند خود را در سایر برنامه ها شبیه سازی کند.
شبکه ها با تمامی رفتارهای عملیاتی LAN ها باید به اینترنت نیز دسترسی داشته باشند که این خود حمله ویروسهای کامپیوتری را بسیار آسان می‌کند.
 
مفاهیم ویروس
یک ویروس در واقع فقط یکی از انواع بسیار زیاد نرم افزارهای مخرب است. انواع زیادی از نرم افزارهای  مخرب شناسایی شده اند. هر یک از نرم افزارهای مخرب حالت عملیاتی متفاوت دارند.
خطاهای نرم افزاری
یک خطای نرم افزاری اساساً یک خطای کدنویسی در برنامه است که انجام عملیات غلط را در بردارد. خطاهای نرم افزاری بندرت عمدی می باشند و در اکثر سیستم های اصلی و جدی این خطاهای نرم افزاری توسط توسعه دهندگان در مراحل تست alpha  و beta رفع می شوند.
اسبهای تروا
یک برنامه مخربی است که در یک برنامه مفید مانند کلمه پرداز یا برنامه گرافیکی پنهان می شود. برنامه تا فعال شدن قسمت مخرب بخوبی عمل می کند و با شدن قسمت مخرب ماهیت اصلی برنامه مشخص می شود.
بمب‌های نرم افزاری(Software Bombs)
بمب های نرم افزاری با راه اندازی برنامه آلوده اجرا می شود. بمب‌های نرم افزاری بسیار ساده می باشند. بنابراین، توسعه یک بمب نرم افزاری سریع و آسان است و جستجو برای اینگونه نر افزارها از طریق ابزارهای ویروس یاب آسانتر می باشد.
بمب‌های منطقی(Logic Bombs)
در حالیکه بمب نرم افزاری برای تخریب سریع و غیر انتخابی استفاده میشود یک بمب منطقی با برقرار شدن یک شرط خاص اجرا می شود.
بمب‌های ساعتی(Time Bombs)
بجای فعال نمودن یک بمب نرم افزاری یا از طریق شرایط وضعیت سیستم، یک بمب ساعتی از زمان یا شروط تکراری استفاده می کند.
تکرارکننده ها(Replicators)
هدف یک تکرارکننده بکارگیری منابع سیستم است. تکرارکننده اینکار را با شبیه سازی خود انجام می دهد. هر یک از کپی های شبیه سازی شده بوسیله نسل قبل خود ایجاد می شوند. تکرار کننده ها سیستم را فلج می کنند. بدلیل اینکه این نوع نرم افزار مخرب خود را شبیه سازی می کند، یافتن آن از طریق ابزار ویروس یاب آسان می باشد.
 
کرم ها(worms)
کرم یکی از اولین نرم افزارهای مخرب شناخته شده است که شبکه های کامپیوتر ار مورد حمل قرار داد. کرم از یک کامپوتر به کامپیوتر دیگری حرکت می کند و معمولاً صدمه جدی وارد نمی کند کرم ها جهت حرکت در شبکه خود را تکرار می کنند و هر گونه نشانی از حضور خود را حذف می کنند. بدلیل اینکه کرم ها خاص یک وضعیت طراحی می شود، یافتن آنها مشکل است مگر اینکه کرم شناخته شده باشد.
ویروسها(viruses)
ویروس رایجترین و پویا ترین نوع نرم افزار مخرب می باشد. یک ویروس جهت افزودن کد مخرب قابل اجرا سایر برنامه ها را تغییر می دهد. ویروسها تاریخ، ساعت، اندازه فایل، خصایص فایل را تغییر نمی دهند. در نتیجه شناسایی و حذف ویروسها بسیار مشکل است.
انواع ویروس‌ها
    ویروس‌های Boot-Sector
    ویروس‌های File Infection
    ویروس‌های Polymorphic,Encrypted,Mutating,Stealth
    ویروس‌های Macro
    ویروس‌های Java و Activex
نرم افزارهای ویروس‌‌یاب
نرم افزارهای ویروس‌یاب امروزی بیش از یک برنامه خدماتی ساده مبتنی بر خط فرمان می باشند. نرم افزارهای ویروس یاب مدرن در واقع ترکیبی از ابزارهای مرتبط با یکدیگر می باشند که هر ابزار هدف خاصی را بر روی سیستم سرویس‌دهی می کند. ا
انواع آن عبارتند از:
    Symantec System Center
    Norton Anti Virus Corporate Edition
    Live Update Administratoration Utility
    Central Quarantine
    Imorter Tool
    ACL Fix Tool
 
جستجوی ویروس(scannig)
البته بهترین نرم افزار ویروس یاب کار مفیدی انجام نخواهد داد مگر اینکه برای یافتن ویروسها و حفاظت از شبکه پیکربندی شده باشد. ابرزارهای ویروس یاب مدرن امکان اجرای چندین نوع جستجو را در حالتهای معمولی و طبق نیاز فراهم می سازند.
    Viruse Sweeps  – این ویژگی امکان بازرسی تمامی درایوهای بر روی سرورها و سرویس گیرنده های متعلق به شیء انتخاب شده را فارهم می سازد – معمولاً یک گروه از سیستم های بر روی شبکه که تعریف نموده اید !! این ویژگی نتایج جستجو را در رابطه با محدوه های بزرگ شبکه فراهم می سازد.
    Manual Scans – جهت بازرسی پوشه ها و درایوهای انتخاب شده بر روی کامپیوترهای انتخاب شده از این ویژگی استفاده کنید. جستجوهای بطور دستی نتایج سریع یک جستجو بر روی محدوده های بزرگ شبکه یا یک درایو دیسک سخت محلی را فراهم می سازند و خصوصاً برای تست کامپیوترهای شخصی خاص و بدون ایجاد مزاحمت برای مابقی شبکه مفید می‌باشد.
    Schduled Scans – این ویژگی امکان بازرسی پوشه های انتخاب شده بر رنوی کامپیوترهای انتخاب شده را در زمانبندیهای ازقبل مشخص شده فراهم می کند این نوع جستجو برای محدوده های بزرگ شبکه ایده آل است زیرا می توانید جستجوها را در خلال ساعات تعطیلی یا ساعاتی که ترافیک شبکه پایین است انجام دهید.
    Realtime Scans – این جستجوها فایل ها را همزمان با خواندن از یا نوشتن به یک سرور یا سرویس گیرنده بصورت بلادرنگ وارسی می کنند. نرم افزار Norton AntiVirus امکان پیکربندی جستجوی محلی پست الکترونیکی برای کامپیوترهای سرویس گیرنده ۳۲ بیتی را نیز فراهم می‌سازد.
    می توانید با تنظیم جستجوهای دستی، برنامه ریزی شده و بلادرنگ برای پوشه ها و فایلها از طریق Anti Virus Corporate  Edition Client دو نوع دیگر از جستجوها را نیز انتخاب کنید.
    Custom Scans – جستجو بطور دستی را بعداً اجرا می کند.
    Startup Scans – زمانیکه کامپیوتر سرویس گیرنده شروع می شود، یک جستجو را بطور خودکار اجرا می کند.
درک جستجوهای سرور
جستجوهای معمولی سرور خصوصاًمهم می باشند زیرا آلودگی ها بطر سریع می توانند به سرویس گیرنده ها توسعه یابند و یک شبکه را فلج سازند. می توانید یک یا چند سرویس گیرنده Norton AntiVirus Corporate Edition را جستجو یا پیکربندی کنید. تعداد سرورهایی را که می توانید جستجو یا پیکربندی نمایید به شیء انتخاب شده بستگی دارد:
    تمامی سرورهای شبکه
    تمامی سرورها در گروههای سرور انتخاب شده
    تمامی سرورها در یک گروه سرور
    تعدادی از سرورها در یک گروه سرور
    یک سرور واحد
درک جستجوهای سرویس گیرنده
جهت جستجو یا پیکربندی یک یا چند کامپیوترهای سرویس گیرنده
AntiVirus Corporate Edition از نرم افزار مدیریت و ویروس یاب استفاده کنید. درجه پیکربندی به شیء انتخاب شده بستگی دارد:
    تمامی سرویس گیرنده‌های شبکه
    تمامی سرویس گیرنده‌ها در گروههای سرور انتخاب شده
    تمامی سرویس گیرنده‌ها در یک گروه سرور
    تمامی سرویس گیرنده های متصل به یک سرور واحد
    سرویس گیرنده‌های ۳۲ بیت انتخاب شده بر روی سرور مشابه
    یک سرویس گیرنده ۳۲ بیت واحد
    سرویس گیرنده‌های ۱۶ بیت
نصب ویروس یاب
نرم افزارهای ویروس یاب مانند AntiVirus Internet Security باید بر روی هر یک از کامپیوترهای شخصی نصب شوند. برای کاربران شبکه، ابزارهای ویروس یاب باید بر روی سرورها و سرویس گیرنده ها نصب شوند. پس از اینکه این نرم افزار نصب شد، این نرم افزار ویروس یاب باید بصورت دوره ای بروز رسانیده شود تا ویروسهای جدید و تعاریف و جدیدترین تکنیکهای حذف ویروس را داشته باشد.
نصب بر روی:
    نصب بر روی کامپیوترهای شخصی
    نصب بر روی شبکه
 
حذف آلودگی
زمانیکه نرم افزار ویروس یاب را نصب می کنید، برنامه تنظیم این نرم افزار عملیات ویروس یابی را جهت تست حافظه و boot sectors دیسک سخت انجام می دهد تا بتواند با اطمینان و بدن ایجاد آلودگی فایلهای خود را بر روی کامپیوترتان کپی کند. اگر این برنامه هیچگونه آلودگی را شناسایی نکند، عملیات نصب را ادامه می دهد و پس از راه اندازی سیستم بصورت کامل سیستم را جستجو می کند.
 

فصل هجدهــــــم

جلوگیـــــری از آلودگــــــــــــــی توســـــط ویروس
 

جلوگیری از آلودگی توسط ویروس
برای محافظت شبکه در برابر ویروس ها باید تدابیری اتخاذ کنید که هم روش کار کاربران و هم پیکربندی کامپیوترها را تحت ضوابطی در بیاورند. همه کاربران باید در مقابل فلاپی دیسک ها و بخصوص فایل های ضمیمه نامه های الکترونیکی محتاطانه عمل کنند. یکی از متداولترین روش هایی که ویروس ها در حال حاضر برای انتشار خود بکار می برند اینست که باعث می شوند کامپیوتر آلوده به ویروس، یک نامه الکترونیکی که دارای ضمیمه ای آلوده می باشد را به همه کاربران موجود در دفترچه آدرس کاربر بفرستد. چون گیرنده ها،فرستنده را می شناسند و به او مطمئن هستند نامه را باز و ضمیمه آنرا اجرا می کنند و به اینصورت کامپیوتر آنها هم آلوده می شود و همین کار هم در کامپیوتر آنها دنبال می شود.
محصولات نرم افزاری ضد ویروس کامپیوترها را در برابر ویروسها و برنامه هی مخرب دیگری که از طریق فلاپی دیسک ها، فایل های دریافت شده از اینترنت و ضمیمه نامه های الکترونیک منتشر می شوند، محافظت می کنند. یک برنامه ضد ویروس نمونه مجهز به روتینی می باشد که زمان روشن شده کامپیوتر، MBR و هر فایلی که مورد دسترسی کامپیوتر قرار می گیرد را چک می کند. برنامه های ضد ویروس کامل تر ضمیمه های نامه های الکترونیکی و فایل هایی که از اینترنت گرفته می شود را بعنوان یک واسطه دریافت می کنند وبعد از بررسی به برنامه کاربردی مربوطه می فرستند.
روش کار برنامه های ضد ویروس به اینصورت است که در فایل ها بدنبال امضای بخصوصی که برای هر ویروس منحصر بفرد می باشد می گردند. این برنامه ها برای شناسایی ویروس ها در خود دارای یک پایگاه اطلاعاتی حاوی اطلاعاتی مربوط به ویروس های قابل شناسایی می باشند.
جلوگیری از ویروسهای ماکرو
ویروسهای ماکرو را می توان از طریق اکثر ابزارهای ویروس یاب موجود امروزی شناسایی نمود، اما شاید بتوانید ریسک آلودگی از طریق ویروسهای ماکرو،را با استفاده از نکات زیر کاهش دهید:
    فایل NORMAL.DOT  را به یک فایل فقط خواندنی تغییر دهید. انجام اینکار فایل NORMAL.DOT  را در برابر آلودگی ایمن می‌سازد.
    از work 7.09 یا جدیدتر شرکت مایکروسافت استفاده می نمایید. این ویرایشها با باز نمودن فایلهای مورد نظر که حاوی ماکروها یا اطلاعات سفارشی سازی می باشند، یک کادر Alter بنمایش می‌گذراند. شاید بتوانید قبل از عملیاتی شدن ماکروهای ناشناخته آنها ار غیر فعال سازید.
حذف یک ویروس ماکرو
جهت حذف ویروس ماکرو از یک فایل و بازیافت متن فایل، عملیات زیر را انجام دهید:
۱ – File Or Folders ,Find,Start را انتخاب کنید. کادر مکالمه find ظاهر می شود.
۲- NORMAL.DOT را تایپ کنید و find now را کلیک نمایید.
۳- پس از اینکه فایل پیدا شد نام فایل را با کلید راست ماوس کلیک کنید و از منوی میانبر، ورودی Rename را کلیک نمایید.
۴- فایل را به NORMAL.DOT تغییر نام دهید و کلید Enter را فشار دهید.
۵- کادر مکالمه Find را ببندید.
۶- word مایکروسافت را شروع کنید انجام اینکار الگوی NORMAL.DOT را مجدداً ایجاد می کند.
۷- File  ،open را انتخاب کنید.
۸- پوشه ای را که حاوی فایل آلوده است پیدا کنید و آنرا انتخاب نمایید.
۹- کلید SHIFT را نگهدارید و Open را کلیک کنید تا فایل آلوده در word مایکروسافت باز شود.
۱۰- Tools،Macro،Macros را انتخاب کنید.
۱۱- در کادر لیست Macros In ، ورودی All active templates and document  را برگزینید.
۱۲- ماکروی آلوده را انتخاب کنید و delete را کلیک نمایید. Yes را جهت تأیید کلیک نمایید.
۱۳- مرحل قبل را برای تمامی ماکروهای آلوده تکرار نمایید.
۱۴- close را کلیک نمایید.
۱۵- Edit،Select All را برگزینید.
۱۶- جهت غیر فعال نمودن آخرین علامت پاراگراف در فایل، SHIFT – LEFT ARROW را فشار دهید.
۱۷- Edit،copy را برگزینید.
۱۸- File،NEW را انتخاب نمایید الگوی مورد نظر را برگزینید و OK را کلیک نمایید.
۱۹- Edit،paste را انتخاب نمایید.
۲۰- جهت وارسی اینکه ماکروهای آلوده مجدداً تکرار نشده اند، مراحل ۱۰ تا ۱۴ را بازبینی کنید.
۲۱- فایل را ذخیره سازید.
۲۲- این مراحل را برای فایلهایی که احتمالاً یک ویروس ماکرو دارند تکرار نمایید.