امنيت در اينترنت

آیا تا به حال در مورد امنیت کامپیوتر  خود، وقتی Online هستید فکر کردید؟ آیا تاکنون به اهمیت اطلاعاتتان و خطر دسترسی دیگران به این اطلاعات توجه کرده اید ؟ آیا با مفاهیم امنیتی کامپیوتر آشنا هستید؟ آیا راه های مقابله با عوامل خارجی و مخرب را می دانید؟ در این نوشتار سعی شده است تا با مفاهیم اصلی و پایه ای امنیت در شبکه و اینترنت آشنا شوید همچنین منابع مختلف جهت بالابردن ایمنی کامپیوترتان معرفی شده است. برای رسیدن به این مهم مفاهیم پایه زیر مدنظر هستند
۱٫       فایروال (Firewall)
۲٫       ویروس کشها (Anti Virus)
۳٫       گروه های خبری (News Group)
۴٫       Chat Room
۵٫       نرم افزارهای Adware
۶٫       Home Page Hijackers
۷٫       Scum Ware
۸٫       Pop Ups
۹٫       Spam Service Messanger
۱۰٫   Windows Updates
لیست فوق دربرگیرنده مفاهیم پایه ای در امنیت اینترنت می باشد که در این نوشتار هریک به تفکیک مورد بحث قرار خواهد گرفت.
Firewall
فایروال سخت افزار یا نرم افزاری جهت محافظت کامپیوتر در برابر حملات افراد ناشناس می باشد. نوع سخت افزاری آن نظیر Pix Firewall  بیشتر در ادارات و سازمانهای بزرگ مورد استفاده می باشد و در کامپیوترهای شخصی و مصارف محدود غالبا از انواع نرم افزاری آن استفاده می شود.
وقتی به اینترنت وصل هستید فایروال کلیه ترافیک اطلاعات رد و بدل شده را کنترل می نماید و در این راستا تابع قوانینی است که اهم آنها در زیر آمده است
الف- از ترافیک شدید ناشی از یک آدرس مشخص جلوگیری می نماید
ب- جلوگیری از نوع خاص پروتکلها نظیر Telnet  و FTP که به کاربران دیگر اجازه دسترسی به کامپیوترتان را می دهد .
ج- از ترافیکهای مشکوک جلوگیری می نماید.
د- از کاوش کاربران ناشناس روی کامپیوتر جلوگیری می نماید.
و- فایلهای خاصی که سبب کاهش ایمنی می شود Block می شوند
وقتی به اینترنت وصل هستید کامپیوترتان آدرس خاصی و منحصر به فردی بنام IP بخود می گیرد. توسط این آدرس کاربران دیگر در نقاط مختلف قادر خواهند بود توسط روشهایی به کامپیوترتان دسترسی یافته و آن را کاوش نمایند.
 
معرفی فایروال
شما می توانید از نسخه آزمایشی مجانی Trustix Personal Firewall برروی کامپیوترتان و Trustix Enterprise Firwall در شبکه سازمان یا شرکتتان استفاده نمایید. برای دسترسی به این فایروالها به آدرسهای زیر مراجعه نمایید.
http://www.personalfirewall.trustix.com/index.html
http://firewall.trustix.com/small
فایروال Windows XP
شرکت مایکروسافت نسخه ضعیف و محدود شده ای را در سیستم عامل خود قرارداده است که افراد متخصص در زمینه IT را به نوعی متحیر ساخته است. این فایروال بسیار محدود عمل کرده و تنها ایجاد ترافیک یک طرفه می نماید که البته در Service Pack 2 شرکت مایکروسافت سعی در اصلاح آن شده است.
نتیجه آنکه اگر نیاز به محافظت سیستم کامپیوتری خود از حمله اشخاص ناشناس دارید فایروال نصب کنید.
ویروس کشها :
ویروس چیست ؟ آیا با ویروس آشنا هستید؟
کامپیوتر شما نمی تواند بدون وجود ویروس کشها در امان باشد و به فعالیت معمولی خود بدون هیچگونه مشکلی ادامه دهد. ویروس در واقع برنامه نرم افزاری کوچکی است که ممکن است به برنامه های دیگر بچسبد و یا بطور مستقل به فعالیت مخرب خود بپردازد. ویروسها قادر هستند بدون وابستگی به ماهیت کاربر خود تکثیر شده و نسخه های متعدد شبیه خود را بوجود آورد. تکثیر مداوم و سرایت آن به کامپیوترهای دیگر علاوه بر به هدر رفتن منابع سخت افزاری سبب مختل شدن نرم افزارهای مختلف می شود و یا ممکن است صدمات جبران ناپذیری به کامپیوتر و BIOS سیستم بزند. ویروسها از لحاظ دسته بندی کلی به Virus و Trojan و Worm تقسیم می شوند.
برای محافظت کامپیوتر نیاز به نصب ویروس کش مناسب و بروزرسانی لیست ویروسهای آن است . نرم افزار ضد ویروس Trustix ویروس کشی جدید و قدرتمند می باشد که توسط شرکت Trustix به بازاز عرضه شده است. برای تهیه نسخه مجانی آن به آدرس http://antivirus.trustix.com مراجعه کنید.
گروه خبری  News Group
گروه خبری ، محلی برای گفتگو کاربران مختلف در مورد مطالب متنوع می باشد که معمولا این مطالب در قالب نوشتار است. کاربران مختلف این مطالب را خوانده به آنها جواب می دهند. یکی دیگر از امکانات این گروه ها امکان به اشتراک گذاری اطلاعات مختلف نظیر مقاله ، فیلم ، عکس و موسیقی است . در سالهای اخیر شاهد بوجود آمدن روزنامه های الکترونیکی در قالب این گروه های خبری هستیم.گروه های خبری می تواند  مفید و سرگرم کننده و یا گاهی مخرب است. گروههای خبری زیادی در مورد موضوعات مختلف وجود دارند نظیر گروههای کامپیوتری ، فیلم و . . .
متاسفانه در سالهای اخیر گروههای غیر اخلاقی و غیر قانونی بوجود آمده اند که لزوم پرهیز از آنها بخصوص برای نوجوانان امری جدی است. باندهای بزهکاری خاصی روی اینترنت وجود دارند که با ترویج افکار خاص اهداف خود را دنبال می کنند لذا هر آنچه در این گروه های خبری است نباید باور کرد. مدارس معمولا این گروههای خبری را محدود می سازند .

Chat Room
امروزه کمتر جوانی با مفهوم چت در اینترنت آشنا نیست. در واقع چت راهی برای ارتباط مردم در اقصی نقاط عالم می باشد. آیا با مضرات چت آشنا هستید؟ آیا به راستی با چه کسی گفتگو می کنید؟ آیا طرف مقابلتان را می شناید؟ فریب جوانان و نوجوانان از طریق چت امری است که از جانب گروه های بزهکاری صورت می گیرد.
 Adware
Adware ها راهی برای تبلیغ محصولات روی اینترنت می باشد و هدف آن   فروش بیشتر و درنتیجه کسب سود بیشتر است. سایتها و ابزارهای مختلفی هستند که با آنها پیشنهاد آگهی های Banner می شود . شما نیاز به پرداخت پول جهت دیدن این نوع تبلیغات ندارید بلکه آنها بطور خودکار و ناخواسته روی کامپیوتر شما باز شده و موجب آزار شما می شوند . حتی دیده شده باز شدن بعضی از این پنجره ها سبب محاوره کوتاه Banner با کاربر شده و نرم افزارهای خاصی روی سیستم شما بطور ناخواسته نصب می شود که ممکن است سبب سوء استفاده از منابع کامپیوترتان توسط کاربران ناشناس شود. برای مقابله با این برنامه ها استفاده از Trustix Personal Firewall توصیه می شود.
Home Page Hijackers
Hijackerها نرم افزارهایی هستند که بطور ناخواسته روی کامپیوتر نصب می شوند و به محض نصب یکی از این نرم افزارهای مزاحم Home Page کامپیوتر شما تغییر کرده و سایت خاصی جایگزین آن می شود. در واقع Hijacker ها منشا فایل خود را در Startup Folder یا Registry Run Key قرار می دهند و به محض روشن شدن کامپیوتر و بالا آمدن سیستم عامل اجرا خواهند شد. این روند ، روندی نا خواسته و مخرب است که حتی در صورت تمایل کاربر به برگرداندن Home Page ، Hijacker دوباره آن را به حالت اول در می آورد. لذا نیاز به کشف محل نرم افزار Hijacker و حذف آن از سیستم است.
 Scum Ware
نرم افزارهایی هستند که ممکن است بطور انتخابی و یا ناخواسته روی سیستم کامپیوتر نصب شوند. این نرم افزارها کاربر را قادر می سازد تا منابع خود را روی اینترنت به اشتراک گذارد و یا از منابع به اشتراک گذاشته دیگران استفاده نماید. نرم افزار Kazaa یکی از نرم افزارهایی است که توسط کاربر روی سیستم نصب می شود و امکان به اشتراک گذاری را فراهم می آورد.تنها با مراجعه به سایت Download.com متوجه شدم این نرم افزار هفت میلیون بار Download شده و مورد استفاده قرارگرفته است. نسخه های ناخواسته Scum ware ها روی سیستم نصب می شوند که لینکهای تبلیغاتی و گاها غیر تبلیغاتی سایتهای مختلف را بدون در نظر گرفتن تمایل کاربر به کامپیوترتان مرتبط می سازد.
Pop Ups
وقتی Website ای را باز می کنید پنجره های کوچکی خودکار باز می شوند که حاوی مطالب تبلیغاتی در هر زمینه ای هستند.نمی توان گفت اینکار ریسک جدی در امنیت کامپیوتر است اما بسیار آزاردهند می باشد. تکنیک جدید برای استفاده از پنجره Pop Ups قراردادن این پنجره هادر پایین صفحه website  می باشد. آیا تا به حال با بستن پنجره ای بازشدن پنجره ناخواسته دیگری را تجربه کرده اید؟ نرم افزارهای مختلفی برای مقابله با Pop Upها بوجود آمده اند که به Anti pop ups  معروفند.بهترین روشی که برای مقابله وجود دارد نصب Google Toolbar می باشد که علاوه بر امکان جستجو روی اینترنت از باز شدن این گونه پنجره ها جلوگیری می نماید.
http://toolbar.google.com
Messanger Service Spam
زمانیکه شرکت مایکروسافت ویندوز NT خود را به بازار عرضه کرد سرویس خاصی را در قلب سیستم عامل قرارداد که این سرویس در ویندوز ۲۰۰۰ و ویندوز XP هم قرارگرفت. کسی واقعا دلیل فعال شدن این سرویس را در سیستم عامل ویندوز نمی داندو تنها این سرویس Spammerها را قادر می سازد وقتی به اینترنت وصل هستید تبلیغات مزاحمت ساز  را برایتان ارسال نمایند. آیا از اینکه کامپیوتر شما سرویسی برای استفاده دیگران دارد ناراحت نیستید؟ با نصب Service Pack2 در ویندوزXP قادر به از کارانداختن این سرویس خواهید شد.
Windows Update
وقتی ویندوز جدیدی نصب می کنید این ویندوز بروزرسانی نشده است. لذا نیاز به Update آن دارید. سرویسی در ویندوز وجود دارد که وقتی به اینترنت وصل هستید سیستم شمارا Scan کرده و به شما پیغام می دهد که آیا نیاز به نصب Update جدید هست؟ برای بروزرسانی ویندوز کامپیوتر خود به سایت مایکروسافت مراجعه نمایید.
راه های مصونیت از خطرات اینترنتی
آیا هرگز شده است با پلاکاردی که مشخصات شخصی شما، مثل نام، آدرس و شماره تلفن روی آن نوشته شده است در خیابان های شهر قدم بزنید.
با این حال بسیاری از مردم از روی سهل انگاری زمانی که در اینترنت هستند، این اطلاعات را در اختیار دیگران قرار می دهند.
اما اگر احتیاط نکنید ممکن است رایانه شما به ویروس آلوده شود، یا اطلاعات شخصی شما در اختیار خیلی ها قرار گیرد و جعبه پست الکترونیکی شما از آگهی های ناخواسته تبلیغاتی پر شود.
اما برای مصون ماندن از این خطرات و مشکلات، راه های ساده ای پیش رو دارید.
یکی از ساده ترین راه های پرهیز از مشکلات، خودداری در استفاده از نرم افزارهای مرورگر شرکت “مایکروسافت” است.
حساب های جداگانه پست الکترونیکی می تواند به خصوصی ماندن فعالیت های شما کمک کند
برنامه های مایکروسافت به این دلیل هدف سوء استفاده قرار می گیرد که عمومیت دارند. اکثریت قریب به اتفاق ویروس های رایانه ای و تخلفات، نقاط آسیب پذیر مرورگرهای مایکروسافت را هدف می گیرند و اگر استفاده از آن را کنار بگذارید از بسیاری از آنها پرهیز کرده اید.
در صورتی که روی رایانه خود سیستم عامل مکینتاش یا “لینکس” را نصب کنید، حداکثر محکم کاری را به خرج داده اید.
اما همین که برای خواندن ای میل ها، گردش در اینترنت یا اداره یک “وب سرور” (web server) از برنامه های مایکروسافت استفاده نکنید گام بزرگی برداشته اید.
جایگزین های زیادی هست که می توان به جای برنامه “اینترنت اکسپلورر” (Internet Explorer)، “اوت لوک” (Outlook) و “آی آی اس” ( Internet Information Server) به کار برد که به همان خوبی کار می کند.
بسیاری از این برنامه ها رایگان و از طریق اینترنت قابل دسترسی است.
اگر نمی توانید یا نمی خواهید برنامه های مایکروسافت را کنار بگذارید، حداقل اطمینان حاصل کنید که آخرین پیوست های امنیتی “اینترنت اکسپلورر”، “اوت لوک” و “آی آی اس” را نصب می کنید.
همچنین حتما باید نرم افزار ضد ویروس روی رایانه داشته باشید و آن را مرتبا روزآمد کنید.
همچنین اگر از ارتباط “باند پهن” (اینترنت با سرعت بالا) استفاده می کنید باید حتما برنامه های معروف به “فایر وال” (دیوار دفاعی) را نصب کنید که رایگان هستند.
اگر نگران فراموش کردن کلمات رمز یا نگران فاش شدن آنها هستید، بهتر است برای نگهداری آنها از برنامه ای به نام صندوق ایمنی کلمات رمز استفاده کنید.
این برنامه، کلمات رمز را در نقطه ای از رایانه نگهداری می کند و خود به وسیله یک کلمه رمز محافظت می شود.
استفاده از پست الکترونیکی نیز با خطرات زیادی همراه است. اصل بنیادی در استفاده از پست الکترونیکی این است که نسبت به هر پیام غیرمنتظره مشکوک باشید.
روی پیام هایی که از غریبه ها دریافت می کنید و دارای پیوست است کلیک نکنید و بلافاصله آن را پاک کنید. بسیاری از موفق ترین ویروس ها در داخل فایل های پیوست پنهان می شوند.
همچنین مفید است برای خصوصی ماندن فعالیت های خود، برای کارهای مختلف از آدرس مختلف پست الکترونیکی استفاده کنید.
رمز عبور خود را در مکان امنی قرار دهید
مثلا برای تبادل پیام با افراد نزدیک به خود از یک آدرس استفاده کنید و برای استفاده از سیستم پیام های فوری ( instant messaging) آدرس دیگری را به کار گیرید.
اگر در جعبه پست الکترونیکی خود آگهی های ناخواسته دریافت می کنید، می توانید آدرس پست الکترونیکی خود را عوض کنید.
مهم ترین چیزی که باید به هنگام مرور اینترنت به خاطر داشته باشید این است که نباید اطلاعات شخصی خود را مگر در صورت لزوم واگذار کنید.
تقضا برای دریافت اطلاعات شخصی از سوی بانک ها و واگذرکنندگان کارت های اعتباری منطقی است، اما بسیاری از سایت ها هستند که این اطلاعات را طلب می کنند، اما در ازای آن خدمات ارزشمندی ارائه نمی کنند.
سایت هایی وجود دارد که به شما می گوید مرورگری که شما از آن استفاده می کنید چه اطلاعاتی از شما را در اختیار دیگران می گذارد. همین سایت ها ابزاری برای پیشگیری از نشت اطلاعات شخصی شما عرضه می کنند.
یکی از مفیدترین ابزارها، برنامه هایی است که به شما اجازه می دهد “کوکی”های (Cookies  ) خود را مشاهده و اداره کنید. کوکی، فایلی است که وب سایت ها روی رایانه شما نصب می کنند تا در دفعات بعدی شما را شناسایی کنند.

اکثر کوکی ها ابزار مفیدی هستند و به اینترنت سرعت می بخشند اما برخی نیز برای نظارت بر عادات اینترنتی شما طراحی شده اند.
همچنین برای خریدهای خود از طریق اینترنت، یک کارت اعتباری که منابع آن محدود است باز کنید تا در صورتی که شماره آن در اختیار دیگران قرار گرفت، سرقت از حد کمی تجاوز نکند.
نکاتی راجع به انتخاب رمز عبور
منزل مسکونی شما درب و پنجره هایی دارد که اغلب هنگام شب و یا در مواقعی که به مسافرت می روید آنها را بسته و در شرایطی قفل هایی هم به آنها اضافه می کنید. یقینا” از یک کلید برای قفل همه دربها استفاده نمی کنید و هرگز کلید ها را در اختیار افراد نا آشنا نخواهید گذاشت. همچنین کلیدها زیر فرش یا کنار باغچه حیاط مخفی نمی کنید. پس چرا با رمز عبور خود (Password) اینگونه رفتار میکنید؟
برای دسترسی به سرویسهای مختلف کامپیوتر و شبکه معمولآ برای شما رمزهای عبور مختلفی در نظر گرفته می شود و شما باید همانند کلید دربهای منزل از آنها محافظت کنید. برای یک لحظه به کلید وردی منزل دقت کنید، بدون شک از بقیه کلید ها پیچیده تر و گرانتر است، بنابراین باید هنگام انتخاب رمز ورودی کامپیوتر خود موارد ایمنی را بیشتر رعایت کنید.
معمولآ شما می توانید password ورودی کامپیوتر خود را به هر اندازه که می خواهید پیچیده انتخاب کنید، اما دقت داشته باشید که باید بتوانید همواره به روشی آنرا بخاطر بیاورید. این روش نباید همانند گذاشتن کلید درب وردی منزل زیر فرش جلوی درب یا کنار باغچه به گونه ای باشد که سارق به سادگی بتواند آنرا پیدا کند.
سارقان اینترنتی همانند سارقان منزل حرفه ای هستند بخصوص اگر با شما آشنایی داشته باشند. آنها با استفاده از تجاربی که دارند بسادگی گزینه هایی که می تواند ورود آنها به کامپیوتر شما را ممکن سازد حدس می زنند، بخصوص اگر با خصوصیات اخلاقی و زندگی شما آشنا باشند. حتی امروزه روشهایی مانند جابجایی حرف O با عدد صفر یا حرف S یا $ و … برای همه سارقان شناخته شده و جزء اولین انتخابهای آنها است.
فرض کنید یک رمز عبور انتخاب می کنید و آن شامل ۶ حرف، ۴ عدد و ۴ علامت است که همگی بصورت اتفاقی (random) انتخاب شده اند. آیا بنظر شما این رمز می تواند برای شما مفید باشد؟ به احتمال زیاد نه چرا که در اینصورت خود شما مجبور خواهید بود برای به خاطر آوردن، آنرا جایی یادداشت کنید و این خطرناک ترین کارها است.
اگر مواردی که در زیر به آنها اشاره می شود را رعایت کنید می توانید تقریبآ مطمئن باشید که password کامپیوتر شما به این راحتی ها توسط یک سارق قابل حدث زدن نخواهد بود :
۱- رمز باید به اندازه کافی قوی باشد. در اینجا قوی بودن به معنای طولانی بودن رمز می باشد. هیچ اشکالی ندارد که حتی بیش از ۱۴ حرف هم باشد. انتخاب یک جمله نه بصورتی که معمولآ آنرا می نویسیم می تواند گزینه مناسبی باشد.
۲- رمز باید یگانه باشد. گزینه هایی مانند ۱۲۳ یا test یا letmein یا mydog و .. گزینه هایی آشنا برای همگان است، هرگز از آنها استفاده نکنید. برای گرفتن ایده به سراغ مواردی بروید که به فکر هیچ کس نمی رسد، مثلآ نوع خاصی از یک مارماهی که در دریاهای سرد زندگی می کند. راجع به این مارماهی مطالعه کنید و پس از شناخت آن در ارتباط با آن یک رمز انتخاب کنید و راجع به آن با هیچکس صحبت نکنید.
۳- رمز باید کاربردی باشد. کاربردی به این معنای که بخاطر سپردن آن ممکن و ساده باشد. این اتفاق بارها رخ داده که کاربر رمز را به گونه ای انتخاب می کند که بعدها توانایی به یاد آوردن آنرا ندارد لذا مجبور می شود آنرا جایی یادداشت کند.
۴- رمز باید طول عمر کوتاه داشته باشد. بازه زمانی تعویض رمز کاملآ به نوع کاربری کامپیوتر و موقعیت شغلی شما دارد. اگر مسئولیت مهمی دارید و اطلاعات قیمتی در کامپیوتر خود نگه داری میکنید ترجیح بر آن است که در فاصله های کوتاه – مثلآ یک هفته – رمز خود را عوض کنید اگر نه حداقل هر یکی دو ماه رمز عبور خود را باید تغییر دهید.
چهار تکنیک حیاتی برای ارتقای امنیت شبکه‌های مبتنی بر IP
آیا می‌دانید چه چیزهایی به شبکه شما متصل است؟
آیا از آن‌چه که درون دستگاه‌های متصل به شبکه شما وجود دارد آگاه هستید؟
آیا فناوری‌های امنیتی که شما به کار می‌گیرید، می‌توانند مسایلی فراتر از حمله افراد و کامپیوترهای دیگر را درک کنند؟
اگر شما صد در صد توانایی پاسخ به این سوالات را ندارید، باید بدانید که  شبکه‌ی شما در خطر است.
پیش‌بینی شده است که شبکه‌های سازمان‌ها در پنج سال آینده رشد نمایی داشته باشند. البته قسمت کمی از این رشد به دلیل اضافه شدن افراد جدید به شبکه خواهد بود. بیشتر رشد شبکه‌ها به خاطر نیاز به شبکه‌های مبتنی بر IP به دلیل توانایی‌های بالای آن است.   
برای استفاده‌ از بیشتر فناوری‌های نوین، از تلفن‌های  IPدار گرفته  تا سیستم‌های دارایی بهره‌گیرنده از فناوری شناسایی فرکانس رادیویی، امکانات نامحدودی وجود دارد، ولی تطبیق دادن مدل امنیتی سازمان‌ها با فناوری کار بسیار مشکلی است.
برای رفع خطرات و تهدیدات امنیتی شبکه چهار تکنیک و روش وجود دارد.
تکنیک اول (کنترل دست‌رسی):
 اولین روش، اعمال کنترل دست‌رسی بروی دستگاه های IP دار است. ممکن است  یک کامپیوتر ویندوزی بتواند از فناوری کنترل دست‌رسی مانند ۸۰۲٫۱X برای شناسایی شدن به منظور دست‌رسی به شبکه استفاده کند، ولی این کار برای یک دستگاه فتوکپی و یا یک دوربین امکان‌پذیر نیست. این موضوع به معنای صرف‌نظر کردن از کنترل دست‌رسی این دستگاه‌ها نیست؛ بلکه موجب استفاده از روش‌های جدید و متفاوت در کنترل دست‌رسی آن‌ها می‌شود.
تکنیک دوم (پیشگیری و محافظت):
بسیاری از شرکت‌ها شروع به عرضه ابزارهایی برای پیش‌گیری از آلودگی و محافظت کامپیوترهای ویندوزی کرده‌اند. آن‌ها به طور معمول در ایستگاه‌های کاری برنامه‌هایی، هم‌چون ضد ویروس‌ها، قرار می‌دهند که مشکلات آن‌ها و وضعیت‌شان را برای کنترل  به سرور مربوط به آن‌ها اطلاع می‌دهند.
اگرچه این روش برای کنترل یک کامپیوتر بسیار مناسب است، بیشتر اوقات یافتن دستگاه IP داری که بتواند این برنامه‌های کنترلی را پشتیبانی کند خیلی مشکل است. تا وقتی که میزان خطر دست‌رسی به این ماشین‌ها تعیین نشده است، باید آن‌ها را به صورت غیر مستقیم در شبکه به کار ببریم.
برای نمونه  ابزار شناسایی آسیب‌پذیری وجود دارند که بر روی دستگاه‌‌های سوییچ و access point ها نصب می‌شوند تا در صورت مشاهده‌ی عوامل و تنظیمات غیر عادی (پورت‌های باز، سیگنال‌های غیرعادی و …) شبکه بتواند این خطرات را مهار کنند.
تکنیک سوم (رفع مشکل توسط عامل کمکی):
سومین روش مورد نیاز، توانایی ارایه‌ی عامل کمکی (agent) برای رفع مشکل سیستم‌های آلوده و غیرعادی پس از جدایی آن‌ها از شبکه است.
مشکل کامپیوترها می‌تواند به صورت دستی از طریق دیسکت‌های فلاپی و سی‌دی رام‌ها  رفع شود. هم‌چنین دستگاه های IP دار فقط از طریق رابط‌های شبکه قابلیت به روز رسانی دارند.
این موضوع باعث می‌شود، قرنطینه‌ی یک سیستم، بی‌اثر باشد. شما نمی‌توانید هنگام به وجود آمدن مشکلات به راحتی سیستم مربوط را از شبکه جدا کنید!!! راه حل این مشکل آن است این موضوع در سطوح بالاتری کنترل شود. یعنی دستگاه‌های سوییچ و access point ها باید بتوانند به جز دست‌رسی‌های مدیریتی شبکه برای کنترل دستگاه، جلوی مابقی فعل و انفعالات آن دستگاه را بگیرند.
نوعی از فرآیند قرنطینه که در بیشتر دستگاه‌ها در شبکه‌های سطح بالا استفاده می‌شود مدل  vlan است که به صورت عمومی استفاده می‌شود.

تکنیک چهارم (ارایه‌ی پاسخ‌های پویا به مشکلات):
برای پشتیبانی یک شبکه‌ی امن، توانایی ارایه‌ی پاسخ‌های پویا به مشکلات و اتفاقات ضروری است.
اگرچه کنترل دست‌رسی و رفع عیب و محافظت، به شبکه امکان می‌دهد سیستم‌ها را کنترل کند، این احتمال وجود دارد که یک سیستم مجاز پس از اتصال به سیستم معیوب به خطر بیفتد. هم‌چنین درارتباطات شبکه‌ای باید از توانایی‌ شناسایی دوباره با موضع‌گیری‌های سریع  استفاده شود.
برای مثال اگر سرور رادیولوژی در یک بیمارستان، به هنگام کار آلوده به ویروس شود، اغلب اولین ردیابی برای پیدا کردن این مشکل به وسیله‌ی سیستم ردیابی نفوذ (IDS) در شبکه انجام می‌شود.
این سیستم‌ها آدرس IP  مبدا حمله را می‌دانند و حملات را شناسایی می‌کنند، اما برای مقابله با حملات امکانات اجرایی محدودی دارند.
با وجود زیرساخت شبکه‌ای که بتواند تهدیدات و واسط‌های متخلف سیستم‌ها را شناسایی کند، تغییر خط‌مشی امنیت محلی، می‌تواند باعث از بین رفتن قرنطینه‌ی سیستم‌های آلوده شود.
در حال حاضر پیوند بین شناسایی، موضع‌گیری و جواب‌گویی فقط در محصولات پیشرفته‌ی امنیت‌دار شبکه‌ای یافت می‌شود، ولی این قضیه برای شبکه‌های در حال رشدی که به صورت دستی باید پشتیبانی شوند بسیار بحرانی خواهد بود.
این چهار تکنیک، کنترل دست‌رسی، پیش‌گیری و محافظت، رفع عیب و پاسخ‌گویی پویا به مشکلات، برای جلوگیری از تهدیدات کامپیوترهای ویندوزی به کار برده می‌شوند. با توسعه‌ی دستگاه‌های IP دار در تمامی زمینه‌ها  این چهار تکنیک  در ارایه‌ی یک شبکه‌ی امن و محکم، حیاتی هستند.  
در آینده، هدف اصلی گسترش توانایی‌ها در جهت حفاظت مناسب از تشکیلات در برابر تهدیدات و خطرات ممکن است تا در صورت اتصال هر چیزی به شبکه از خطرات در امان باشیم.
 
پنج استراتژی برای بهبود امنیت دسترسی از راه دور
 
خطر دسترسی از راه دور به شبکه را جدی بگیرید.
مدیریت دسترسی از راه دور به اطلاعات نیاز به تخصص و تجربه زیاد دارد، کاربری که قصد ارتباط از راه دور با یک شبکه را دارد ممکن است خود به اینترنت متصل باشد و به هیچ وجه مشخص نیست که از طریق کامپیوتر او چه کسانی بخواهند بدون اجازه وارد شبکه مورد نظر وی شوند. مسئله ورود ویروس ها و کرم های اینترنتی نیز مشکل دیگری است که باید به آن توجه شود. در اینجا به پنج نکته بسیار مهم برای دسترسی از راه دور به یک شبکه اشاره خواهیم داشت، که لازم است مدیران برای اجرای آنها برنامه ریزی لازم را انجام دهند.
۱ – سیاست اجرایی کنترل نرم افزار داشته باشید.
باید برای کاربرانی که قصد دسترسی به اطلاعات شبکه از راه دور را دارند، سیاست های دقیقی برای داشتن نرم افزارهای خاص در کامپیوترشان تعریف کنید. بعنوان مثال ممکن است از کاربران بخواهید نرم افزارهای آنتی ویروس (antivirus) یا ضد جاسوسی (anti-spyware) خاصی را به روش مشخص در کامپیوتر خود نصب کرده باشند. بهترین راه آن است که هنگامی که قرار است به کارمند یا کاربر خود دسترسی لازم را بدهید، آموزشهای لازم را به همراه یک جزوه به او ارائه کنید. باید مطمئن شوید که کاربر اصول و قوانین ارتباط با شبکه شما را رعایت می کند.
۲ – امنیت دروازه ارتباطی در شبکه را جدی بگیرید.
از یکی از شرکت هایی که ارائه دهنده راهکارهای امنیتی هستند بخواهید که دروزاه ورود کاربران از راه دور به شبکه شرکت را بدقت تحلیل کنند و جوانب امنیتی لازم را در آن اعمال کنند. حتی ممکن است آنها پیشنهاد دهند که کاربران همگی از طریق کانالهای VPN به شبکه متصل شوند که در اینصورت باید این کار انجام شود.
۳ – در سطح شرکت قوانین امنیتی را توسعه داده ، لازم الاجرا کنید.
این قوانین باید توسط همه استفاده کنندگان از شبکه شرکت حتی آنها که در داخل شرکت هستند اجرا شود. بعنوان مثال اعمالی مانند File Sharing در یک دایرکتوری می تواند جزو خطرناکترین فعالیت ها از دید امنیتی باشد که باید محدود شود.
۴ – امکان ثبت عملکردها (Logging) و گزارش گیری را باید داشته باشید.
کلیه اطلاعات (منظور log ها است) بخصوص مربوط به دسترسی از خارج به داخل شبکه و در صورت امکان عملکردهای داخلی باید ثبت شود. یک مدیر هشیار شبکه، هر روز با گزارشهایی که از شبکه می گیرد رفتار آنرا بررسی می کند و در صورتی که مورد غیر عادی در آن ببینید کنجکاو شده و به بررسی دقیق مسئله می پردازد.
بطور مرتب امنیت شبکه خود را باید مرور کنید.
هر یک یا دو ماه در میان باید با مشاهده گزارشهای تهیه شده از عملکرد قبلی سیستم، سیاست های شبکه را بطور جدی مرور کنید و آنها را بهبود کیفی ببخشید.
کلیــــــاتی درباره امنیت شبکه

وقتی از امنیت شبکه صحبت می کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می آید، قضیه تا حدودی پیچیده می شود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
 وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که ” حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در  پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب ” انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید (که البته این حسی طبیعی است ).
  پس اگر شما نیز چنین احساسی دارید و می خواهید یک استراتژی علمی – کاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبکه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است که هیچکدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبکه کنید، محصول وحشتناکی از کار در می آید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه می خواهید و چه نمی خواهید، کار را شروع می‌شود. حال باید پنج مرحله رو پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارت اند از :

۱- Inspection ( بازرسی )
۲- Protection ( حفاظت )
۳- Detection ( ردیابی )
۴- Reaction ( واکنش )
۵- Reflection ( بازتاب)
در طول مسیر ایمن سازی شبکه از این پنج مرحله عبور می کنیم، ضمن آن که این مسیر، احتیاج به یک  تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه را طی کند.
۱- اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است.
مهمترین قسمت هایی که باید authentication را ایمن و محکم کرد عبارتند از :
– کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
– کلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاکید بیشتری می شود، زیرا از آنجا که این ابزار  (device) به صورت plug and play کار می کند، اکثر مدیرهای شبکه از config کردن آن غافل می شوند. در حالی توجه به این مهم  می تواند امنیت شبکه را ارتقا دهد. لذا  به مدیران امنیتی توصیه میشود که حتما سوییچ و روتر ها رو کنترل کنند ).
– کلمات عبور مربوط به SNMP.
– کلمات عبور مربوط به پرینت سرور.
– کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاس‌های امنیت شبکه در مورد Account and Password Security یاد گرفتید این جا به کار می رود.

۲- گام دوم نصب و به روز رسانی  آنتی ویروس ها روی همه کامپیوتر ها، سرورها و میل سرورها است. ضمن اینکه آنتی ویروس های مربوط به کاربران باید به صورت خودکار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به  کاربران داده شود.
۳ – گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ ها، روتر ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.
۴-در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایل ها و دایرکتوری ها است. ضمن اینکه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.
 گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.
۵- حالا نوبت device ها است که معمولا شامل روتر، سوییچ و فایروال می شود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.
۶- قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.
۷- امنیت فیزیکی. در این خصوص  اول از همه باید به سراغ UPS ها رفت. باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی می شود در این مرحله به کار می رود.
۸- امنیت وب سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.
(توجه:هیچ گاه  اسکریپت های سمت سرویس دهنده را فراموش نکنید )
۹ – حالا نوبت بررسی، تنظیم و آزمایش  سیستم های Auditing و Logging هست. این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد. سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود. در ضمن ساعت و تاریخ سیستم ها درست باشد چرا که در غیر این صورت کلیه اقداما قبلی از بین رفته و امکان پیگیری های قانونی در صورت لزوم نیز دیگر  وجود نخواهد داشت.
۱۰- ایمن کردن Remote Access با پروتکل و تکنولوژی های ایمن و Secure گام بعدی محسوب می شود. در این زمینه با توجه به شرایط و امکانات، ایمن ترین پروتکل و تکنولوژی ها را باید به خدمت گرفت.
۱۱ – نصب فایروال های شخصی در سطح host ها، لایه امنیتی مضاعفی به شبکه شما میدهد. پس این مرحله را نباید فراموش کرد.
۱۲ – شرایط بازیابی در حالت های اضطراری را حتما چک و بهینه کنید. این حالت ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی ( زلزله – آتش سوزی – ضربه خوردن – سرقت – سیل) و خرابکاری ناشی از نفوذ هکرها، است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
به خاطر داشته باشید که ” همیشه در دسترس بودن اطلاعات “، جز، قوانین اصلی امنیتی هست.
۱۳- و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.