پيوند به بيروني
اولين گام در امنيت اطلاعات[ويرايش]
عبارتهاي «امنيت شبکه» و «امنيت اطلاعات» اغلب به جاي يگديگر مورد استفاده قرار مي گيرند. امنيت شبکه به طور کلي براي فراهم کردن امکان حفاظت از مرزهاي يک سازمان در برابر نفوذگران (مانند هکرها) به کار مي رود. با اين حال، امنيت اطلاعات به صراحت بر روي محافظت از منابع اطلاعاتي در برابر حمله ويروسها يا اشتباهات ساده توسط افراد درون سازمان متمرکز شده است و براي اين منظور از تکنيکهاي جلوگيري از از دست رفتن دادهها (DLP) بهره مي برد. يکي از اين تکنيک ها، تقسيم بندي شبکههاي بزرگ توسط مرزهاي داخلي است.
مفاهيم امنيت شبکه[ويرايش]
امنيت شبکه از تصديق هويّت کاربر و معمولاً توسط يک نام کاربري و يک رمز عبور آغاز مي شود. از آنجايي که اين موضوع تنها نيازمند به يک چيز در کنار نام کاربري ( يعني رمز عبور) است، لذا گاهي اوقات تحت عنوان «احراز هويت تک عامله» ناميده مي شود. با «احراز هويت دو عامله» برخي از چيزهايي که شما داريد، نيز استفاده مي شود (به عنوان مثال يک توکن امنيتي يا قفل سخت افزاري، يک کارت ATM و يا تلفن همراه شما)، و يا با «احراز هويت سه عامله» بعضي از چيزهايي که معرف شماست نيز استفاده مي شود (مانند اثر انگشت).
پس از تصديق هويت، ديوارآتشين(فايروال) اجراي سياستهاي دسترسي را اعمال مي کند؛ از قبيل اينکه چه خدماتي مجاز هستند که در دسترس کاربران شبکه قرار بگيرند. اگر چه براي جلوگيري از دسترسي غير مجاز، اين اجزا ممکن است براي بررسي اجزاي مضر بالقوه، مانند کرمهاي کامپيوتري يا تروجان هايي که از طريق شبکه منتقل مي شوند، شکست بخورند. نرم افزارهاي آنتي ويروس و يا سيستمهاي پيشگيري از نفوذ (IPS) کمک شاياني به شناسايي و مهار عملکرد چنين نرم افزارهاي مخربي مي کند. يک سيستم تشخيص نفوذ مبتني بر آنومالي نيز ممکن است بر شبکه و ترافيک موجود در آن از حيث محتوا يا رفتار ناخواسته و مشکوک و يا ساير ناهنجاريها نظارت داشته باشد تا از منابع محافظت کند؛ به عنوان مثال از حمله ممانعت از سرويس دهي و يا دسترسي به فايلهاي کارمندي در زمانهاي غير متعارف. حوادث منحصر به فردي هم که در شبکه رخ مي دهد ممکن است به منظور بازبيني و تجزيه و تحليل سطح بالاتر در آينده، ثبت گردد.
ارتباط بين دو ميزبان که از يک شبکه استفاده مي کنند، مي تواند به منظور حفظ حريم خصوصي رمزنگاري شود.
کندوهاي عسل (Honeypots) که اساساً منابع فريبنده قابل دسترس در شبکه هستند، مي توانند به منظور نظارت و ابزارهاي هشدار زود هنگام در شبکه مستقر شوند تا نشان دهند که چه وقت يک کندوي عسل به طور معمول قابل دستيابي نمي باشد. تکنيک هايي که مهاجمان در تلاش براي دستيابي به اين منابع فريبنده به کار مي بندند، در طول حمله و پس از آن مورد مطالعه قرار مي گيرند تا نگاهي بر تکنيکهاي بهره برداري جديد وجود داشته باشد. چنين تجزيه و تحليل هايي مي تواند به منظور تأمين امنيت بيشتر يک شبکه واقعي توسط روش کندوي عسل، مورد استفاده قرار خواهد گرفت /
مديريت امنيت[ويرايش]
مديريت امنيت براي شبکه ها، براي انواع شرايط مختلف، متفاوت است. يک خانه کوچک يا يک دفتر تنها به يک امنيت ابتدايي نياز دارد؛ در حالي که کسب و کارهاي بزرگ نيازمند محافظت در سطح بالا و داشتن نرم افزارها و سخت افزارهاي پيشرفته براي جلوگيري از حملات بدخواهانه اي چون هک کردن و ارسال ايميلهاي ناشناس هستند.
براي منازل کوچک[ويرايش]
از يک ديوار آتش يا يک سيستم مديريت تهديد يکپارچه ابتدايي استفاده کنيد.
براي کاربران ويندوز، نرم افزار آنتي ويروس ابتدايي مناسب است. يک برنامه ضد جاسوسي نيز ايده خوبي مي باشد. تعداد بسياري از انواع ديگر آنتي ويروسها يا برنامههاي ضد جاسوسي نيز وجود دارد که مي تواند مد نظر قرار بگيرد.
هنگام استفاده از اتصال بي سيم، از يک رمز عبور قوي استفاده کنيد. همچنين سعي کنيد، از بالاترين امنيتي که توسط دستگاههاي بي سيم شما پشتيباني مي شود، استفاده کنيد؛ مانند WPA2 با رمزنگاري AES .
اگر از اتصال بي سيم استفاده مي کنيد، نام شبکه پيش فرض در SSID را تغيير دهيد. همچنين امکان انتشار در SSID را غير فعال کنيد. زيرا اين قابليتها براي استفاده در منزل غيرضروري است. اگر چه بسياري از کارشناسان امنيتي اين موضوع را نسبتاً بي فايده در نظر مي گيرند.
فيلترسازي آدرس MAC را فعال کنيد تا اينکه تمام اتصالهاي دستگاههاي MAC موجود در شبکه خانگي به مسيرياب شما ثبت گردد.
به همه دستگاههاي موجود در شبکه IP ثابت اختصاص دهيد.
امکان تشخيص اتصال ICMP در مسيرياب را غير فعال کنيد.
فهرست ثبت وقايع مسيرياب يا ديوار آتش را مورد بازبيني قرار دهيد تا بتوانيد اتصالها و ترافيکهاي غير عادي روي اينترنت را تشخيص بدهيد.
براي همه حسابهاي کاربري، رمز عبور تعيين کنيد.
براي هر يک از اعضاي خانواده حساب کاربري جداگانه اي در نظر بگيريد و براي فعاليتهاي روزانه از حسابهاي کاربري غير مديريتي استفاده نماييد. حساب کاربري مهمان را غير فعال کنيد. (کنترل پنل > ابزارهاي مديريتي > مديريت کامپيوتر > کاربران)
ميزان آگاهي کودکان در مورد امنيت اطلاعات را بالا ببريد.
براي کسب و کارهاي متوسط[ويرايش]
از يک ديوار آتش يا يک سيستم مديريت تهديد يکپارچه نسبتاً قوي استفاده کنيد.
از نرم افزارهاي آنتي ويروس قوي و نرم افزارهاي امنيت اينترنت استفاده کنيد.
براي احراز هويت، از رمزهاي عبور قوي استفاده کرده و هر دو هفته يکبار يا ماهانه آنها را تغيير دهيد.
هنگام استفاده از اتصال بي سيم، از يک رمز عبور قوي استفاده نمايد.
ميزان آگاهي کارکنان در خصوص امنيت فيزيکي را بالا ببريد.
از يک تحليل گر شبکه و يا کنترل کننده شبکه با قابليت انتخاب استفاده کنيد.
وجود يک مدير روشن فکر نيز ضروري است.
براي کسب و کارهاي بزرگ[ويرايش]
از يک ديوار آتش و پروکسي قوي استفاده کنيد تا افراد ناخواسته را دور نگه داريد.
از يک بسته حاوي نرم افزارهاي آنتي ويروس قوي و نرم افزارهاي امنيت اينترنت استفاده کنيد.
براي احراز هويت، از رمزهاي عبور قوي استفاده کرده و به طور هفتگي يا هر دو هفته يکبار آنها را تغيير دهيد.
هنگام استفاده از اتصال بي سيم، از يک رمز عبور قوي استفاده نمايد.
اقدامات احتياطي در خصوص امنيت فيزيکي را به کارمندان تمرين دهيد.
يک تحليل گر شبکه يا کنترل کننده شبکه فراهم کرده تا در صورت نياز از آن استفاده نماييد.
مديريت امنيت فيزيکي، مانند تلويزيون مدار بسته براي مبادي ورودي و مناطق محدود شده را پياده سازي نماييد.
حصار امنيتي را براي علامت گذاري محيط شرکت به کار ببنديد.
وجود کپسول آتش نشاني براي فضاهاي حساس به آتش، مانند اتاق سرور و اتاقهاي امنيتي لازم است.
حفاظهاي امنيتي مي تواند به بيشينه کردن امنيت کمک کند.
براي دانشکده[ويرايش]
از يک ديوار آتش و پروکسي قابل تنظيم استفاده کنيد تا امکان دسترسي از داخل و خارج را براي افراد مجاز فراهم سازيد.
از يک بسته حاوي نرم افزارهاي آنتي ويروس قوي و نرم افزارهاي امنيت اينترنت استفاده کنيد.
از اتصالات بي سيم مجهز به ديوار آتش بهره بگيريد.
قانون حمايت از کودکان در برابر اينترنت را رعايت نماييد.
نظارت بر شبکه به منظور تضمين به روز رساني و تغييرات بر اساس استفاده از سايتهاي محبوب، عملي مؤثر است.
نظارت مداوم توسط معلمان، کتابداران و مديران به منظور تضمين حفاظت در برابر حملات از سوي هم منابع اينترنتي و هم منابع شبکه اي لازم است.
براي دولت بزرگ[ويرايش]
از يک ديوار آتش و پروکسي قوي استفاده کنيد تا افراد ناخواسته را دور نگه داريد.
از يک بسته حاوي نرم افزارهاي آنتي ويروس قوي و نرم افزارهاي امنيت اينترنت استفاده کنيد.
رمزنگاري قوي را به کار ببنديد.
فهرست bvcfgbcvbnvbcساير موارد را مسدود مي کند.
همه سخت افزارهاي شبکه در محلهاي امني وجود دارند.
همه ميزبانها مي بايست در يک شبکه خصوصي باشند تا از زاويه بيروني، نامرئي به نظر آيند.
از خارج و از داخل، nvnbvدر يک DMZ يا يک ديوار آتش قرار دهيد.
حصار امنيتي را براي علامت گذاري محيط و تخصيص محدودههاي بي سيم به آنها، به کار ببنديد.
انواع و منابع تهديدهاي شبکه:[ويرايش]
در حال حاضر ما آنقدر اطلاعات در زمينه شبکه گذاري داريم که مي توانيم وارد جنبه هاي امنيتي آن شويم. اول از همه ما وارد انواع تهديدهايي که شبکه با آنها مواجه است مي شويم و آنگاه برخي از کارهايي که مي توان براي حفاظت از خود در مقابل آنها انجام دهيم ،توضيح مي دهيم.
Denial-of-Service[ويرايش]
احتمالاً حملات DoS خطرناکترين تهديدها است. آنها بدين دليل خطرناکترين هستند که به آساني مي توانند اجرا شوند ، به سختي رهگيري مي شوند (برخي مواقع غيرممکن است) ، و سرپيچي از درخواست حمله کننده آسان نيست حتي اگر اين درخواست غير قانوني باشد.
منطق يک حمله DoS ساده است . درخواستهاي زيادي به ماشين ارسال مي شود که از اداره ماشين خارج است. ابزارهاي در دسترسي در محافل زير زميني وجود دارد که که اين کار را به صورت يک برنامه در مي آورند و به آن مي گويند در چه ميزباني درخواستها را منتشر کنند.
برخي کارهايي که مي توان براي کاهش خطر مواجه شدن با يک حمله DoS ( رد درخواست) انجام داد عبارتند از:
عدم اجراي خدمات قابل مشاهده به صورت جهاني در نزديکي ظرفيت اجرايي
استفاده از فيلترينگ بسته براي جلوگيري از بسته هاي جعل شده در ورودي به فضاي آدرس شبکه شما .
مشخصاً بسته هاي جعلي شامل آنهايي هستند که ادعا مي کنند از طرف ميزبان شما آمده اند ،بر اساس RFC1918 براي شبکه هاي خصوصي و شبکه loopback آدرس دهي شده اند.
موارد مربوط به امنيت سيستمهاي عامل ميزبان خود را به روز کنيد.
دسترسي غير مجاز:[ويرايش]
دسترسي غير مجاز يک واژه سطح بالا است که مي تواند به انواع مختلف حملات مرتبط باشد. هدف از اين نوع حملات دسترسي به برخي منابع است که ماشين شما نبايستي آنرا در اختيار حمله کنندگان قرار دهد
تخريب اطلاعات:[ويرايش]
برخي از مهاجمها به آساني با افرادي همکاري مي کنند که دوست دارند همه چيز را از بين ببرند. در چنين حالتي ،تاثير روي توان محاسباتي شما و در نتيجه شرکت شما ، ميتواند چيزي کمتر از يک حريق يا بلاياي ديگري باشد که باعث مي شود تجهيزات محاسباتي شما بطور کامل تخريب شوند
اجراي فرامين غير قانوني[ويرايش]
مشخص است که يک فرد ناشناس و غير مطمئن نبايستي بتواند فرامين را روي ماشينهاي سرور شما اجرا کند. دو طبقه بندي عمده امنيتي براي اين مشکل وجود دارد: دسترسي کاربر معمولي و دسترسي مديريت .يک کاربر معمولي مي تواند تعدادي از موارد سيستم را اجرا نمايد ( همانند خواندن فايلها ، ارسال ايميل به ساير افراد و غيره) که افراد مهاجم قادر به اجراي آنها نيستند . [?]
انواع فايروالها:[ويرايش]
سه نوع عمده فايروال وجود دارد که ما آنها را مورد بررسي قرار ميدهيم:
مسير کاربردي:[ويرايش]
اولين فايروال ، مسير کاربردي هستند که بعنوان پراکسي مسيري شناخته مي شوند.آنها از باستين هاستهايي ساخته شده اند که براي عمل کردن به صورت پراکسي سرور يک نرم افزار خاص را اجرا مي کند. اين نرم افزار در لايه کاربردي دوست قديمي ما مدل مرجع ISO/OSI اجرا مي شود. کلاينتهاي پشت سر فايروال بايستي proxitized (به اين معنا که بايستي دانست که چگونه از پراکسي استفاده کرد و آنها را پيکربندي نمود)شوند تا از خدمات اينترنتي استفاده کرد.معمولاً اينها داراي ويژگي امنيتي هستند ، زيرا آنها به همه چيز اجازه عبور بدون اشکال را نمي دهند و نياز به برنامه هايي دارند که براي عبور از ترافيک نوشته و اجرا شده اند.
فيلتر کردن بسته[ويرايش]
فيلتر کردن بسته تکنيکي است که بواسطه آن روتورها داراي ACL هاي (ليستهاي کنترل دسترسي) فعال مي شوند. به طور پيش فرض ،يک روتور تمامي ترافيک به سمت خود را عبور مي دهد و همه نوع کار را بدون هيچ محدوديتي انجام مي دهد .استفاده از ACLها روشي براي اعمال سياست امنيتي شما با توجه به نوع دسترسي که مي خواهيد جهان خارج به شبکه داخلي شما داشته باشد و غيره ، مي باشد.
استفاده از فيلتر کردن بسته بجاي مدخل کاربردي داراي هزينه اضافي است زيرا ويژگي کنترل دسترسي در لايه پايينتر ISO/OSI اجرا مي شود. (عموماً لايه انتقال يا لايه session). با توجه به سربار کمتر و اين واقعيت که فيلترينگ بوسيله روتورهايي انجام ميشوند که به صورت کامپيوترهاي خاص براي اجراي موارد مرتبط با شبکه بندي ،بهينه شده اند ،يک مسير فيلترينگ بسته اغلب بسيار سريعتر از لايه کاربردي آن است.
سيستمهاي ترکيبي (Hybrid systems):[ويرايش]
در يک تلاش براي هماهنگ کردن مسيرهاي لايه کاربردي با انعطاف پذيري و سرعت فيلترينگ بسته ، برخي از فروشندگان سيستمهايي را ايجاد کردند که از هر دو اصل استفاده مي کنند.در چنين سيستمهايي ،اتصالات جديد بايد در لايه کاربردي تاييد وبه تصويب برسند. زماني که اين اتفاق افتاد ،بقيه اتصال به لايه session فرستاده مي شود، که در آن براي فيلترهاي بسته اتصال را کنترل مي کنند تا مطمئن شوند که تنها بسته هايي که بخشي از يک محاوره در حال پيشرفت ( که همچنين مجاز و مورد تاييد هستند) عبور ميکنند.
ساير احتمالات شامل استفاده از هر دو پراکسي فيلترينگ بسته و لايه کاربردي است. مزيتهاي اين حالت شامل ،ارائه معياري براي محافظت از ماشينهاي شما در مقابل خدماتي که به اينترنت ارائه ميکند (همانند يک سرور عمومي وب ) و همچنين ارائه امنيت يک مسير لايه کاربردي به شبکه داخلي است
[تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ] [تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ] [تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ]
[تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ] [تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ] [تنها کاربران عضو میتوانند لینک هارا مشاده کنند. ]
علاقه مندی ها (Bookmarks)