بخش چهلم
آموزش رایگان سکیوریتی پلاس؛ نکات مهمی که باید در ارتباط با تجهیزات شبکه بدانید
سوئیچ‌های شبکه امنیت محیط شبکه را به میزان قابل توجهی بهبود می‌بخشند. اول از همه، سوئیچ شبکه برای فیلتر کردن ترافیک و ارسال داده‌ها به پورت مقصد سوئیچ طراحی شده است. این مسئله باعث می‌شود تا نظارت بر ارتباطات شبکه کمکی سخت‌تر شود. با این‌حال، سوییچ‌های یکسری قابلیت‌های کاربردی برای محافظت از شبکه در اختیار سرپرستان قرار می‌دهند.

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

به‌عنوان یک کارشناس امنیت باید اطلاعات اولیه‌ای به شرح زیر در ارتباط با سوییچ‌ها داشته باشید.

■  ‌سوییچ‌های لایه ۲ در مقابل لایه ۳: یک سوئیچ می‌تواند سوئیچ لایه ۲ یا سوئیچ لایه ۳ باشد. سوئیچ لایه 2 هیچ عملکرد مسیریابی ندارد. به‌طوری که برای ارسال ترافیک فقط به مک آدرس مقصد موجود در سرآیند  لایه-2 که فریم نام دارد نگاه می‌کند. رویکرد فوق به عنوان فیلترینگ کنترل دسترسی رسانه (MAC) نیز شناخته می‌شود. سوئیچ لایه 3 بر مبنای آدرس‌های آی‌پی فرآیند مسیریابی را انجام می‌دهد، بنابراین یک سطح بالاتر از سوییچ‌های لایه 2 است.

■   امنیت پورت: می‌توانید با استفاده از قابلیت فوق کنترل کنید کدام سیستم‌ها می‌توانند به پورت‌های سوئیچ متصل شوند. با ویژگی امنیت پورت این توانایی را دارید تا به یک سیستم اجازه دهید بر مبنای مک‌آدرسی که دارد با یک پورت ارتباط برقرار کند.

■   ‌مکانیزم‌های محافظت در برابر حلقه‌ها: حلقه‌ها می‌توانند باعث خرابی شبکه شوند، بنابراین بسیار مهم است که روش‌هایی برای جلوگیری از بروز مشکل حلقه‌ها در شبکه داشته باشید. روترها از مقدار (TTL) سرنان Time-To-Live یک بسته برای تعیین زمان حذف یک بسته از شبکه استفاده می‌کنند. سوئیچ‌ها با اجرای پروتکل‌های پیشگیری از بروز حلقه مانند پروتکل درخت پوشا (STP) از بروز حلقه‌ها در لایه 2 جلوگیری می‌کنند. هنگامی که سوئیچ‌ها را به یکدیگر متصل می‌کنید که منجر به پدید آمدن یک حلقه در شبکه می‌شود، STP به صورت پویا یکی از پورت‌های درگیر در حلقه را انتخاب می‌کند و آن‌را در حالت مسدود کننده تا پهنای باند شبکه بیهوده مصرف نشود.

■   Flood guards flood guard: معمولاً یک ویژگی در دیوار آتش یا مسیریاب است که به شما امکان می‌دهد ترافیک مخرب مانند حملات سیل‌آسایی که  به شبکه ارسال می‌شود را کنترل و مسدود کنید. یک مثال رایج از ترافیک سیل‌آسا، حمله سیل SYN است که در آن هکر تعدادی پیام SYN را به پورت‌های شبکه شما ارسال می‌کند. اگر ویژگی امنیتی مرتبط فعال باشد، این ترافیک را شناسایی می‌کند، از ورود ترافیک به شبکه جلوگیری می‌کند و مانع پیاده‌سازی موفقیت‌آمیز حمله انکار سرویس (DoS) می‌شود.

■   پیشگیری از طوفان پخشی با یک سوئیچ: می‌توانید از VLAN برای ایجاد سگمنت‌های مختلف شبکه که به عنوان دامنه‌های پخشی نیز شناخته می‌شوند، استفاده کنید. با انجام این‌کار، اثرات طوفان پخشی را محدود می‌کنید، زیرا پیام‌های پخشی در VLAN نگهداری می‌شوند.

■   سوئیچ‌های محافظ واحد داده پروتکل پل (BPDU) سرنام Bridge Protocol Data Unit : از پروتکلی به‌نام پروتکل درخت پوشا برای جلوگیری از حلقه‌ها در شبکه استفاده می‌کنند. آن‌ها فرآیند فوق را با ارسال فریم‌های BPDU در شبکه هر 2 ثانیه یکبار انجام می‌دهند تا هر حلقه‌ای که ممکن است وجود داشته باشد را کشف کنند. یک هکر متصل به شبکه می‌تواند با انتشار فریم‌های BPDU خود، یک حمله مرد میانی انجام دهد. برای مقابله با این موضوع، می‌توانید محافظ BPDU را روی پورت‌ها فعال کنید تا اگر سوئیچ پیام BPDU را ببیند، پورت را در حالت «خطای غیرفعال» قرار دهد. این ویژگی باید در تمام پورت‌هایی که ایستگاه های کاربر به آن‌ها متصل می‌شوند فعال باشد.

■   snooping DHCP: می‌توانید ویژگی فوق را روی سوئیچ فعال کنید و به سوییچ اجازه دهید سرورهای DHCP غیرمجاز را که بدون مجوز به شبکه شما متصل شده‌اند شناسایی کند.

برگردان آدرس شبکه (Network Address Translation)

ترجمه آدرس شبکه یا NAT یک فناوری شبکه است که برای سال‌ها استفاده می‌شود و به شما امکان می‌دهد از یک محدوده آدرس خصوصی در داخل شبکه استفاده کنید که سپس به یک آدرس عمومی استفاده شده در دروازه NAT ترجمه می‌شود. مزیت امنیتی این است که شما آدرس‌های IP داخلی مورد استفاده توسط سیستم‌هایی را که در حال گشت و گذار در اینترنت هستند پنهان می‌کنید، زیرا تمام ترافیک خروجی دارای آدرس IP منبع ترجمه شده به دروازه NAT هستند.

همان‌طور که گفته شد، شبکه داخلی معمولاً از آن‌چه به عنوان محدوده آدرس خصوصی شناخته می‌شود استفاده می‌کند که در اینترنت قابل استفاده نیست. این بدان معنی است که هر ترافیک خروجی باید آدرس IP مبدا در بسته را از آدرس IP خصوصی به آدرس عمومی و قابل مسیریابی توسط دستگاه NAT تبدیل کند. در زیر سه محدوده آدرس IP خصوصی مورد استفاده توسط شبکه داخلی آمده است:

■   10.0.0.0 to 10.255.255.255

■   172.16.0.0 to 172.31.255.255

■   192.168.0.0 to 192.168.255.255

دو نوع اصلی NAT وجود دارد که NAT overloading و Static NAT نام دارند. با استفاده از NAT overloading همه کلاینت‌های داخل شبکه با استفاده از یک آدرس عمومی که به رابط عمومی دستگاه NAT اختصاص داده شده است، به اینترنت دسترسی پیدا می‌کنند. دستگاه NAT نه تنها آدرس IP خصوصی را به یک آدرس IP عمومی ترجمه می‌کند، بلکه اطلاعات آدرس پورت را نیز ترجمه می‌کند. رویکرد فوق به عنوان ترجمه آدرس پورت (PAT) شناخته می‌شود. مکانیزم فوق برای این منظور استفاده می‌شود تا دستگاه NAT بتواند درخواست‌ کلاینت‌های مختلف را از طریق یک آدرس عمومی ردیابی کند، استفاده می شود.

Static NAT موقعی استفاده می‌شود که یک آدرس IP عمومی واحد در دستگاه NAT به یک آدرس خصوصی در داخل شبکه نگاشت می‌شود. رویکرد فوق معمولاً برای رسیدگی به درخواست‌های ورودی به سروری در DMZ که روی اینترنت قابل رویت است، مثل یک وب‌سایت یا سایت FTP استفاده می‌شود.

کنترل دسترسی به شبکه (Network Access Control)

کنترل دسترسی شبکه (NAC) یک فناوری جذاب است و به شما امکان می‌دهد بر اساس وضعیت سیستم اتصال، کنترل کنید که چه کسی به یک شبکه سیمی یا بی‌سیم دسترسی پیدا می‌کند. با کنترل دسترسی به شبکه، می‌توانید شرایطی را که یک سیستم برای دسترسی به شبکه باید رعایت کند، مشخص کنید. اگر این شرایط برآورده نشد، می‌توانید کاربر را به یک شبکه محدود هدایت کنید که از آن‌جا بتواند سیستم خود را اصلاح کند. هنگام اتصال به شبکه محدود، کلاینت به منابع شبکه دسترسی ندارد، زیرا ارتباط با شبکه شرکت خصوصی از شبکه محدود کنترل می‌شود. شکل زیر یک محیط کنترل دسترسی به شبکه را نشان می‌دهد.

پیشگیری از دست دادن داده‌ها (Data Loss Prevention)

امروزه سازمان‌ها به دنبال راه‌هایی برای پیاده‌سازی راه‌حل‌های پیشگیری از دست دادن داده‌ها (DLP) هستند که برای جلوگیری از نشت داده‌ها در خارج از سازمان طراحی شده‌اند. DLP شامل تعدادی کنترل امنیتی است تا اطمینان حاصل شود که داده‌ها به صورت عمدی یا تصادفی به خارج از سازمان انتقال پیدا نمی‌کنند. در زیر برخی از زمینه‌های کلیدی برای اجرای کنترل‌های امنیتی DLP آمده است:

■   مسدود کردن USB: می‌توانید استفاده از دستگاه‌های USB را در یک سیستم غیرفعال کنید تا کاربران نتوانند داده‌ها را در درایو USB کپی کنند و داده‌ها را به خارج از سازمان ببرند.

■   راه‌حل‌های مبتنی بر ابر: بسیاری از راه‌حل‌های مبتنی بر ابر، قابلیت ایجاد خط‌مشی‌های DLP را برای جلوگیری از اشتراک‌گذاری داده‌های حساس ارائه می‌دهند. به عنوان مثال، Office 365 قابلیت ایجاد قوانین DLP را برای انواع مختلف اطلاعات حساس مانند داده‌های مالی و اطلاعات سلامت ارائه می‌دهد.

■   ایمیل: می‌توانید از سیستم ایمیلی استفاده کنید که ویژگی‌های خط‌مشی DLP را دارد یا سرویسی را خریداری کنید یا مشترک شوید که عملکرد DLP را برای سیستم‌های ایمیل ارائه می‌کند.

Masking

Data Masking یک تکنیک رایج در برنامه‌ها برای محافظت از داده‌های حساس با جایگزینی داده‌ها با یک کاراکتر پوششی، مانند ستاره (*) است. یک مثال رایج در این زمنه عدم نمایش کامل شماره کارت‌های اعتباری یا رمزهای عبور است.

رمزگذاری (Encryption)

اگر با داده‌های حساس مانند داده‌های PII، اطلاعات سلامت یا داده‌های مالی کار می‌کنید، باید از رمزگذاری داده‌ها استفاده کنید تا افراد غیرمجاز نتوانند به این داده‌های حساس دسترسی پیدا کنند. در مقالات آتی در ارتباط با رمزنگاری اطلاعات، بیشتر سخن خواهیم گفت.

توکن‌سازی (Tokenization)

توکن‌سازی زمانی است که داده‌های حساس همراه با یک سرویس توکن استفاده می‌شود. سرویس توکن یک مقدار جایگزین برای داده‌های حساس ارائه می‌دهد که نامربوط است. سپس سرویس توکن نگاشت داده‌های حساس و مقدار نامرتبط را برای مراجعات بعدی ذخیره می‌کند تا در صورت نیاز بتوان آن‌ها را جستجو کرد.

مدیریت دسترسی‌ها

مدیریت دسترسی و مجوزها شامل اعمال کنترل‌های حفاظتی بر روی خود داده‌ها برای مدیریت انواع اقداماتی است که می‌توان روی داده‌ها انجام داد. به عنوان مثال، یک سیستم پست الکترونیکی ممکن است حفاظت از مدیریت دسترسی را بر روی یک پیام ایمیل قرار دهد که مانع از ارسال پیام توسط کاربر به شخص دیگری شود.

هش سازی (Hashing)

هش کردن روشی برای اطمینان از یکپارچگی داده‌ها است. می‌توانید داده‌ها را از طریق یک الگوریتم هش درهم بیاموزید تا افراد غیرمجاز موفق نشوند به آن‌ها دسترسی پیدا کنند.

حاکمیت داده‌ها (Data Sovereignty)

حاکمیت داده به این معنا است که داده‌ها توسط قوانین کشوری که داده‌ها در آن قرار دارند کنترل می‌شود. به‌طور مثال، اگر از سرویس‌های ابری کشوری استفاده می‌کنید، ممکن است قوانین کشور به صورتی تنظیم شده باشند که در صورت لزوم به نهادهای قانونی اجازه دهند به داده‌های شما دسترسی داشته باشند.

Mail Gateway

درگاه پست الکترونیکی دستگاه یا سروری است که در DMZ شما قرار می‌گیرد و وظیفه ارسال و دریافت ایمیل را بر عهده خواهد داشت. هنگامی‌که افراد از طریق اینترنت برای کارکنان سازمان شما ایمیل می‌فرستند، نامه به دروازه پستی در DMZ هدایت می‌شود. در این مرحله، دروازه ایمیل باید اسکن ویروس و بررسی فیلتر هرزنامه را بر روی پیام انجام دهد تا مطمئن شود پیام یک پیام معتبر و پاک از هرگونه ویروس است. هنگامی که پیام از بررسی ویروس و فیلتر هرزنامه عبور کرد، دروازه ایمیل پیام را به سرور ایمیل داخلی شما فوروارد می‌کند. به خاطر داشته باشید که معمولاً یک فایروال بین DMZ و شبکه داخلی وجود دارد، بنابراین باید قاعده‌ای را روی این فایروال پیکربندی کنید تا فقط ترافیک ایمیل از دروازه پست به سرور ایمیل داخلی مجاز باشد.

موارد زیر ویژگی‌هایی هستند که باید در دروازه‌های ایمیل اعمال کنید

■   فیلتر هرزنامه (Spam Filter): یک فیلتر هرزنامه باید به‌گونه‌ای پیکربندی شود تا بررسی شود که پیام یک پیام هرزنامه نباشد که صندوق پستی کاربران شما را آلوده کند.

■   پیشگیری از دست دادن داده (DLP) : می‌تواند در دروازه پستی پیاده‌سازی شود تا دروازه ایمیل بتواند اطمینان حاصل کند که ایمیل خروجی حاوی اطلاعات حساسی مانند سوابق مالی یا بهداشتی یا اسرار شرکت نیست.

■   رمزگذاری (Encryption): محصولاتیی مانند Cisco IronPort از رمزگذاری کاربر به کاربر با میزبانی ایمیل رمزگذاری شده بر روی دستگاه پشتیبانی می‌کند تا زمانی‌که کاربر راه دور ایمیل را مشاهده کند.

رمزگذاری ارتباطات شبکه (Network Communication Encryption)

بخش بزرگی از امنیت شبکه پیرامون رمزنگاری ارتباطات شبکه است. برای رمزگذاری ارتباطات شبکه می‌توان از فناوری‌های مختلف استفاده کرد. بهتر است به برخی از گزینه‌های موجود در این زمینه نگاهی داشته باشیم.

IPSec: امنیت آدرس آی‌پی که معمولاً IPSec نامیده می‌شود، پروتکلی است که بسته به نحوه پیکربندی، ویژگی‌های امنیتی مختلفی را ارائه می‌دهد. IPSec می‌تواند سه سرویس امنیتی مختلف زیر را ارائه دهد:

■  احراز هویت (Authentication): اطمینان می‌دهد که بسته IP از طرف شخصی درستی می‌‌آید که بسته به او تعلق دارد (منبع).

■  یکپارچگی (Integrity): اطمینان می‌دهد که بسته در حین انتقال تغییر نکرده است.

■   محرمانگی (Confidentiality):  تضمین می‌کند که داده‌های بسته با رمزگذاری بسته، مخفی نگه داشته می‌شوند.

آزمون سکیوریتی‌پلاس از شما انتظار دارد که پروتکل‌های مختلف درون IPSec که سه سرویس امنیتی زیر را ارائه می‌کنند، بشناسید:

■   ESP پروتکل Encapsulating Security Payload می‌تواند هر سه سرویس احراز هویت، یکپارچگی و محرمانگی را ارائه دهد.

■   AH پروتکل Authentication Header تنها خدمات احراز هویت و یکپارچگی را ارائه می‌کند. نمی‌توان از آن برای رمزگذاری بسته IP استفاده کرد.

■   IKE: پروتکل تبادل کلید اینترنت برای راه‌اندازی یک ارتباط امنیتی (SA) بین دو طرف را پیاده‌سازی می‌کند. SA یک کانال امن یک طرفه است، بنابراین اگر دو طرف بخواهند داده‌ها را برای یکدیگر ارسال کنند، معمولاً دو SA برای هر طرف ایجاد می‌شود. پروتکل IKE همچنین پروتکل مدیریت کلید برای IPSec است که به طرفین اجازه می‌دهد تا کلیدهای رمزگذاری را مبادله کنند.

IPSec را می‌توان برای اجرا در حالت انتقال یا حالت تونل پیکربندی کرد. حالت انتقال برای رمزگذاری میزبان به میزبان استفاده می‌شود، به این معنی که اگر دو سیستم بخواهند ارتباط بین خود را رمزگذاری کنند، در حالت انتقال اجرا می‌شود. اگر می‌خواهید ارتباطات همه سیستم‌ها را در یک شبکه با همه سیستم‌های موجود در شبکه دیگر رمزگذاری کنید، می‌توانید IPSec را برای حالت تونل پیکربندی کنید. مزیت حالت تونل این است که هر سیستم کلاینت یا میزبان نیازی به پیکربندی IPSec ندارد. شما به سادگی IPSec را روی دروازه‌های هر یک از شبکه‌ها پیکربندی می‌کنید.

رمزگذاری SSL/TLS

رمزگذاری لایه انتقال (TLS) جانشین رمزگذاری لایه سوکت‌های امن (SSL) است و در بسیاری از سناریوها مانند رمزگذاری ترافیک وب، ترافیک ایمیل یا ترافیک VoIP استفاده می‌شود. TLS با رمزگذاری ارتباط بین دو طرف با استفاده از یک کلید متقارن، محرمانگی را فراهم می‌کند و با اطمینان از عدم تغییر داده‌ها در حین انتقال، یکپارچگی داده را فراهم می‌کند. سرویس‌های احراز هویت را می‌توان با استفاده از رمزگذاری نامتقارن پیکربندی کرد.

بازرسی لایه سوکت‌های امن (SSL)/ امنیت لایه انتقال (TLS) یک بحث رایج در ارتباط با امنیت شبکه است، زیرا بازرسی SSL (یا بازرسی TLS) به متخصصان امنیتی اجازه می‌دهد تا ترافیک SSL/TLS را هنگام انتقال از فرستنده به گیرنده رهگیری و رمزگشایی کنند.

VPN برای برقراری ارتباط امن

فناوری VPN شما را قادر می‌سازد تا ارتباطات بین دو طرف را در یک شبکه نامعتبر مانند اینترنت رمزگذاری کنید. هنگام اجرای راه‌حل VPN خود، می‌توانید آن‌را برای دسترسی از راه دور پیکربندی کنید، جایی که کلاینت‌ها تونل رمزگذاری شده را با سرور VPN ایجاد می‌کنند. اگر نیاز به ایمن‌سازی تمام ارتباطات در سراسر اینترنت بین دو شبکه دارید، می‌توانید VPN سایت به سایت را پیکربندی کنید. با VPN سایت به سایت، تونل امن توسط یک دستگاه مرکزی در هر مکان مدیریتی ایجاد می‌شود. همه کلاینت‌ها در هر شبکه داده‌ها را از طریق تونل رمزگذاری شده مرکزی ارسال می‌کنند که مزیت عدم نیاز به پیکربندی نرم‌افزار VPN در هر سیستم کلاینت را به همراه دارد.

در ارتباط با VPN مباحث دیگری نیز وجود دارد که پیشنهاد می‌کنیم برای موفقیت در آزمون آن مباحث را حتما دنبال کنید. برای تکمیل بحث VPN، باید پروتکل‌هایی را که توسط راه‌حل‌های VPN استفاده می‌شوند، بررسی کنیم.

■    Internet Protocol Security (IPSec): پروتکلی است که می‌تواند برای رمزگذاری تمام ترافیک IP استفاده شود و می‌تواند برای رمزگذاری ترافیک VPN استفاده شود.

■   SSL/TLS : بسیاری از ارائه‌دهندگان راه‌حل‌های VPN ترافیک را با SSL/TLS رمزگذاری می‌کنند، دقیقاً مانند ترافیک وب که با گواهی‌های دیجیتال رمزگذاری می‌شود.

■    HTML5 VPN: مبتنی بر رمزگذاری SSL/TLS است و روشی را به ما می‌دهد تا از یک اتصال VPN بدون کلاینت از طریق مرورگر وب برای دسترسی از راه دور به یک سیستم در شبکه داخلی استفاده کنیم.

■   پروتکل تونل زنی لایه ۲ (L2TP) : پروتکل L2TP VPN از IPSec برای انجام رمزگذاری داده‌ها در تونل VPN استفاده می‌کند.

ملاحظات API

رابط برنامه نویسی کاربردی (API) کتابخانه‌ای از توابع است که توسعه‌دهندگان نرم‌افزار می‌توانند در برنامه‌های خود استفاده کنند. بخشی از مبحث امنیت در این زمینه این است که اطمینان حاصل کنید هر کتابخانه شخص ثالثی که توسط برنامه‌های داخلی شما فراخوانی می‌شود، از بهترین شیوه‌های امنیتی پیروی می‌کند. می‌توانید اطمینان حاصل کنید که توسعه‌دهندگان شما از شیوه‌های کدنویسی امن پیروی می‌کنند، اما باید مؤلفه‌های شخص ثالث را نیز آزمایش کنید.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

  • تهران: آموزشگاه عصر رایان شبکه
  • مهندس اطلاعات 
  • تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام کارشناس شبکه

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟

دیدگاه‌ها

تصویر ماریا
ماریا

عالی بود ممنون