منظور از پيرامون ، اولين خط دفاعي نسبت به بيرون و به عبارتي به شبکه غيرقابل اعتماد است. «پيرامون» اولين و آخرين نقطه تماس براي دفاع امنيتي محافظت کننده شبکه است. اين ناحيه اي است که شبکه به پايان مي رسد و اينترنت آغاز مي شود. پيرامون شامل يک يا چند فايروال و مجموعه اي از سرورهاي به شدت کنترل شده است که در بخشي از پيرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته مي شود. DMZ معمولاً وب سرورها ، مدخل ايميل ها ، آنتي ويروس شبکه و سرورهاي DNS را در برمي گيرد که بايد در معرض اينترنت قرار گيرند. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم ، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي‌شود به داخل آن بيايند و از محصولات ما ديدن كنند ، اصولا" نمايشگاه به همين منظور ايجاد شده ، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود. فايروال قوانين سفت و سختي در مورد اينکه چه چيزي مي تواند وارد شبکه شود و چگونه سرورها در DMZ مي توانند با اينترنت و شبکه داخلي تعامل داشته باشند، دارد.
پيرامون شبکه ، به اختصار ، دروازه شما به دنياي بيرون و برعکس، مدخل دنياي بيرون به شبکه شماست.
تکنولوژيهاي زير امنيت را در پيرامون شبکه ايجاد مي کنند:
فايروال ـ وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام مي دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را مي دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.
در مورد شبكه‌هاي كامپيوتري نيز بطور مشخص، همين روال را پيش مي گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي‌كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.
معمولاً يک فايروال روي سروري نصب مي گردد که به بيرون و درون پيرامون شبکه متصل است. فايروال سه عمل اصلي انجام مي دهد 1- کنترل ترافيک: فايروال کنترل ترافيک را با سنجيدن مبداء و مقصد تمام ترافيک واردشونده و خارج شونده انجام مي دهد و تضمين مي کند که تنها تقاضاهاي مجاز اجازه عبور دارند. 2-ادرس دهي :فايروال ها به شبکه امن در تبديل آدرس هاي IP داخلي به آدرس هاي قابل رويت در اينترنت کمک مي کنند. اين کار از افشاي اطلاعات مهم درباره ساختار شبکه تحت پوشش فايروال جلوگيري مي کند. يکي از فنآوري هاي موجود که ما را در جهت نيل به خواسته فوق کمک مي نمايد ، جداول NAT مي باشند ( NAT ، همچنين کمک لازم در جهت حل معضل کمبود آدرس هاي IP را ارائه مي نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابي به اکثر کامپيوترهاي موجود در يک شبکه خصوصي از طريق اينترنت است

Nat چيست؟
 

NAT تنها مختص شبكه هايي كه به اينترنت متصل هستند محدود نمي شوند ، بلكه شما از اين تكنولوژي مي توانيد بين شبكه هاي محلي خود نيز استفاده كنيد ولي چون اكثر سازمانها درجهت ارتباط با اينترنت از اين روش استفاده مي كنند ما نيز به بررسي همين نوع استفاده مي پردازيم.
مفهوم NAT بسيار ساده و به اين صورت است كه يك دستگاه (مثل كامپيوتر يا مسيرياب) به عنوان دروازه ورود به اينترنت عمل مي كند و با اين كار آدرس هاي ايستگاه هاي كاري را به آدرس دستگاهي كه NAT روي آن فعال است ترجمه مي كند ، به بيان ديگر NAT روي دستگاهي كه به اينترنت وصل شده فعال مي شود و ايستگاه هاي كاري و به طور كلي شبكه شما را از ديد اينترنت پنهان مي دارد.
NAT روي شبكه تغيير ايجاد نمي كند و نيازي به تنظيمات دوباره روي ايستگاه هاي كاري نيست فقط ايستگاه هاي كاري مي بايست آدرس دروازه خروجي از شبكه را كه همان آدرس دستگاهي است كه NAT روي آن فعال شده را بدانند.
همانطوري كه در شكل بالا ديده مي شود شبكه با چهار ايستگاه كاري و يك مسيرياب جهت اتصال به اينترنت داريم .تمام ايستگاه هاي كاري داراي آدرس محلي گروه C مي باشند.

چگونه كار مي كند ؟
 

سه روش كلي براي اجراي NAT وجود دارد اگر چه قاعده كلي براي هر روش يكي است .همانطوري كه در شكل هاي بالا نشان داده شد ،ترافيك ارسالي از سمت ايستگاه هاي كاري از درون يك روتر به اينترنت وارد مي شوند و عمليات NAT را روي بسته ها انجام مي دهد و به مقصد مي فرستد. هربسته اي كه روي كارت شبكه محلي مسيرياب دريافت مي شود توسط روتر عمليات جابجايي آدرس محلي با آدرس اينترنتي انجام مي شود و سپس بسته ها ارسال مي شود.
در اين شكل يك ايستگاه كاري از داخل شبكه يك بسته اطلاعاتي را به آدرس مقصد 135.250.24.10 مي فرستد ، اين بسته اطلاعاتي از داخل دروازه خروجي گذشته وبه اينترنت مي رسد.
عمليات NAT روي بسته ارسالي به روش زير ارسال مي گردد :
بسته اطلاعاتي اصلي پس از رسيدن به مسيرياب آدرس مبداء آن از 192.168.0.12 به 203.31.220.134 تغيير پيدا مي كند سپس روتر اين اطلاعات را در حافظه خود و در NAT-Table نگهداري مي كند و به اين طريق است كه بسته هايي هم كه از اينترنت ارسال مي شوند ،مقصد خود را تشخيص مي دهند.
در اکثر موارد بکارگيري NAT ، صرفا" آدرس IP معتبر (Valid ) به فايروال نسبت داده مي شود و تمامي کامپيوترهائي که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس هاي IP که صرفا" بر روي شبکه داخلي معتبر مي باشد ، استفاده مي نمايند . با تبعيت از چنين رويکردي ، زماني که يک کامپيوتر موجود در شبکه داخلي نيازمند برقراري ارتباط با دنياي خارج است ، اقدام به ارسال درخواست خود براي فايروال مي نمايد . در ادامه فايروال به نمايندگي از کامپيوتر متقاضي ، درخواست مورد نظر را ارسال مي نمايد . در زمان مراجعت درخواست ارسالي ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را براي کامپيوتر موجود در شبکه داخلي ارسال مي نمايد .
فرض کنيد ، کاربري قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روي يک شبکه داخلي ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وي به يک درخواست HTTP ترجمه شده و براي فايروال ارسال مي گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگي از کاربر ارسال کننده درخواست ، استفاده مي نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه براي فايروال ارسال شده و در نهايت فايروال آن را براي کاربر مربوطه ارسال مي نمايد

نقطه پاياني VPN
 

يک فايروال همچنين مي تواند به عنوان نقطه پاياني تونل هاي VPN (که بعداً بيشتر توضيح داده خواهد شد) عمل کند. اين سه قابليت فايروال را تبديل به بخشي واجب براي امنيت شبکه شما مي کند.
آنتي ويروس شبکه ـ يک نرم افزار Anti Virus که به اختصار آنرا AV مي ناميم، در DMZ نصب مي شودو به اينصورت رفتار مي کند که محتواي ايميل هاي واردشونده و خارج شونده را با پايگاه داده اي از مشخصات ويروس هاي شناخته شده که به ان Virus Signatureگفته مي شود مقايسه مي کند. اين آنتي ويروس ها آمد و شد ايميل هاي آلوده را مسدود مي کنند و آنها را قرنطينه مي کنند و سپس به دريافت کنندگان و مديران شبکه اطلاع مي دهند. اين عمل از ورود و انتشار يک ايميل آلوده به ويروس در شبکه جلوگيري مي کند و جلوي گسترش ويروس توسط شبکه شما را مي گيرد. آنتي ويروس شبکه، مکملي براي حفاظت ضدويروسي است که در سرور ايميل شما و کامپيوترهاي مجزا صورت مي گيرد. بمنظور کارکرد مؤثر ، ديتابيس ويروس هاي شناخته شده بايد به روز نگه داشته شود.شرکتهاي سازنده آنتي ويروس با آمدن ويروسهاي جديد، الگوهاي نرم افزاري آنها را کشف و جمع آوري مي کنند و به همين علت اغلب لازم است تا اين نرم افزارها هر چندگاهي به روز (Update) شوند تا الگوهاي جديد ويروسها را بشناسند

VPN
 

فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا” در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است . انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است .
استفاده از FTP هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا” قابل اطمينان نيست .
يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم ، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود . از اين گذشته ، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است . اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد . در اين حالت ، كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند . به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي شود .
شبكه هاي شخصي مجاري يا VPN (Virtual private Network) ها اينگونه مشكلات را حل مي كند . VPN به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود . مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند VPN را حتي روي شبكه محلي هم پياده كنند . اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي Packet sniffer جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند .

VPNچيست؟
 

VPNدو كامپيوتر يا دو شبكه را به كمك يك شبكه ديگر كه به عنوان مسير انتقال به كار مي گيرد به هم متصل مي كند . براي نمونه مي توان ب دو كامپيوتر يكي در تهران و ديگري در مشهد كه در فضاي اينترنت به يك شبكه وصل شده اند اشاره كرد . VPN از نگاه كاربر كاملا” مانند يك شبكه محلي به نظر مي رسد . براي پياده سازي چنين چيزي ، VPN به هر كاربر يك ارتباط IP مجازي مي دهد .
داده هايي كه روي اين ارتباط آمد و شد دارند را سرويس گيرنده نخست به رمز در آورده و در قالب بسته ها بسته بندي كرده و به سوي سرويس دهنده VPN مي فرستد . اگر بستر اين انتقال اينترنت باشد بسته ها همان بسته هاي IP خواهند بود .
سرويس گيرنده VPN بسته ها را پس از دريافت رمز گشايي كرده و پردازش لازم را روي آن انجام مي دهد
يک شبکه اختصاصي مجازي (VPN) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يکديگر، مانند لپ تاپ ها و شبکه مقصد استفاده مي کند. VPN اساساً يک تونل رمزشده تقريباً با امنيت و محرمانگي يک شبکه اختصاصي اما از ميان اينترنت ايجاد مي کند. اين تونل VPN مي تواند در يک مسيرياب برپايه VPN ، فايروال يا يک سرور در ناحيه DMZ پايان پذيرد. برقراري ارتباطات VPN براي تمام بخش هاي دور و بي سيم شبکه يک عمل مهم است که نسبتاً آسان و ارزان پياده سازي مي شود.

مزايا
 

تکنولوژي هاي ايجاد شده سطح پيرامون سال هاست که در دسترس هستند، و بيشتر خبرگان IT با تواناييها و نيازهاي عملياتي آنها به خوبي آشنايي دارند. بنابراين، از نظر پياده سازي آسان و توأم با توجيه اقتصادي هستند. بعضياز فروشندگان راه حل هاي سفت و سختي براي اين تکنولوژيها ارائه مي دهند و بيشتر آنها به اين دليل پر هزينه هستند.

معايب
 

از آنجا که بيشتر اين سيستم ها تقريباً پايه اي هستند و مدت هاست که در دسترس بوده اند، بيشتر هکرهاي پيشرفته روش هايي براي دور زدن آنها نشان داده اند. براي مثال، يک ابزار آنتي ويروس نمي تواند ويروسي را شناسايي کند مگر اينکه از قبل علامت شناسايي ويروس را در ديتابيس خود داشته باشد و اين ويروس داخل يک فايل رمزشده قرار نداشته باشد. اگرچه VPN رمزنگاري مؤثري ارائه مي کند، اما کار اجرايي بيشتري را برروي کارمندان IT تحميل مي کنند، چرا که کليدهاي رمزنگاري و گروه هاي کاربري بايد بصورت مداوم مديريت شوند.

ملاحظات
 

پيچيدگي معماري شبکه شما مي تواند تأثير قابل ملاحظه اي روي ميزان اثر اين تکنولوژي ها داشته باشد. براي مثال، ارتباطات چندتايي به خارج احتمالاً نياز به چند فايروال و آنتي ويروس خواهد داشت. معماري شبکه بطوري که تمام اين ارتباطات به ناحيه مشترکي ختم شود، به هرکدام از تکنولوژي هاي مذکور اجازه مي دهد که به تنهايي پوشش مؤثري براي شبکه ايجاد کنند.
ارسال مقاله توسط کاربر محترم سايت: sm1372