استراتژي "دفاع در عمق " يك فريمورك امنيتي مناسب براي حفاظت و نگهداري ايمن زيرساخت فن آوري اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوري اطلاعات يك سازمان به عنوان مجموعه اي از لايه هاي مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازي هر لايه از مكانيزم ها و روش هاي حفاظتي خاصي استفاده مي گردد . در بخش چهارم به لايه سياست ها ، رويه ها و اطلاع رساني و در بخش پنجم به لايه فيزيكي اشاره گرديد . در اين بخش به بررسي لايه محدوده عملياتي شبكه و يا Perimeter خواهيم پرداخت .

بررسي لايه Perimeter

• Perimeter شبكه ، مكاني است كه شبكه يك سازمان با شبكه هاي تائيد نشده ديگر مرتبط مي گردد . بسياري از كارشناسان شبكه از تعريف فوق اينگونه استنباط مي نمايند كه صرفا" اتصال بين شبكه داخلي سازمان و اينترنت مورد نظر مي باشد . در صورتي كه در استراتژي دفاع در عمق ، به هر نقطه اي كه شبكه داخلي يك سازمان را به ساير شبكه ها و ميزبانان متصل و توسط گروه فن آوري اطلاعات سازمان مديريت نمي گردند ،‌اطلاق مي گردد . موارد زير نمونه هائي در اين زمينه مي باشد :
- اينترنت
- شعبات و نمايندگي هاي متفاوت يك سازمان كه توسط گروه فن آوري اطلاعات سازمان مديريت نمي گردند .
- كاربران راه دور
- شبكه هاي بدون كابل
- برنامه هاي اينترنت
- ساير سگمنت هاي داخلي شبكه
• Perimeter يك شبكه ، ناحيه اي است كه در معرض بيشترين حملات از دنياي خارج قرار دارد و بروز تهاجم از آن نقاط احتمال بيشتري دارد .
• از امكانات متفاوتي به عنوان دستگاه هاي Perimeter در يك شبكه استفاده مي گردد . روتر ، سرويس دهندگان وب و پست الكترونيكي ، فايروال هاي سخت افزاري و نرم افزاري نمونه هائي در اين زمينه مي باشد .

تهديدات لايه Perimeter

• به منظور ايمن سازي زيرساخت فن آوري اطلاعات يك سازمان مي بايست در مرحله اول بر روي نقاطي متمركز گرديد كه بروز حملات از جانب آنان داراي بيشترين احتمال است ( نظير اينترنت ) . اين موضوع ضرورت توجه بر روي ساير نقاط حساس در يك سازمان را كم رنگ نمي نمايد و مي بايست به اينگونه نقاط نيز توجه ويژه اي داشت . يك مهاجم ممكن است حملات خود را از نقاطي آغاز نمايد كه احتمال آن كمتر داده مي شود. بنابراين لازم است در خصوص ايمن سازي تمامي نقاط ورودي و خروجي يك شبكه تصميم گيري و از راهكاري موجود به منظور ايمن سازي آنان استفاده گردد .
• با توجه به اين كه مسوليت پياده سازي امنيت براي همكاران تجاري يك سازمان برعهده كارشناسان فن آوري اطلاعات سازمان نمي باشد و همچنين هيچگونه كنترلي بر روي سخت افزار كاربران راه دور وجود ندارد ، نمي توان دستيابي از نقاط فوق را تائيد نمود و مي بايست در اين خصوص از روش هاي ايمني خاصي استفاده گردد . شعبات ادارات ممكن است به اندازه اداره مركزي داراي اطلاعات حساسي نباشد ،‌ بنابراين ممكن است آنان نيازمند يك سطح پائين تر به منظور پياده سازي امنيت باشند . عليرغم موضوع فوق ، درصورتي كه شعبات يك سازمان داراي امكان برقراري ارتباط مستقيم با ادارات مركزي باشند ، مهاجمان مي توانند از پتانسيل فوق در جهت نيل به اهداف خود استفاده نمايند .
• برخي حملات Perimeter ، مستقيما" Perimeter شبكه را تحت تاثير قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام به انتشار نامه هاي الكترونيكي مي نمايند كه در ظاهر از يك منبع مطمئن ارسال شده اند . چنين پيام هائي اغلب سعي مي نمايند دريافت كننده پيام را ترغيب نمايند كه اطلاعات حساس و مهم خود را در اختيار آنان قرار دهد .در اين نوع از حملات به همراه برخي از پيام هاي ارسالي ، لينك ها و آدرس هاي وب سايت خاصي نيز مشخص مي گردد . اينگونه سايت ها خود را به عنوان يك سايت معتبر وانمود و سعي در جذب مخاطباني دارند كه اصول اوليه امنيت اطلاعات را رعايت نمي نمايند .
• كارشناسان امنيت اطلاعات مي بايست امنيت شبكه را در تمامي نقاط تماس شبكه با دنياي خارج بررسي نمايند نه اينكه صرفا" بر روي نواحي خاصي متمركز گردند.

حفاظت لايه Perimeter

• ايمن سازي Perimeter ، عموما" با استفاده از يك فايروال انجام مي شود . پيكربندي يك فايروال مي تواند از لحاظ فني چالش هاي مختص به خود را دارا باشد . بنابراين رويه ها مي بايست به صورت شفاف جزئيات كار را روشن نمايند .
• در نسخه هاي جديد ويندوز ، به منظور كاهش احتمال بروز حملات برخي از پورت هاي غيرضروري بلاك شده است . در اين رابطه مي توان از سيستم هاي HIDS ( برگرفته از Host Intrusion Detection Systems ) و فايروال هاي host-based نيز استفاده نمود .
• NAT ( برگرفته از Network address translation ) يك سازمان را قادر مي سازد كه پيكربندي مربوط به پورت و آدرس هاي IP را به منظور پيشگيري از كاربراني كه داراي سوء نيت مي باشند، مخفي نموده تا سيستم هاي داخلي در معرض حملات قرار نگيرند . مكانيزم هاي امنيت Perimeter مي تواند مخفي نگاه داشتن سرويس هاي داخلي را نيز شامل گردد ( حتي سرويس هائي كه مي بايست امكان دستيابي عموم به آنان وجود داشته باشد ) . بنابراين مهاجمان هرگز بطور مستقيم با هيچگونه سيستمي ارتباط برقرار نخواهند كرد و تمامي ارتباطات از طريق فايروال انجام خواهد شد .
• زماني كه داده محيطي را كه تحت مسئوليت شما است ترك مي نمايد ، مي بايست اين اطمينان وجود داشته باشد كه داده به سلامت به مقصد نهائي خواهد رسيد . بدين منظور مي توان از رمزنگاري و پروتكل هاي tunneling به منظور ايجاد يك VPN ( برگرفته از virtual private network ) استفاده گردد . براي نامه هاي الكترونيكي ، مي توان از S/MIME و يا فن آوري PGP ( برگرفته از Pretty Good Privacy ) به منظور رمزنگاري و تائيد پيام ها استفاده نمود .
• پروتكل tunneling استفاده شده در نسخه هاي متفاوت ويندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol ) است كه از رمزنگاري MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و يا پروتكل L2TP ( برگرفته از Layer 2 Tunneling Protocol ) كه از رمزنگاري IPSec استفاده مي نمايند.
• زماني كه كامپيوترهاي راه دور از طريق يك VPN ارتباط برقرار مي نمايند ، سازمان ها مي توانند با انجام چندين مرحله اضافه كامپيوترها را بررسي تا اين اطمينان حاصل گردد كه آنان تابع سياست هاي امنيتي تعريف شده مي باشند . سيستم هاي متصل شده مي بايست در يك محل قرنظينه شوند تا بررسي لازم در خصوص وضعيت امنيتي آنان انجام شود . در اين رابطه مي توان سرويس NAP ( برگرفته از Network Access Protection ) را نيز پياده سازي نمود تا سرويس گيرندگان داخلي را قبل از اين كه به آنان مجوز دستيابي به شبكه اعطاء شود ، بررسي نمود.
• سيستم هاي موجود بر روي Perimeter مي‌بايست داراي كاربردهاي كاملا" تعريف شده و مشخصي باشند . در اين رابطه لازم است كه سرويس هاي غيرضروري بلاك و يا غيرفعال گردد .
• فايروال ويندوز كه به همراه ويندوز xp سرويس پك 2 و ويندوز 2003 سرويس پك ارائه شده است ، امكانات حفاظتي متعددي را در جهت افزايش حفاظت Perimeter براي كاربران از راه دور ارائه مي نمايد .