Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
ضرورت توجه به امنيت اطلاعات ( بخش هفتم)
-(2 Body) 
ضرورت توجه به امنيت اطلاعات ( بخش هفتم)
Visitor 412
Category: دنياي فن آوري
استراتژي "دفاع در عمق " يك فريمورك امنيتي مناسب براي حفاظت و نگهداري ايمن زيرساخت فن آوري اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوري اطلاعات يك سازمان به عنوان مجموعه اي از لايه هاي مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازي هر لايه از مكانيزم ها و روش هاي حفاظتي خاصي استفاده مي گردد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسي لايه سياست ها ، رويه ها و اطلاع رساني
• بخش پنجم : بررسي لايه فيزيكي
• بخش ششم : بررسي لايه محدوده عملياتي شبكه و يا Perimeter
در اين بخش به بررسي لايه شبكه داخلي خواهيم پرداخت .

بررسي لايه شبكه داخلي

• لايه شبكه داخلي ، شامل اينترانت يك سازمان است كه تحت كنترل و مديريت پرسنل شاغل در دپارتمان IT است و ممكن است از يك و يا چندين نوع شبكه زير تشكيل شده باشد :
- LAN
- WAN
- MAN
- شبكه هاي بدون كابل
• منبع بروز حملات صرفا" منابع خارجي نبوده و ممكن است يك شبكه از درون نيز مورد تهاجم قرار گيرد . صرفنظر از منبع بروز حملات ، سيستم ها و سرويس هاي متعددي در معرض تهديد و آسيب قرار مي گيرند.
• امنيت داخلي شبكه مي بايست بگونه اي پياده سازي گردد تا علاوه بر توقف تهديدات مخرب بتواند با تهديدات غيرمترقبه هم برخورد نمايد . بخش بندي ( Segmentation ) شبكه ، اقدامي مناسب در جهت افزايش امنيت يك شبكه داخلي است كه عملا" يك لايه اضافه حفاظتي در فريمورك امنيتي "دفاع در عمق " را ايجاد مي نمايد . با استفاده از رويكرد فوق ، حملات زودتر تشخيص داده شده و از كنترل منابع موجود در هسته يك شبكه داخلي توسط مهاجمان ممانعت به عمل مي آيد .

تهديدات لايه شبكه داخلي

• در صورتي كه مهاجمان بتوانند به سيستم هاي داخلي و منابع موجود بر روي يك شبكه دستيابي داشته باشند ، مي توانند از اطلاعات يك سازمان با سهولت بيشتري استفاده نمايند .
• مهاجمان پس از دستيابي به زيرساخت يك شبكه، مي توانند شبكه را مانيتور و ترافيك آن را به دقت بررسي و آناليز نمايند . در چنين مواردي ، آنان مي توانند با استفاده از يك network sniffer و آناليز ترافيك شبكه به اطلاعات حساس و مهمي كه در طول شبكه مبادله مي گردد ، دستيابي داشته باشند .
• شبكه هاي بدون كابل مستعد استراق سمع مي باشند ، چراكه مهاجمان مي توانند بدون اين كه لازم باشد بطور فيزيكي در محل شبكه حضور داشته باشند ، قادر به دستيابي شبكه و استفاده از اطلاعات حساس مي باشند .
• سيستم هاي عامل شبكه اي ، سرويس هاي متعددي را نصب مي نمايند . برخي از سرويس شبكه ممكن است پتانسيل لازم براي برخي از حملات را ايجاد كه توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از يك سرويس آسيب پذير مي توانند كنترل يك كامپيوتر را به دست گرفته و در ادامه از آن براي برنامه ريزي حملات خود در آينده استفاده نمايند .

حفاظت لايه شبكه داخلي

• تائيد دوگانه :
به منظور كمك در جهت افزايش ايمني محيط يك شبكه داخلي ، در ابتدا مي بايست هويت كاربران توسط يك كنترل كننده domain تائيد و در ادامه و با توجه به مجوزهاي تعريف شده امكان استفاده از منابع موجود در شبكه در اختيار آنان گذاشته شود . بدين تريتب، علاوه بر اين كه سرويس دهنده هويت كاربران را تائيد مي نمايد ، كاربران نيز با مشخص كردن domain آگاهانه به يك سرويس دهنده شناخته شده log on مي نمايند.
• بخش بندي شبكه :
سوئيچ ها بطور فيزيكي يك شبكه را به بخش هاي متفاوتي تقسيم مي نمايند و تمام شبكه از يك نقطه قابل دسترس نخواهد بود . براي پارتيشن كردن يك شبكه مي توان از سوئيچ و يا روتر استفاده نمود . ايجاد شبكه هاي محلي مجازي ( VLAN ) بر روي يك سوئيچ فيزيكي ، گزينه اي ديگر در اين زمينه است .
• رمزنگاري داده مبادله شده در شبكه :
براي پيكربندي دستگاه هاي شبكه اي نظير سوئيچ ممكن است از برنامه Telnet استفاده گردد . برنامه فوق تمامي اطلاعات حساس را به صورت plain text ارسال مي نمايد . اين بدان معني است كه دستيابي به نام و رمز عبور كاربر براي هر شخصي كه قادر به شنود شبكه باشد ، امكان پذير است . موضوع فوق ، مي تواند مشكلات متعدد امنيتي را ايجاد نمايد . در چنين مواردي ، مي بايست از يك روش ايمن و رمز شده ( نظير SSH برگرفته از Secure Shell ) و يا دستيابي مستقيم از طريق پورت سريال استفاده نمود .
• محدد كردن ترافيك حتي در مواردي كه شبكه پارتيشن شده باشد :
براي شبكه هاي محلي و بدون كابل مي توان از استاندارد 802.1X به منظور دستيابي رمز شده و تائيد شده استفاده نمود . در چنين مواردي ، مي توان از رمزهاي عبور اكتيو دايركتوري و يا گواهينامه هاي ديجيتالي براي تائيد كاربران استفاده كرد. در صورت استفاده از گواهينامه هاي ديجيتالي به يك PKI ( برگرفته از public key infrastructure ) بر روي Windows Certificate Services نيز نياز مي باشد . براي رمزهاي عبور و گواهينامه هاي ديجيتال به يك سرويس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) نياز مي باشد ( ايجاد شده بر روي سرويس IAS ، برگرفته از Internet Authentication Service ). هم Certificate Services و هم IAS در Windows Server 2003 موجود مي باشند .سازمان هاي كوچك مي توانند از سيستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمايند . سيستم فوق اين امكان را فراهم مي نمايد تا بتوان ترافيك موجود در ارتباطات بدون كابل را رمز نمود. در چنين مواردي ، كليدهاي رمزنگاري به صورت اتوماتيك و پس از يك مدت زمان مشخص و يا ارسال تعداد مشخصي Packet تغيير مي يابند . WPA به يك زيرساخت پيچيده نظير 802.1x نياز نداشته و يك سطح امنيتي پائين تر را ارائه مي نمايد .
• تائيد بسته هاي اطلاعاتي شبكه :
از فن آوري هاي رمزنگاري و تائيد نظير IPSec و يا SMB ( برگرفته از Server Message Block ) استفاده گردد. بدين تريتب ، مهاجمان نمي توانند داده مبادله شده در شبكه را شنود و از آنان استفاده مجدد نمايند .
• پياده سازي فيلترينگ پورت IPSec به منظور اعمال محدوديت ترافيك به سرويس دهنده :
به منظور كاهش ترافيك سرويس دهنده ، تمام پورت هاي غيرضروري بلاك و صرفا" پورت هائي فعال گردند كه به وجود آنان نياز مي باشد .
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.