امنیت شبکه لایه بندی شده

امنیت شبکه لایه بندی شده (قسمت دوم)

مقالات/ شبکه سه شنبه, 10 فروردین 1400 ریحانه غفوریان

در قسمت قبلی به اولین لایه که لایه پیرامون است، اشاره شد. در این قسمت به لایه امنیت شبکه می‌پردازیم.

سطح دو: امنیت شبکه

امنیت شبکه

سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده‌تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه‌های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می‌توانید به راحتی در میان شبکه حرکت کنید. این قضیه به خصوص برای سازمان‌های کوچک تا متوسط صدق می‌کند که به این ترتیب این شبکه‌ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می‌شوند. تکنولوژی‌های ذیل امنیت را درسطح شبکه برقرار می‌کنند:

IDS (سیستم های تشخیص نفوذ) - IPS (سیستم های جلوگیری از نفوذ)

تکنولوژی‌های IDS و IPS ترافیک گذرنده در شبکه شما را با جزییات بیشتر نسبت به فایروال تحلیل می‌کنند. مشابه سیستم‌های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده‌ای از مشخصات حملات شناخته شده مقایسه می‌کنند. هنگامی که حملات تشخیص داده می‌شوند، این ابزار وارد عمل می‌شوند. ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می‌سازند؛ ابزارهای IPS یک گام جلوتر می‌روند و به صورت خودکار ترافیک آسیب رسان را مسدود می‌کنند.

IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی‌ها از نام آن‌ها استنباط می‌شود. محصولات IDS تنها ترافیک آسیب رسان را تشخیص می‌دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می‌کنند.

لایه های امنیت شبکه

مدیریت آسیب پذیری

سیستم‌های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می‌دهند:

  1. شبکه را برای آسیب پذیری‌ها پیمایش می‌کنند.
  2. روند مرمت آسیب پذیری یافته شده را مدیریت می‌کنند.

در گذشته، این تکنولوژی تخمین آسیب پذیری نامیده می‌شد. اما این تکنولوژی اصلاح شده است، تا جایی که بیشتر سیستم‌های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می‌دهند. سیستم‌های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه‌ها و آسیب پذیری‌هایی که می‌توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می‌کنند. آن‌ها معمولاً پایگاه داده‌ای از قوانینی را نگهداری می‌کنند که آسیب پذیری‌های شناخته شده برای گستره‌ای از ابزارها و برنامه‌های شبکه را مشخص می‌کنند.

در طول یک پیمایش، سیستم هر ابزار یا برنامه‌ای را با به کارگیری قوانین مناسب می‌آزماید. همچنان که از نامش برمی‌آید، سیستم مدیریت آسیب پذیری شامل ویژگی‌هایی است که روند بازسازی را مدیریت می‌کند. لازم به ذکر است که میزان و توانایی این ویژگی‌ها در میان محصولات مختلف، فرق می‌کند.

تکنولوژی Shielded Virtual Machines datacenter security چیست؟

تابعیت امنیتی کاربر انتهایی

روش‌های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می‌کنند که تضمین می‌کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده‌اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم‌های ناامن کارمندان و ابزارهای VPN و RAS می‌گیرد. روش‌های امنیت نقاط انتهایی براساس آزمایش‌هایی که روی سیستم‌هایی که قصد اتصال دارند انجام می‌دهند، اجازه دسترسی می‌دهند. هدف آن‌ها از این تست‌ها معمولا:

  1. برای بررسی نرم افزار مورد نیاز، مانند سرویس پک‌ها، آنتی ویروس‌های به روز شده و...
  2. کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.

امنیت در شبکه

کنترل دسترسی- تأیید هویت

کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.

کنترل دسترسی شبکه

در این سلسله مباحث، به کنترل دسترسی و تأیید هویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می‌پردازیم. میان طرح‌های کنترل دسترسی بین لایه‌های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش‌های تأیید هویت در مقابل دید کاربر اتفاق میفتد. اما به خاطر داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده‌ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.

مزایا و معایب

تکنولوژی‌های IDS ،IPS و مدیریت آسیب پذیری تحلیل‌های پیچیده‌ای روی تهدیدها و آسیب پذیری‌های شبکه انجام می‌دهند. در حالی که فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می‌دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، بنابراین سطح بالاتری از محافظت را ارایه می‌دهند. با این تکنولوژی‌های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می‌توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آن‌ها خاتمه داده خواهند شد.

سیستم‌های مدیریت آسیب پذیری روند بررسی آسیب پذیری‌های شبکه شما را به صورت خودکار استخراج می‌کنند. انجام چنین بررسی‌هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. به علاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقا دادن نرم افزارها و وصله‌ها، و افزودن و کاستن از کاربران، همگی می‌توانند آسیب پذیری‌های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می‌دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری‌های جدید پیمایش کنید.

روش‌های تابعیت امنیتی کاربر انتهایی به سازمان‌ها سطح بالایی از کنترل بر روی ابزاری را می‌دهد که به صورت سنتی کنترل کمی بر روی آن‌ها وجود داشته است. هکرها به صورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، پدیده‌های اخیر چون Mydoom، Sasser و Sobig گواهی بر این ادعا هستند. برنامه‌های امنیتی کاربران انتهایی، این درهای پشتی خطرناک به شبکه را می‌بندند.

آسیب های شبکه

IDSها تمایل به تولید تعداد زیادی علایم هشدار غلط دارند، که به عنوان false positives نیز شناخته می‌شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می‌تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری‌های کشف شده در محیط شما تنظیم گردد.

چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می‌کند. سطح خودکار بودن در IPSها می‌تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آن‌ها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه‌ای را که در آن نصب شده‌اند منعکس کنند. تأثیرات جانبی احتمالی در سیستم‌هایی که بهینه نشده‌اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می‌شود.

بسیاری از روش‌های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد. این عمل می‌تواند مقدار قابل توجهی بار کاری اجرایی به نصب و نگهداری اضافه کند تکنولوژی‌های کنترل دسترسی ممکن است محدودیت‌های فنی داشته باشند. برای مثال، بعضی ممکن است با تمام ابزار موجود در شبکه شما کار نکنند، بنابراین ممکن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید. همچنین، چندین فروشنده سیستم‌های کنترل دسترسی را به بازار عرضه می‌کنند و عملکرد می‌تواند بین محصولات مختلف متفاوت باشد.

پیاده سازی یک سیستم یکپارچه در یک شبکه ممکن است دشوار باشد. چنین عمل نامنظم و از هم گسسته ای، به عبارت دیگر رویکرد چند محصولی ممکن است در واقع آسیب پذیری‌های بیشتری را در شبکه شما به وجود آورد.


ذخیره مقاله:

اشتراک گذاری:




...

ریحانه غفوریان

دانشجوی مهندسی نرم افزار - علاقمند به شبکه و امنیت!


مطالب پیشنهادی



              
                 نرم افزار ادیت عکس
پنج اپلیکیشن کاربردی ادیت و طراحی عکس ساده برای کاربران آماتور

در این مطلب از جامعه گیک‌های کامپیوتر 5 مورد از بهترین اپلیکیشن‌ها و نرم افزارها که برای ادیت تصاویر استفاده می‌شوند را معرفی می‌کنیم.


              
                 ui ux designer
7 مرحله برای تبدیل شدن به یک طراح UI/UX

در این مطلب از جامعه‌ی گیک‌های کامپیوتر به شما راهنمایی‌های لازم را جهت ورود به دنیای طراحی رابط و تجربه کاربری می‌دهیم و به بررسی 7 مرحله برای تبدیل شدن به یک طراح UI/UX می‌پردازیم.


              
                 بهترین توزیع ها برای مبتدیان
معرفی بهترین توزیع‌های لینوکس برای تازه واردان

دنیای گنو/لینوکس پر از توزیع‌های متنوع با قابلیت‌ها و ویژگی‌های مختلف است. در این مطلب از جامعه گیک‌های کامپیوتر تعدادی از بهترین و محبوب‌ترین توزیع‌های لینوکس که برای تازه واردان به این دنیای رنگارنگ مناسب هستند را معرفی میکنیم.


نظری برای نمایش وجود ندارد. شما اولین نظر باشید.


ارسال دیدگاه

برای ثبت دیدگاه باید ابتدا وارد شوید