رايج ترين مدل شبکه هاي کامپيوتري، مدل چهار لايه TCP/IP است که با بهره گيري از پشته پروتکل TCP/IP به تبادل داده و نظارت بر مبادلات داده مي پردازد ولي عليرغم محبوبيت، داراي نقاط ضعف و اشکالات امنيتي است و نحوه رفع اين اشکالات و مقابله با نفوذگران کامپيوتري، همواره بعنوان مهمترين هدف امنيتي هر شبکه تلقي مي گردد. در اين مقاله پس از بررسي انواع رايج تهديدات امنيتي عليه شبکه هاي کامپيوتري و راهکارهاي مقابله با آنها، با توجه به تنوع شبکه هاي کامپيوتري از نظر ساختار، معماري، منابع، خدمات، کاربران و همچنين اهداف امنيتي خود، با دنبال کردن الگوي امنيتي ارائه شده به راهکارهاي امنيتي مناسب دست يابد. کليد واژه ها: امنيت- حمله- تهديد- شبكه- نفوذ- مقابله 1-مقدمه: در شبکه کامپيوتري براي کاهش پيچيدگي هاي پياده سازي، آن را مدل سازي ميکنند که از جمله ميتوان به مدل هفت لايه OSI و مدل چهار لايه TCP/IP اشاره نمود. در اين مدلها، شبکه لايه بندي شده و هر لايه با استفاده از پروتکلهاي خاصي به ارائه خدمات مشخصي ميپردازد. مدل چهار لايه TCP/IP نسبت به OSI محبوبيت بيشتري پيدا کرده است ولي عليرغم اين محبوبيت داراي نقاط ضعف و اشکالات امنيتي است که بايد راهکارهاي مناسبي براي آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسي پيدا کرده و يا اينکه اطلاعات را بربايند. [1] شناسائي لايه هاي مدل TCP/IP، وظايف، پروتکلها و نقاط ضعف و راهکارهاي امنيتي لايه ها در تعيين سياست امنيتي مفيد است اما نکته اي که مطرح است اينست که تنوع شبکه هاي کامپيوتري از نظر معماري، منابع، خدمات، کاربران و مواردي از اين دست، ايجاد سياست امنيتي واحدي را براي شبکه ها غيرممکن ساخته و پيشرفت فناوري نيز به اين موضوع دامن ميزند و با تغيير داده ها و تجهيزات نفوذگري، راهکارها و تجهيزات مقابله با نفوذ نيز بايد تغيير کند. 2-مروري بر مدل TCP/IP: اين مدل مستقل از سخت افزار است و از 4 لايه زير تشکيل شده است [2]: 1- لايه ميزبان به شبکه: دراين لايه رشته اي از بيتها بر روي کانال هاي انتقال رد و بدل مي شوند و از تجهيزاتي مانند HUB,MAU,Bridge و Switch براي انتقال داده در سطح شبکه استفاده ميشود. 2- لايه اينترنت يا شبکه (IP): وظيفه اين لايه هدايت بسته هاي اطلاعاتي ( IP-Packet) روي شبکه از مبدا به مقصد است. مسيريابي و تحويل بسته ها توسط چند پروتکل صورت مي گيرد که مهمترين آنها پروتکل IP است. از پروتکلهاي ديگر اين لايه ميتوان ARP,RIP,ICMP,IGMP را نام برد. مسيرياب ( ROUTER ) در اين لايه استفاده ميشود. 3-لايه انتقال (TCP): برقراري ارتباط بين ماشينها بعهده اين لايه است که ميتواند مبتني بر ارتباط اتصال گراي TCP يا ارتباط غير متصل UDP باشد. داده هايي که به اين لايه تحويل داده مي شوند توسط برنامه کاربردي با صدازدن توابع سيستمي تعريف شده در واسط برنامه هاي کاربردي (API) ارسال و دريافت ميشوند. دروازه هاي انتقال در اين لايه کار ميکنند. 4-لايه کاربرد: اين لايه شامل پروتکل هاي سطح بالائي مانند Only the registered members can see the link است.در اين لايه دروازه کاربرد ديده ميشود. 3- تهديدات عليه امنيت شبکه: تهديدات و حملات عليه امنيت شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر ميتوان براساس عامل اين حملات آنهارا تقسيم بندي نمود. بهرحال حملات رايج در شبکه ها بصورت ذيل ميباشند [11]: 1-حمله جلوگيري از سرويس (DOS): در اين نوع حمله، کاربر ديگر نميتواند از منابع و اطلاعات و ارتباطات استفاده کند. اين حمله از نوع فعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد. 2-استراق سمع: در اين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيامها را شنود مي کند. اين حمله غيرفعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد. 3-تحليل ترافيک: در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب ميکند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد. 4-دستکاري پيامها و داده ها: اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي زند و معمولا توسط کاربر خارجي صورت مي گيرد. 5-جعل هويت: يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي کند و توسط کاربران خارجي صورت ميگيرد. 4- راهکارهاي امنيتي: در اين بخش سرويس ها، مکانيزم ها و تجهيزات امنيتي نام برده ميشود. سرويس هاي امنيتي عبارتند از [3]: 1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند. 2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند. 3-احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود. 4-کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند. 5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند. مکانيزم هاي امنيتي عبارتند از : 1-رمز نگاري که در آن با استفاده از کليد خصوصي يا عمومي و با استفاده از الگوريتم هاي پيچيده پيام بصورت رمز درآمده و در مقصد رمزگشايي مي شود. 2-امضاء ديجيتال که براي احراز هويت بکار مي رود. تجهيزات امنيتي عبارتند از [10]: 1 - فايروال: امکاناتي است که ميتواند بصورت سخت افزاري يا نرم افزاري در لبه هاي شبکه قرار گيرد و سرويس هاي کنترل دستيابي ، ثبت رويداد ، احراز هويت و ... را انجام دهد. 2- VPN بهره مندي از شبکه عمومي براي اتصال دو يا چند شبکه خصوصي است . 3- IDS : سيستم تشخيص نفوذ است که در لايه بعد از فايروال مي تواند امنيت را تقويت کند و نفوذ مهاجمين رابر اساس تحليل هاي خاص تشخيص مي دهد. 4- IPS : سيستم جلوگيري از نفوذ است که پس از تشخيص نفوذ مي تواند به ارتباطات غيرمجاز ومشکوک بصورت يکطرفه پايان دهد. 5- AntiVirus : که مي تواند با تشخيص محتواي فايل، فايل هاي آلوده را بلوکه کند. 6- Vulnerability Scan : امکانات نرم افزاري است براي تشخيص آسيب پذيري شبکه. 7- Logserver & Analysis: امکاناتي است که براي ثبت و کنترل رويدادها مورد استفاده قرار مي گيرد. 8- سرورهاي AAA: براي احراز هويت، کنترل و نظارت بر دسترسي کاربران داخلي و خارجي استفاده مي شوند. البته بغير از تجهيزات فوق الذکر،با استفاده از مسيريابها و سوئيچ هاي مديريت پذير مي توان امنيت در مسير تبادل را نيز تا حد زيادي تامين نمود. در ادامه حملات، سرويس ها و مکانيزم ها و تجهيزات امنيتي در لايه هاي مختلف در قالب جداول 1-2-3-4 با يکديگر مقايسه مي شوند و همانطور که در جداول مذکور نشان داده شده است مي توان نتيجه گرفت که بيشترين حملات به ترتيب در لايه IP,TCP ، کاربرد و ميزبان به شبکه است و سرويس ها و مکانيزم ها بيشتر در لايه IP به چشم مي خورد و تجهيزات امنيتي با بهره گيري از مکانيزم هاي مختلف بيشتر در لايه IP , TCP و کاربرد ، کاربري دارند . در جدول 5تجهيزات امنيتي از نظر پارامترهاي مختلف با يکديگر مقايسه مي شوند و مورد ارزيابي قرار مي گيرند، استفاده از تجهيزات سخت افزاري نظير فايروال، سوئيچ ها و مسيريابهاي مديريت پذير، گران است و هزينه پشتيباني آنها نيز بالاست و از پيچيدگي نسبتا بالايي برخوردارند. در تجهيزات نرم افزاري نيز هزينه پشتيباني بدليل لزوم Update مرتب ، بالا است ولي هزينه استقرار و پيچيدگي پائين است. جدول 1. مقايسه تهديدات امنيتي در لايه هاي چهارگانه TCP/IP تهديد لايه Host to Network up TCP Application Trojan,Virus,Worm + SQL-Injection + TCP/IP Spoofing + + Session Hijacking + + Port Scan + + Physical Attacks + Phishing + + Password Attacks Packet Sniffing + + Dos/DDos Attacks + + + Network Layer Attacks + Application Layer Attacks + Buffer Over Flow Attacks + + + Replay + + + + Traffic Analysis + + + Message Modification + + + جدول 2. اهراف امنيتي در منابع شبكه منابع شبكه كاربران اهداف سخت افزارها نرم افزارها اطلاعات ارتباطات شبكه محرمانگي + + صحت + + + + قابليت دسترسي + + + + محافظت فيزيكي + محافظت فيزيكي + صدور اختيارات + حريم خصوصي + آگاهي رساني امنيتي جدول 3. سرويس هاي امنيتي در لايه هاي مختلف TCP/IP سرويس لايه Host to Network up TCP Application محرمانگي + + + + تاييدهويت + + + + رد انكار + كنترل جامعيت و صحت + + جدول 4. مكانيزم هاي امنيتي مربوط به لايه هاي مختلف TCP/IP مكانيزه لايه Host to Network up TCP Application رمزنگاري + + + + امضائ ديجيتال + + + كنترل دستيابي + + + درستي و صحت داده + + + كنترل مسيريابي + رد انكار ( سنديت ) + + جدول 5. مقايسه تجهيزات امنيتي در لايه هاي چهارگانه TCP/IP تجهيزات امنيتي لايه Host to Network up TCP Application حفاظت فيزيكي + رمزنگاري + + + + IP Sec + SSL + Firewall + + + AntiVirus + AAA Server + + + + VPN + + + + PGP + IDS/IPS + + + 5 - الگوي امنيتي 6-1 : معماري امنيتي با توجه به ساختار هر شبکه، معماري امنيتي شبکه بصورت نهفته در لايه هاي شبکه در نظر گرفته مي شود و لايه بندي با توجه به محدوده هاي داخلي ، خارجي ، ارتباط از راه دور و غيره بصورت يک معماري امنيتي 4 لايه تعيين مي گردد که عبارتند از[4]: 1 - امنيت زيرساخت که شامل پيکربندي دقيق تجهيزات شبکه است. 2 - امنيت ارتباطات که در آن با استفاده از فايروال ها، سيستمهاي IDS,IPS ، ضد ويروسها ، سرورهاي AAA، نرم افزارهاي مانيتورينگ، ثبت و تحليل رويدادها مي توان به تشخيص هويت و کنترل کاربران پرداخت. 3- امنيت سيستم ها که در آن با بهره گيري از پويشگرها ي امنيتي، آنتي ويروسها، IDS و IPS به ثبت و کنترل دسترسي کاربران به منابع پرداخته مي شود. 4- امنيت کاربردها که با بهره گيري از سيستمهاي IDS ، آنتي ويروس، پويشگر امنيتي و فيلترهاي محتوا بر دسترسي کاربران نظارت مي شود. 6-2 : الگوريتم جهت تهيه الگوي امنيتي شبکه با توجه به تنوع شبکه ها استفاده از الگوريتم ذيل در طرح الگوي امنيتي شبکه مفيد است. الگوريتم از مراحل ذيل تشکيل مي گردد: 1 - شروع 2 - در صورتي که شبکه موجود است به مرحله 10 برويد. 3 - نيازمنديهاي امنيتي را تعيين کنيد. 4- منابع راشناسايي کنيد. 5- مخاطرات مربوط به شبکه را تحليل کنيد. 6- راهکارهاي مقابله با مخاطرات را ارائه کنيد. 7- تجهيزات و امکانات امنيتي مناسب را تعيين نماييد. 8- سياستها و رويه هاي امنيتي را تدوين کنيد. 9 - سياستها و رويه هاي امنيتي اجرا کنيد. 10 - وضعيت موجود را بررسي کنيد. 11 - در صورتي که نيازمنديهاي سازمان تامين نشده است، به مرحله 3 برويد. 12 - در صورتي که نيازمنديهاي امنيتي شبکه تامين نشده است به مرحله 4 برويد. 13 - به مرحله 10 برويد. همانطور که ملاحظه مي شود اين الگوريتم يک الگوريتم گردشي است که به طور مداوم بايد براي شبکه هاي کامپيوتري اجرا گردد. 6- نتيجه گيري : از يک شبکه کامپيوتري، عوامل مهمي مانند نوع سيستم عامل، موجوديتها، منابع، برنامه هاي کاربردي، نوع خدمات و کاربران نقش مهم ومستقيمي در امنيت شبکه دارند. برقراري امنيت بصورت 100% امکان پذير نيست چرا که بعضي از عوامل از حيطه قوانين سيستمي خارج هستند، بعنوان نمونه کانالهاي مخابراتي هدايت ناپذير ( مثل امواج مخابراتي و ارتياط ماهواره اي) يا کاربران شبکه ( که هميشه از آموزشهاي امنيتي داده شده استفاده نمي کنند.). بنابراين الگوي امنيتي شبکه يک طرح امنيتي چند لايه و توزيع شده را پيشنهاد مي کند ]3[ به نحوي که کليه بخشهاي شبکه اعم از تجهيزات، ارتباطات، اطلاعات و کاربران را در برمي گيرد. در الگوي امنيتي ضمن مشخص کردن سياست امنيتي شبکه که در اصل در مورد اهداف امنيتي بحث مي کند، راهکارهاي مهندسي و پياده سازي امنيت نيز ارئه مي گردد و با آموزشهاي مختلف امنيتي و نظارت مداوم ، امنيت شبکه بطور مداوم ارزيابي مي گردد.
منبع : ترفندستان
با تشکر سعید