فصل دوم- طراحی شبکه و چشمانداز تهدیدات امنیتی
یک شبکه بسته به نوع کار و وسعت آن انواع مختلفی تقسیم میشود که در زیر آنها را بررسی میکنیم:
شبکه محوطه دانشگاه یا Campus-Area Network (CAN)
یک محیط دانشگاهی را در نظر بگیرید که دارای چندین دانشکده است و ارتباط بین آنها از طریق Wireless یا Fibr ایجاد شده است، این نوع شبکه طوری طراحی شدهاند تا به کاربران و یا BYOD Devices خدمات ارائه دهند، BYOD به دشتگاههای نهایی گفته میشود که از خدمات آن شبکه استفاده میکنند و در شکل زیر هم مشخص شده است.
شبکه Wide-Area Network (WAN) یا Cloud
این شبکه با عنوان یک شبکه جهانی که محدودیت جغرافیایی آن بسیار زیاد است و اگر بخواهید از دفتر کار به کارخانه خود در مکان جغرافیای خیلی دور متصل شوید این شبکه میتواند بسیار خوب باشد، مثال بارز آن شبکه جهانی اینترنت است، در این نوع شبکهها میتوانید از خاصیت Cloud هم استفاده کنید و در هر مکان و زمانی که هستید میتوانید به دادههای سازمان خود دسترسی داشته باشید.
شبکه Data Center
این نوع شبکهها شامل سرورهای عظیم و با تعداد بالا هستند که برای ارائه سرویسهای تحت وب مانند Host، Email، Virtulization و... کاربرد دارند.
شبکههای Small office/Home office
به شبکههای با مقیاس کوچک گفته میشود که با نام SOHO هم شناخته میشود، دراین نوع شبکهها کاربران از طریق مودمهای شخصی به ISP مورد نظر متصل میشوند و از خدمات آن استفاده میکنند.
امنیت شبکه برای یک محیط مجازی
به علت گستردگی کار در شبکههای بزرگ باید روشهایی پیدا کرد تا هزینهها کاهش و امنیت دادهها افزایش یابد، به خاطر همین موضوع شرکتهای بزرگ به سوی مجازی کردن سرورهای فیزیکی روی آوردند، به طور مثال شرکت CISCO بعضی از سیستمهای خود را مجازی کرده مانند ASAv که همان ASA Virtual است و در همین کتاب هم پیادهسازی میشود از همین قبیل سیستمها است.
چشم انداز تهدید امنیتی شبکه
تهدیدات امنیتی امروزه بسیار گسترده و پیچیدهتر شده است، در این قسمت سعی کریدم در مورد انگیزههای مهاجمان برای حمله به شبکه، افرادی که مورد حمله قرار میگیرند و چگونگی جلوگیری از حملات صحبت کنیم.
انگیزههای مهاجمان برای حمله به شبکه شما چیست؟
مالی (Financial): یکی از مهمترین دلایل اینکه مهاجمان رو به حمله به شبکهها مختلف میآورند این است که بتوانند از منابع مالی آن سازمان استفاده کنند، مانند هک کردن سایتهای بانکی و به سرقت بردن اطلاعات هزاران کاربر و استراخ از آن.
اختلال (Disruption): در اکثر موارد مهاجم فقط برای ایجاد اختلال در شبکه شروع به هک کردن سایت یا سرور مورد نظر میکند؛ که دلایل مختلفی دارد که مثلاً کاربر مورد نظر برای اینکه خود را مطرح کند شروع به هک کردن سایت مورد نظر میکند و با دادن اطلاعات خود را مطرح میکند.
ژئوپلیتیک (Geopolitical): در این نوع حملات که به جنگ سایبری معروف است، گروهی از هکرها به سرورها مهم یک کشور حمله میکنند تا آنها را از کار بیندازند.
بررسی حملات انکار سرویس
این نوع حملات با نام DOS (Denial-of-Service) و DDOS (Distributed Denial-of-Service) شناخته میشود که اصولاً برای از کار انداختن سرور یا سرورها به کار میرود، تلاش این نوع حملات برای از کار انداختن سرویسهای تحت وب مانند هاستینگ و... است که با این کار سایت مورد حمله برای دقایقی یا برای همیشه از کار خواهد افتاد، تفاوت بین حمله DOS با DDOS اسن است که حمله DOS از طریق یک سیستم انجام میشود ولی حمله DDOS که به عنوان حمله توزیع شده شناخته میشود با استفاده از چندین سرور انجام میشود با این کار روترها، سوئیچها و دیگر دستگاهها متصل به شبکه با افزایش درخواستها مواجه میشوند و همین موضوع باعث میشود کارایی CPU افزایش یابد و دستگاه از کار بیفتد.
روشهای حمله:
1- تداخل در ارتباط کاربران با شبکه.
2- ریسیت کردن کانکشنهای TCP در ارتباطها.
3- ایجاد تداخل در دستگاههای شبکه.
4- ایجاد اختلال در وضعیت روترها مانند اطلاعات مسیریابی.
5- مصرف حداکثری منابع مانند پهنای باند، دیسک و...
بررسی روشهای مهندسی اجتماعی
یکی از بهترین راههای ایجاد نفوذ به شبکه سازمان استفاده از منابع انسانی آن است، در این نوع حملات هکرها با استفاده از روشهایی اطلاعات مهم را از کاربران آن سازمان بدست میآورند، مانند جعل آدرس ایمیل، پنجرههای Pop-Ip در وبسایتها، ساخت وبسایتهای جعلی و از همه مهمتر کلاهبرداری از طریق تلفن است.
چگونه باید در برابر این نوع حملات دفاع کرد:
1- مدیریت کامل رمزهای عبور با استفاده از سیاستها پیچیدگی رمز عبور و تاریخ انقضاء آن، البته نرمافزارهایی مانند ACS میتوانند بسیار کممک کننده باشند، در مورد ACS در ادامه توضیح جامع خواهیم داد.
2- استفاده از احراز هویت دوعاملی.
3- استفاده از انتی ویروسها و ضد فیشینگها.
4- طبقهبندی اطلاعات حساس و غیر حساس.
5- محافظت از زبالههای اداری که دو ریخته میشود.
6- استفاده از نگهبانان امنیتی برای محافظت از سازمان.
روش های موجود برای شناسایی بدافزار
1- Packet captures: جمعآوری، ذخیره و تجزیه و تحلیل بستههایی که در شبکه در حال رد و بدل هستند برای شناسایی بدافزار، البته به علت حجم بالای اطلاعات پیدا کردن آنها بسیار سخت خواهد بود.
2- Snort: یک سیستم شناسایی هوشمند است که یک نرمافزار منبع باز بوده و توسط Sourcefire توسعه یافته است و اکنون بخشی از شرکت سیسکو است که در حال حاضر با نام (IPS , IDS) شناخته میشود، این سیستم برای جلوگیری از تهدیدات، شناسایی، اجرای سیاستهای لازم و.... کاربر دارد.
3- NetFlow: یکی از پروتکلهای اختصاصی شرکت سیسکو است که آن را برای عیبیابی، مانیتورینگ و برای بدست آوردن دادههای آماری ایجاد کرده است، یکی از مهمترین دلایل استفاده از این سیستم برای جلوگیری از حملاتی است که به شبکه شما انجام میشود.
4- بررسی رویدادهای IPS: دستگاههای IPS برای شناسایی حملات کاربرد دارن و بستههای عبوری در شبکه را بررسی میکنند، از IPS برای ارتباط دو شبکه در دو نقطه مختلف میتوان استفاده کرد تا Wormها و دیگر ابزارهای مخرب کارایی نداشته باشند.
5- حفاظت از بدافزار پیشرفته: در این بخش شرکت سیسکو AMP را طراحی کرده که در دستگاههای FirePOWER به کار گرفته شده است، این سیستم از نفوذ پیشگیری میکند و حتی فایلهای درون شبکه را هم بررسی میکند تا در صورت وجود فایلهای مخرب و تهدیدها آنها را شناسایی کند.
6- سیستم جلوگیری از نفوذ نسل بعدی Cisco FirePOWER (NGIPS): راهحل چند لایه محافظت پیشرفته در بازرسی فراهم میکند که این محصول در دستگاههای ASA که در ادامه کار بررسی میکنیم ارائه میشود.