فصل دوم- طراحی شبکه و چشم‌انداز تهدیدات امنیتی

یک شبکه بسته به نوع کار و وسعت آن انواع مختلفی تقسیم می‌شود که در زیر آنها را بررسی میکنیم:
شبکه محوطه دانشگاه یا Campus-Area Network (CAN)
یک محیط دانشگاهی را در نظر بگیرید که دارای چندین دانشکده است و ارتباط بین آنها از طریق Wireless یا Fibr ایجاد شده است، این نوع شبکه طوری طراحی شده‌اند تا به کاربران و یا BYOD Devices خدمات ارائه دهند، BYOD به دشتگاه‌های نهایی گفته می‌شود که از خدمات آن شبکه استفاده می‌کنند و در شکل زیر هم مشخص شده است.

شبکه Wide-Area Network (WAN) یا Cloud
این شبکه با عنوان یک شبکه جهانی که محدودیت جغرافیایی آن بسیار زیاد است و اگر بخواهید از دفتر کار به کارخانه خود در مکان جغرافیای خیلی دور متصل شوید این شبکه می‌تواند بسیار خوب باشد، مثال بارز آن شبکه جهانی اینترنت است، در این نوع شبکه‌ها می‌توانید از خاصیت Cloud هم استفاده کنید و در هر مکان و زمانی که هستید می‌توانید به داده‌های سازمان خود دسترسی داشته باشید.

شبکه Data Center

این نوع شبکه‌ها شامل سرور‌های عظیم و با تعداد بالا هستند که برای ارائه سرویس‌های تحت وب مانند Host، Email، Virtulization و... کاربرد دارند.

شبکه‌های Small office/Home office
به شبکه‌‌های با مقیاس کوچک گفته می‌شود که با نام SOHO هم شناخته می‌شود، دراین نوع شبکه‌ها کاربران از طریق مودم‌های شخصی به ISP مورد نظر متصل می‌شوند و از خدمات آن استفاده می‌کنند.

امنیت شبکه برای یک محیط‌ مجازی
به علت گستردگی کار در شبکه‌های بزرگ باید روش‌هایی پیدا کرد تا هزینه‌ها کاهش و امنیت داده‌ها افزایش یابد، به خاطر همین موضوع شرکت‌های بزرگ به سوی مجازی کردن سرور‌های فیزیکی روی ‌آوردند، به طور مثال شرکت CISCO بعضی از سیستم‌های خود را مجازی کرده مانند ASAv که همان ASA Virtual است و در همین کتاب هم پیاده‌سازی می‌شود از همین قبیل سیستم‌ها است.
چشم انداز تهدید امنیتی شبکه
تهدیدات امنیتی امروزه بسیار گسترده و پیچیده‌تر شده است، در این قسمت سعی کریدم در مورد انگیزه‌های مهاجمان برای حمله به شبکه، افرادی که مورد حمله قرار می‌گیرند و چگونگی جلوگیری از حملات صحبت کنیم.
انگیزه‌های مهاجمان برای حمله به شبکه شما چیست؟
    مالی (Financial): یکی از مهمترین دلایل اینکه مهاجمان رو به حمله به شبکه‌ها مختلف می‌آورند این است که بتوانند از منابع مالی آن سازمان استفاده کنند، مانند هک کردن سایت‌های بانکی و به سرقت بردن اطلاعات هزاران کاربر و استراخ از آن.
    اختلال (Disruption): در اکثر موارد مهاجم فقط برای ایجاد اختلال در شبکه شروع به هک کردن سایت یا سرور مورد نظر می‌کند؛ که دلایل مختلفی دارد که مثلاً کاربر مورد نظر برای اینکه خود را مطرح کند شروع به هک کردن سایت مورد نظر می‌کند و با دادن اطلاعات خود را مطرح می‌کند.
    ژئوپلیتیک (Geopolitical): در این نوع حملات که به جنگ سایبری معروف است، گروهی از هکر‌ها به سرور‌ها مهم یک کشور حمله می‌کنند تا آنها را از کار بیندازند.
بررسی حملات انکار سرویس
این نوع حملات با نام DOS (Denial-of-Service) و DDOS (Distributed Denial-of-Service)  شناخته می‌شود که اصولاً برای از کار انداختن سرور یا سرور‌ها به کار می‌رود، تلاش این نوع حملات برای از کار انداختن سرویس‌های تحت وب مانند هاستینگ و... است که با این کار سایت مورد حمله برای دقایقی یا برای همیشه از کار خواهد افتاد، تفاوت بین حمله DOS با DDOS اسن است که حمله DOS از طریق یک سیستم انجام می‌شود ولی حمله DDOS که به عنوان حمله توزیع شده شناخته می‌شود با استفاده از چندین سرور انجام می‌شود با این کار روتر‌ها، سوئیچ‌ها و دیگر دستگاه‌ها متصل به شبکه با افزایش درخواست‌ها مواجه می‌شوند و همین موضوع باعث می‌شود کارایی CPU افزایش یابد و دستگاه از کار بیفتد.
روش‌های حمله:
1-    تداخل در ارتباط کاربران با شبکه.
2-    ریسیت کردن کانکشن‌های  TCP در ارتباط‌ها.
3-    ایجاد تداخل در دستگاه‌های شبکه.
4-    ایجاد اختلال در وضعیت روتر‌ها مانند اطلاعات مسیریابی.
5-    مصرف حداکثری منابع مانند پهنای باند، دیسک و...

بررسی روش‌های مهندسی اجتماعی
یکی از بهترین‌ راه‌های ایجاد نفوذ به شبکه سازمان استفاده از منابع انسانی آن است، در این نوع حملات هکر‌ها با استفاده از روش‌هایی اطلاعات مهم را از کاربران آن سازمان بدست می‌آورند، مانند جعل آدرس ایمیل، پنجره‌های Pop-Ip در وب‌سایت‌ها، ساخت وب‌سایت‌های جعلی و از همه مهمتر کلاهبرداری از طریق تلفن است.
چگونه باید در برابر این نوع حملات دفاع کرد:
1-    مدیریت کامل رمز‌های عبور با استفاده از سیاست‌ها پیچیدگی رمز عبور و تاریخ انقضاء آن، البته نرم‌افزار‌‍‌هایی مانند ACS می‌توانند بسیار کممک کننده باشند، در مورد ACS در ادامه توضیح جامع خواهیم داد.
2-    استفاده از احراز هویت دوعاملی.
3-    استفاده از انتی ویروس‌ها و ضد فیشینگ‌ها.
4-    طبقه‌بندی اطلاعات حساس و غیر حساس.
5-    محافظت از زباله‌های اداری که دو ریخته می‌شود.
6-    استفاده از نگهبانان امنیتی برای محافظت از سازمان.
روش های موجود برای شناسایی بدافزار
1-    Packet captures: جمع‌‍‌آوری، ذخیره و تجزیه و تحلیل بسته‌هایی که در شبکه در حال رد و بدل هستند برای شناسایی بد‌افزار، البته به علت حجم بالای اطلاعات پیدا کردن آنها بسیار سخت خواهد بود.
2-    Snort: یک سیستم شناسایی هوشمند است که یک نرم‌افزار منبع باز بوده و توسط Sourcefire توسعه یافته است و اکنون بخشی از شرکت سیسکو است که در حال حاضر با نام (IPS , IDS) شناخته می‌شود، این سیستم برای جلوگیری از تهدیدات، شناسایی، اجرای سیاست‌های لازم و.... کاربر دارد.
3-    NetFlow: یکی از پروتکل‌های اختصاصی شرکت سیسکو است که آن را برای عیب‌یابی، مانیتورینگ و برای بدست آوردن داده‌های آماری ایجاد کرده است، یکی از مهمترین دلایل استفاده از این سیستم برای جلوگیری از حملاتی است که به شبکه شما انجام می‌شود.
4-    بررسی رویدادهای IPS: دستگا‌ه‌های IPS برای شناسایی حملات کاربرد دارن و بسته‌های عبوری در شبکه را بررسی می‌کنند، از IPS برای ارتباط دو شبکه در دو نقطه مختلف می‌توان استفاده کرد تا Wormها و دیگر ابزارهای‌ مخرب کارایی نداشته باشند.
5-    حفاظت از بدافزار پیشرفته: در این بخش شرکت سیسکو AMP را طراحی کرده که در دستگاه‌های FirePOWER به کار گرفته شده است، این سیستم از نفوذ پیشگیری می‌کند و حتی فایل‌های درون شبکه را هم بررسی می‌کند تا در صورت وجود فایل‌های مخرب و تهدیدها آنها را شناسایی کند.
6-    سیستم جلوگیری از نفوذ نسل بعدی Cisco FirePOWER (NGIPS): راه‌حل چند لایه محافظت پیشرفته در بازرسی فراهم می‌کند که این محصول در دستگاه‌های ASA که در ادامه کار بررسی می‌کنیم ارائه می‌شود.