سیر تکاملی امنیت شبکه

سیر تکاملی امنیت شبکه – ایران ترجمه – Irantarjomeh

مقالات ترجمه شده آماده گروه کامپیوتر

مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات

چگونگی سفارش مقاله

الف – پرداخت وجه بحساب وب سایت ایران ترجمه(شماره حساب)ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.comشامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر --مقالات آماده سفارش داده شده پس از تایید به ایمیل شما ارسال خواهند شد.

سیر تکاملی امنیت شبکه

“حمله‌های ماهرانه و روبه افزایش کامپیوتری، نیازمندی های تجاری و اقتصادی و حتی ملاحظات قانونی موجب تغییر دستگاه های امنیت شبکه و همچنین ترتیب منطقی و فیزیکی آنها می‌شود. برای اطمینان از سودمندی، کارآیی و انعطاف پذیری، سیر ترقی راه حل ها باید به سمت درونی، روبه بالا و بیرونی باشند.”

مقدمه

با وجود سرمایه گذاری های قابل توجه در امنیت اطلاعات، سازمانها همچنان از حوادث کامپیوتری رنج می‌برند. همچنین، مدیران اجرایی خواستار کسب نتایج بهتری با استفاده از تعداد کمتری از منابع می‌باشد. به عبارت دیگر، زمانی که توسعه کارآیی و انعطاف پذیری به یک هدف مهم تبدیل شود، بهبود و تقویت سود آوری امنیت شبکه، اگر حتی حالت دستوری نداشته باشد،  بعنوان امری ضروری همچنان مطرح می‌باشد.

این مقاله به چگونگی استخراج راه حل های امنیت شبکه برای رفع این نیازها می‌پردازد. به طور خاص، این مقاله تغییرات مورد نیاز برای دسترسی به طرح های دارای سطح بالای امنیت شبکه (یعنی پیاده سازی یا طبقه بندی) و اجزای جداگانه (دستگاه ها و محصولات) آنها را مورد بررسی قرار می‌دهد. موضوعات مربوطه عبارتند از: ارائه نواحی غیر نظامی‌اینترنت (DMZها)، به کار گیری DMZهای داخلی، معنی واقعی “بازرسی عمیق پاکت”، نقش دروازه‌های امنیتی یگانه و انطباق و تسلط نهایی لایه سوکت‌های امن شبکه های مجازی خصوصی  (SSL VPNs).

سیر تکاملی امنیت شبکه

ارزیابی طرح های امنیت کامپیوتر

ما این نکته را در نظر می‌گیریم  که رسیدن به سودمندی مربوطه، کارآیی و انعطاف پذیری، به هیچ وجه تنها با بکارگیری محدوده‌ای کوچک از طرح های مناسب و جامع، که به طور ذاتی برای این اهداف تنظیم شده اند، مسیر نمی‌باشد.

کامل کردن “محیط”: دیرپای DMZ اینترنت!

نواحی غیر نظامی‌اینترنت (DMZs) مدت های زیادی هم معنی امنیت شبکه در نظر گرفته می‌شدند (شکل ۱). این موضوع مایه تأسف است، زیرا اگرچه آنها ضروری هستند، اما کافی نخواهند بود. موضوع دیگر این است که DMZs اینترنت باید سرعت خود را همگام با تغییر نیازمندی ها حفظ نماید.

بنابراین انتظار داریم سازمان های زیادی به طرح کمکی دولایه ای  نشان داده شده در شکل ۳ مراجعه کنند. یکی از برجسته ترین ویژگی های  این طرح این است که سرور های وب و برنامه های کاربردی دیگر قابل رؤیت نیستند، بلکه بعنوان بخشی از “منابع خادم” بشمار آمده‌اند (که بصورت یکپارچه و شامل سرورهای پایگاه داده می‌باشند). همچنین این ایده فواید قابل توجهی دارد، از جمله:

• افزایش امنیت: در نتیجه طرح محافظت اضافی از سرورهای وب که  در تمامی‌طرح ها به عنوان نقاط ضعیف شناخته می‌شوند، وجود ندارد. این محافظت را دو دیوار آتش متداخل و سرور کمکی ، که لزوما برای محیط برنامه های کاربردی مانند پیشرو عمل می‌کند، بر عهده دارند. سرور کمکی نه تنها شناسایی کاربر را قبل از دسترسی به سرور های وب الزامی‌می‌کند، بلکه بسیاری از حملات  به لایه شبکه را دفع می‌کند و می‌تواند موقعیتی فراهم کند که در آن از فیلتر های بیشتری استفاده شود- با استفاده از خصوصیت پایان دادن به اتصال اولیه، فراهم کردن امکان بازرسی کامل و آنگاه ساخت دوباره بسته ها و برقراری مجدد ارتباط با استفاده از پشته IP خودش.

• امکان شناخت انعطاف پذیری و اقتصاد بهبود یافته: از آنجایی که سرور کمکی با آمادگی بیشتری می‌تواند رابطه یک به چند را با محیط برنامه کاربردی پشتیبانی کند، ممکن است به تعداد سرورهای کمتری نیاز باشد (به طور بالقوه نیاز به برخی از سرور های وب سازمان را رفع می‌کند). علاوه بر آن، این آرایش می‌تواند بدون نیاز به نصب نمونه های جداگانه برنامه کاربردی یا ذخیره مجدد در وضعیت های پرزحمت و ذاتا ناامن، بوسیله هر دو بخش داخلی و خارجی، دسترسی به برنامه های کاربردی یکسان را پشتیبانی کند (نظیر عقب راندن کاربران داخلی از طریق DMZ، یا بیرون راندن آن ها به اینترنت و دوباره بازگرداندنشان از طریق زیر ساخت DMZ، روبرو شدن مشتری/شریک).

• طرح با ساختار DMZ ، مورد نیاز برای سرویسهای محاسباتی دیگر، بصورت بهتری تطبیق می‌شود: در نتیجه می‌تواند نیاز به نگهداری زیر ساخت جداگانه برای هر دستگاه را کاهش دهد. مخصوصا در این خصوص عقیده داریم که تکنولوژی سرویس های وب – با مدل  ارتباطات جزء-به-جزء  خود و نیاز احتمالی برای یک سیستم امنیتی ویژه – با طرح DMZ دو لایه‌ای بهتر منطبق می‌شود. به علاوه، یک طرح دو لایه ای  با آنچه برای پشتیبانی دسترسی از راه دور کارمند و اتصالات نوعی B2B استفاده می‌شد، سازگار است.

سیر تکاملی امنیت شبکه

توسعه”محیط”:دستیابی به جداسازی داخلی

روزهایی که از تنها یک نقطه گلوگاه برای کنترل دسترسی کاربر و بازرسی ترافیک شبکه استفاده میشد، مربوط به مدتها قبل می‌باشد. واقعیت های تجاری خواستار حمایت از کاربران موبایل، شریکان تجاری، میهمانان و کاربران ناپایدار(یعنی کارمندانی که بصورت دوره‌ای  از این حوزه و از داخل اداره کار می‌کنند) می‌باشند. هزاران اتصال به محیط محاسبه گروهی توسط این کاربران باعث ایجاد پیچیدگی آن می‌شود، البته اگر طرح های امنیتی متمرکز بر محیط قدیمی‌را کاملا در هم نشکنند. علاوه بر آن، لازم است  کاربران داخلی  را به حساب آوریم، آنهایی که در جای خود تهدید قابل توجهی به شمار می‌آیند-بدون توجه به اینکه آنها  سوء قصد دارند یا نادانسته به گروگانهایی در یک جنگ بزرگ که یک پرخاشگر به عنوان شخص سوم آن را بر پا کرده، تبدیل شده اند.

محدودیت های واحد تجاری

یک روش برای رسیدن به جداسازی داخلی، ایجاد مرزهای امنیتی بین واحد های تجاری متفاوت است. بطور قابل توجه “واحد های تجاری”، در این متن تنها یک واژه مناسب است و باید بطور آزادانه به عنوان هر یک از مجموعه‌های جمع‌آوری شده منابع محاسباتی تفسیرشود (مثلا، بخش، واحد، محل، ناحیه). به هر حال، هدف اجرای دیوارهای آتش است (و به طور ایده‌آل دیگر کنترل ها، نظیر سیستم های جلوگیری مزاحمت و موتور های آنتی ویروس) تا کاربران بداندیش و همچنین ترافیک را به یک زیرمجموعه از محیط محاسباتی داخلی منحصر کند- تا بدینوسیله با دسترسی گسترده که می‌تواند کل محیط را نابود یا ویروسی کند مقابله شود.

DMZ و مرکز داده ها

به دلیل آنکه بسیاری از سازمانها، مهارت ها و منابع امنیتی توزیع شده کافی را در دسترس ندارند، یک راه معمول آن است که منابع و برنامه های کاربردی متمرکز را به سادگی از جمعیت کاربران عمومی‌جدا کنیم. ضرورتا، این امر موجب ایجاد یک “DMZ مرکز داده‌ها” می‌شود که مانند قبل مجموعه ای از دیوار های آتش و دیگر کنترل های مرتبط را به کار می‌گیرد. گر چه این روش ممکن است برای محدود نگه داشتن کرم مؤثر نباشد، اما به هر حال محافظت قویتری برای سرمایه‌های بحرانی یک شرکت فراهم می‌کند. بعد از آن باید برای ایجاد تعادل بین داشتن یک سیاست نقطه نقطه- و درنتیجه پیچیده و متمرکز مدیریتی- و سیاستی که مدیریت آن آسان است و در عین حال ساده می‌باشد، تلاش کرد. به هر حال، اگر کسی بخواهد به همه چیز دسترسی داشته باشد، داشتن دیوار آتش هیچ سودی ندارد.

ارزیابی دستگاه ها/تکنولوژی امنیت شبکه

اصلاح قرارگیری کنترل های امنیت شبکه قراردادی بی شک فواید چشم گیری دارد، اما تصور اینکه این کار به تنهایی برای توجه کامل به رقابت موجود بین سود آوری و کارآیی کافی باشد، غیر واقعی است. همچنین ارزیابی دستگاه ها و تکنولوژی های خاصی که لایه های منطقی و فیزیکی گوناگونی را نیز در بر دارند مورد نیاز است.

تقویت “محیط”

هنگام افزایش و بهبود کارایی، به دو روش مهم پیشرفت محصولات امنیت شبکه روبرو می‌شویم. اول ترکیب کنترل لایه برنامه کاربردی بزرگ تر و توانایی های  محافظت در برابرحمله می‌باشد. دوم، افزایش همزمان سرویس های اصلی با عملکرد های امنیتی قویتر (به طور مثال آنتی ویروسها، ساخت شبکه خصوصی مجازی، تشخیص مزاحمت، پویش آسیب پذیری)، با هدف ایجاد یک دروازه امنیتی شبکه یگانه.

کنترل و آگاهی لایه برنامه کاربردی

 از نظر تاریخی، محصول عمده امنیت شبکه، دیوار آتش بوده که دسترسی به تصمیمات کنترلی مبنی بر اطلاعات لایه شبکه را ممکن می‌سازد. بطور مثال، ترافیک  بر پورت ۲۵ (یعنی e-mail تحت  SMTP ) بین مبدأ (با آدرس IP “A“) و مقصد (با آدرس IP “B“) مجاز است، اما ترافیک پورت ۸۰ (یعنی وب تحت HTTP) از B به A مجاز نیست. اگر چه این توانایی مفید است، اما در محیط های رایج که از قرارداد های پیچیده و تکنیک های تونل سازی را بکار می‌برند، کافی نیست.

سیر تکاملی امنیت شبکه

محافظت پیشرفته در برابر حمله

آگاهی از برنامه های کاربردی توانایی اصلی  یک دیوار آتش را افزایش می‌دهد تا کنترل دسترسی به مبنای مجوز های پیشین را تقویت کند. گر چه برای ترافیک ایجاد شده توسط این خط‌مشی، هیچ نظری بر خوب بودن یا مضر بودن آن داده نشده است.(به طور مثال شامل یک حمله باشد). این وجه مضمونی یا زمینه‌ای اضافی کنترل دسترسی به “محافظت در برابر حمله” یا حتی ” محافظت دربرابر مزاحمت” مربوط می‌شود. به طور حتم محصولات امنیت شبکه همیشه مهارت هایی در این زمینه دارند، اما بسیار محدود شده و به طور چشمگیری مبنی بر توقف حملات سرکاری لایه شبکه می‌باشد.

دروازه های امنیتی با سرویس چندگانه

مانند ترکیب دیوار آتش و محافظت در برابر مزاحمت یا حمله، هدف دروازه امنیت چند سرویسی (MSG) افزایش کارایی با تجمع سرویس های امنیتی بیشتر در یک دستگاه فیزیکی تنها می‌باشد. توجه داشته باشید که این ایده توان زیادی برای بهبود کارایی در خود را داشته و بر این اساس ممکن است نیاز کمتری به محصولات بزرگ مستقل و زیر ساخت های پیشتیبان آنها وجود داشته باشد (به طور مثال، پورت های سویچ، پایگاه داده ها، سرورهای مدیریت). با این وجود، در مقایسه با سناریوی ISP/دیوار آتش این حقیقت به چشم می‌خورد که این مفهوم دارای مشکلات بالقوه خاص خود می‌باشد.

گسترش “محیط”: توسعه از بیرون

از یک دیدگاه سطح بالا، بخش بعدی می‌بایست نسبت به انتقال نیازهایی کاری، در جهت بحساب آوردن بهتر شرکتهای تعمیم یافته دارای نیروی کار پویا و کاربران شخص ثالت همراه با میزان قابل توجهی از دسترسی میان‌ارتباطی آنها اقدام نماید. عملکرد این موضوع می‌توانست به طور تقریبی در بخش اول این مقاله (“ارزیابی طراحی امنیت شبکه”)، که در اصل بر افزایش امنیت بوسیله بهبود مکان و قراردادن کنترل های گوناگون تمرکز داشت، قرار گیرد. اگر هدف ما این بود که در مورد مکانیزم های امنیتی نقطه پایانی، نظیر دیوار های آتش شخصی و عوامل آنتی ویروس بحث کنیم، آنگاه مورد فوق می‌توانست مد نظر ما باشد. با این حال، تکنولوژیی که ما قصد داریم به آن بپردازیم بر پایه اشتراک  موضوعات زیادی قرار داشته و در نتیجه برای پوشش دادن این موضوع  در اینجا بسیار مناسب است. خصوصا،SSL VPNs  کمک می‌کند تا به هنگامی که از مزیتهای دیدگاههای قبلی سود می‌بریم، بتوانیم محیط محاسباتی را بطور ایمن به سه هدف اصلی خود یعنی کارآیی، انعطاف پذیری و سودآوری و تاثیر امنیت گسترش دهیم.

انقلاب SSL VPN

در گذشته، مکانیزم اصلی برای دسترسی امن از راه دور، تکنولوژی ساخت شبکه خصوصی مجازی IPSec بوده است. اما به خاطر اجبار در گسترش، مدیریت و نگهداری یک جزء نرم افزاری بر هر گره، از نیاز به برقراری ارتباط با  IPSec پرهیز شده است. همچنین تحت تأثیر ناتوانی در فراهم کردن مؤثر دسترسی که به صورت نقطه نقطه   (یعنی دارای” گستردگی”  کمتر) از یک شبکه کامل است، قرار گرفته است. در نتیجه، بسیاری از سازمان ها استفاده از راه حل های دسترسی از راه دور IPSec  را به بخش نسبتا کوچکی از جمعیت کاربران خود محدود کرده اند.

سیر تکاملی امنیت شبکه

نتیجه گیری

حمله‌های کامپیوتری مصنوعی در حال افزایش، نیازهای اقتصادی و تجاری و حتی ملاحظات قانونی، موجب تغییرات دستگاه های امنیتی شبکه و ترتیب منطقی و فیزیکی آنها می‌شوند. برای تضمین سودآوری، کارآیی و انعطاف پذیری، راه حل ها باید به صورت درونی، بیرونی و رو به بالا بوجود آیند. سازمان ها باید این تغییرات را تصدیق کرده و آنها را بکار گیرند- و یا در غیر این صورت نتایج منفی که همراه با مدیریت نادرست خطرات وابسته به اجرای یک محیط محاسباتی مدرن می‌باشد را بپذیریم.