مفاهیم امنیت شبکه

مفاهیم امنیت شبکه: امنیت شبکه از تصدیق هویّت کاربر و معمولاً توسط یک نام کاربری و یک رمز عبور آغاز می شود. از آنجایی که این موضوع تنها نیازمند به یک چیز در کنار نام کاربری ( یعنی رمز عبور) است، لذا گاهی اوقات تحت عنوان «احراز هویت تک عامله» نامیده می شود. با «احراز هویت دو عامله» برخی از چیزهایی که شما دارید، نیز استفاده می شود (به عنوان مثال یک توکن امنیتی یا قفل سخت افزاری، یک کارت ATM و یا تلفن همراه شما)، و یا با «احراز هویت سه عامله» بعضی از چیزهایی که معرف شماست نیز استفاده می شود (مانند اثر انگشت).

پس از تصدیق هویت، دیوارآتشین(فایروال) اجرای سیاست‌های دسترسی را اعمال می کند؛ از قبیل اینکه چه خدماتی مجاز هستند که در دسترس کاربران شبکه قرار بگیرند. اگر چه برای جلوگیری از دسترسی غیر مجاز، این اجزا ممکن است برای بررسی اجزای مضر بالقوه، مانند کرم‌های کامپیوتری یا تروجان هایی که از طریق شبکه منتقل می شوند، شکست بخورند. نرم‌افزارهای آنتی ویروس و یا سیستم‌های پیشگیری از نفوذ (IPS) کمک شایانی به شناسایی و مهار عملکرد چنین نرم‌افزارهای مخربی می کند. یک سیستم تشخیص نفوذ مبتنی بر آنومالی نیز ممکن است بر شبکه و ترافیک موجود در آن از حیث محتوا یا رفتار ناخواسته و مشکوک و یا سایر ناهنجاری‌ها نظارت داشته باشد تا از منابع محافظت کند؛ به عنوان مثال از حمله ممانعت از سرویس دهی و یا دسترسی به فایل‌های کارمندی در زمان‌های غیر متعارف. حوادث منحصربه‌فردی هم که در شبکه رخ می دهد ممکن است به منظور بازبینی و تجزیه و تحلیل سطح بالاتر در آینده، ثبت گردد.

ارتباط بین دو میزبان که از یک شبکه استفاده می کنند، می تواند به منظور حفظ حریم خصوصی رمزنگاری شود.

کندوهای عسل (Honeypots) که اساساً منابع فریبنده قابل دسترس در شبکه هستند، می توانند به منظور نظارت و ابزارهای هشدار زود هنگام در شبکه مستقر شوند تا نشان دهند که چه وقت یک کندوی عسل به طور معمول قابل دستیابی نمی‌باشد. تکنیک هایی که مهاجمان در تلاش برای دستیابی به این منابع فریبنده به کار می بندند، در طول حمله و پس از آن مورد مطالعه قرار می گیرند تا نگاهی بر تکنیک‌های بهره برداری جدید وجود داشته باشد. چنین تجزیه و تحلیل هایی می تواند به منظور تأمین امنیت بیشتر یک شبکه واقعی توسط روش کندوی عسل، مورد استفاده قرار خواهد گرفت.

مدیریت امنیت

مدیریت امنیت: مدیریت امنیت برای شبکه ها، برای انواع شرایط مختلف، متفاوت است. یک خانه کوچک یا یک دفتر تنها به یک امنیت ابتدایی نیاز دارد؛ در حالی که کسب و کارهای بزرگ نیازمند محافظت در سطح بالا و داشتن نرم‌افزارها و سخت افزارهای پیشرفته برای جلوگیری از حملات بدخواهانه ای چون هک کردن و ارسال ایمیل‌های ناشناس هستند. [3]

برای منازل کوچک:

_   از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه ابتدایی استفاده کنید.

_    برای کاربران ویندوز، نرم‌افزار آنتی ویروس ابتدایی مناسب است. یک برنامه ضد جاسوسی نیز ایده خوبی می باشد. تعداد بسیاری از انواع دیگر آنتی ویروس‌ها یا برنامه‌های ضد جاسوسی نیز وجود دارد که می تواند مد نظر قرار بگیرد.

_   هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده کنید. همچنین سعی کنید، از بالاترین امنیتی که توسط دستگاه‌های بی سیم شما پشتیبانی می شود، استفاده کنید؛ مانند WPA2 با رمزنگاری AES .

_    اگر از اتصال بی سیم استفاده می کنید، نام شبکه پیش فرض در SSID را تغییر دهید. همچنین امکان انتشار در SSID را غیر فعال کنید. زیرا این قابلیت‌ها برای استفاده در منزل غیرضروری است. اگر چه بسیاری از کارشناسان امنیتی این موضوع را نسبتاً بی فایده در نظر می گیرند.

_   فیلترسازی آدرس MAC را فعال کنید تا اینکه تمام اتصال‌های دستگاه‌های MAC موجود در شبکه خانگی به مسیریاب شما ثبت گردد.

_   به همه دستگاه‌های موجود در شبکه IP ثابت اختصاص دهید.

_    امکان تشخیص اتصال ICMP در مسیریاب را غیر فعال کنید. . [3]

_   برای کسب و کارهای متوسط:

_    از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه نسبتاً قوی استفاده کنید.

_ از نرم‌افزارهای آنتی ویروس قوی و نرم‌افزارهای امنیت اینترنت استفاده کنید.

_  برای احراز هویت، از رمزهای عبور قوی استفاده کرده و هر دو هفته یکبار یا ماهانه آنها را تغییر دهید.

_  هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده نماید.

_   میزان آگاهی کارکنان در خصوص امنیت فیزیکی را بالا ببرید. [3]

برای دولت بزرگ:

_    از یک دیوار آتش و پروکسی قوی استفاده کنید تا افراد ناخواسته را دور نگه دارید.

_     از یک بسته حاوی نرم‌افزارهای آنتی ویروس قوی و نرم‌افزارهای امنیت اینترنت استفاده کنید.

_    رمزنگاری قوی را به کار ببندید.

_    فهرست سایر موارد را مسدود می کند.

_    همه سخت افزارهای شبکه در محل‌های امنی وجود دارند.

_    همه میزبان‌ها می بایست در یک شبکه خصوصی باشند تا از زاویه بیرونی، نامرئی به نظر آیند.

_   از خارج و از داخل، nvnbvدر یک DMZ یا یک دیوار آتش قرار دهید.

حصار امنیتی را برای علامت گذاری محیط و تخصیص محدوده‌های بی سیم به آنها، به کار ببندید.

منابع تهدید شبکه

انواع و منابع تهدید شبکه: در حال حاضر ما آنقدر اطلاعات در زمینه شبکه گذاری داریم که می توانیم وارد جنبه های امنیتی آن شویم. اول از همه ما وارد انواع تهدیدهایی که شبکه با آنها مواجه است می شویم و آنگاه برخی از کارهایی که می توان برای حفاظت از خود در مقابل آنها انجام دهیم ،توضیح می دهیم.

Denial-of-Service

احتمالاً حملات DoS خطرناکترین تهدیدها است. آنها بدین دلیل خطرناکترین هستند که به آسانی می توانند اجرا شوند ، به سختی رهگیری می شوند (برخی مواقع غیرممکن است) ، و سرپیچی از درخواست حمله کننده آسان نیست حتی اگر این درخواست غیر قانونی باشد.

منطق یک حمله DoS ساده است . درخواستهای زیادی به ماشین ارسال می شود که از اداره ماشین خارج است. ابزارهای در دسترسی در محافل زیر زمینی وجود دارد که که این کار را به صورت یک برنامه در می آورند و به آن می گویند در چه میزبانی درخواستها را منتشر کنند.

برخی کارهایی که می توان برای کاهش خطر مواجه شدن با یک حمله DoS ( رد درخواست) انجام داد عبارتند از:

عدم اجرای خدمات قابل مشاهده به صورت جهانی در نزدیکی ظرفیت اجرایی

استفاده از فیلترینگ بسته برای جلوگیری از بسته های جعل شده در ورودی به فضای آدرس شبکه شما .

مشخصاً بسته های جعلی شامل آنهایی هستند که ادعا می کنند از طرف میزبان شما آمده‌اند ،بر اساس RFC1918 برای شبکه های خصوصی و شبکه loopback آدرس دهی شده اند.

موارد مربوط به امنیت سیستمهای عامل میزبان خود را به روز کنید 

سیستم های ترکیبی

4سیستمهای ترکیبی Hybrid systems: در یک تلاش برای هماهنگ کردن مسیرهای لایه کاربردی با انعطاف پذیری و سرعت فیلترینگ بسته ، برخی از فروشندگان سیستمهایی را ایجاد کردند که از هر دو اصل استفاده می کنند.در چنین سیستمهایی ،اتصالات جدید باید در لایه کاربردی تایید وبه تصویب برسند. زمانی که این اتفاق افتاد ،بقیه اتصال به لایه session فرستاده می شود، که در آن برای فیلترهای بسته اتصال را کنترل می کنند تا مطمئن شوند که تنها بسته هایی که بخشی از یک محاوره در حال پیشرفت ( که همچنین مجاز و مورد تایید هستند) عبور میکنند.

سایر احتمالات شامل استفاده از هر دو پراکسی فیلترینگ بسته و لایه کاربردی است. مزیتهای این حالت شامل ،ارائه معیاری برای محافظت از ماشینهای شما در مقابل خدماتی که به اینترنت ارائه میکند (همانند یک سرور عمومی وب ) و همچنین ارائه امنیت یک مسیر لایه کاربردی به شبکه داخلی است.[3]

هک

هک (HACK) در لغت به معنای همان هک کردن روی چیزی یا عامیانه تر تغییر و نفوذ در یک چیزی بکار می رود و همانطور که حدس می زنید هک تاریخچه قدیمی دارد و فقط مختص کامپیوتر نیست ولی چون در کامپیوتر روش و نفوذ ها ملموس تر هست بیشتر منظور از هک ، هک کردن کامپیوتر است. اولین هک و گروه هک کامپیوتری طبق مستندات تاریخی توسط باشگاه ( آشوب کامپیوتری ) در سال ۱۹۷۸ و در آلمان به وجود می آید.
در سال ۱۹۸۴ با زیاد شده هک و هکر ها مجلس سنا قانون دستبرد و تقلب کامپیوتری را تصویب و بر طبق آن نفوذ غیر قانونی به سیستم های کامپیوتری یک جرم شناخته می شود. در سال ۱۹۸۸ کوین میتنیک بزرگترین هکری که دنیا تا به حال به خودش دیده شروع به کنترل پیام خای الکترونیکی MCI ، مرکز محاسبات عددی مقام های رسمی امنیتی می کند و باعث خسارت ۴ میلیون دلاری در آن زمان شد ودزدیدن یک ابر کامپیوتر و دست یابی به کدهای امنیتی آن از طریق کامپیوتر های دانشگاه لس آنجلس و انگلستان می شود . پلیس اینترپل پس از چند ماه تلاش بالاخره کوین را پیدا می کند ، کوین حدود ۵ ماه را در زندان و ۶ ماه را هم در یک بخش بازپروری سپری می کند و حتی ۲ سال او را از دست زدن به کیبورد و موس  قدغن می کنند. [4]