بنام خدا فصل 9 معماري امنيت شبکه اهداف شناخت مکانيزم هاي متعدد امنيتي: امنيت فيزيکي امنيت پروتکل و کاربرد رمزنگاري /رمزگشايي امنيت DMZو دسترسي راه دور نحوه تعيين ارتباط ميان مکانيزم ها و ساير مولفه هاي معماري نحوه توسعه معماري امنيتي اصول در اينجا امنيت شبکه را حفاظت از شبکه و سرويس هاي آن در برابر موارد زير تعريف مي کنيم: دسترسي غير مجاز تغييرات تخيريب افشاء انکار سرويس()DoS امنيت شبکه اطمينان مي دهد که شبکه عملکرد هاي حياتي خود را اجرا مي کند و هيچ تاثير مخرب جانبي نيز بوجود نمي آيد. :Network Privacy زيرمجموعه اي از امنيت شبکه است که بر محافظت شبکه و سرويس هاي آن در برابر دسترسي غير مجاز و افشاء تاکيد مي کند .به عبارتي حفاظت از تمام کاربران ،کاربردها، تجهيزات و داده هاي شبکه انجام مي شود. اصول(ادامه) سه سرويس امنيتي ارائه شده شامل موارد زير است: حفاظت در برابر جامعيت محرمانگي دردسترس بودن شبکه و منابع و داده هاي سيستم عدم انکار کنترل دسترسي امنيت در شبکه بايد منابع شبکه را از غيرفعال شدن، دزديده شدن ،تغيير داده شدن و يا خريب شدن حفاظت کند. توسعه طرح امنيت و Privacyشبکه براي توسعه معماري امنيت ،بايد به سواالت زير پاسخ داده شود: .1با اضافه کردن مکانيزم هاي امنيتي ميخواهيم چه چيزهايي را حل، اضافه يا متمايز شويم؟ .2آيا مکانيزم هاي امنيتي براي اين شبکه کافي است؟ بايد اطالعات کافي از آناليز حمالت در اختيار داشت تا بتوان به درستي تصميم گيري کرد که تا چه حدي به امنيت نياز داريم. با رعايت موارد زير مي توان سادگي را در امنيت شبکه رعايت کرد : پياده سازي مکانيزم هاي امنيتي فقط در نواحي انتخاب شده شبکه (در شبکه دسترسي يا شبکه توزيع) استفاده از يک يا چند مکانيزم محدود انتخاب مکانيزم هايي که که پياده سازي ،اجرا ئ نگهداري آ«ها راحت تر بوده معماري امنيت چندين ناحيه رايج که تحت تاثير معماري امنيتي قرار مي گيرند شامل موارد زير است: کدام منابع بايد محافظت شوند؟ در برابر کدام مشکالت (حمالت) حفاظت انجام مي شود؟ احتمال وقوع هر حمله چقدر است؟ معماري امنيت مي تواند چندين سطح از امنيت را در چندين ناحيه امنيتي داشته باشد. مديريت امنيت و Privacy دو مولفه کلي در آمادگي امنيت وجود دارد: تحليل حمالت سياست ها و روال ها اولين گام در توسعه امنيت شبکه ،درک حمالت احتمالي و نحوه مقابله در برابر اين حمالت است. تحليل حمالت تحليل حمالت ،پروسه اي است که مشخص مي کند کدام مولفه هاي سيستم بايد محافظت شوند و اين مولفه ها در برابر چه نوع حمالتي (ريسکي) بايد محافظت شوند. تحليل حمالت تحليل حمالت معموًال شامل .1تعيين دارائي هايي ست که بايد محافظت شوند .2ارزيابي حمالت محتمل بر روي آنها. دارايي مي تواند شامل موارد زير باشد: سخت افزار کاربران(ايستگاه کاري)PC/ سرورها تجهيزات خاص تجهيزات شبکه (هاب ها ،سوييچ ها ،روترها و )OAM&P نرم افزارها(سيستم عامل ،برنامه هاي کاربران) سرويس ها(کاربردها ،سرويس هاي )IP داده(محلي /سراسري ،ذخيره شده ،آرشيو شده ،پايگاه داده ،داده هاي در حال انتقال) تحليل حمالت(ادامه) حمالت مي توانند شامل موارد زير باشند: دسترسي غير مجاز به داده /سرويس /نرم افزار/ سخت افزار افشاي غيرمجاز اطالعات انکار سرويس دزديدن داده /سرويس /نرم افزار /سخت افزار تحريف داده /سرويس /نرم افزار /سخت افزار ويروس ها ،کرم ها ،اسب هاي تروجان آسيب هاي فيزيکي مثالي از برگه تحليل حمالت سياست ها و روال ها سياست ها و روال ها بيان قوانين سيستم ،شبکه ،دسترسي و استفاده از اطالعات هستند که به هدف کاهش آسيب در برابر حمالت امنيتي تعريف مي شوند. سياست ها و روال ها بيان مي کنند چگونه از سيستم استفاده شود تا ريسک امنيتي را به حداقل برساند ،سپس اين موارد مستند مي شوند. سياست ها و روال ها براي کاربران مشخص مي کنند که حمالت امنيتي کدام ها هستند و چه کاري ميتوان براي کاهش ريسک انجام داد و همچنين نشان مي دهند توجه نکردن به آنها چه عواقبي دارد. در سطح باال ،سياست ها و روال ها بيان کننده فلسفه کلي سازمان ،مانند ”رد کردن موارد خاص و پذيرش کليه موارد“ يا ”پذيرش موارد خاص و رد کردن ساير موارد “ ،هستند. مثالي از فلسفه کلي سازمان سياست ها و روال ها سياست ها و روال ها شامل موارد زير مي شوند: شرح (Privacyمانيتورينگ ،ثبت وقايع و دسترسي ها) شرح ( Accountabilityمسئوليت ها ،بازرسي ها) شرح احراز هويت ها(سياست کلمات عبور ،دسترسي هاي راه دور) گزارش گيري از تخلف ها(اطالعات تماس ،پروسيجر ها) مثال هايي از سياست ها و روال هاي امنيتي شامل شرح استفاده هاي مجاز ،روال اداره وقايع امنيتي ،سياست هاي پيکربندي -تحريف و ليست کنترل دسترسي ()ACL سياست ها و روال ها در زير ليستي از سياست ها و روال هاي که مي توانند به عنوان نقطه شروع معماري امنيتي استفاده شوند: دسترسي کاربران به سيستم: اجازه دسترسي احراز هويت کاربر و کلمه عبور وي آموزش و قبول مسئوليت اعالم اينکه تجهيزات شرکت جز دارايي هاي شخصي افراد نيستند. پيش بيني حقوق privacy سياست ها و روال ها مهارت ها و نيازمندي ها مديريتي براي گواهي نامه کاربران سطح باال و مديران مديريت و پيکربندي سيستم نگهداري حفاظت در برابر ويروس /تروجان بروزرساني سيستم عامل و کاربردها مانيتورينگ CERTبراي جلوگيري از هک بررسي اينکه چه کساني قادر به اتصال تجهيز به شبکه هستند و چه کساني نمي توانند تجهيز به شبکه متصل کنند مديريت صفحات اعالم در طول زمان ورود به سيستم و باال آمدن سيستم تعيين اينکه از چه داده هايي بايد پشتيبان گرفته شوند تعيين اينکه چه داه هايي در خارج از سايت بايد ذخيره شوند توسعه برنامه هاي احتمالي تعيين برنامه کاري ،در صورت وقوع حمله مکانيزم هاي سياست ها و روال ها در اين بخش به مباحث زير مي پردازيم: امنيت و آگاهي فيزيکي امنيت پروتکل ها و کاربردها رمزنگاري /رمزگشايي امنيت نواحي امنيت دسترسي از راه دور امنيت و آگاهي از بخش فيزيکي امنيت فيزيکي شامل حفاظت تجهيزات از دسترسي ،آسيب و دزديده شدن فيزيکي مي شود. روش هاي تامين امنيت فيزيکي شامل موارد زير مي شود: استفاده از اتاق هايي با کنترل دسترسي(مثًال دسترسي از طريق کليد هاي کارتي) براي تجهيزات مشترک (مانند سرورها) و تجهيزات خاض منظوره وجود منبع برق پشتيبان تهيه ذخيره و آرشيو فايل ها خارج از سايت وجود سيستم اعالم خطر (مانند آتش و ورود غير مجاز) امنيت پروتکل ها و کاربردها مکانيزم هاي فراهم کردن امنيت پروتکل ها و کاربردها شامل موارد زير مي شود: IPsec SNMP فيلتر کردن بسته ها IPsec IPsecپyروتکلي اسyت کyه مکyانيزم هyايي بyراي احyراز هyويت ،رمزنگyاري/ رمزگشyايي ميان تyجهيزات yدر اليه شبکه فرyاهم yميکند.y مکyانيزم IPsecاز ) authentication header (AHو encapsulating security ) payload (ESPتشکيل شده است. IPsecدو حالت عملياتي دارد Transport :و Tunnel در حyالت Transport ، IP payloadبyا اسyتفاده از ESPرمزنگyاري مي شyود درحاليکه IP headerرمز نشده باقي مي ماند. در حyالت ،Tunnelاز IPsecبyراي بسyته بنyدي بين دو VPNاسyتفاده ميشود ،پروسه شامل موارد زير ميشود: تونل هاي IPsecبين دروازه هاي VPNايجاد ميشود. بسته هاي IPبا ESPرمزنگاري ميشوند. سپس بسyته هyا بyا سyاير بسyته هyا انکپسyوله شyده و آدرس مقصyد آن ه مي شود. براyبر با آدرyس اyنتهاي تونل yقرار دyاد y در پايyان تونyل ،بسyته اصyلي از کپسyول خyارج شyده و رمyز گشyايي مي شوyد و به سyمت مقصyد yاصلي خyود ارyسالyمي گردyد. SNMPv3 SNMPنسخه 3در مدل امنيتي مبتني بر کاربر ( )USMتوصيف شده است که از داده در برابر تحريف ، masquerade ،افشاء(شنود غير مجاز) ،و تحريف جرياني از اطالعات محافظت مي کند. SNMPنسخه 3داراي قابليت هاي امنيتي زير است: بررسي پيام (جامعيت داده) و بررسي هويت کاربر (احراز هويت مبدا داده) و محرمانگي داده (از طريق authProtocol، authKey، privProtocolو )privKey شناسايي پيام هاي SNMPکه از محدوده زماني خود عبور کرده اند(از طريق snmpEngineID، snmpEngineBootsو ) snmpEngineTime (SNMPv3ادامه) امنيت SNMPهمچنين شامل مکانيزم هاي احراز هويت()authProtocol و مکانيزم هاي رمزنگاري /رمزگشايي ( )privProtocolمي شود: (HMAC-MD5-96 تابع درهم ساز MD5 128بيتي ،مد HMAC که به 96بيتي تبديل شده است ) (HMAC-SHA-96 الگوريتم درهم ساز امن) CBC-DES SNMPهمچنين امکان تغيير ديدهاي MIBوحالت هاي دسترسي را ميدهد .براي مثال ،مي توان ديد هاي متفاوتي براي گروه هاي متفاوت تعريف کرد و حالت هاي دسترسي (فقط خواندني ،خواندني و نوشتني) براي گروه هاي متفاوت تعريف و به ديد هاي متفاوت انتساب داد. فيلتر کردن بسته ها فيلتر کردن بسته ها ،مکانيزمي در تجهيزات شبکه است که بطور صريح دسترسي بسته ها را در نقاط استراتژيکي قبول يا رد مي کند .از فيلتر معموًال براي رد کردن بسته ها از يک مبدا يا به يک مقصد (آدرس يا پورت) مشخص استفاده ميشود. رمزنگاري /رمزگشايي رمزنگyاري/رمزگشyايي مکyانيزم امنيyتي اسyت کyه در آن الگyوريتم هyاي رمyز بyه همyراه کليyدهاي محرمانyه بyراي رمزکyردن داده اسyتفاده مي شyوند ،بyا اين کyار داده حyتي در صyورت شyنود، ديگرخوانyدني نيسyت .داده در نyزديکي مقصyد رمزگشايي مي شود. رمزنگاري /رمزگشايي(ادامه) در مواقعي که ساير راهکارهاي امنيتي نمي توانند جلوي دسترسي کاربران غيرمجاز را بگيرند ،رمزنگاري/رمزگشايي با حفاظت اطالعات کار را راحت تر مي کند. دو دسته کلي رمزنگاري/رمزگشايي وجود دارد: .1کليد عمومي .2کليد خصوصي نمونه اي از الگوريتم هاي رمزنگاري کليد خصوصي شامل DES، triple DESو الگوريتم هاي رمزنگاري کليد عمومي شامل RSA هستند. PKI زيرسyاخت کليyد عمyومي ) PKI(Public Key Infrastructureزيرسyاخت امنيyتي اسyت کyه yطالعyات yراy از yتyرyکيب yمکyاyنيزم yهyاي yامنyيyتي ،yسيyاسyت yهyا yو yرهنyمyود yهyا yyاسyتفyاyده yکyردyه yو ا y yده بyyا ک yليyد هyاي yرمزyنگyاري yبدسyت yآمyده اyز ) CA(Certificate Authorityرمزنگyاري کyر y عمyومي yنyااyمن(ماyننyد اyينyترنت)y yفعyاyليت مyي کنyدCA . و در yنتيجyه yيyک سyيyسyتم دyر شyبکه y بyه عنوان شyخص ثاyلث موردyاعتماد براyي PKIنyقش بyازي مyي کنyد. PKIتراکنشyي قyانوني ،تجyاري ،اداري و محرمانyه اسyت کyه بyا تعyدادي کليyد رمزنگyاري و سyيسyتم مدyيريت yگوyاهyي ناyمه yکارyمي yکندy.yمولyفهyهاي PKIعyباyرتنyد از: مديريت ،توليد و توزيع کليد هاي عمومي و خصوصي انتشyار کليyد هyاي عمyومي بyا UIDهyا بyه عنyوان گyواهي نامyه در يyک شyاخه عمومي اطمينyان از نگاشyت صyحيح کليyد عمyومي هyاي مشyخص بyه کليyد هyاي مرتبط احراز هويت دارنده جفت کليد عمومي /خصوصي امنيت ناحيه اي از شبکه براي امyنيت ناحيyه اي از شyبکه يyا حفyاظت واسyط هyاي ميyان شyبکه ماyننyد yترجyمyه ي y م هyاي y yداyخلي yو شyبyکه هyاي خyاyرجyيy y،از مyکyانيز y آدرس( )NATو فايروال استفاده مي شود. فايروال ،ترکيyبي از يyک يyا چنyد مکyانيزم امنيyتي اسyت کyه در تجهyيزات شyبکه اي(روتyر) واقyع در مکyان هyاي اسyتراتژيکي شyبکه اعمال مي شود. فايروال هyا مي تواننyد بyه عنyوان دروازه هyاي فيلترکننyده،کاربردهyاي yاتي ه شyوند yيyا تجyهyيز y پروکسyي دyر دyروازه yهyاي فyيلyتر yکyننyده اسyتفادy y باyشند کهyنرم اyفزارyخاص فايروyال بyر رyوي آن yدر حyال اyجرا است. ترجمه آدرس()NAT NATنگاشyتي ميyان آدرس IPاز يyک ناحيyه بyه يyک شyبکه اسyت .معمyوًال نگاشyت ي ميyاyن yفضyاyي yآدy yرسIP yعمyومyي yوy yخصوyصyي yاسyت y.آyدرyس هyyاي yخصyوyصyي بyازه ا y از آyدرس yهاي تعريف شده تyوسط ) IETF (RFC 1918هستند: کالس A: 10.x.x.xبا پيشوند 10/8 کالس B: 172.16.x.xبا پيشوند 172.16/8 کالس C: 192.168.x.xبا پيشوند 168/16 NATنگاشyت ميyان يyک بyه يyک آدرس( NATايسyتا) ،يyک بyه چنyد آدرس( NATپويyا) و نگاشت آدرس و yپورت ( )NAPTرا ميyتواند انجام دهد. زمyاني کyه NATبyه عنyوان راهکyاري بyراي حyل مشyکل اسyتفاده زيyاد از آدرس هyاي ش امyنyيت yواسyطy ن yمکyانyيزyمي yبyراي yافyزyاي y عمyوyمي yتوyسyعه yپيyدyا مyي yکyردy ،yبyه عنyوا y y هاي خارجي نيز پذيرفته شد. بنyابراين بyا اسyتفاده از NATمسyيرها بyه آدرس هyاي خصوصyي در شyبکه اينyترنت مyنyتشyر نمyي شyوyند و yسyاyختار yآدyرس دهyي شyبکه از شyبکه هyاي yخyارجي yپنهyان مي ماند. امنيت دسترسي از راه دور دسترسyي راه دور شyامل خطyوط ،dial-inنقطyه بyه نقطyه و اتصyاالت VPNمي شود. امyنيت دسترسyي راه دور معمyوًٌال بyا واژه AAAAبيyان مي شyود کyه بyه معyنyايyy :yاحyرازy yهyويت کyاربyر y،بyررسyي حقyوyق دyستyرسyي yبyه منyابع yتوسyط y کyاربران احyراز هyويت شyده و حسابرسyي منyابع مصyرفي و سyرويس هyاي ارائه شده است. در هنگyام ارائyه دسترسyي راه دور بايyد مyوارد زيyر را در نظyر داشت: متد هاي AAAA نوع سرورها و محل جايگذاري آنها (مانند )DMZ تعامالت با ،DNSاستخر آدرس ها و ساير سرويس ها امنيت دسترسي از راه دور(ادامه) VPN و تونل ها مي توانند بخشي از شبکه راه دور در نظر گرفته شوند. VPN ها مالحظات معماري خاص خود مانند نوع تجهيزات، پروتکل هاي تونل زدن ،امنيت تونل ها ،مکان ، VPN سياست هاي نگهداري از VPNو استفاده از پروتکل هاي مسيريابي مانند BGPو MPLSرا دارند. از طرف ديگر ،ارتباطات بي سيم و تجهيزات کامپيوتري متحرک تحت استاندارد 802.11بايد در نظر گرفته شوند. مالحظات معماري .1ارزيابي مکانيزم هاي امنيتي که ممکن است در شبکه اعمال شوند .2بررسي مجموعه اي از ارتباطات داخلي و خارجي براي معماري اين شبکه ارزيابي مکانيزم هاي امنيتي هنگام ارزيابي مکانيزم ها در هر مولفه معماري ،بهتر است از کارهاي ساده آغاز کرده و تنها در صورت لزوم به سمت راه حل هاي پيچيده تر پيش رويم. مدل هاي معماري (بيان شده در فصل )5مي توانند مکان هايي در شبکه که ممکن است مکانيزم هاي امنيتي درآن اعمال شوند را تعيين مي کنند. با اعمال نواحي يا سلول هاي امنيتي در شبکه مي توان نياز به امنيت چند سطحي را برآورده کرد. روش هاي توسعه نواحي امنيتي: .1افزايش امنيت با حرکت به سمت عمق شبکه ،در اين صورت نواحي امنيتي به صورت تودرتو قرار مي گيرند. .2توسعه نواحي امنيتي ،در زمان نياز بدون توجه به توپولوژي شبکه نواحي امنيتي بر مبناي نيازمندي هاي امنيتي گوناگون توسعه پيدا مي کند ،اين نيازمندي ها در طي فاز پروسه تحليل نيازمندي ها تعيين شده که بايد در نقشه امنيت و privacyتوصيف شود. نيازمندي هاي بدست آمده از فاز تحليل ميازمندي هاي ممکن است به صورت نياز به امنيت چند سطحي باشد ،اين سطوح امنيتي با گروه هاي کاربران ،کاربرد هاي آنها ،تجهيزات آنها يا تجهيزات مشترک ميان کاربران مرتبط منطبق مي شود. ارتباطات داخلي تعامل داخل معماري امنيتي شامل ،trade-offs : وابستگي ها ،محدوديت هاي ميان مکانيزم هاي امنيتي شبکه براي مثال تعدادي از مکانيزم ها ،مانند ،NAT بايد قادر به بررسي ،افزودن و يا تغيير تعدادي از فيلدهاي اطالعات بسته باشند .از طرفي مکانيزم هاي رمزنگاري/رمزگشايي فيلدهاي اطالعاتي داخل بسته را غير قابل خواندن مي کنند. ارتباطات خارجي تعامل ميان امنيت و آدرس دهي/مسيريابي مانند NAT تعامل ميان امنيت و مديريت شبکه وابستگي امنيت به مديريت شبکه در پيکربندي ،مانيتور ،مديريت و بررسي سطح امنيتي در شبکه نگهداري دسترسي به به تجهيزات شبکه حتي در زمان حمله که دسترسي in-bandممکن نيست تعامل ميان امنيت و کارايي نواحي امنيتي کارايي را در ناحيه محدود مي کنند .در صورت اولويت باالي کارايي ،کارايي انتها به انتها مانع از اعمال تعدادي از مکانيزم هاي امنيتي در شبکه مي شود. محدوديت حاصل از مکانيزم هاي کارايي بر روي کارايي هر ناحيه
استارتاپ و کارآفرینی • کسب و کار • علوم پایه
دانلود پاورپوینت معماري امنيت شبکه
55,000 تومان