دستگاه ­های امنیت شبکه

استفاده از تجهیزات و راهکارهای مناسب می ­تواند جهت دفاع و مراقبت از شبکه کمک­ کننده باشد. در اینجا به بعضی از دستگاه­ های امنیتی شبکه پرداخته می­ شود که می توانند شبکه را در برابر حملات خارجی ایمن نگه دارند.

فایروال

یک دستگاه فایروال یکی از اولین خطوط دفاعی در یک شبکه است؛ زیرا شبکه را از شبکه ه­ای دیگر جدا می­ سازد. فایروال ­ها می ­توانند سیستم­ های جداگانه­ ای بوده یا در سایر تجهیزات زیرساخت مانند روترها یا سرورها گنجانده شوند. شما می­ توانید روش­ های سخت افزاری و نرم افزاری فایروال را به کار گیرید؛ برخی از فایروال­ ها به عنوان ابزاری جهت جدا کردن دو شبکه به عنوان یک دستگاه اصلی مورد استفاده قرار می­گیرند.

فایروال­ ها ترافیک ناخواسته و نامطلوب شبکه را از ورود به سیستم ­های یک سازمان و یا ارگان جلوگیری می­کنند. بسته به خط‌ مشی فایروال سازمان، ممکن است از عبور برخی ترافیک­ ها یا تمام آنها اجتناب کرده و یا یک راستی‌آزمایی را روی برخی یا تمام ترافیک­ ها اجرا کند. به طور کلی دو نوع متداول خط مشی­ فایروال وجود دارد:

• لیست سفید - فایروال همه اتصالات را نمی­ پذیرد به جز مواردی که به طور خاص به عنوان قابل قبول لیست شده اند.
• لیست سیاه - فایروال به همه اتصالات اجازه می ­دهد به جز مواردی که به طور خاص به عنوان غیرقابل قبول فهرست شده­ اند.

چهار نوع فایروال وجود دارد: فایروال ­های فیلتر کننده پکت، فایروال­ های حالت مند فیلتر کننده پکت، فایروال ­های پروکسی و فایروال­ های اپلیکیشن وب.

لطفاً مقاله "امنیت اطلاعات در مراکز دولتی و غیر دولتی" را مطالعه بفرمایید.

سیستم تشخیص نفوذ (IDS[1])

IDS با شناسایی هکر یا نرم ­افزار مخرب در یک شبکه، امنیت سایبری را جهت حذف سریع آن افزایش می­ دهد تا از نفوذ و خرابکاری و سایر مشکلات جلوگیری کرده و بتوان از داده­ های ثبت شده در مورد رویداد برای دفاع بهتر در برابر نفوذهای مشابه در آینده استفاده کرد. سرمایه‌ گذاری در IDS که به شما امکان می‌دهد به حملات سریعاً پاسخ دهید، می‌ تواند بسیار کم‌ هزینه‌ تر از اصلاح و ترمیم آسیب‌های ناشی از حمله و رسیدگی به مسائل قانونی بعدی باشد.

گاهی اوقات مهاجمان موفق می ­شوند سایر اقدامات امنیتی مانند رمزنگاری، فایروال­ ها و غیره را به خطر بیندازند. بسیار مهم است که اطلاعات مربوط به این حوادث فوراً به مدیران منتقل شود که به راحتی با استفاده از یک سیستم تشخیص نفوذ قابل انجام است.

به کار گیری IDS همچنین می‌تواند به مدیران کمک کند تا آسیب‌ پذیری‌ ها یا سوء استفاده‌ هایی را شناسایی کنند که یک مهاجم بالقوه می‌ تواند از آنها استفاده کند. سیستم­ های تشخیص نفوذ را می ­توان به دسته­ های زیر تقسیم کرد:

• IDS مبتنی بر هاست
• IDS مبتنی بر شبکه

سیستم پیشگیری از نفوذ (IPS[2])

IPS یک ابزار امنیتی شبکه است که نه تنها قادر است متجاوزان و مهاجمان را شناسایی کند، بلکه از انجام موفقیت­ آمیز حملات شناخته­ شده آنها نیز جلوگیری می­کند. سیستم­ های پیشگیری از نفوذ، دارای ترکیبی از قابلیت­ های فایروال و سیستم های تشخیص نفوذ هستند. با این حال، پیاده‌ سازی یک IPS در مقیاس مؤثر می‌ تواند پرهزینه باشد، بنابراین کسب‌ و کارها باید قبل از سرمایه‌ گذاری ریسک‌های فناوری اطلاعاتی خود را به دقت ارزیابی کنند. علاوه بر این، برخی از سیستم‌های پیشگیری از نفوذ به اندازه برخی فایروال‌ها و سیستم‌های تشخیص نفوذ سریع و قوی نیستند، در نتیجه زمانی که سرعت یک الزام حیاتی است، ممکن است IPS راه‌ حل مناسبی نباشد.

یکی از تمایزهای مهمی که باید ایجاد کرد، تفاوت بین پیشگیری از نفوذ و پاسخ فعال است. یک دستگاه پاسخ فعال[3] به صورت پویا و دینامیک کنترل‌های دسترسی شبکه یا سیستم را مجدداً پیکربندی یا تغییر می‌دهد. پاسخ فعال پس از وقوع رویداد اتفاق می ­افتد؛ بنابراین، یک حمله پکت منفرد در اولین تلاش موفقیت­ آمیز خواهد بود؛ اما در اقدامات بعدی مسدود خواهد شد. به عنوان مثال، یک حمله DDoS در اولین پکت موفقیت آمیز خواهد بود؛ اما پس از آن مسدود می­شود. در حالی که دستگاه­ های پاسخ فعال مفید هستند، این جنبه و ویژگی، به طور کلی آنها را به عنوان یک راه­ حل کلی مناسب معرفی نمی کند. از سوی دیگر، دستگاه‌های پیشگیری از نفوذ شبکه، معمولاً دستگاه‌های درون شبکه‌ای هستند که پکت­ ها را بررسی کرده و قبل از ارسال آنها به مقصد تصمیم‌ گیری می‌کنند. این نوع دستگاه توانایی دفاع در برابر حملات تک پکتی را در اولین تلاش با مسدود کردن یا اصلاح حمله دارد. مهم تر از همه، یک IPS باید بازرسی و تجزیه و تحلیل پکت را با سرعت انتقال دیتا در سیم انجام دهد. سیستم‌های پیشگیری از نفوذ باید بازرسی دقیق پکت را برای شناسایی نفوذها، از جمله حملات لایه‌ اپلیکیشن و حملات Zero-day[4] انجام دهند.

سیستم تشخیص و پیشگیری از نفوذ بی­سیم (WIDPS[5])

سیستم پیشگیری از نفوذ بی‌سیم (WIPS)یک دستگاه امنیتی مستقل یا نرم‌افزار یکپارچه است که طیف رادیویی شبکه LAN بی‌سیم را برای نقاط دسترسی خطرناک و دیگر تهدیدات امنیتی بی‌سیم نظارت می‌کند.

یک WIDPS فهرست آدرس‌های مک[6] تمام نقاط دسترسی بی‌سیم متصل در یک شبکه را با فهرست نقاط مجاز مقایسه می‌کند و در صورت یافتن عدم تطابق به کارکنان IT هشدار می‌دهد. برای جلوگیری از جعل آدرس مک، برخی از WIDPSهای سطح بالاتر مانند سیسکو می­توانند امضاهای منحصر به فرد فرکانس رادیویی ای را که دستگاه­های بی­سیم تولید می­کنند، تجزیه و تحلیل کرده و اثر انگشت[7] ناشناخته رادیویی را مسدود کنند. هنگامی که نقطه دسترسی بی­سیم مزاحم پیدا شد، می­توان سیگنال آن را توسط نقاط دسترسی خود مسدود کرد. WIDPSها علاوه بر ایجاد یک لایه امنیتی برای شبکه های بی­سیم، برای نظارت بر عملکرد شبکه و کشف نقاط دسترسی با خطاهای پیکربندی نیز مفید هستند. یک WIDPS در سطح لایه لینک داده (دیتا لینک) مدل OSI عمل می­کند.

سه راه اساسی برای استقرار WIDPS وجود دارد:

• نقطه دسترسی بی‌سیم دو برابر وظیفه خود را انجام می‌دهد و ترافیک شبکه را با اتصال بی‌سیم فراهم می‌کند، در حالی که به صورت دوره‌ای نقاط دسترسی مزاحم را اسکن می‌کند.
• سنسوری که در نقطه دسترسی مجاز تعبیه شده است، به طور مداوم فرکانس­های رادیویی را اسکن کرده و به دنبال نقاط دسترسی غیرمجاز می­گردد.
• سنسورها در سرتاسر یک ساختمان برای نظارت بر فرکانس‌های رادیویی مستقر هستند. سنسورها داده­هایی را که جمع آوری می­کنند برای تجزیه و تحلیل، اقدام و بایگانی بیشتر به یک سرور متمرکز ارسال می­کنند. این رویکرد گران‌تر است؛ زیرا به سخت‌افزار اختصاصی نیاز دارد، اما تصور می‌شود که مؤثرترین روش باشد.

مدیریت یکپارچه تهدید (UTM[8])

مدیریت یکپارچه تهدید رویکردی برای امنیت اطلاعات است که در آن نصب یک سخت افزار یا نرم افزار، عملکردهای امنیتی متعددی (جلوگیری از نفوذ، آنتی ویروس، فیلتر محتوا و غیره) را فراهم می­آورد. UTM مدیریت امنیت اطلاعات را ساده می­کند، زیرا مدیر امنیت به جای اینکه مجبور باشد چندین محصول را از فروشندگان مختلف داشته باشد، یک نقطه مدیریت و گزارش واحد را داراست. تجهیزات UTM به سرعت محبوبیت پیدا کرده اند که تا حدی دلیل آن را می ­توان سادگی نصب، پیکربندی و نگهداری آن دانست. چنین تنظیماتی در مقایسه با مدیریت چندین سیستم امنیتی در زمان، پول و نیروی انسانی صرفه جویی می­کند. در اینجا ویژگی­ هایی وجود دارد که یک UTM می­تواند ارائه دهد:

• فایروال شبکه
• تشخیص نفوذ
• پیشگیری از نفوذ
• آنتی­ویروس دروازه[9]
• فایروال پروکسی
• بازرسی عمیق پکت
• پروکسی وب
• پیشگیری در مورد از دست دادن دیتا
• اطلاعات امنیتی و مدیریت رویداد
• شبکه خصوصی مجازی (VPN[10])

کنترل دسترسی شبکه (NAC[11])

NAC یک دستگاه کنترل امنیتی شبکه است که دسترس­ پذیری منابع شبکه را به دستگاه­ های انتهایی[12] که با خط مشی امنیتی سازگار هستند، محدود می­کند. بعضی از راهکارهای NAC می­تواند دستگاه­ های ناسازگار را بهبود دهند تا قبل از اجازه دسترسی آنها به شبکه از امن بودنشان اطمینان حاصل شود. کنترل دسترسی شبکه اقدامات زیادی را جهت افزایش امنیت نقاط انتهایی انجام می­دهند. قبل از دادن دسترسی به شبکه، NAC تنظیمات امنیتی دستگاه را بررسی می­کند تا مطمئن شود که آن خط مشی امنیتی از پیش تعریف شده را برآورده می­کند؛ به طور مثال ممکن است بررسی کند که آیا دستگاه آخرین نرم افزار آنتی­ ویروس و پچ ­ها را دارد یا خیر. اگر شرایط برآورده شود اجازه ورود به شبکه داده می­ شود؛ در غیر این صورت NAC نقطه انتهایی را قرنطینه کرده و یا آن را تا زمان بهبودهای امنیتی مناسب جهت سازگاری با خط مشی به شبکه مهمان وصل می­کند.

سرور پروکسی

سرورهای پروکسی به عنوان مذاکره­ کننده برای درخواست­ های نرم­ افزاری کلاینت که به دنبال منابع از سرورهای دیگر هستند، عمل می­ کنند. کلاینت به سرور پروکسی وصل می­شود و درخواست سرویسی می­کند (به عنوان مثال وبسایت). سرور پروکسی درخواست را ارزیابی کرده و به آن اجازه داده یا آن را رد می­کند. اکثر سرورهای پروکسی به عنوان پروکسی­ های فوروارد عمل می­ کنند و برای بازیابی داده­ های طرف کلاینت که به آنها سرویس می ­دهند، مورد استفاده قرار می­گیرند.

اگر یک سرور پراکسی توسط هر کاربری در اینترنت در دسترس باشد، یکی سرور پراکسی «باز» نامیده می­شود. یک نوع دیگر سرور پراکسی معکوس است که «جانشین» نیز نامیده می­ شود. سناریوی معکوس برای کارهایی مانند تعادل بار، احراز هویت، رمزگشایی و حافظه پنهان استفاده می‌شود. پاسخ‌های سرور پراکسی به‌ گونه‌ای برگردانده می‌ شوند که گویی مستقیماً از سرور اصلی آمده‌اند، درنتیجه کلاینت از سرورهای اصلی اطلاعی ندارد. فایروال­ های برنامه وب را می ­توان در این دسته قرار داد.

پروکسی­ ها می­ توانند شفاف یا غیرشفاف باشند. یک پروکسی شفاف درخواست یا پاسخ را فراتر از آنچه که برای احراز هویت و شناسایی پروکسی لازم است تغییر نمی­ دهد. به عبارت دیگر، کلاینت­ ها نیازی به آگاهی از وجود پروکسی ندارند. یک پروکسی غیرشفاف درخواست یا پاسخ را تغییر می­دهد تا برخی از سرویس­ های اضافه شده را به کاربر ارائه دهد، مانند تغییر نوع مدیا، کاهش پروتکل یا فیلترینگ ناشناس. در سازمان­ ها معمولاً از سرور پراکسی برای فیلتر کردن ترافیک (فیلترهای وب) و بهبود عملکرد (متعادل­ کننده­ های بار) استفاده می­ شود.

فیلتر اسپم (هرزنامه) [13]

یک گیت ­وی نه تنها برای مسیریابی، بلکه می­ تواند برای اجرای عملکردهای دیگری مانند رمزنگاری و یا محدود سازی دامنه به کار گرفته شود. فیلترهای اسپم معمولاً می­توانند ایمیل­ های ناخواسته و نامطلوب را شناسایی کرده و از رسیدن آنها به صندوق پستی کاربر جلوگیری کنند. فیلترهای اسپم، ایمیل­ ها را بر اساس خط مشی یا الگوهای طراحی شده توسط سازمان یا وندور تحلیل و قضاوت می­ کنند. فیلترهای پیشرفته ­تر از یک رویکرد ابتکاری استفاده می­کنند که تلاش می­ کند هرزنامه ­ها را به وسیله الگوی کلمات مشکوک و یا فراوانی کلمات شناسایی کند.

آنتی­ ویروس

نرم­ افزار آنتی­ ویروس یکی از رایج ­ترین ابزارهای امنیتی است که افراد و سازمان­ ها جهت ارتقا امنیت سیستم و شبکه خود آن را به کار می­ گیرند. روش­ های مختلفی وجود دارد که آنتی ­ویروس ­ها نرم­ افزارهای مخرب را شناسایی می­کنند:

• بر طبق امضاهای بدافزار موجود - امضاها محبوب­ ترین راه برای شناسایی کدهای مخرب است. این امضاها اساساً اثر انگشت بدافزار هستند که جهت استفاده توسط اسکنرهای آنتی­ ویروس در دیتا بیس­ های بزرگی جمع­ آوری می شوند. به همین دلیل بسیار مهم است که برنامه آنتی­ ویروس به روز بماند؛ به طوری که آخرین امضاها وجود داشته باشد. تشخیص مبتنی بر امضا با جستجوی مجموعه خاصی از کد یا داده کار می­کند. راهکارهای آنتی ­ویروس هر فایل، کلید رجیستری و هر برنامه در حال اجرا را با آن لیست مقایسه می­ کند و هر موردی را که مطابقت ندارد، قرنطینه می­ کند.
• بر اساس طول فایل - روش دیگری برای تشخیص ویروس استفاده از طول فایل است. از آنجایی که ویروس ها با چسباندن خود به نرم ­افزار به عنوان جایگزین آنها عمل می­ کنند، طول فایل نرم­ا فزار جایگزین معمولاً افزایش می یابد. نرم­ افزار آنتی­ ویروس هر موقع که فایل یا نرم ­افزاری در حال استفاده باشد طول آن را با طول فایل یا نرم افزار اصلی مقایسه می­ کند. اگر طول این دو با هم متفاوت باشد، این نشان ­دهنده وجود ویروس است.
• بر اساس چک­ سام[14]- چک ­سام مقداری است که در یک فایل محاسبه می­ شود تا تعیین شود که آیا داده ها در حالی که طول فایل تغییر نکرده است تغییر کرده اند یا خیر. چک ­سام ­ها تنها زمانی باید مورد استفاده قرار گیرند که مشخص باشد زمانی که اولین چک ­سام محاسبه شده است، فایل عاری از ویروس بوده است. علائم ویروس معمولاً به نوع ویروس بستگی دارند. گرچه باید توجه داشت که علائم منحصر به یک ویروس نیستند و ممکن است که چند ویروس علائم یکسانی داشته باشند. بعضی از رایج ­ترین علائم به قرار زیر اند:
• راه­ اندازی­ های مجدد پیاپی و یا غیرمنتظره کامپیوتر
• افزایش ناگهانی اندازه داده­ ها و نرم ­افزار
• تغییر پسوند فایل (متداول در باج ­افزار)
• ناپدید شدن فایل­ ها
• مشکل در ذخیره فایل­ های باز
• کمبود حافظه
• حضور فایل­ های صوتی و یا متنی عجیب

آنتی­ ویروس­ ها می ­توانند بخشی از سیستم حفاظتی کاربران نهایی باشند که نه تنها محافظت در برابر ویروس، بلکه قابلیت­ هایی چون DLP، فیلتر محتوا، Applocker و... را ارائه دهند.

چندین روش وجود دارد که مهاجم­ ها به آنتی­ ویروس­ ها برخورد نکنند. اگر نرم ­افزار مهاجم توسط شرکت­ های آنتی­ ویروس دیده و شناسایی نشده باشند، هیچ امضای کدی وجود نخواهد داشت و از آنها جلوگیری نخواهد شد. اما همچنان می توان به وسیله روش­ های ابتکاری آنتی­ ویروس­ ها آنها را به دام انداخت.

منبع

https://blog.netwrix.com/2019/01/22/network-security-devices-you-need-to-know-about/

[1] Intrusion Detection System

[2] Intrusion Prevention System

[3] Active Response Device

[4] Zero-day Attack

[5] Wireless Intrusion Detection and Prevention System

[6] MAC Address

[7] Fingerprint

[8] Unified Threat Management

[9] Gateway Anti-virus

[10] Virtual Private Network

[11] Network Access Control

[12] Endpoint Devices

[13] Spam Filter

[14] Checksum