اصول طراحی امنیت شبکه

امنیت

 

پیاده‌سازی یک سیستم امنیت شبکه‌ مقیاس‌پذیر و کارآمد مستلزم طراحی مناسب و منطبق بر نتایج حاصل از تحلیل ریسک و اصول طراحی امنیت شبکه می‌باشد.

حفاظت‌های امنیتی شبکه به عنوان اولین مانع حفاظتی برای منابع سیستم‌ IT در مقابل تهدیداتی به شمار می‌رود (مانند نفوذکنندگان یا کدهای مخرب) که ناشی از جریانات بیرون از شبکه می‌باشند. اقدامات دفاعی اصلی برای امنیت شبکه شامل فایروال‌ها، شناسایی نفوذها و سیستم‌های پیشگیریWAF Web Application Firewall  و IPS/IDS، محافظت‌های از طریق VPN و سیستم‌های بررسی محتوا مانند آنتی‌ویروس، ضد بد‌افزار  (Anti-Malware)، آنتی اسپم و فیلترینگ URL می‌باشد. این راهکارهای سخت‌افزاری و نرم‌افزاری از مکانیسم‌های حفاظتی مربوط به سیستم عامل، پایگاه‌های داده و برنامه‌ها پشتیبانی نموده و آن‌ها را تکمیل می‌نمایند. پیاده‌سازی یک سیستم امنیتی کارا و مقیاس‌پذیر برای شبکه‌های متوسط تا بزرگ مستلزم طراحی دقیق براساس تحلیل ریسک سازمان‌ها و اصول امنیتی صحیح، می‌باشد.

اصول امنیتی

اصول اساسی امنیتی سیستم‌های IT که باید در طراحی سیستم امنیت شبکه مد نظر قرار گیرند، شامل موارد زیر می‌گردد:

دفاع همه‌جانبه

همانطور که در شکل 1 نشان داده شده است، محافظت از منابع سیستم IT مبتنی بر تعداد زیادی از لایه‌های امنیتی می‌باشد. توسعه اصول دفاعی همه‌جانبه شامل قواعد زیر می‌گردد:

  • محافظت لایه‌ای - لایه‌های امنیتی، مکمل یکدیگر می‌باشند و آنچه در یک لایه از دست می‌رود، در لایه‌ای دیگر گرفتار می‌شود.
  • دفاع در چندین مکان مختلف - اقدامات دفاع امنیتی در چندین مکان مختلف از سیستم IT صورت می‌گیرد.
  • دفاع از طریق ایجاد تنوع - ایمنی منابع سیستم IT باید مبتنی بر لایه‌های حفاظتی باشد که شامل انواع مختلفی از محافظت‌ها می‌گردد. هنگامی که دو لایه از یک نوع مشابه مورد استفاده قرار می‌گیرد (مثلا دو فایروال شبکه)، باید از طرف دو Vendor مختلف ارائه شود. این قاعده باید با احتیاط و دقت به کار برده شود زیرا پیچیدگی سیستم امنیتی را افزایش داده و دشواری و هزینه‌ فرآیند مدیریت و نگهداری را دوچندان می‌نماید.

شکل 1- اصل دفاع همه‌جانبه: حفاظت از منابع مختلف سیستم IT برپایه چندین لایه امنیتی مکمل هم

بخش‌بندی اطلاعات

منابع سیستم IT با سطوح مختلف حساسیت، شامل تحمل ریسک و آسیب‌پذیری نسبت به تهدیدات به میزان متفاوت، باید در حوزه‌های امنیتی مختلف گنجانده شود. اصل «پنهان کردن اطلاعات» به عنوان یکی از موارد بسط یافته‌ این قاعده به شمار می‌رود که بنابرآن سیستم‌های IT صرفا داده‌هایی را در دسترس قرار می‌دهند که برای انجام وظایف سیستم   ITضروری می‌‌باشد، به عنوان نمونه می‌توان از سرورهای ارائه دهنده سرویس برای اینترنت نام برد که صرفا در DNS عمومی ثبت می‌گردند.

اصل حداقل امتیاز

افراد مرتبط با سیستم IT (مانند کاربران و مدیران سیستم) باید از حداقل امتیازات لازم برای عملکرد مطلوب در سازمان برخوردار باشند. همچنین این قاعده برای داده‌ها و خدماتی که در دسترس کاربران خارجی قرار می‌گیرند، نیز صدق می‌کند. یکی از موارد بسط یافته‌ این قاعده، اصل «ضرورت برای دانستن» است که بنا بر آن کاربران و مدیران سیستم‌های IT صرفا به اطلاعات مرتبط  با نقش و وظایف اجرایی خود دسترسی داشته باشند.

ضعیف‌ترین حلقه‌ی زنجیر

سطح امنیت سیستم IT به عاملی بستگی داردکه از کمترین ایمنی برخوردار است. یکی از موارد بسط یافته این قاعده، اصل «Single Point of Failure» یا SPOF می‌باشد که در رابطه با دسترس‌پذیری سرویس‌های شبکه بوده و طبق آن تمام لینک‌ها، تجهیزات (شبکه و امنیت) و همچنین سرورهای موجود در مسیرهای شبکه بین کاربران و منابع مهم عملکردیِ سیستم IT باید در پیکربندی‌های Redundant پیاده‌سازی شوند.

در  هنگام طراحی سیستم امنیت شبکه، باید اصول امنیت سازمانی از جمله قواعد «تفکیک وظایف» و «گردش شغلی» مد نظر قرار گیرد. هدف از این اصول، محدود نمودن توانایی کارکنان در زمینه‌ نایده‌گرفتن و نقض سیاست‌های امنیتی سیستم IT می‌باشد. تفکیک وظایف بیانگر آن است که وظایف و کارکرد مهم باید توسط دو یا چند کارمند اجرا گردند. گردش شغلی نیز نشان می‌دهد که در جایگاه‌های شغلی مهم باید گردش شغلی برای کارکنان وجود داشته باشد.

حوزه‌های امنیتی

فایروال بنابر صلاحدید کاربر به عنوان ابزار اصلی برای حفظ جریان ترافیک شبکه یا محدود نمودن آن در موقعیت‌های مختلف از قبیل تجهیزات اختصاصی فایروال، کارکرد فایروال در تجهیزات IPS و فهرست کنترل دسترسی در سوئیچ‌ها و روترهای شبکه می‌باشد. با استقرار و پیکربندی مناسب، فایروال‌ها می‌توانند به ایجاد معماری‌های ایمن، تقسیم زیرسا‌خت‌ شبکه‌ سیستم IT به حوزه‌های امنیتی و همچنین کنترل ارتباط بین آن‌ها کمک ‌نمایند. اصل تقسیم بندی، قواعد زیر را برای طراحی امنیت شبکه توصیف می‌کند:

  • منابع سیستم‌های IT با سطوح مختلف حساسیت باید در حوزه‌های امنیتی مختلف قرار گیرند:
  • تجهیزات و سیستم‌های کامپیوتری ارائه دهنده‌ سرویس‌ برای شبکه‌های خارجی (مانند اینترنت) باید برخلاف سیستم‌های کامپیوتری و تجهیزات شبکه داخلی، در حوزه‌های مختلفی مانند (De-Militarized Zone) قرار گیرند.
  • منابع استراتژیک سیستمIT  باید در حوزه‌های امنیتی ویژه‌ای استقرار یابند.
  • تجهیزات و سیستم‌های کامپیوتری با قابلیت اطمینان پائین، از قبیل سرورهای دسترسی از راه دور و نقاط دسترسی شبکه بی‌سیم نیز باید در حوزه‌های خاص امنیتی قرار گیرند.
  • انواع مختلف منابع سیستم IT باید در حوزه‌های امنیتی جداگانه قرار گیرند.
  • ایستگاه‌های کاری برای کاربران باید برخلاف سرورها در حوزه‌های امنیتی مختلف استقرار یابند.
  • سیستم‌های مدیریت امنیت و شبکه باید در حوزه‌های امنیتی خاص قرار گیرند.
  • سیستم‌های در مرحله توسعه باید برخلاف سیستم‌های مربوط به مرحله تولید در بخش‌ متفاوتی استقرار یابند.

جلوگیری از نفوذ

تجهیزات به مانندIPS ،WAF  و … مسئولیت شناسایی و Block نمودن نفوذها و حملاتی را برعهده دارد که توسط اخلال‌گران و برنامه‌های بدافزار مخرب ایجاد می‌شود. آن‌ها باید در مسیر شبکه بین منابع بالقوه تهدید و منابع حساسِ سیستم‌های IT نصب گردند. حملات ایجاد شده به واسطه‌ Sessionهای رمزگذاری‌شده مانند SSL باید در هنگام طراحی سیستم‌های IPS مد نظر قرار گیرند. با توجه به اینکه  IPS، قادر به بررسی این Sessionهای رمزگذاری‌شده نمی‌باشد، رمزگشایی Sessionها قبل از رمزگشایی تجهیزات IPS می‌تواند یکی از شیوه‌های موثر برای بررسی بسته‌های بدون رمز (Unencrypted) ‌باشد.

طراحی مناسب برای محافظت‌های شبکه و قواعد کنترل به عنوان یکی از شرایط مهم برای پایداریِ فرآیند جلوگیری از نفوذ به شمار می‌رود. اول اینکه شبکه‌های داخلی نباید دسترسی مستقیم به اینترنت داشته باشند تا Trojan ارسال شده به ایستگاه‌کاری کاربر به واسطه‌ی حمله  Phishing، اجازه اتصال فرد اخلال‌گر به شبکه خارجی را ندهد. این فرآیند در شکل 2 نشان داده شده است. در این نمونه، سرویس‌های اینترنتی برای کاربران داخلی فقط از طریق ایمیل سازمانی و سرورهای HTTP Proxy در دسترس می‌باشند.

شکل 2- جلوگیری از نفوذ بوسیله کنترل دسترسی محدود کاربران در شبکه داخلی

ملاحظات نهایی

مدیریت امنیت شبکه شامل فعالیت‌های کارکنان IT در حوزه پیکربندی (مانند تنظیم پارامترهای تجهیزات و ایجاد Policyها)، مانیتورینگ عملیات‌های امنیتی، عیب‌یابی مشکلات، خواندن، گزارش‌گیری و تجزیه و تحلیل رویدادهای ایجاد شده Logها و هشدارها و همچنین توضیح رویدادهای امنیتی شناسایی شده می‌باشد. نگهداری و نظارت بر فرآیندهای محافظت در شرایط نرمال عملکرد سیستم‌ باید ازسیستم‌های مدیریتی خاص مانند VLANهای مدیریت واقع در حوزه‌های جداگانه شبکه اجراء شود که مشخصا توسط فایروال‌ها محافظت می‌گردند.

در تحلیل ریسک و طراحی امنیت، عمدتاً بر ارزشمندترین منابع سیستم IT (مانند سیستم‌های اجرا کننده یا پشتیبان وظایف کسب‌و‌کار در سازمان) تمرکز می‌گردد. با این وجود، محدوده محافظت نباید صرفا به ارزشمندترین منابع محدود شود. محافظت‌های طراحی شده باید با استفاده از تکنیک Island Hopping در مقابل حملات ایجاد شده، یک مانع مؤثر و کارآمد را ارائه نمایند. نحوه عملکرد تکنیک Island Hopping به صورت کسب دسترسی غیرمجاز به حوزه‌های حفاظتی ضعیف‌تری می‌باشد که از اهمیت کمتری برای سازمان برخوردار بوده و در نتیجه از این حوزه‌ها به عنوان مبنایی برای نفوذ به منابع ارزشمندتر و محافظت‌شده‌تر سیستم IT استفاده می‌شود.

در هنگام توسعه الزامات امنیتی برای منابع سیستم IT باید مشخص گردد که این الزامات از منابع مهم در عملکرد سازمان یا منابع حساس به داده بوده، در چه مواردی محرمانه بودن و انسجام داده‌ها از الزامات مهم محسوب شده و در کدام بخش تداوم عملیات (یا همان دسترس‌پذیری) اولویت می‌یابد. محافظت از منابع مهم در عملکرد سازمان باید در پیکربندی‌هایی با دسترس‌پذیری بالا طراحی گردد.

شناسایی و پاسخگویی به رویدادهای مرتبط با نقض‌های امنیتی از موضوعات مهمی به شمار می‌رود که باید در طول فرآیند طراحی به تفصیل به آن پرداخته شود. در واقع، هیچ شیوه محافظت صد درصد موثری وجود ندارد و موقعیتی که فرد متجاوز یا Worm از آن وارد شبکه می‌گردد باید مورد نظر قرار گرفته و برای آن برنامه‌ریزی گردد. برای مثال، ممکن است یک ورود غیرمجاز با استفاده از باگ امنیتی انتشار نیافته(Zero-Day Exploit)  یا در شبکه و از طریق عبور از محافظت‌های IPS صورت گیرد. این موضوعات باید جزو فاکتورهای طراحی امنیت شبکه قرار گرفته و در شیوه‌های پاسخگویی به حوادث و رویدادها نوشته شوند.