خدمات امنیت شبکه

با پیشرفت تکنولوژی و بهینه شدن الگوریتم های ریاضی، حملات تحت شبکه نیز به روز شده و بطور مداوم خطرات جدیدتری شبکه های کامپیوتری را تهدید می کند. از همین رو خدمات امنیت شبکه جایگاهی مهم و کلیدی میان مدیران شبکه پیدا کرده است.

با توجه به پروتکل های بکار رفته در شبکه ، آسیب ها و راه های نفوذ متفاوت خواهد بود و در صورت چشم پوشی از آن خطرات جبران ناپذیری از جمله کد شدن و از دست رفتن اطلاعات شبکه به همراه خواهد داشت.
شرکت توسعه فناوری ژیوان با نزدیک به یک دهه تجربه تخصصی در حوزه امنیت شبکه ، با روش های اصولی بر اساس استانداردهای بین المللی مانع از خطرات احتمالی شبکه شما خواهد شد.

همچنین برای مشاهده تمامی خدمات شبکه شرکت ژیوان وارد صفحه موردنظر شوید.

خدمات امنیت شبکه

لیست دستگاه های امنیت شبکه

در ادامه به معرفی و بررسی تجهیزات امنیت شبکه بر اساس مقاله معتبر سایت Netwrix می‌پردازیم.

Firewall

Firewall ( فایروال )

دستگاه های فایروال اولین خط دفاعی برای پیاده سازی خدمات امنیت شبکه را تشکیل می دهند و در واقع شبکه داخلی را از شبکه خارجی جدا می کنند. فایروال ها ممکن است یک دستگاه مستقل ( به شکل سخت افزاری و نرم افزاری ) باشند یا در دستگاه های دیگر شبکه نظیر روتر یا سرور گنجانده شوند.

فایروال ها از ورود ترافیک ناخواسته و نامطلوب به شبکه داخلی جلوگیری می کنند. بسته به سیاست امنیتی سازمان ، ممکن است برخی ترافیک یا همه ترافیک را منع کرده و یا تایید برخی یا همه ترافیک را انجام دهد. بدین ترتیب دو نوع سیاست در پیاده سازی فایروال وجود دارد:

  1. لیست سفید ( Whitelisting ): فایروال به غیر از ترافیکی که در لیست قرار می‌گیرد، همه ترافیک ورودی را بلاک می کند.
  2. لیست سیاه ( Blacklisting ): فایروال بجز ترافیک لیست شده، اجازه ورود باقی ترافیک را می‌دهد.

انواع مختلف فایروال ( Firewall ):

  1. Packet-Filtering Firewalls

این نوع فایروال ترافیک لایه سه و چهار مدل OSI را تحلیل می کند. آنالیز داده و نوشتن رول ها بر اساس پروتکل ها، IP مبدا و مقصد، پورت مبدا و مقصد صورت می‌گیرد. به دلیل متمرکز بودن این نوع فایروال روی لایه سوم، با سرعت بالایی از ورود ترافیک نامطلوب جلوگیری کرده و حمله های رایج DOS را به خوبی دفع می کند.

  1. Stateful Packet-Filtering Firewalls

تمرکز اصلی این نوع فایروال ها روی لایه چهارم مدل OSI است. برای مثال پیاده سازی یک رول که تمامی ترافیک با شماره پورت های بالای ۱۰۲۳ را منع کند. به نسبت Packet-Filtering Firewalls موارد امنیتی بیشتری را چک می کند که همین امر باعث کندی و کاهش سرعت تحلیل داده می شود.

  1. Proxy Firewalls

Proxy Firewalls لایه Application را تحت نظر دارد و مانع از ترافیک نامطلوب در این لایه مانند فایل های مخرب exe. خواهد شد. کاربران از راه دور به این نوع فایروال متصل شده و داده ها پس از آنالیز وارد و خارج می شوند. در واقع سیستم مقصد بجای کاربر اصلی، فایروال را می شناسد. به دلیل تحلیل داده ها در سطح اپلیکیشن، ارتباطات با سرعت کمتری صورت می گیرند.

  1. Web Application Firewalls ( WAF )

این نوع فایروال داده های لایه هفتم و پروتکل HTTP را آنالیز می کند. به دلیل اهمیت پایداری وب سرور تمامی در خواست های HTTP مانیتور شده و در صورت تشخیص حمله نظیر Cross-Site Scripting یا SQL Injection مانع ورود ترافیک خواهد شد. ویژگی مهم دیگر این فایروال ها که باعث بالا رفتن کیفیت خدمات امنیت شبکه می‌شود، تشخیص سریع حملات DDOS بوده و در همان مراحل اولیه ارتباط، مبدا را شناسایی و ترافیک را جذب می کند.

firewall
IDS

IDS

دستگاه IDS ( Intrusion Detection Systems ) به محض مشاهده مشکل امنیتی از سمت هکر یا نرم افزار های مخرب ادمین شبکه را سریعا با خبر می‌کند. داده های ثبت شده در مورد حمله های صورت گرفته، برای رفع مشکلات و جلوگیری از اتفاق دوباره آن حائز اهمیت است.

سرمایه گذاری در IDS باعث شده به سرعت به حملات پاسخ داده شود و نسبت به خسارات ناشی از حمله و موارد قانونی پس از آن هزینه‌های کمتری متحمل شد.

انواع IDS

  1. Host-based IDS

این نوع IDS برای نظارت، شناسایی و پاسخ به حملات به میزبانی مشخصی طراحی شده‌اند. در بیشتر موارد، مهاجمان سیستم های خاصی از شبکه که اطلاعات محرمانه دارند را مورد هدف قرار می دهند. از آنجا که مهاجمان برای حمله از ضعف های سیستم عامل ها استفاده می کنند، IDS برای پوشش آسیب پذیری با سیستم عامل میزبان ادغام می شود.

  1. Network-based IDS

IDS مبتنی بر شبکه ترافیک شبکه را برای شناسایی مهاجمان مانیتور می کنند. این نوع IDS داده های ورودی شبکه را بررسی کرده و با معیارها و الگوریتم های خاص امنیت شبکه را کنترل می کنند. پروتکل های اینترنت و پروتکل های رایج دیگر همچون TCP/IP ، NetBEUI و XNS در مقابل حملات آسیب پذیرند و بنابراین نیاز به IDS برای کشف داده های مخرب است. این مورد را هم باید اضافه کرد که تحلیل ترافیک رمزشده و ترافیک VPN برای IDS کار مشکلی است. دستگاه های مدرن و جدید IDS توانایی آنالیز ترافیک ورودی با سرعت های بالا Gbit/s1 را دارا می‌باشند.

IDS
IPS

IPS

IPS تجهیز شبکه امنیتی با قابلیت بالایی است که علاوه بر شناسایی مهاجمان از شروع موفقیت آمیز حملات شناخته شده جلوگیری می کند. در واقع IPS ترکیب IDS و Firewall می باشد و از این رو جایگاه مهمی را در پیاده سازی خدمات امنیت شبکه داراست. با توجه به اینکه خرید و پیاده سازی IPS هزینه بالایی دارد و از طرفی هم برخی ذستگاه های IPS سرعت عملکرد پایینی دارند، می بایست قبل از سرمایه گذاری مشکلات آن بطور کامل بررسی شود.

تجهیزات امنیتی بطور کل به دو شکل Active Response و Intrusion Prevention مانع حملاتی چون DDoS می شوند. در مدل Active Response اولین بسته های حمله موفقیت آمیز بوده اما در ادامه بسته ها مسدود خواهد شد. در مقابل مدل Intrusion Prevention مثل IDS یا IPS این قابلیت را دارا هستند که بسته ها را در لایه اپلیکیشن و در هر لحظه آنالیز کرده و در نتیجه اولین بسته های حمله شناسایی و مسدود خواهند شد.

دستگاه های IPS که برای امنیت یک سیستم خاص پیاده سازی می شوند با ۴ استراتژی این امکان را انجام می دهند.

  1. System memory and process protection

این نوع استراتژی با جلوگیری از خراب شدن process های در حال اجرا توسط process های دیگر به محافظت از حافظه موقت ( RAM ) می پردازد. در این مکانیسم process های سیستم موردنظر توسط IPS مانیتور شده و در صورت مشاهده process مشکوک آن را حذف می کند.

  1. Inline network devices

در این استراتژی تجهیز امنیتی میان ارتباطات شبکه و قبل از کارت شبکه سیستم مورد قرار می گیرد. ترافیک قبل از رسیدن به سیستم موردنظر آنالیز شده و به شکل آنی تحلیل و تصمیم به مسدودی یا اجازه ورود انجام می شود.

  1. Session sniping

این مکانسیم با خاتمه دادن TCP Session مانع انجام حملات می شود. در صورت شناسایی حمله یک TCP RST با شماره ترتیب مناسب به هر دو سمت Session ارسال شده و ارتباط را قطع می کند.

  1. Gateway interaction devices

این نوع استراتژی با Gateway شبکه مانند روتر یا فایروال تعامل کرده و در صورت شناسایی حمله Gateway را برای مسدود کردن ترافیک مهاجم راهنمایی می کند.

IPS
WIDPS

WIDPS

دستگاه های امنیتی WIDPS (Wireless intrusion prevention and detection system) از دیگر تجهیزات خدمات امنیت شبکه است که برای مانیتور کردن طیف رادیویی شبکه های بی سیم LAN و کنترل تهدیدات امنیتی بی سیم پیاده سازی شده‌اند. بدین ترتیب WIDPS در لایه دوم مدل OSI کار میکند.

WIDPS لیست آدرس های MAC مجاز را با دستگاه های متصل به شبکه مقایسه می کند و در صورت عدم تطابق به مدیران IT هشدار می دهد. برخی WIDPS های پیشرفته مانند محصولات Cisco با تحلیل امضای (Signature) طیف رادیویی ایجاد شده توسط دستگا های بی سیم، ارتباط دستگاه های ناشناس را مسدود کرده و در واقع از جعل آدرس MAC (MAC Address Spoofing) جلوگیری می کنند.

سه روش اساسی برای پیاده سازی WIDPS وجود دارد.

  1. AP وظیفه مضاعفی خواهد داشت و علاوه بر برقراری ارتباط و عبور ترافیک شبکه، به صورت دوره ای AP های غیرمجاز را آنالیز می کند.
  2. حسگری که در AP های مجاز تعبیه می شود و به دنبال شناساییAP های غیرمجاز است.
  3. حسگرهایی در سراسر ساختمان قرار داده شود که اطلاعات را جمع آوری و برای یک سرور متمرکز ارسال می کند. این روش نسبت به روش های دیگر هزینه بالایی خواهد داشت اما بسیار کارامد خواهد بود.

UTM

UTM (Unified Threat Management) روشی برای امنیت اطلاعات است که با جلوگیری از نفوذ ترافیک مخرب، آنتی ویروس و فیتر کردن محتوا مانع از موفقیت مهاجمان و خواهد شد. UTM مدیریت امنیت اطلاعات را ساده تر می کند چرا که ادمین شبکه بجای مدیریت چندین دستگاه و برند مختلف، یک نقطه مدیریت و گزارش واحد دارد که علاوه بر آن باعث صرفه جویی در وقت و هزینه نیز خواهد شد.

از قابلیت های مهم دستگاه های UTM می توان به موارد زیر اشاره کرد.

  1. Network firewall
  2. Intrusion detection
  3. Intrusion prevention
  4. Gateway anti-virus
  5. Proxy firewall
  6. Deep packet inspection
  7. Web proxy and content filtering
  8. Data loss prevention (DLP)
  9. Security information and event management (SIEM)
  10. Virtual private network (VPN)
  11. Network tarpit
UTM
NAC

NAC

NAC (Network Access Control) یکی دیگر از تجهیزات حوزه خدمات امنیت شبکه است که این دستگاه برای کنترل امنیت شبکه می‌باشد و دسترسی Endpoint ها و سیستم های درون شبکه را مطابق policy های تعریف شده محدود می کند. حتی ممکن است که مشکل امنیتی سیستم های ناسازگار را بطور خودکار رفع کرده و بعد دسترسی را اعمال کند.

NAC قبل از دسترسی موارد امنیتی بسیار را چک می کند که برای مثال سیستم ها در صورت نصب آخرین نسخه نرم افزار آنتی ویروس دسترسی خواهند داشت و در غیر این صورت ترافیک آن ها مسدود خواهد شد.

همچنین ممکن است NAC نیاز داشته باشد روی سیستم ها Agent نصب کرده و با استفاده از آن امنیت دستگاه را ارزیابی کند.

Proxy Servers

سرور های پروکسی از کاربر متقاضی درخواست را گرفته و منابع موردنظر را از سرور های دیگر دریافت می کنند. درواقع درخواست سرویس را ارزیابی کرده و در صورت مجاز بودن ترافیک را به سرور مقصد اراسل می کنند. Forward Proxy که رایج ترین نوع پیاده سازی پروکسی سرور هاست برای بازیابی اطلاعات مشتریان بکار برده می‌شوند.

در صورتی که سرور پروکسی از طریق اینترنت قابل دسترسی همه کاربران باشد، Open Proxy خوانده می شود. نوع دیگری از پیاده سازی پروکسی سرور وجود دارد که در آن کاربران را به یک سرور از شبکه داخلی متصل می کند که به reverse Proxy می گویند. در این نوع کاربران هیچ اطلاعی از سرور اصلی ندارند و تنها ترافیک به سرور پروکسی فرستاده می شود. WAF (Web Application Firewall) که بالاتر توضیح داده شد از این دسته به شمار می آیند.

پروکسی ها به دو شکل Transparent و NonTransparent فعالیت می کنند. در مدل اول تنها ترافیک کاربران را عبور می دهند و هیچ تغییری در داده آن ها ایجاد نمی کنند و در واقع نیازی به اطلاع کاربران از وجود پروکسی سرور نخواهد بود. در مدل دوم پروکسی سرور به منظور ارائه برخی خدمات به کاربر در پیام ارسال یا پاسخ تغییراتی مانند نوع مدیای ارسالی، کاهش پروتکل و یا فیلتر ناشناس بودن پیاده سازی می شود.

در سازمان ها معمولا پروکسی سرور را برای فیلتر کردن بعضی ترافیک و بهبود عمکرد مانند Load Balancing راه اندازی می‌کنند.

WAF
web-filter

Web filter

دستگاه های امنیتی وب فیلتر کاربران را از بارگیری صفحات خاصی از برخی سایت ها جلوگیری می کند. Web Filtering بلاک کردن وبسایت ها یا قسمتی از آن است که بر اساس URL صورت می پذیرد و این موضوع بر خلاف  Content Filtering است که بر اساس محتوای درخواست ها محدودیت اعمال می کند. شرکت مایکروسافت در ابتدا یک Phishing Filter  بر اساس URL پیاده سازی کرده بود که در ادامه SmartScreen Filter را جایگزین آن کرد. هر زمان که کاربران درخواست بارگیری داده از یک URL  را داشته باشند، آن URL به سرور SmartScreen Filter  ارسال می شود و در آن چک می شود که اگر در لیست سایت های نامطلوب قرار داشت، کاربر را تشویق به قطع ارتباط کند.

وب فیلتر ها معمولا یک لیست از سایت های مخرب دارند و با آن چک می شوند که البته می توان Policy های مطابق سازمان خود را نیز اضافه کرد. مشاهده تاریخچه جستجوی کاربران، کش کردن صفحات و مشاهده میزان دانلود ترافیک در مدت زمان خاص از جمله دیگر مزایای وب فیلتر است.

Spam filter

از mail gateway می توان علاوه بر مسیریابی mail بلکه برای پیاده سازی رمزنگاری و امنیت استفاده کرد .به طور معمول ، فیلترهای هرزنامه می توانند ایمیل ناخواسته را شناسایی کرده و از رسیدن آن به صندوق پستی کاربر جلوگیری کنند. فیلترهای هرزنامه بر اساس سیاست ها یا الگوهای طراحی شده توسط یک سازمان، ایمیل ها را بررسی می کنند. فیلترهای پیشرفته از طریق الگوهای کلمه ای مشکوک یا فرکانس کلمات ، هرزنامه را شناسایی می‌کند. فیلتر کردن بر اساس قوانین تعیین شده مانند مسدود کردن ایمیل وارد شده از سمت آدرس های IP خاص ، حاوی کلمات خاص در موضوع و موارد مشابه انجام می شود.

spam-filter
load-balancer
load-balancers

load balancer

از موارد مهم خدمات امنیت شبکه می توان به دستگاه های Load Balancer اشاره کرد. Load Balancer ترافیک کاربران به سمت گروهی از سرور ها را بر اساس میزان مصرف CPU ، تعداد اتصالات و بطور کل عملکرد سرور میان آن ها تقسیم می ‌کنند. در واقع داده ها به سمت چند سرور که به شکل Redundant با هم فعالیت می کنند ارسال می شود و مسئله اصلی برنامه ریزی درست برای این تقسیم بار است.

می توان Load Balancer را هم به شکل نرم افزار و هم به شکل سخت افزرای پیاده سازی کرد و معمولا در یک دستگاه دیگر مانند روتر یا فایروال گنجانده می شود.

انواع روش های Load Balance:

  1. Round Robin:

اولین درخواست کاربر به گروه اول سرورها ارسال شده و درخواست بعدی به گروه بعدی ارسال می شود. وقتی به آخرین گروه سرورهای لیست رسید، Load Balancer دوباره ارسال داده به اولین گروه را شروع می کند.

  1. Affinity:

با استفاده از روش های مختلف برای توزیع درخواست مشتری ، زمان پاسخگویی به کاربر را به حداقل می رساند. سه نوع Affinity داریم:

  • No affinity:

کاربران را با گروه خاصی از سرورها ارتباط نمی دهد. هر درخواست مشتری می تواند برای هر گروه از سرورها متعادل باشد.

  • Single affinity:

با استفاده از آدرس IP کاربر ، کاربران را با گروه خاصی از سرورها مرتبط می کند. بنابراین ، درخواست هایی که از همان آدرس IP کاربر می آیند همیشه به همان گروه سرورها می رسند.

  • Class C affinity:

با استفاده از بخش کلاس C از آدرس IP کاربر ، مشتریان را با گروه خاصی از سرورها مرتبط می کند. بنابراین ، کاربرانی که از همان محدوده آدرس کلاس C هستند ، همیشه به همان گروه سرورها دسترسی پیدا می کنند.

  1. Least connection:

این روش بار فعلی سرور را در نظر می گیرد. درخواست فعلی به سروری ارسال می شود که در حال حاضر حداقل تعداد ارتباط فعال را داراست.

  1. Agent-based adaptive load balancing:

هر سرور در یک Agent دارد که از بار فعلی خود به Load Balancer گزارش می دهد. هنگام تصمیم گیری برای ارسال به سرور مناسب، از این اطلاعات در استفاده می شود.

  1. Chained failover:

ترتیب سرورها در یک زنجیره از پیش تعریف شده است.

  1. Weighted response time:

برای تعیین اینکه کدام سرور سریعترین Response را در یک زمان خاص دارد و در اولویت قرار بگیرد.

  1. Software-defined networking:

این رویکرد اطلاعات مربوط به لایه های بالا و پایین شبکه را با هم ترکیب می کند تا اطلاعات مربوط به وضعیت سرورها ، وضعیت برنامه های در حال اجرا بر روی آن‌ها ، سلامت زیرساخت شبکه و میزان ازدحام در شبکه، نقش مهمی در تصمیم گیری برای تعادل بار داشته باشد.

Antivirus

نرم افزار آنتی ویروس یکی از مهمترین موارد خدمات امنیت شبکه و از گسترده ترین ابزارهای امنیتی است که توسط افراد و سازمان ها به کار گرفته می شود. با روش های مختلفی آنتی ویروس ها نرم افزارهای مخرب را تشخیص می دهند.

  1. Based on the existing malware signatures:

محبوب ترین راه برای شناسایی کد مخرب استفاده از Signature می باشد که در واقع اثر انگشت بدافزار است. آنها در پایگاه داده های عظیم جمع آوری می شوند تا توسط اسکنرهای آنتی ویروس استفاده شوند. به همین دلیل بسیار مهم است که برنامه آنتی ویروس به روز باشد به طوری که جدیدترین امضاها موجود است.

  1. Using heuristics:

روشی پیشرفته که به شناسایی بدافزار می پردازد. رفتاری مثل تلاش برای دسترسی به بخش بوت ، نوشتن در یک فایل EXE یا حذف محتوای هارد از جمله ی آن است. هر ویروسی ویژگی خاص خود را دارد که آنتی ویروس پس از شناسایی آن برای جلوگیری از ویروس های آینده اسفاده می کند چرا که رایج ترین ویروس های در گردش مانند همان ویروس های قدیمی هستند.

  1. Based on file length

روش دیگر تشخیص ویروس استفاده از حجم فایل است. از آنجا که ویروس ها با اتصال به نرم افزار به عنوان جایگزین آن کار می کنند ، معمولاً حجم نرم افزار جایگزین افزایش می یابد. نرم افزار آنتی ویروس حجم فایل یا نرم افزار اصلی را با هر بار استفاده با حجم قبلی مقایسه می کند. اگر این دو مقدار متفاوت باشد ، این نشان دهنده وجود ویروس است.

  1. Based on checksums

Checksum مقداری است که در فایل محاسبه می شود تا تعیین کند آیا داده ها توسط ویروس بدون افزایش حجم فایل تغییر کرده اند. نشانه های ویروس معمولاً به نوع ویروس بستگی دارد از جمله آن می توان به موارد زیر اشاره کرد:

  • راه اندازی مجدد سیستم به شکل غیر منتظره و مکرر
  • افزایش ناگهانی حجم داده ها و نرم افزارها
  • تغییر پسوند فایل (مشترک با باج افزار)
  • ناپدید شدن بعضی فایل ها
  • مشکل در ذخیره فایل های باز
  • کمبود حافظه
Anti-Virus