امروزه علاوه بر افزايش تعداد کامپيوترها و تجهيزات در ادارات و شرکتها ، مبحث نصب و راهاندازي شبکه در آنها و استفاده بهينه از منابع نيز رشد فزايندهاي داشته است.گاهي اوقات وسواس در استفاده بهينه از منابع اشترکي ( Shared Resources ) باعث فراموش کردن بحث امنيت در شبکه مي شود. به هرحال اگر شبکهاي را مديريت ميکنيد ميبايست خطرات و راههايي مقابله با آنها را حتماً بشناسيد. در محيط شبکه بايد اطمينان حاصل شود که دادههاي مهم و حساس به صورت خصوصي باقي بمانند تا فقط کاربران مجاز اجازه دسترسي به آن را داشته باشند. از طرف ديگر نه تنها امن ساختن اطلاعات حساس مهم ميباشد بلکه حفاظت از عمليات در بستر شبکهها نيز داراي اهميت خاصي ميباشد. با رعايت کردن اصول امنيت شبکه، هر شبکهاي ميتواند از صدمات آگاهانه و نا آکاهانه در امان بماند. در هر صورت يک مدير شبکه توانا بايد در برقراري امنيت شبکه داراي تعادل باشد. اگر چه شبکهها اکثر اطلاعات با ارزش و حساس تجاري و کاري را مديريت ميکنند اما نيازي نيست که يک شبکه آنقدر امنيت داشته باشد که افراد براي به انجام رساندن کارهاي خود دچار مشکل شوند. بعنوان مثال افراد نبايد براي در دسترسي به فايلهاي خود دچار مسائل پچيده و بغرنج شوند.
خطرات احتمالي
براساس تحقيقات صورت گرفته چند موضوع تهديد کننده اصلي امنيت در يک ميباشد که عبارتند از:
• دستيابي غير مجاز افراد داخلي و خارجي
• تهديد الکترونيکي
• سرقت اطلاعات محرمانه و غيرمحرمانه
• خسارت آگاهانه و ناآگاهانه
راههاي بالابردن امنيت در شبکه
براي بالا بردن امنيت شبکه راههاي گوناگوني وجود دارد که برخي از آنها عبارتند از:
• آموزش شبکه و مباني آن به کاربران
• تعيين سطوح امنيت
• نصب نرم افزارهاي محافظت از شبکه
• تنظيم سياستهاي شبکه
• به رسميت شناختن يا Authentication
• امنيت فيزيکي تجهيزات
• امنيت بخشيدن به کابل
آموزش
يک کاربر مجرب شبکه احتمال کمتري دارد که يک منبع شبکه را تخريب کند. Admin (مدير شبکه) بايد مطمئن شود که همه افرادي که از شبکه استفاده ميکنند با رويههاي کاري و امنيت شبکه آشنا باشند.
براي به انجام رساندن اين مهم Admin بايد يک راهنمايي کوتاه و ساده و کاملا" واضح به کاربراني که دچار مشکلي هستند يا آنهايي که کاربران جديدي ميباشند ارائه کند.
تعيين سطوح امنيت
درجه و سطح امنيت شبکه بستگي به نوع محيطي که شبکه قرار است در آن فعاليت کند دارد. به طور مثال شبکهاي که داراي سرورهاي بانک اطلاعاتي مانند SQL Server است بيشتر از شبکهاي که فقط کامييوترهاي افراد را به يکديگر متصل ميکند به امنيت نياز دارد.
تنظيم سياستها
امنيت شبکه نياز به مجموعهاي از قوانين و سياستها ( Policies ) دارد تا چيزي براي تغيير دادن باقي نماند. تعيين و تنظيم سياست امنيتي اولين گام يک شرکت يا سازمان براي اطمينان از امنيت دادهها ميباشد. سياستها خط مشي شبکه و مدير را ارائه ميکنند و گام اصولي براي راهاندازي يک شبکه موفق ميباشد.
به رسميت شناختن يا Authentication
قبل از اين که شما بتوانيد به يک شبکه دسترسي داشته باشيد بايد نام کاربري و رمزعبور مجاز را وارد کنيد. به دليل اينکه کلمات عبور به حساب کاربران مرتبط ميباشند. يک کامپيوتر که وظيفه ارزيابي نام کاربري و رمز عبور را در شبکه دارد اولين حفاظ مدير شبکه در مقابل ورود افراد غير مجاز ميباشد.
امنيت فيزيکي تجهيزات
اولين نقطه نظر در امن ( Secure ) کردن دادهها ، امنيت فيزيکي سخت افزارهاي شبکه ميباشد. درجه امنيت بستگي به عوامل زير خواهد داشت:
ـ اندازه شرکت يا سازمان
ـ اهميت دادهها
ـ منابع موجود
بسته به عوامل فوق و در يک اداره مهم يکي از راههاي بالا بردن امنيت دور نگهداشتن سختافزارها و تجهيزات از دسترس افراد غيرمجاز ميباشد. براي اين منظور بايد براي بخش کامپيوتر يک اتاق جداگانه براي نگهداري سرورها فراهم گردد. براي اتاق سرور وسايل و تجهيزات امنيتي مانند سيستم کنترل ورود و خروج پرسنل ، سيستم کنترل حريق و دوربينهاي مداربسته و ... لازم مي باشد.
اما بعنوان مثال در يک شبکه نظير به نظير ( Peer-To-Peer ) ممکن است هيچ نوع سياست سازمان يافتهاي براي امنيت سختافزاري وجود نداشته باشد. در اين نوع شبکه کاربران براي امنيت کامييوترها و دادههاي خود مسئول هستند و کسي به نام مدير شبکه در اين نوع شبکه مفهومي ندارد.
بر خلاف شبکههاي نظير به نظير ( Peer-To-Peer ) در سيستمهاي متمرکز جايي که دادههاي شرکت و کاربران مجزا اهميت ييدا ميکند ، Server ها بايد از صدمه فيزيکي تصادفي يا عمدي در امان باشند. در هر گروهي هميشه افرادي يافت ميشوند که وقتي Server ها دچار مشکلي شدند ميخواهند قابليتهاي فردي خود را به نمايش بگذارند. ممکن است آنها هم بدانند و هم ندانند در هر حال انجام چه کاري مهمي هستند. بهترين راه حل اين است که از ورود اين افراد براي تعمير Server ها جلوگيري به عمل آيد. همانطور که گفته شد يکي از راه حل اين است که Server ها را در يک اتاق کامييوتر با دسترسي محدود قرار داده و درب آن را قفل کنيد. بر حسب اينکه اندازه شرکت چقدر باشد ممکن است اين راهحل عملي نباشد. اما به هر حال گذاشتن Server در يک دفتر يا يک کمد بزرگ و قفل کردن درب آن گام صحيحي در جهت امنيت بخشيدن به Server ميباشد.
امنيت بخشيدن به کابل
کابلهاي مسي مانند کابل Coaxial همانند يک راديو عمل ميکنند. سيگنالهاي الکترونيکي از خود صاتع ميکنند که باعث تقليد و تکرار اطاعات حمل شده ميشود. اين اطلاعات ميتوانند با تجهيزات مناسب الکترونيکي گوش داده شوند. همچنين ممکن است کابل مسي خدچهدار شود و اطلاعات مستقيما از کابل به سرقت روند. قطعات کابلي که دادههاي حساس را حمل ميکنند بايد تنها توسط افراد داراي مجوز قابل دستيابي باشند. اين کابلها بايد از معماري ساختمان به گونهاي عبور کنند که قابل دستيابي نباشند مثلا" از طريق سقف ها ، ديوارها و کف زمين.
مدلهاي امنيتي
بعد از ييادهسازي امنيت براي اجزاي فيزيکي شبکه مدير شبکه بايد مطمئن شود که منابع شبکه هم از دستيابي غير مجاز و هم از صدمه تصادفي يا عمدي در امان اند. براي اين منظور مدير شبکه بايد دادهها و منابع اشتراکي را توسط مدلهاي امنيتي موجود از دسترس افراد غيرمجاز دور نگه دارد.
دو مدل امنيتي براي امن نگه داشتن دادهها و منابع سختافزاري وجود دارد:
• منابع اشتراکي محافظت شده توسط کلمات عبور ياPassword Protected Share يا(Share Level Security )
• مجوزهاي دستيابي (Access Permissions )
منابع اشتراکي محافظت شده توسط کلمات عبور
يياده سازي منابع اشتراکي محافظت شده توسط کلمه عبور در واقع دادن يک کلمه عبور با هر منبع اشتراکي است . در اين مدل ، دستيابي به يک منبع اشتراکي وقتي حاصل ميشود که کاربر کلمه عبور صحيح را وارد کند. در بعضي از سيستمها ، منابع ميتوانند با انواع مختلف مجوزها به اشتراک گذارده شوند. به عنوان مثال در هنگام استفاده از Windows 9x پوشه ها ميتوانند به شکلFull و Read Only يا وابسته به کلمه عبور به اشتراک گذارده شوند.
در ادامه براي کاربراني که با اصطلاحات Read Only و Full در هنگام اشتراک منابع آشنا نيستند توضيحات مختصري ارائه شده است.
Read Only : اگر منبع به اشتراک گذاشته شده به صورت Read Only تنظيم شده باشد کاربراني که کلمه عبور را ميدانند به فايلهاي آن دايرکتوري دستيابي فقط براي خواندن اطلاعات را خواهند داشت. آنها ميتوانند مستندات را نگاه کنند و آنها را بر روي ماشين خود کپي کنند يا آنها را چاب کنند ولي نميتوانند مستندات اصلي را تغيير دهند.
Full : در اين نوع کاربراني کلمه عبور را ميدانند دستيابي کامل به فايلهاي درون پوشه ها خواهند داشت.به عبارت ديگر آنها ميتوانند فايلهاي داخل دايرکتوري اشتراکي را نگاه کرده ، تغيير داده و اضافه و پاک نمايند.
Depends Of Password ( وابسته به کلمه عبور ) : اين بدان معني است که يک منبع اشتراکي را طوري تنظيم کنيم که از دو سطح کلمه عبور استفاده کند. کلمه عبور براي دستيابي خواندن و کلمه عبور براي دستيابي کامل. کاربراني که کلمه عبور دستيابي خواندن را بدانند فقط ميتوانند دادهها را بخوانند و کاربراني که کلمه عبور دستيابي کامل را در اختيار دارند ميتوانند دستيابي کامل به اطلاعات داشته باشند.
مجوزهاي دسترسي (Access Permissions )
يکي از راههاي اعمال امنيت در شبکه ، اعطاي مجوزهاي دستيابي بر اساس قوانين وضع شده به تک تک کاربران است. يک کاربر وقتي به شبکه Login ميکند يک کلمه عبور تايب مينمايد. دستگاه Server اين ترکيب نام کاربر و کلمه عبور را ارزيابي ميکند و از آن براي دادن اجازه دستيابي به منابع اشتراکي توسط چک کردن يک بانک اطلاعاتي مربوط به اجازه دستيابي کاربران به منابعي که بر روي دستگاه Server قرار دارد استفاده مينمايد. امنيت با استفاده مجوز دسترسي سطح بالاتري از نظارت و کنترل بر قوانين دستيابي و همانطور امنيت فشرده بر روي سيستم نسبت به روش حفاظت از کلمات عبور ارائه ميدهد. براي يک فرد آسانتر خواهد بود که کلمه عبور يک دستگاه چاپگر را به شخص ديگري بگويد تا اينک مجبور شود کلمه عبور شخصي خود را به فرد ديگري بگويد.
امنيت منابع
بعد از آنکه کاربر بر روي شبکه به رسميت شناخته شد يعني به شبکه Login کرد سيستم امنيتي به کاربر اجازه دستيابي به منابع مناسب و مجاز که توسط مدير شبکه تنظيم شده است را ميدهد.
کاربران کلمه عبور دارند ولي منابع مجوز دستيابي دارند. به عبارت بهتر هر منبع با يک حسار امنيتي محافظت ميشود. اين حصار چندين لايه يا در دارد که کاربران ميتوانند آن حصارهاي امنيتي را پشت سرگذاشته و به منابع دستيابي داشته باشند. بعضي از اين درها اجازه دستيابي بيشتري به کاربر ميدهند. وظيفه Admin اين است که مشخص کند کدام کاربران ميتوانند از کدام درها عبور کنند. مثلا يک در اجازه دستيابي کامل به کاربر ميدهد در حالي که در ديگر اجازه دست يابي Read Only به کاربر ميدهد.هر منبع يا فايل اشتراکي با ليستي از کاربران يا گروهها و مجوزهاي مربوط به آنان ذخيره ميگردد. شکل 1 مجوزهاي مربوط به فايلها و دايرکتوريهاي اشتراکي را نشان ميدهد.
شکل1
وظيفه مدير شبکه است که به هر کاربر مجوز دستيابي مناسب به هر منبع را دهد. بهترين راه براي پياده سازي اين موضوع از طريق گروهها ميباشد يعني ابتدا مدير يک گروه تعريف ميکند سپس کاربران را به عضويت آن گروه در ميآورد و حالا به آن گروه مجوز لازم را ميدهد. مخصوصا در يک سازمان بزرگ که تعداد کاربران و منابع زياد ميباشد اين موضوع باعث بالا رفتن سرعت کار و راحت شدن کار مدير شبکه ميشود. خانواده سيستم عاملهايWindows به مدير اجازه ميدهند که فايل يا پروندهايي را که ميخواهند به افراد و کاربران زيادي مجوز استفاده دهند از امکان گروهها استفاده کنند.
روشهاي ديگر براي امنيت بيشتر
روشهاي متفاوتي وجود دارد که مدير شبکه ميتواند سطح امنيت در يک شبکه را به وسيله آنها افزايش دهد. که برخي از آنها عبارتند از:
ـ استفاده از فايلهاي Log سيستم عامل شبکه ( Auditing )
ـ استفاده از کامپيوترهاي بدون ديسک ( Diskless )
ـ به رمز درآوردن دادهها
ـ استفاده از آنتي ويروس براي محافظت در برابر ويروسها
Auditing
Auditing انواع حوادث انتخاب شده را در فايل Log امنيتي شبکه بر روي يک دستگاه Server ثبت ميکند.
اين رويه فعاليت شبکه را که توسط Account کاربران انجام ميشود را دنبال مينمايد. Auditing بايد بخشي از امنيت شبکه باشد زيرا رکوردهاي اطلاعات رسيدگي نشان ميدهند که کاربران به يک منبع خاص دستيابي بيدا کردهاند يا قصد دستيابي داشتهاند. Auditing به Admin ها کمک ميکند تا فعاليتهاي غير مجاز يا غير عمدي را شناسايي کنند. همچنين ميتواند اطلاعات مفيدي در وضعيتهايي که سازمان ميخواهد خود را به منابع شبکه جديدي مجهز کند و نياز به روشي براي تشخيص هزينه منابع دارد ارائه کند. Auditing اطلاعاتي در هنگام فعاليتهاي زير در هنگام کار عادي شبکه ثبت ميکند که در موقع لزوم براي مدير شبکه اين اطلاعات ثبت شده جنبه حياتي دارد:
ـ اقدام کاربران به Log on يا Log off به شبکه
ـ ارتباط يا قطع ارتباط با يکي از منابع موجود
ـ به پايان رسيدن ارتباط
ـ غير فعال کردن Account ها
ـ باز يا بسته کردن فايلها
ـ اعمال تغييرات روي فايلها
ـ ايجاد يا حذف پوشه ها
ـ تغيير پوشه ها
ـ حوادث و تغييرات در Server
ـ تغييرات کلمه عبور
ـ تغيير پارامترهاي Log on
رکوردهاي رسيدگي (Auditing Records ) به امنيت ميتوانند شامل اين باشند که شبکه چگونه استفاده شده است. Admin ميتواند با توجه به اين اطلاعات گزارشهايي تهيه کند که هر تعداد فعاليت مشخص را با تاريخ و ساعت آن قيد کند. به عنوان مثال تلاشهاي تکراري ناموفق براي Log on کردن به شبکه يا تلاش براي Log on کردن در ساعتهاي غير مجاز ميتواند نشان دهنده اين باشد که يک کاربر غير مجاز در حال تلاش براي دستيابي به شبکه در ساعت غير مجاز ميباشد.
کامپيوترهاي بدون ديسک
کامپيوترهاي بدون ديسک ( Diskless ) همانطور که از نامشان بر ميآيد داراي هيچ درايوي مانند هارد و فلاپي نميباشند اين نوع کامپيوترها همه کاري که يک کامپيوتر هارد دار ميتواند انجام دهد ، را انجام ميدهد به غير از ذخيره دادهها بر روي هارد ديسک يا فلابي ديسک. اين نوع کامپيوترها ايدهآل سيستمهاي امنيتي ميباشند زيرا کاربران نميتوانند دادهها را دانلود کنند و از آن استفاده کنند.
همچنين بعضي از شرکتها به دليل ارزانتر بودن کامپيوترهاي بدون ديسک در مقايسه با کامپيوترهايي که کاملا" تجهيز شدهاند از اين نوع دستگاهها استفاده ميکنند. کامپيوترهاي بدون ديسک نياز به ديسک راهانداز ( ديسک Bootable ) ندارند. آنها قادر به Log on کردن و ارتباط با Server ميباشند زيرا نوع مخصوصي از تراشه ROM بر روي کارت شبکه اين نوع دستگاهها نصب شده است که ميتواند عمليات راهانداري از دور را انجام دهد.
به رمز درآوردن دادهها
يک ابزار به رمز در آوردن دادهها قبل از اينکه اطلاعات بر روي شبکه ارسال شود آنرا به صورت به هم ريخته در ميآورد. اين عمل باعث ميشود که دادهها غيرقابل خواندن شود حتي اگر يک فرد اقدام به خراش دادن کابل و اطلاعات از روي آن شود. وقتي که دادهها به کامپيوتر مورد نظر ميرسد يک کليد ( Key ) که کد رمزگشايي اطلاعات به رمز درآمده ميباشد بيتهاي دادههاي رسيده را کدگشايي کرده و به اطلاعات قابل فهم تبديل ميکند. الگوهاي بيشرفته به رمز درآوردن دادهها به رمزرساني و کليدها را به صورت خودکار در آوردهاند. بهترين سيستمهاي رمزگذاري سختافزاري ميباشند و تقريبا گران تمام ميشوند. استاندارد معمول براي رمزگذاري ، استاندارد دادهها يا DES نام دارد. اين سيستم تشريح ميکند که دادهها چگونه بايد به رمز در بيايند و کليدها شامل چه مشخصههايي باشند. DES در حال حاضر توسط دولت ايالات متحده آمريکا مشخص شده است. هم گيرنده و هم فرستنده نياز به دستيابي به کليد دارند. در اينجا مشکلاتي بروز ميکند زيرا تنها راه گرفتن کليد از يک مکان به مکان ديگر انتقال آن است که باعث ميشود DES آسيب پذير گردد. اما به هر حال دولت ايالات متحده همچنين در حال استفاده از استاندارد جديدتري بنام ( CCEP ) است که ممکن است جايگزين DES شود. آژانس امنيت ملي آمريکا CCEP را عرضه کرده است و به سازندگان اجازه داده که به آن بپيوندند. توليد کنندگان مجازند تا با الگوريتمهاي طبقهبندي شدهايي در سيستمهاي اتباطي خود کار کنند. آژانس امنيت ملي اين هدف را دنبال ميکند که توليد کنندگان خودشان کليدها را به استفاده کنندگان نهايي چنين سيستمهايي بدهند.
محافظت در برابر ويروس
ويروسهاي مخرب بيشتر در محيطهاي امروزي بيشتر معمول شدهاند. بنابراين در هنگام برنامهريزي رويههاي امنيتي شبکه بايد آنها را به حساب آورد. اگرچه هيچ برنامه محافظ در مقابل ويروس نميتواند جلوي همه ويروسها را بگيرد اما برنامههاي ضد ويروس ميتواند بعضي از کارهاي زير را انجام دهد:
ـ جلوگيري از فعاليت ويروس
ـ پاک کردن ويروس
ـ ترميم خساراتي که يک ويروس به بخش خاصي زده است.
ـ برسي مرتب ويروس بعد از اينکه فعال شده است.
جلوگيري از دستيابيهاي غير مجاز بهترين روش براي جلوگيري از ويروسها ميباشد. به دليل اينکه جلوگيري مد نظر است مدير شبکه نياز دارد که مطمئن شود همگي امکانات استاندارد براي مقابله آمادهاند اينها عبارتند از:
ـ کلمات عبور براي کاهش شانس دستيابيهاي غير مجاز
ـ مجوزها و طرح دستيابي خوب براي همه کاربران
ـ ايجاد کردن Profile ها براي اصولي کردن ساختمان محيط شبکه و اينکه کاربران بتوانند پيکربنديها و محيط خود را نگه دارند.
ـ سياستي که مشخص کند چه نرمافزاري ميتواند روي سيستمها نصب گردد.
ـ سياستي براي پياده سازي محافظت از ويروسها بر روي دستگاههاي Server و Workstation در شبکه.
منبع:کامپیوتر نیوز
