ضرورت توجه به امنيت اطلاعات ( بخش ششم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم  به لايه سياست ها ، رويه ها و اطلاع رسانی  و در بخش پنجم به لايه فيزيكی اشاره گرديد . در اين بخش به بررسی لايه محدوده عملياتی شبكه و يا Perimeter خواهيم پرداخت .

بررسی  لايه  Perimeter

•  Perimeter شبكه ، مكانی است كه شبكه يك سازمان با شبكه های تائيد نشده ديگر مرتبط می گردد . بسياری از كارشناسان شبكه از تعريف فوق اينگونه استنباط می نمايند كه صرفا" اتصال بين شبكه داخلی سازمان و اينترنت مورد نظر می باشد . در صورتی كه در استراتژی دفاع در عمق ، به هر نقطه ای كه شبكه داخلی يك سازمان را به ساير شبكه ها و ميزبانان متصل و توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند ،‌اطلاق می گردد . موارد زير نمونه هائی در اين زمينه می باشد :   
  - اينترنت 
  - شعبات و نمايندگی های متفاوت يك سازمان كه توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند . 
  - كاربران راه دور 
  - شبكه های بدون كابل 
  - برنامه های اينترنت 
  - ساير سگمنت های داخلی شبكه 
   

•  Perimeter يك شبكه ، ناحيه ای است كه در معرض بيشترين حملات از دنيای خارج قرار دارد و  بروز تهاجم از آن نقاط احتمال بيشتری دارد  . 
   

• از امكانات متفاوتی به عنوان دستگاه های Perimeter  در يك شبكه استفاده می گردد . روتر ، سرويس دهندگان وب و پست الكترونيكی ، فايروال های سخت افزاری و نرم افزاری نمونه هائی در اين زمينه می باشد .  

تهديدات  لايه  Perimeter  

• به منظور ايمن سازی زيرساخت فن آوری اطلاعات يك سازمان می بايست در مرحله اول بر روی نقاطی متمركز گرديد كه بروز حملات از جانب آنان دارای بيشترين احتمال است ( نظير اينترنت ) . اين موضوع ضرورت توجه بر روی ساير نقاط حساس در يك سازمان را كم رنگ نمی نمايد و می بايست به اينگونه نقاط نيز توجه ويژه ای داشت . يك مهاجم ممكن است حملات خود را از نقاطی آغاز نمايد كه احتمال آن كمتر داده می شود.  بنابراين لازم است  در خصوص ايمن سازی تمامی نقاط ورودی و خروجی يك شبكه تصميم گيری و از راهكاری موجود به منظور ايمن سازی آنان استفاده گردد .   
   

• با توجه به اين كه مسوليت پياده سازی امنيت برای همكاران تجاری يك سازمان برعهده كارشناسان فن آوری اطلاعات سازمان نمی باشد و همچنين هيچگونه كنترلی بر روی سخت افزار كاربران راه دور وجود ندارد ، نمی توان دستيابی از نقاط فوق را تائيد نمود و می بايست در اين خصوص از روش های ايمنی خاصی استفاده گردد . شعبات ادارات ممكن است به اندازه اداره مركزی دارای اطلاعات حساسی نباشد ،‌ بنابراين ممكن است آنان نيازمند يك سطح پائين تر به منظور پياده سازی امنيت باشند . عليرغم موضوع فوق ، درصورتی كه شعبات يك سازمان دارای امكان برقراری ارتباط مستقيم با ادارات مركزی باشند ، مهاجمان می توانند از پتانسيل فوق در جهت نيل به اهداف خود استفاده نمايند . 
   

•  برخی حملات Perimeter ، مستقيما" Perimeter شبكه را تحت تاثير قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام به  انتشار نامه های الكترونيكی می نمايند كه در ظاهر از يك منبع مطمئن ارسال شده اند . چنين پيام هائی اغلب سعی می نمايند دريافت كننده پيام را ترغيب نمايند كه اطلاعات حساس و مهم خود را در اختيار آنان قرار دهد .در اين نوع از حملات به همراه برخی از پيام های ارسالی ، لينك ها و آدرس های وب سايت خاصی نيز مشخص می گردد . اينگونه سايت ها خود را به عنوان يك سايت معتبر وانمود و سعی در جذب مخاطبانی دارند كه اصول اوليه امنيت اطلاعات را رعايت نمی نمايند . 
   

• كارشناسان امنيت اطلاعات می بايست امنيت شبكه را در تمامی نقاط تماس شبكه با دنيای خارج بررسی نمايند نه اينكه صرفا" بر روی نواحی خاصی متمركز گردند.  

حفاظت لايه Perimeter

•  ايمن سازی Perimeter ، عموما" با استفاده از يك فايروال انجام می شود . پيكربندی يك فايروال می تواند از لحاظ فنی چالش های مختص به خود را دارا باشد . بنابراين رويه ها می بايست به صورت شفاف جزئيات كار را روشن نمايند .  
   

• در نسخه های جديد ويندوز ، به منظور كاهش احتمال بروز حملات برخی از پورت های غيرضروری بلاك شده است . در اين رابطه می توان از سيستم های HIDS   ( برگرفته از  Host Intrusion Detection Systems ) و فايروال های host-based نيز استفاده نمود . 
   

• NAT ( برگرفته از Network address translation ) يك سازمان را قادر می سازد كه پيكربندی مربوط به پورت و آدرس های IP را به منظور پيشگيری از كاربرانی كه دارای سوء نيت می باشند، مخفی نموده تا سيستم های داخلی در معرض حملات قرار نگيرند . مكانيزم های امنيت Perimeter می تواند مخفی نگاه داشتن سرويس های داخلی را نيز شامل گردد ( حتی سرويس هائی كه می بايست امكان دستيابی عموم به آنان وجود داشته باشد ) . بنابراين مهاجمان هرگز بطور مستقيم با هيچگونه سيستمی ارتباط برقرار نخواهند كرد و تمامی ارتباطات از طريق فايروال انجام خواهد شد . 
   

• زمانی كه داده محيطی را كه تحت مسئوليت شما است ترك می نمايد ، می بايست اين اطمينان وجود داشته باشد كه داده به سلامت به مقصد نهائی خواهد رسيد . بدين منظور می توان از رمزنگاری و پروتكل های tunneling به منظور ايجاد يك VPN ( برگرفته از virtual private network ) استفاده گردد . برای نامه های الكترونيكی ، می توان از S/MIMEو يا فن آوری PGP ( برگرفته از Pretty Good Privacy ) به منظور رمزنگاری و تائيد پيام ها استفاده نمود .  
   

• پروتكل tunneling استفاده شده در نسخه های متفاوت ويندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol  ) است كه از رمزنگاری   MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و يا  پروتكل L2TP ( برگرفته از Layer 2 Tunneling Protocol   ) كه از رمزنگاری IPSec استفاده می نمايند.  
   

• زمانی كه كامپيوترهای راه دور از طريق يك VPN ارتباط برقرار می نمايند ، سازمان ها می توانند با انجام چندين مرحله اضافه كامپيوترها را بررسی تا اين اطمينان حاصل گردد كه آنان تابع سياست های امنيتی تعريف شده می باشند . سيستم های متصل شده می بايست در يك محل قرنظينه شوند تا بررسی لازم در خصوص وضعيت امنيتی آنان انجام شود . در اين رابطه می توان سرويس NAP ( برگرفته از Network Access Protection  ) را نيز پياده سازی نمود تا سرويس گيرندگان داخلی را قبل از اين كه به آنان مجوز دستيابی به شبكه اعطاء شود ، بررسی نمود.
   

• سيستم های موجود بر روی Perimeter می‌بايست دارای كاربردهای كاملا" تعريف شده و مشخصی باشند . در اين رابطه لازم است كه سرويس های غيرضروری بلاك و يا غيرفعال گردد .  
   

• فايروال ويندوز كه به  همراه ويندوز xp سرويس پك  2  و  ويندوز 2003 سرويس پك ارائه شده است ، امكانات حفاظتی متعددی را در جهت افزايش حفاظت Perimeter  برای كاربران از راه دور ارائه می نمايد .