کنترل دسترسی
کنترل دسترسی به شبکه به عنوان یکی از سنگ های زیربنای مدیریت امنیت شبکه جهت شناسایی، اخطار و جلوگیری از دسترسی تمام سیستم های غیر مجاز متصل شده به یک شبکه می باشد. حوادث امنیتی با خسارت همراه است و این خسارات معمولاً شامل موارد زیر می باشد.
۱٫ خیانت یا سرقت در اسرار تجاری و اداری( شامل مباحث توسعه ،فروش ،اطلاعات مشتریان ، منابع مهم )
۲٫ از دست رفتن اطلاعات و خراب شدن داده های مهم
۳٫ خرابی خطوط تولید و روندها ( توقف در تولید، توقف در روند انجام امور)
۴٫ از بین رفتن وجه عمومی و اعتبار مجموعه در جامعه
بیش از ۷۰ درصد از جاسوسها از درون وارد سیستم می شوند و متوسطه سابقه کار این افراد در محل های کار خود بیش از ۱۰ سال می باشد.خطراتی که از داخل یک مجموعه بواسطه وجود شبکه در آنها اتفاق می افتد شامل موارد ذیل می باشد:
. سوء استفاده از حقوق دسترسی در سطوح مختلف
. حملات هدف دار
. تهدید بد افزارها
مطالعات انجام شده در خصوص آسیب های شبکه بر روی ۲۵۰ شرکت اروپایی نشان داده است که ۵۰ در صد از نقص ها داخلی، عمدی و بدخواهانه بوده و تنها ۱۳درصد حملات از خارج از مجموعه می باشد.
جهت جلوگیری از نفوذ به یک شبکه از خارج از شبکه ( اینترنت و …) امکانات مختلفی را می توان استفاده کرد همچون:
۱٫ دیوار آتش (Firewall)
۲٫ مسدود کننده آدرس ها ( URL-Filter)
۳٫ ویروس یاب ها ( anti-virus )
۴٫ ایجاد منطقه امن ( DMZ )
۵٫ مسدودکننده آدرسهای غیر مجاز پستی( Anti-Spam )
در همین خصوص از امکانات دیگری جهت امن سازی و کنترل دسترسیهای داخلی استفاده می گردد:
۱-مدیریت نرم افزار Application management
۲-ویروس یاب ها Virus Protection
۳-حفاظت از دسترسی های انتقالی Plug&Play
۴-مسدود کردن دسترسی های مدیریتی داخلی No Local Admin Rights
۵-استفاده از وصله های امنیتی تهیه شده برای نرم افزارها و سیستم های عامل Security Patch
و موارد دیگری که همگی با توجه به شناخت از شبکه قابل اجرا بوده و منوط به دانستن موجودی شبکه می باشد، در این میان شکاف امنیتی وجود دارد و آن حضور سیستم های ناشناس و دسترسی آنها به شبکه است، در ساده ترین حالت سیستم ناشناس امکان پیاده سازی حملات هدف دار را دارست ، این حملات شامل شنود، دستکاری، خراب کاری توسط DOS-Denial Of Services است.انجام چنین حملاتی دانش ویژه ای نیاز ندارد ابزار مناسب موجود خود تاییدی برای این موضوع است که به صورت آزادانه در اینترنت قابل دسترس می باشد و شما فقط نیاز به یک کامپیوتر متصل به شبکه دارید تا با استفاده از این ابزارها به صورت ویژه و در عین حال ساده به بستر شبکه داخلی حمله کنید. در حالت های پیشرفته تر تهدید بد افزارها ست . نفوذ این کدهای مخرب به سیستم ها تاثیرات و تاخیرات زیادی در عملکرد شبکه ها ایجاد می کند. به عنوان مثال بد افزار Conficker باعث شد تا دولت محلی در یکی از شهرهای کشور اتریش وضعیت اضطراری اعلام کند و بیش از ۳۰۰۰ سیستم ظرف مدت ۴۸ ساعت آلوده شود و یا بدافزار آتش (flame) با هدف قرار دادن خاورمیانه آمار نفوذی برابر ۴۸درصدی در ایران داشته باشد و یا بدافزار مهدی بیشترین آمار نفوذ را در ایران با رقم ۳۸۷ مورد خاص آلوده شده ظرف ۱ هفته دارا باشد این در حالی است که به علت رعایت نشدن حق کپی رایت، ایران جزء کشور های غنی به لحاظ استفاده از نرم افزار هاست ، البته نا گفته نماند که بسیاری از ارگانها و سازمانها مزیت استفاده از آنتی ویروس های تحت لایسنس و خریداری شده را به وضوح مشاهده کرده اند.یکی دیگر از مشکلات حال حاضر مدیران شبکه در سازمانها و ادارات عدم اطلاع داشتن از موجودی تجهیزات فعال در شبکه های خود است، از دلایل آن به وجود آمدن روندی است که در دنیای امروز ماهیت غیرقابل انکار پیدا کرده است.شعار این روند دستگاه خود را بیاورید. Bring your Own devices که به اختصار ByoD گفته می شود. این روند باعث آن شده هرکس ترجیح بدهد با دستگاه شخصی خود کار کند و محدود به مدیران، کارمندان، مهمان های اداری، تکنسین های فنی و خدماتی، مشاوران و پیمانکاران خدمات نیست.در اینجا باید بگوییم آیا این موضوع یک رویاست یا یک کابوس! برای تحقق پایداری و امنیت در داخل شبکه ها نیازمند آن هستیم بلوک اصلی برای مدیریت امنتر در داخل شبکه بسازیم این بلوک به اختصار توسط کارشناسان IDC معرفی و در خصوص آن بحث های فراوانی انجام شده و آن را در الویت اول امنیت قرار داده است . این الویت آنقدر پررنگ بوده که نویسندگان استانداردهای امنیتی همچون BSI,ISMS آن را جز ملزومات استاندارد خود قرارداده اند. به این بلوک اصلی به اختصار NAC-Network Access Control میگویند.به جرات می توان گفت کنترل دسترسی شبکه (NAC) اعمال کننده استاندارد های امنیتی یک شرکت بر روی شبکه و دستگاههای تحت شبکه آن شرکت است. با پیاده سازی این سیستم دستگاه های روشن در شبکه به منابع شبکه دسترسی دارند اگر اجازه داشته باشد و اگر با استانداردهای ایمنی شبکه سازگار باشند. با مباحثی که در بالا به آن اشاره شد به سادگی به اهمیت NAC در عمل می توان پی برد صرفا کافی است استانداردهای BSI و ISMS را مرور کنید و آنالیز کارشناسان IDC در این خصوص را مطالعه نمائید.سیستمهای NAC امروزه با قابلیت های فراوانی وارد بازار شده اند همچون :
۱- بصورت مستقل و مرکزی
۲- به هیچگونه نرم افزار و سنسور خاصی نیاز ندارند
۳- بدون نیاز به تغییر در ساختار شبکه قابل پیاده سازی می باشد.
۴- بدون وابستگی به تجهیزات مارک خاصی
۵-طراحی ماژولار جهت سهولت انتخاب امکانات
۶-استفاده از تکنیک های خاص امنیتی جهت شناسائی همچون TPM-chip
به اختصار می توان NAC را پلیس شبکه داخلی دانست. که با توجه به اینکه قابلیت فرا خوانی دیتاهای نرم افزاری ضد ویروس و دیوار آتش را نیز دارا ست می تواند جهت جلوگیری از حملات به صورت هوشمندانه برای پایداری و امنیت شبکه تصمیم گیری کند. این تکنیک به اختصار AIR-Active Incident Response نام دارد. به زبان ساده دوره مدیریت انسانی و ذهنی برروی شبکه ها سالهاست به اتمام رسیده در جایی که کاربران شبکه یک سازمان به بیش از ۳۰۰۰ کاربر روی خط می رسد انسان بدون استفاده از ابزارهای مکانیزه هوشمند مدیریتی توان مدیریت چنین شبکه هایی را دارا نیست در کشور ما پیاده سازی استانداردهای امنیت اطلاعات چند سالی است به همت مدیران عالی اجرای کشور به ضرورت تبدیل شده است. این موضوع خود پنجره های امیدی است تا بتوان ردیف های بودجه برای رشد امنیت شبکه ها در سازمانها و ادارات اختصاص داد. اگر ساده تر بخواهیم در این خصوص صحبت کنیم در کشوری که سالانه تهدید های خارجی برای ضربه زدن به پتانسیل های آن هر روز از تکنیک خاص استفاده می کنند ایمن سازی مجموعه ها از این خطرات و پیشگیری از وقوع آنها هزینه نیست بلکه سرمایه گذاری بلند مدتی است که می تواند استفاده از امکانات و تکنولوژی را از تهدید به فرصت و مزیت تبدیل نماییم.
رضا رجال زاده کارشناس امنیت شبکه
