امنیت شبکه | سخت‌افزار

کلمه “امنیت شبکه” به ابزارها، راهکارها و سیاست‌هایی که برای نظارت، شناسایی، جلوگیری و پاسخ دادن به نفوذ غیرقانونی شبکه و در‌نهایت محافظت از دارایی‌های دیجیتالی مانند داده‌های با‌ارزش یا محرمانه استفاده می‌شود، اشاره دارد. ابزارهای امنیت شبکه سخت‌افزاری به‌صورت یک تجهیز فیزیکی مستقل به جای “نرم‌افزار نصب شده بر روی سخت‌افزار یک سیستم کامپیوتری” ارائه می‌شود. نمونه‌های رایج شامل فایروال‌های سخت‌افزاری، روترها، سوییچ‌های لایه ۳ و سرورهای پراکسی است. تجهیزات امنیت شبکه سخت‌افزاری باوجود اینکه از هزینه اولیه بالاتری برخوردار هستند، اما به دلیل دارا بودن منابع پردازشی و حافظه مستقل، حفاظت مطمئن‌تر و واکنش‌های سریع‌تری نسبت به تجهیزهای نرم‌افزاری ارائه می‌کنند و یک لایه امنیتی مطمئن برای شبکه به‌شمار می‌آیند.

مدیران و کارشناسان ارشد امنیت شبکه برای محافظت در برابر حملات سایبری، هکرها و حتی بی‌مسئولیتی کارکنان، از تجهیزات امنیتی سخت‌افزاری متعددی در لایه‌های مختلف OSI استفاده می‌کنند که یک مکانیسم دفاعی چند‌لایه در یک سیستم یکپارچه امنیت شبکه ایجاد می‌کند. این سیاست امنیتی چندلایه که دفاع در عمق “Defense in depth” یا اعتماد صفر نامیده می‌شود، مبتنی بر این ایده است که حتی اگر یک خطر بتواند از یک لایه محافظتی عبور کند‌، دیگر لایه‌های محافظتی آن را از شبکه دور نگه می‌دارند. در نتیجه، هر لایه می‌تواند تهدیدها را به طور فعال نظارت، شناسایی و اصلاح کند.

سخت‌افزارهای امنیتی موجود در زیرساخت شبکه عموما در لایه‌های اول تا چهارم از لایه‌های شبکه (طبقه‌بندی لایه‌های OSI) به‌کار گرفته شده و هرکدام به‌نحوی وظیفه جلوگیری از نوع خاصی از حملات سایبری را دارند که به اختصار به بررسی برخی از آن‌ها می‌پردازیم:

لایه ۱ (امنیت فیزیکی)

لایه۱ که به نام لایه فیزیکی در OSI نامیده می‌شود، مسئول تبدیل بسته‌های داده از لایه ۲ (Data Link) به سیگنال‌های الکتریکی است. این لایه شامل اتصالات فیزیکی واقعی برای ورود یا خروج داده از شبکه است که شامل سیم‌کشی و کابل‌ها، اتصالاتNIC، سیگنال‌دهی انتقال ‌یا دریافت داده‌ها و توانایی تشخیص خطاهای سیگنالی (Signaling errors) در رسانه شبکه است. این لایه نشان‌دهنده اجزای الکتریکی و فیزیکی زیرساخت شبکه است. امنیت در لایه فیزیکی OSI شامل نگرانی‌های امنیتی به‌صورت فیزیکی در محل شرکت است که شامل خطرات ناشی از مواردی مانند ورود غیرمجاز، دستگاه‌هایRogue، اختلال در برق، عواملی محیطی، دود و آتش، تماس با آب و عدم بررسی فیزیکی تجهیزات می‌شود.

دستگاه‌هایRogue  به ابزارهایی اطلاق می‌شود که بدون مجوز یا بدون اینکه تحت کنترل مدیر شبکه باشند به‌صورت فیزیکی به شبکه وصل شده و کار می‌کنند. این دستگاه‌ها خطرات امنیتی فراوانی داشته و یکپارچگی، محرمانه بودن داده‌ها در شبکه را به خطر می‌اندازند. متاسفانه طیف وسیعی از این نوع سخت‌افزارها در شکل‌ها و اندازه‌های مختلف وجود دارد که خواسته یا ناخواسته (مانند تعویض سخت‌افزارهای کارکنان دورکار یا مستقر با نمونه مشابه) به شبکه وصل می‌شود. امروزه با در دسترس بودن Raspberry Pi یا سخت‌افزارهای کوچک با پورت USB، خرابکارها می‌توانند به آسانی آن‌ها را جایگزین دستگاه‌های متداول (حتی شارژر تلفن همراه) کرده که به راحتی حمل و نصب شده و از دید مدیران شبکه پنهان می‌گردند. لذا هرچه شبکه و داده‌های یک سازمان حساس‌تر و محرمانه‌تر باشد، لزوم اتخاذ سیاست‌های بازرسی سخت‌افزارها و نظارت کارکنان سخت‌گیرانه‌تر خواهد بود.

بستن نودهای (Node) باز شبکه یا عدم دسترسی آسان به پورت‌ها در محیط سازمان به جلوگیری از حملات Sniffer کمک می‌کند. یک فرد غیرمجاز تنها با یک لپ‌تاپ و نرم‌افزار Sniffer اگر به یک پورت دیواری باز (نود شبکه) متصل شود، می‌تواند اطلاعات مهمی از شبکه مانند نام‌های کاربری و رمز عبور را به دست آورد یا به برنامه‌های کاربردی حیاتی دسترسی پیدا کند. در حقیقت امنیت در این لایه زمانی برقرار است که فقط پرسنل مجاز اجازه دسترسی فیزیکی به پورت‌ها‌، کامپیوتر‌ها و سایر بخش‌های شبکه را دارند. جلوگیری از اتصال هرگونه سخت‌افزار غیرمجاز، بستن پورت‌های باز، قفل کردن درها، استفاده از مانیتورهای نظارتی، محدود کردن دسترسی به سرورهای مهم و استفاده از رمزهای عبور قوی می‌تواند از بسیاری از حملات رایج جلوگیری کند. منبع تغذیه کمکی (UPS) یا محافظ برق می‌تواند با حداقل هزینه از بحران جلوگیری کند. حتی یک یو‌پی‌اس تحت شبکه نیز به امنیت خود نیاز دارد زیرا با استفاده از ابزارهای مدیریت از راه دور قابل کنترل است. استفاده از اتاق‌های دارای تجهیزات برودتی با فیلترهای گرد و غبار و تهویه مناسب، سنسور‌های دود و تجهیزات اطفاء حریق می‌تواند به میزان قابل توجهی از بروز بحران‌ها و خرابی سخت افزاری بکاهد.

لایه ۲ (امنیت در سوییچ)

لایه ۲، لایه Data Link، در درجه اول با آدرس‌دهی فیزیکی، نحوه چیدمان بک‌بون، توپولوژی شبکه، سیستم اطلاع‌رسانی خطا، دریافت فریم‌ها و کنترل جریان مرتبط است. در واقع این لایه، داده‌ها و اطلاعاتی را که در یک شبکه فیزیکی رد و بدل می‌شوند مدیریت می‌کند. دستگاه‌هایی مانند سوییچ‌ها در این سطح کار می‌کنند و تهدیدات امنیتی که ممکن است در این لایه رخ بدهند شامل انواع حملات Spoofing، جعل ARP، MAC flooding، حملات Spanning tree، حملات Multicast brute force، حملات Random frame stress و… می‌شوند. حمله جعل در لایه داده، زمانی رخ می‌دهد که مهاجمان مک آدرس (MAC) یک دستگاه را برای جعل هویت دستگاه دیگری در شبکه تغییر می‌دهند. پس از آن می‌توانند به منابع شبکه دسترسی پیدا کنند یا ترافیک شبکه را که برای یک منبع قانونی در نظر گرفته شده است نظارت کنند. جعل‌های ARP می‌توانند برای تصرف مخرب آدرس IP دستگاه، مورد استفاده قرار بگیرند. یکی از راهکارها برای جلوگیری از این حملات، جداسازی VLAN و بازرسی ARP است.

MAC Flooding (سرریز شدن جدول مک آدرس) زمانی اتفاق می‌افتد که جدول سخت‌افزاری یک سوییچ به حداکثر ظرفیت خود برسد و سرازیر شود. برخی از سوییچ‌ها، به عنوان مثال، سوییچ‌های سیسکو، دارای قابلیتی جلوگیری از این تهدید هستند. حملات Spanning tree زمانی رخ می‌دهد که یک دسترسی فیزیکی غیرمجاز، یک ارتباط نادرست را در یک سوییچ یا بین دو سوییچ شبکه فعال می‌کند (بعنوان مثال دو پورت یک سوییچ را بهم وصل کند). سوییچ‌های سیسکو با دارا بودن پروتکل STP برای تشخیص این حمله، قادر به جلوگیری از آن هستند.

سوییچ‌های مدیریتی (Managed switches) سخت‌افزار امنیتی زیرساخت شبکه در لایه2 هستند که با دارا بودن قابلیت‌های مهمی مانند بستن پورت‌ها، قابلیت VLAN‌بندی، برخورداری از پروتکل STP، امکان QoS و… می‌توانند پس از پکیربندی مناسب، از حملات سایبری متعددی در این لایه تا حد زیادی جلوگیری کنند.

لایه‌های ۳-۴ (امنیت در روترها و فایروال‌ها)

لایه ۳ به عنوان لایه شبکه شناخته می‌شود و جایی است که اکثر عملکردهای روتر یعنی مسیردهی داده‌ها در آن رخ می‌دهد که شامل  تبادل داده و اطلاعات بین سرورها و دستگاه‌های مختلف است. لایه ۴ که به عنوان لایه انتقال شناخته می‌شود، وظیفه انتقال داده‌ها را بین سیستم‌ها و هاست‌ها هماهنگ کرده و تعیین می‌کند که چه مقدار داده، با چه سرعتی و به کجا انتقال یابد. این دو لایه رایج‌ترین لایه‌ها در مبحث امنیت شبکه هستند و از سخت‌افزارهای امنیتی این لایه‌ها می‌توان به روترها، سوییچ‌های لایه۳، فایروال‌ها و ACLها اشاره کرد. لایه Network جایی است که مسیریابی، سوییچینگ لایه۳ و آدرس دهی IP تعریف شده است. در این لایه، ترافیک بین دستگاه‌های شبکه که در یک محل مستقر نیستند منتقل می‌شود. در لایه4 (Transport) داده‌ها به Packet تقسیم می‌شوند و سپس در مقصد نهایی دوباره بازیابی می‌شوند. Data flow control و بررسی خطا نیز در این سطح ارائه می‌شود.

متداول‌ترین تهدیدات امنیتی که در این سطوح رخ می‌دهند شامل شناسایی نقطه پایانی (End Points)، دسترسی غیرمجاز به اینترنت، flood SYN، پینگ مرگ (Ping of death) و… است. حفاظت از هویت نقطه‌پایانی در حفاظت از کل شبکه تاثیر زیادی دارد. به همین دلیل است که روش صحیح آدرس‌دهی IP و زیرشبکه‌سازی (Subnetting) از اهمیت زیادی برخوردار هستند. آدرس‌های خصوصی در شبکه از طریق قابلیت “ترجمه آدرس شبکه” (NAT)، فایروال‌ها و ACL محافظت می‌شوند. NAT یکی دیگر از ویژگی‌های امنیتی حیاتی است که توسط روترها استفاده می‌شود. NAT اساساً آدرس‌های IP دستگاه‌های موجود در یک شبکه محلی را هنگام برقراری ارتباط با اینترنت گسترده‌تر پنهان می‌کند.

روتر (Router) یکی از ضروری‌ترین سخت‌افزارهای زیرساخت در لایه۳ محسوب می‌شود که در دنیای رو به پیشرفت امروز، تنها به هدایت ترافیک محدود نشده‌ است. بلکه این سخت‌افزار محبوب تلاش دارد اولین خط دفاع امنیت شبکه را تشکیل بدهد. امروزه بسیاری روترها مجهز به فایروال‌های داخلی هستند و ویژگی‌هایی مانند (NAT) و شبکه‌های خصوصی مجازی (VPN) را در خود جای داده‌اند. فایروال (Firewall) نیز یک راهکار عالی برای اجرای سیاست‌های امنیتی شرکت است که در لایه ۳ شبکه قرار می‌گیرد که در ادامه به صورت مختصر به توضیح این تجهیز امنیتی محبوب می‌پردازیم:

فایروال (Firewall)

محبوب‌ترین، شناخته‌شده‌ترین و ضروری‌ترین تجهیز امنیت شبکه، فایروال است. فایروال‌ها به‌صورت سخت‌افزاری و نرم‌افزاری، دسته‌ای از تجهیزات امنیت شبکه هستند که مانعی بین یک شبکه داخلی و خارجی (عموما اینترنت) ایجاد می‌کنند و به طور موثر ترافیک شبکه را بر اساس پروتکل‌ها و سیاست‌های از پیش تعریف شده نظارت و مدیریت می‌کنند. فایروال‌ها از قوانینی تشکیل شده‌اند که ترافیک را مجاز یا رد می‌کنند. اگر بسته‌ای با هیچ یک از معیارهای قوانین «پذیرش» مطابقت نداشته باشد، حذف (Dropped) می‌شود یا رد (Denied) می‌شود. فایروال‌ها همچنین دارای قابلیت‌های NAT مشابه روترها بوده و در سه دسته‌بندی به شرح زیر خلاصه می‌شوند:

1. Proxy/Application Gateway: این نوع از فایروال‌ها در لایه‌های ۳ تا ۷ مدل OSI کار می‌کنند. همراه با ارائه NAT و ACL، این گروه از فایروال‌ها، حملاتی را که رفتار برنامه‌ در مرورگر را از طریق پروتکل (HTTP) دستکاری می‌کنند، مدیریت می‌کنند.
2. Packet Filter: این گروه از فایروال‌ها که برای فیلتر کردن ترافیک به پورت‌های مقصد متکی هستند، عملکردی مشابه به “لیست کنترل دسترسی” در روترها ارائه می‌کنند. این فایروال‌ها با وجود اینکه سریع هستند اما به اندازه سایر انواع فایروال ایمن نیستند زیرا محتوای داده‌ها را بررسی نمی‌کنند.
3. Stateful Inspection: این مدل از فایروال‌ها که بیشتر به عنوان فایروال‌های سخت‌افزاری شناخته می‌شوند، در لایه‌های ۳ و ۴ مدل OSI کار می‌کنند. این گروه از فایروال‌ها، داده‌های مربوط به هر اتصالی را که از طریق آن ایجاد بشود جمع‌آوری می‌کنند. همه این نقاط داده پروفایلی از اتصالات “ایمن” را تشکیل می‌دهند. هنگام برقراری اتصال جدید، مطابق لیست جمع‌آوری شده، کیفیت اتصال به جهت ایمن بودن، بررسی می‌شود. از آنجایی که هر پروتکل دارای وضعیت متفاوتی است، استفاده از این نوع فایروال در مقابل فیلتر‌کردن بسته، ایمن‌تر است. فایروال‌های سخت‌افزاری شرکت سیسکو نمونه‌ای از این نوع فایروال هستند.

چرا فایروال سخت افزاری؟  فایروال سخت افزاری یک تجهیز فیزیکی مابین شبکه داخلی و خارجی (عموما اینترنت) است و مانند فیلتری، ترافیک ورودی و خروجی را کنترل می‌کند. این دستگاه خارج از سرور و مستقیماً به Uplink متصل بوده و تمام ترافیک عبور داده شده را بررسی و مدیریت می‌کند. با توجه به اینکه فایروال سخت افزاری یک تجهیز مستقل و جدا از سایر بخش‌های شبکه است لذا از منابع سرور استفاده نمی‌کند، همیشه فعال است، برای پاسخ‌دهی بسیار سریع طراحی شده‌، می‌تواند بار ترافیکی بسیار سنگینی را مدیریت کند، به راحتی قابل پیکربندی، ارتقاء و مدیریت بوده و اختلالی در کارایی شبکه زیر بار وارد نمی‌آورد. سیستم‌عامل نصب شده بروی آنها، اختصاصی کارخانه سازنده بوده و کمتر مستعد حملات سایبری است که نفوذ به تنظیمات و مدیریت آن را تقریبا ناممکن می‌سازد که خود نیز لایه امنیتی دیگری محسوب می‌شود. نسل جدید فایروال‌های سخت افزاری قابلیت شناسایی بدافزارها و سایر تهدیدهای امروزه را داشته و همچنین می‌توانند با سیستم‌های مدیریت رویداد (SIEM) نیز سازگار باشند تا گزارش‌ها و هشدارها و تجزیه تحلیل‌های لحظه‌ای را برای مدیران شبکه ارسال کنند.

فایروال برنامه‌های تحت وب (WAF: Web application firewall)

فایروال برنامه‌های تحت وب (WAF) یک تجهیز امنیت شبکه و نوع خاصی از فایروال است که می‌تواند به‌صورت سخت‌افزاری، نرم‌افزاری و یا حتی مبتنی بر فضای ابری به جهت نظارت، فیلتر کردن و مسدود کردن بسته‌های داده‌های ورودی و خروجی از یک برنامه تحت ‌وب (آنلاین) یا وب‌سایت (HTTP) مورد استفاده قرار بگیرد. تجهیز WAF شکلی از پروکسی معکوس است که با قرار گرفتن در مسیر برنامه‌های تحت‌ وب، سرور را محافظت می‌کند. البته لازم به ذکر است که این ابزار هر بسته را در لایه7 (مدل OSI) بررسی کرده و طبق سیاست‌های تعیین شده برای فیلتر کردن ترافیک مشکوک یا خطرناک، تجزیه و تحلیل و مدیریت می‌کند. WAF از برنامه‌های آنلاین در برابر چندین تهدید از جمله جعل بین‌سایتی، اسکریپت بین‌سایتی (XSS)، گنجاندن فایل، تزریق SQL و… محافظت می‌کند.

لایه ۵-۶ (رمزگذاری/احراز هویت)

در مدل OSI، لایه‌های ۵ و ۶ به عنوان Application Set شناخته می‌شوند. لایه ۵  از مدل OSI به نام Session نامگذاری شده است. هنگامی که دو دستگاه، کامپیوتر یا سرور با یکدیگر ارتباط برقرار می‌کنند، یک Session ایجاد می‌شود. لایه  Session این ارتباط را برقرار و مدیریت کرده، پاسخ‌ها را هنگام‌سازی نموده و پس از پایان، Session را خاتمه می‌دهد. لایه ۶ که به نام لایه ارائه Presentation نامیده می‌شود، جایی است که داده‌ها از فرم شبکه خود به فرم برنامه آن ترجمه می‌شوند یا به عبارت دیگر، داده‌ها را به برنامه ارائه می‌دهند. این همان جایی است که رمزگذاری و رمزگشایی اتفاق می‌افتد.

حملات در این سطح مواردی مانند ورود غیر مجاز، دسترسی به رمز عبور، دسترسی به داده‌های شخصی، حملات RPC و حملات NetBIOS و… را شامل می‌شود. اما به‌طور‌کلی تهدیدات در این ۲ لایه، به‌صورت حملاتPhishing  در لایه ۶ و حملات Hijacking در لایه5 طبقه‌بندی می‌گردد. حملات Pishing به شکل فریب دادن افراد به افشای داده‌های حساس از طریق تکنیک‌های مختلف است و یکی از رایج‌ترین حملات سایبری است که امروزه مورد استفاده قرار می‌گیرد و با متدهای مختلفی مانند “ایجاد وب‌سایت‌های جعلی یا ارسال پیام‌های ایمیل جعلی” صورت می‌پذیرد. حملات Hijacking شامل رهگیری و کنترل یک Session برقرار شده برای دسترسی به داده‌های حساس، ورود غیرمجاز به سیستم‌ها یا حساب کاربر مورد نظر است.

لایه ۷ (امنیت برنامه)

لایه ۷  (Application) لایه‌ای است که کاربر مستقیماً با آن، از طریق برنامه‌های کاربردی تعامل دارد. برنامه‌های کاربردی مانند مرورگرهای وب، مایکروسافت آفیس، اسکایپ و بسیاری دیگر در این دسته‌بندی قرار می‌گیرند. این لایه خدماتی را به بخش‌های خارج از لایه OSI ارائه می‌کند. براساس گزارش‌های منتشر شده بیشتر نقض‌های امنیتی در لایه Application رخ می‌دهد به‌گونه‌ای که طی سال‌های گذشته ۷۰٪ از حملات موفقیت‌آمیز و بیش از ۴۷% از نقص‌های امنیتی برنامه در این لایه اتفاق افتاده است.

مهمترین خطر امنیتی در این لایه Exploit  یا سوءاستفاده از حفره‌های امنیتی در سیستم‌عامل‌ها، برنامه‌های کاربردی و هرآنچه که در یک شبکه به‌عنوان نرم‌افزار کار می‌کند، است. این حملات از اشکالات یا نقاط ضعف در کد برنامه برای دسترسی غیرمجاز یا انجام اقدامات مخرب استفاده می‌کنند. بسیاری از اکسپلویت‌ها برای فعال‌سازی سطح کاربر ممتاز در سیستم قربانی، طراحی شده‌اند.  Exploitدر نهایت منجر به نفوذ یا نشت غیرمجاز در مواردی مانند احراز هویت/کنترل دسترسی، الگوریتم رمزنگاری، اعتبار‌سنجی ورودی، دستکاری پارامتر/داده، مدیریت داده‌های حساس و… می‌گردد.

جمع‌بندی:

تهدیدات فناوری اطلاعات امروزه امری عادی است و نمی‌توان آن‌ها را نادیده گرفت. هدف اولیه هر حمله سایبری همیشه به دست آوردن اطلاعات حساس و استفاده از آن برای اهداف مخرب بوده و خواهد بود. سخت‌افزارهای امنیت شبکه به عنوان اولین خط دفاعی در جلوگیری از دسترسی غیرمجاز و تضمین عملکرد روان شبکه‌ها عمل می‌کنند. در نتیجه، به‌کارگیری و سرمایه‌گذاری در تجهیزات سخت‌افزاری امنیت شبکه متناسب با هرکدام از لایه‌های OSI  در زیرساخت شبکه، در تضمین حفاظت و ایمنی داده‌ها و اطلاعات هر سازمان ضروری است. شما می‌توانید جهت دریافت مشاوره رایگان با کارشناسان دژپاد تماس گرفته و محصولات یا راهکارهای امنیت شبکه سخت‌افزاری مناسب با مقیاس زیرساخت شبکه خود را انتخاب بفرمایید.