امنیت شبکه | سختافزار
ابزارهای سختافزاری امنیت شبکه خط اول محافظت از شبکه در برابر نفوذ غیرمجاز یا دسترسی به دادهها حساس هستند. این دستگاهها بهصورت جداگانه و مستقل، از لایه۱ OSI تا لایههای بالاتر، هرکدام با ویژگیهای منحصربفرد خود، در مسیر عبور دادهها و ترافیک شبکه قرار گرفته و برای محافظت پیکربندی میشوند. ادامه مطلب …
- امنیت شبکه | سختافزار
Cisco Firepower 1000 Series
- امنیت شبکه | سختافزار
Cisco Firepower 9300 Series
- امنیت شبکه | سختافزار
Cisco Secure Firewall 1200 Series
- امنیت شبکه | سختافزار
Cisco Secure Firewall 3100 Series
- امنیت شبکه | سختافزار
Cisco Secure Firewall 4200 Series
- امنیت شبکه | سختافزار
Fortinet Next-Generation Firewall
- امنیت شبکه | سختافزار
Palo Alto Networks® Next-Generation Firewalls
- امنیت شبکه | سختافزار
Sophos 1st Gen XGS Desktop Firewall
- امنیت شبکه | سختافزار
Sophos 2nd Gen XGS Desktop Firewall
کلمه “امنیت شبکه” به ابزارها، راهکارها و سیاستهایی که برای نظارت، شناسایی، جلوگیری و پاسخ دادن به نفوذ غیرقانونی شبکه و درنهایت محافظت از داراییهای دیجیتالی مانند دادههای باارزش یا محرمانه استفاده میشود، اشاره دارد. ابزارهای امنیت شبکه سختافزاری بهصورت یک تجهیز فیزیکی مستقل به جای “نرمافزار نصب شده بر روی سختافزار یک سیستم کامپیوتری” ارائه میشود. نمونههای رایج شامل فایروالهای سختافزاری، روترها، سوییچهای لایه ۳ و سرورهای پراکسی است. تجهیزات امنیت شبکه سختافزاری باوجود اینکه از هزینه اولیه بالاتری برخوردار هستند، اما به دلیل دارا بودن منابع پردازشی و حافظه مستقل، حفاظت مطمئنتر و واکنشهای سریعتری نسبت به تجهیزهای نرمافزاری ارائه میکنند و یک لایه امنیتی مطمئن برای شبکه بهشمار میآیند.
مدیران و کارشناسان ارشد امنیت شبکه برای محافظت در برابر حملات سایبری، هکرها و حتی بیمسئولیتی کارکنان، از تجهیزات امنیتی سختافزاری متعددی در لایههای مختلف OSI استفاده میکنند که یک مکانیسم دفاعی چندلایه در یک سیستم یکپارچه امنیت شبکه ایجاد میکند. این سیاست امنیتی چندلایه که دفاع در عمق “Defense in depth” یا اعتماد صفر نامیده میشود، مبتنی بر این ایده است که حتی اگر یک خطر بتواند از یک لایه محافظتی عبور کند، دیگر لایههای محافظتی آن را از شبکه دور نگه میدارند. در نتیجه، هر لایه میتواند تهدیدها را به طور فعال نظارت، شناسایی و اصلاح کند.
سختافزارهای امنیتی موجود در زیرساخت شبکه عموما در لایههای اول تا چهارم از لایههای شبکه (طبقهبندی لایههای OSI) بهکار گرفته شده و هرکدام بهنحوی وظیفه جلوگیری از نوع خاصی از حملات سایبری را دارند که به اختصار به بررسی برخی از آنها میپردازیم:
لایه ۱ (امنیت فیزیکی)
لایه۱ که به نام لایه فیزیکی در OSI نامیده میشود، مسئول تبدیل بستههای داده از لایه ۲ (Data Link) به سیگنالهای الکتریکی است. این لایه شامل اتصالات فیزیکی واقعی برای ورود یا خروج داده از شبکه است که شامل سیمکشی و کابلها، اتصالاتNIC، سیگنالدهی انتقال یا دریافت دادهها و توانایی تشخیص خطاهای سیگنالی (Signaling errors) در رسانه شبکه است. این لایه نشاندهنده اجزای الکتریکی و فیزیکی زیرساخت شبکه است. امنیت در لایه فیزیکی OSI شامل نگرانیهای امنیتی بهصورت فیزیکی در محل شرکت است که شامل خطرات ناشی از مواردی مانند ورود غیرمجاز، دستگاههایRogue، اختلال در برق، عواملی محیطی، دود و آتش، تماس با آب و عدم بررسی فیزیکی تجهیزات میشود.
دستگاههایRogue به ابزارهایی اطلاق میشود که بدون مجوز یا بدون اینکه تحت کنترل مدیر شبکه باشند بهصورت فیزیکی به شبکه وصل شده و کار میکنند. این دستگاهها خطرات امنیتی فراوانی داشته و یکپارچگی، محرمانه بودن دادهها در شبکه را به خطر میاندازند. متاسفانه طیف وسیعی از این نوع سختافزارها در شکلها و اندازههای مختلف وجود دارد که خواسته یا ناخواسته (مانند تعویض سختافزارهای کارکنان دورکار یا مستقر با نمونه مشابه) به شبکه وصل میشود. امروزه با در دسترس بودن Raspberry Pi یا سختافزارهای کوچک با پورت USB، خرابکارها میتوانند به آسانی آنها را جایگزین دستگاههای متداول (حتی شارژر تلفن همراه) کرده که به راحتی حمل و نصب شده و از دید مدیران شبکه پنهان میگردند. لذا هرچه شبکه و دادههای یک سازمان حساستر و محرمانهتر باشد، لزوم اتخاذ سیاستهای بازرسی سختافزارها و نظارت کارکنان سختگیرانهتر خواهد بود.
بستن نودهای (Node) باز شبکه یا عدم دسترسی آسان به پورتها در محیط سازمان به جلوگیری از حملات Sniffer کمک میکند. یک فرد غیرمجاز تنها با یک لپتاپ و نرمافزار Sniffer اگر به یک پورت دیواری باز (نود شبکه) متصل شود، میتواند اطلاعات مهمی از شبکه مانند نامهای کاربری و رمز عبور را به دست آورد یا به برنامههای کاربردی حیاتی دسترسی پیدا کند. در حقیقت امنیت در این لایه زمانی برقرار است که فقط پرسنل مجاز اجازه دسترسی فیزیکی به پورتها، کامپیوترها و سایر بخشهای شبکه را دارند. جلوگیری از اتصال هرگونه سختافزار غیرمجاز، بستن پورتهای باز، قفل کردن درها، استفاده از مانیتورهای نظارتی، محدود کردن دسترسی به سرورهای مهم و استفاده از رمزهای عبور قوی میتواند از بسیاری از حملات رایج جلوگیری کند. منبع تغذیه کمکی (UPS) یا محافظ برق میتواند با حداقل هزینه از بحران جلوگیری کند. حتی یک یوپیاس تحت شبکه نیز به امنیت خود نیاز دارد زیرا با استفاده از ابزارهای مدیریت از راه دور قابل کنترل است. استفاده از اتاقهای دارای تجهیزات برودتی با فیلترهای گرد و غبار و تهویه مناسب، سنسورهای دود و تجهیزات اطفاء حریق میتواند به میزان قابل توجهی از بروز بحرانها و خرابی سخت افزاری بکاهد.
لایه ۲ (امنیت در سوییچ)
لایه ۲، لایه Data Link، در درجه اول با آدرسدهی فیزیکی، نحوه چیدمان بکبون، توپولوژی شبکه، سیستم اطلاعرسانی خطا، دریافت فریمها و کنترل جریان مرتبط است. در واقع این لایه، دادهها و اطلاعاتی را که در یک شبکه فیزیکی رد و بدل میشوند مدیریت میکند. دستگاههایی مانند سوییچها در این سطح کار میکنند و تهدیدات امنیتی که ممکن است در این لایه رخ بدهند شامل انواع حملات Spoofing، جعل ARP، MAC flooding، حملات Spanning tree، حملات Multicast brute force، حملات Random frame stress و… میشوند. حمله جعل در لایه داده، زمانی رخ میدهد که مهاجمان مک آدرس (MAC) یک دستگاه را برای جعل هویت دستگاه دیگری در شبکه تغییر میدهند. پس از آن میتوانند به منابع شبکه دسترسی پیدا کنند یا ترافیک شبکه را که برای یک منبع قانونی در نظر گرفته شده است نظارت کنند. جعلهای ARP میتوانند برای تصرف مخرب آدرس IP دستگاه، مورد استفاده قرار بگیرند. یکی از راهکارها برای جلوگیری از این حملات، جداسازی VLAN و بازرسی ARP است.
MAC Flooding (سرریز شدن جدول مک آدرس) زمانی اتفاق میافتد که جدول سختافزاری یک سوییچ به حداکثر ظرفیت خود برسد و سرازیر شود. برخی از سوییچها، به عنوان مثال، سوییچهای سیسکو، دارای قابلیتی جلوگیری از این تهدید هستند. حملات Spanning tree زمانی رخ میدهد که یک دسترسی فیزیکی غیرمجاز، یک ارتباط نادرست را در یک سوییچ یا بین دو سوییچ شبکه فعال میکند (بعنوان مثال دو پورت یک سوییچ را بهم وصل کند). سوییچهای سیسکو با دارا بودن پروتکل STP برای تشخیص این حمله، قادر به جلوگیری از آن هستند.
سوییچهای مدیریتی (Managed switches) سختافزار امنیتی زیرساخت شبکه در لایه2 هستند که با دارا بودن قابلیتهای مهمی مانند بستن پورتها، قابلیت VLANبندی، برخورداری از پروتکل STP، امکان QoS و… میتوانند پس از پکیربندی مناسب، از حملات سایبری متعددی در این لایه تا حد زیادی جلوگیری کنند.
لایههای ۳-۴ (امنیت در روترها و فایروالها)
لایه ۳ به عنوان لایه شبکه شناخته میشود و جایی است که اکثر عملکردهای روتر یعنی مسیردهی دادهها در آن رخ میدهد که شامل تبادل داده و اطلاعات بین سرورها و دستگاههای مختلف است. لایه ۴ که به عنوان لایه انتقال شناخته میشود، وظیفه انتقال دادهها را بین سیستمها و هاستها هماهنگ کرده و تعیین میکند که چه مقدار داده، با چه سرعتی و به کجا انتقال یابد. این دو لایه رایجترین لایهها در مبحث امنیت شبکه هستند و از سختافزارهای امنیتی این لایهها میتوان به روترها، سوییچهای لایه۳، فایروالها و ACLها اشاره کرد. لایه Network جایی است که مسیریابی، سوییچینگ لایه۳ و آدرس دهی IP تعریف شده است. در این لایه، ترافیک بین دستگاههای شبکه که در یک محل مستقر نیستند منتقل میشود. در لایه4 (Transport) دادهها به Packet تقسیم میشوند و سپس در مقصد نهایی دوباره بازیابی میشوند. Data flow control و بررسی خطا نیز در این سطح ارائه میشود.
متداولترین تهدیدات امنیتی که در این سطوح رخ میدهند شامل شناسایی نقطه پایانی (End Points)، دسترسی غیرمجاز به اینترنت، flood SYN، پینگ مرگ (Ping of death) و… است. حفاظت از هویت نقطهپایانی در حفاظت از کل شبکه تاثیر زیادی دارد. به همین دلیل است که روش صحیح آدرسدهی IP و زیرشبکهسازی (Subnetting) از اهمیت زیادی برخوردار هستند. آدرسهای خصوصی در شبکه از طریق قابلیت “ترجمه آدرس شبکه” (NAT)، فایروالها و ACL محافظت میشوند. NAT یکی دیگر از ویژگیهای امنیتی حیاتی است که توسط روترها استفاده میشود. NAT اساساً آدرسهای IP دستگاههای موجود در یک شبکه محلی را هنگام برقراری ارتباط با اینترنت گستردهتر پنهان میکند.
روتر (Router) یکی از ضروریترین سختافزارهای زیرساخت در لایه۳ محسوب میشود که در دنیای رو به پیشرفت امروز، تنها به هدایت ترافیک محدود نشده است. بلکه این سختافزار محبوب تلاش دارد اولین خط دفاع امنیت شبکه را تشکیل بدهد. امروزه بسیاری روترها مجهز به فایروالهای داخلی هستند و ویژگیهایی مانند (NAT) و شبکههای خصوصی مجازی (VPN) را در خود جای دادهاند. فایروال (Firewall) نیز یک راهکار عالی برای اجرای سیاستهای امنیتی شرکت است که در لایه ۳ شبکه قرار میگیرد که در ادامه به صورت مختصر به توضیح این تجهیز امنیتی محبوب میپردازیم:
فایروال (Firewall)
محبوبترین، شناختهشدهترین و ضروریترین تجهیز امنیت شبکه، فایروال است. فایروالها بهصورت سختافزاری و نرمافزاری، دستهای از تجهیزات امنیت شبکه هستند که مانعی بین یک شبکه داخلی و خارجی (عموما اینترنت) ایجاد میکنند و به طور موثر ترافیک شبکه را بر اساس پروتکلها و سیاستهای از پیش تعریف شده نظارت و مدیریت میکنند. فایروالها از قوانینی تشکیل شدهاند که ترافیک را مجاز یا رد میکنند. اگر بستهای با هیچ یک از معیارهای قوانین «پذیرش» مطابقت نداشته باشد، حذف (Dropped) میشود یا رد (Denied) میشود. فایروالها همچنین دارای قابلیتهای NAT مشابه روترها بوده و در سه دستهبندی به شرح زیر خلاصه میشوند:
- Proxy/Application Gateway: این نوع از فایروالها در لایههای ۳ تا ۷ مدل OSI کار میکنند. همراه با ارائه NAT و ACL، این گروه از فایروالها، حملاتی را که رفتار برنامه در مرورگر را از طریق پروتکل (HTTP) دستکاری میکنند، مدیریت میکنند.
- Packet Filter: این گروه از فایروالها که برای فیلتر کردن ترافیک به پورتهای مقصد متکی هستند، عملکردی مشابه به “لیست کنترل دسترسی” در روترها ارائه میکنند. این فایروالها با وجود اینکه سریع هستند اما به اندازه سایر انواع فایروال ایمن نیستند زیرا محتوای دادهها را بررسی نمیکنند.
- Stateful Inspection: این مدل از فایروالها که بیشتر به عنوان فایروالهای سختافزاری شناخته میشوند، در لایههای ۳ و ۴ مدل OSI کار میکنند. این گروه از فایروالها، دادههای مربوط به هر اتصالی را که از طریق آن ایجاد بشود جمعآوری میکنند. همه این نقاط داده پروفایلی از اتصالات “ایمن” را تشکیل میدهند. هنگام برقراری اتصال جدید، مطابق لیست جمعآوری شده، کیفیت اتصال به جهت ایمن بودن، بررسی میشود. از آنجایی که هر پروتکل دارای وضعیت متفاوتی است، استفاده از این نوع فایروال در مقابل فیلترکردن بسته، ایمنتر است. فایروالهای سختافزاری شرکت سیسکو نمونهای از این نوع فایروال هستند.
چرا فایروال سخت افزاری؟ فایروال سخت افزاری یک تجهیز فیزیکی مابین شبکه داخلی و خارجی (عموما اینترنت) است و مانند فیلتری، ترافیک ورودی و خروجی را کنترل میکند. این دستگاه خارج از سرور و مستقیماً به Uplink متصل بوده و تمام ترافیک عبور داده شده را بررسی و مدیریت میکند. با توجه به اینکه فایروال سخت افزاری یک تجهیز مستقل و جدا از سایر بخشهای شبکه است لذا از منابع سرور استفاده نمیکند، همیشه فعال است، برای پاسخدهی بسیار سریع طراحی شده، میتواند بار ترافیکی بسیار سنگینی را مدیریت کند، به راحتی قابل پیکربندی، ارتقاء و مدیریت بوده و اختلالی در کارایی شبکه زیر بار وارد نمیآورد. سیستمعامل نصب شده بروی آنها، اختصاصی کارخانه سازنده بوده و کمتر مستعد حملات سایبری است که نفوذ به تنظیمات و مدیریت آن را تقریبا ناممکن میسازد که خود نیز لایه امنیتی دیگری محسوب میشود. نسل جدید فایروالهای سخت افزاری قابلیت شناسایی بدافزارها و سایر تهدیدهای امروزه را داشته و همچنین میتوانند با سیستمهای مدیریت رویداد (SIEM) نیز سازگار باشند تا گزارشها و هشدارها و تجزیه تحلیلهای لحظهای را برای مدیران شبکه ارسال کنند.
فایروال برنامههای تحت وب (WAF: Web application firewall)
فایروال برنامههای تحت وب (WAF) یک تجهیز امنیت شبکه و نوع خاصی از فایروال است که میتواند بهصورت سختافزاری، نرمافزاری و یا حتی مبتنی بر فضای ابری به جهت نظارت، فیلتر کردن و مسدود کردن بستههای دادههای ورودی و خروجی از یک برنامه تحت وب (آنلاین) یا وبسایت (HTTP) مورد استفاده قرار بگیرد. تجهیز WAF شکلی از پروکسی معکوس است که با قرار گرفتن در مسیر برنامههای تحت وب، سرور را محافظت میکند. البته لازم به ذکر است که این ابزار هر بسته را در لایه7 (مدل OSI) بررسی کرده و طبق سیاستهای تعیین شده برای فیلتر کردن ترافیک مشکوک یا خطرناک، تجزیه و تحلیل و مدیریت میکند. WAF از برنامههای آنلاین در برابر چندین تهدید از جمله جعل بینسایتی، اسکریپت بینسایتی (XSS)، گنجاندن فایل، تزریق SQL و… محافظت میکند.
لایه ۵-۶ (رمزگذاری/احراز هویت)
در مدل OSI، لایههای ۵ و ۶ به عنوان Application Set شناخته میشوند. لایه ۵ از مدل OSI به نام Session نامگذاری شده است. هنگامی که دو دستگاه، کامپیوتر یا سرور با یکدیگر ارتباط برقرار میکنند، یک Session ایجاد میشود. لایه Session این ارتباط را برقرار و مدیریت کرده، پاسخها را هنگامسازی نموده و پس از پایان، Session را خاتمه میدهد. لایه ۶ که به نام لایه ارائه Presentation نامیده میشود، جایی است که دادهها از فرم شبکه خود به فرم برنامه آن ترجمه میشوند یا به عبارت دیگر، دادهها را به برنامه ارائه میدهند. این همان جایی است که رمزگذاری و رمزگشایی اتفاق میافتد.
حملات در این سطح مواردی مانند ورود غیر مجاز، دسترسی به رمز عبور، دسترسی به دادههای شخصی، حملات RPC و حملات NetBIOS و… را شامل میشود. اما بهطورکلی تهدیدات در این ۲ لایه، بهصورت حملاتPhishing در لایه ۶ و حملات Hijacking در لایه5 طبقهبندی میگردد. حملات Pishing به شکل فریب دادن افراد به افشای دادههای حساس از طریق تکنیکهای مختلف است و یکی از رایجترین حملات سایبری است که امروزه مورد استفاده قرار میگیرد و با متدهای مختلفی مانند “ایجاد وبسایتهای جعلی یا ارسال پیامهای ایمیل جعلی” صورت میپذیرد. حملات Hijacking شامل رهگیری و کنترل یک Session برقرار شده برای دسترسی به دادههای حساس، ورود غیرمجاز به سیستمها یا حساب کاربر مورد نظر است.
لایه ۷ (امنیت برنامه)
لایه ۷ (Application) لایهای است که کاربر مستقیماً با آن، از طریق برنامههای کاربردی تعامل دارد. برنامههای کاربردی مانند مرورگرهای وب، مایکروسافت آفیس، اسکایپ و بسیاری دیگر در این دستهبندی قرار میگیرند. این لایه خدماتی را به بخشهای خارج از لایه OSI ارائه میکند. براساس گزارشهای منتشر شده بیشتر نقضهای امنیتی در لایه Application رخ میدهد بهگونهای که طی سالهای گذشته ۷۰٪ از حملات موفقیتآمیز و بیش از ۴۷% از نقصهای امنیتی برنامه در این لایه اتفاق افتاده است.
مهمترین خطر امنیتی در این لایه Exploit یا سوءاستفاده از حفرههای امنیتی در سیستمعاملها، برنامههای کاربردی و هرآنچه که در یک شبکه بهعنوان نرمافزار کار میکند، است. این حملات از اشکالات یا نقاط ضعف در کد برنامه برای دسترسی غیرمجاز یا انجام اقدامات مخرب استفاده میکنند. بسیاری از اکسپلویتها برای فعالسازی سطح کاربر ممتاز در سیستم قربانی، طراحی شدهاند. Exploitدر نهایت منجر به نفوذ یا نشت غیرمجاز در مواردی مانند احراز هویت/کنترل دسترسی، الگوریتم رمزنگاری، اعتبارسنجی ورودی، دستکاری پارامتر/داده، مدیریت دادههای حساس و… میگردد.
جمعبندی:
تهدیدات فناوری اطلاعات امروزه امری عادی است و نمیتوان آنها را نادیده گرفت. هدف اولیه هر حمله سایبری همیشه به دست آوردن اطلاعات حساس و استفاده از آن برای اهداف مخرب بوده و خواهد بود. سختافزارهای امنیت شبکه به عنوان اولین خط دفاعی در جلوگیری از دسترسی غیرمجاز و تضمین عملکرد روان شبکهها عمل میکنند. در نتیجه، بهکارگیری و سرمایهگذاری در تجهیزات سختافزاری امنیت شبکه متناسب با هرکدام از لایههای OSI در زیرساخت شبکه، در تضمین حفاظت و ایمنی دادهها و اطلاعات هر سازمان ضروری است. شما میتوانید جهت دریافت مشاوره رایگان با کارشناسان دژپاد تماس گرفته و محصولات یا راهکارهای امنیت شبکه سختافزاری مناسب با مقیاس زیرساخت شبکه خود را انتخاب بفرمایید.