با پیشرفت تکنولوژی و بهینه سازی الگوریتم های ریاضی، حملات شبکه نیز دائما تهدیدات جدیدی را متوجه شبکه های کامپیوتری می کنند. از این رو سرویس های امنیت شبکه جایگاه مهم و کلیدی در بین مدیران شبکه پیدا کرده اند.

بسته به پروتکل های مورد استفاده در شبکه، آسیب ها و راه های نفوذ متفاوت خواهد بود و در صورت بی توجهی، خطرات جبران ناپذیری مانند رمزگذاری و از بین رفتن اطلاعات شبکه را به همراه خواهد داشت.

شرکت توسعه فناوری ژیوان با نزدیک به یک دهه تجربه در زمینه امنیت شبکه با روش های اصولی مبتنی بر استانداردهای بین المللی از خطرات احتمالی شبکه شما جلوگیری می کند.

لیست دستگاه های امنیتی شبکه

در ادامه به معرفی و بررسی تجهیزات امنیت شبکه بر اساس مقاله معتبر سایت نت وریکس می پردازیم.

• فایروال ها
• DNI
• IP
• WIDPS
• UTM
• NAC
• وکیل
• فیلتر وب
• فیلتر اسپم
• متعادل کننده بار
• آنتی ویروس

فایروال ها

فایروال ها اولین خط دفاعی برای پیاده سازی خدمات امنیت شبکه هستند که به طور موثر شبکه داخلی را از شبکه خارجی جدا می کند. فایروال ها می توانند یک دستگاه مستقل (از نظر سخت افزاری و نرم افزاری) باشند یا می توانند در سایر دستگاه های شبکه مانند روترها یا سرورها تعبیه شوند.

فایروال ها از ورود ترافیک ناخواسته و نامطلوب به شبکه داخلی جلوگیری می کنند. بسته به خط مشی امنیتی سازمان خود، می توانید برخی یا همه ترافیک را مسدود کنید یا برخی یا همه ترافیک را تأیید کنید. بنابراین، دو نوع سیاست در اجرای فایروال وجود دارد:

لیست سفید - فایروال تمام ترافیک ورودی به جز ترافیک موجود در لیست را مسدود می کند.

لیست سیاه: یک فایروال به همه ترافیک های دیگر به جز ترافیک لیست شده اجازه ورود می دهد.انواع مختلف فایروال:

فایروال های فیلتر بسته

این نوع فایروال مدل های ترافیک لایه سه و چهار OSI را تحلیل می کند. تجزیه و تحلیل داده ها و نوشتن نقش بر اساس پروتکل ها، IP مبدا و مقصد، منبع و پورت مقصد است. از آنجایی که این نوع فایروال بر روی لایه سوم تمرکز می کند، از ترافیک ناخواسته با سرعت بالا جلوگیری می کند و حملات رایج DOS را به خوبی دفع می کند.

فایروال های فیلترینگ بسته Stateful

تمرکز اصلی این نوع فایروال بر روی لایه چهارم مدل OSI است. به عنوان مثال، رولی را پیاده سازی کنید که تمام ترافیک با شماره پورت های بزرگتر از 1023 را مسدود می کند. امنیت بیشتری را نسبت به فایروال های فیلتر کننده بسته بررسی می کند و تجزیه و تحلیل داده ها را کند می کند.

فایروال های پروکسی

Proxy Firewalls لایه برنامه را نظارت می کند و از ترافیک ناخواسته در این لایه مانند فایل های مخرب exe جلوگیری می کند. آنها خواهند بود کاربران راه دور به این نوع فایروال متصل می شوند و داده ها پس از تجزیه و تحلیل وارد و خارج می شوند. در واقع، سیستم هدف فایروال را به جای کاربر اصلی تشخیص می دهد. به دلیل تجزیه و تحلیل داده ها در سطح برنامه، ارتباطات کندتر است.

فایروال برنامه های کاربردی وب (WAF)

این نوع فایروال داده های لایه هفتم و پروتکل HTTP را تجزیه و تحلیل می کند. با توجه به اهمیت پایداری وب سرور، تمام درخواست های HTTP نظارت می شود و در صورت شناسایی حمله ای مانند Cross-Site Scripting یا SQL Injection، ترافیک مسدود می شود. یکی دیگر از ویژگی های مهم این فایروال ها که کیفیت خدمات امنیت شبکه را بهبود می بخشد، شناسایی سریع حملات DDOS است که منبع را شناسایی کرده و ترافیک را در مراحل اولیه ارتباط ضبط می کند.

شناسه

دستگاه IDR (سیستم های تشخیص نفوذ) به محض اینکه یک مشکل امنیتی از یک هکر یا بدافزار را تشخیص دهد، بلافاصله به مدیر شبکه اطلاع می دهد.داده های ثبت شده در مورد حملات برای عیب یابی و جلوگیری از تکرار مهم است.

سرمایه‌گذاری در IDS منجر به پاسخ سریع‌تر به حملات و کاهش هزینه‌های خسارت ناشی از حمله و اقدامات قانونی بعدی شده است.

انواع IDS

IDS مبتنی بر میزبان

این نوع IDS برای نظارت، شناسایی و پاسخ به حملات میزبانی خاص طراحی شده است. در بیشتر موارد، مهاجمان سیستم های خاصی را در شبکه هدف قرار می دهند که اطلاعات حساسی دارند. از آنجایی که مهاجمان از آسیب‌پذیری‌ها در سیستم‌عامل‌ها سوءاستفاده می‌کنند، IDS با سیستم عامل میزبان ادغام می‌شود تا آسیب‌پذیری‌ها را پوشش دهد.

IDS مبتنی بر شبکه

IDS مبتنی بر شبکه ترافیک شبکه را برای شناسایی مهاجمان نظارت می کند. این نوع IDS داده های دریافتی از شبکه را بررسی می کند و با معیارها و الگوریتم های خاصی امنیت شبکه را کنترل می کند. پروتکل های اینترنتی و سایر پروتکل های رایج مانند TCP/IP، NetBEUI و XNS در برابر حمله آسیب پذیر هستند و بنابراین IDS برای شناسایی داده های مخرب مورد نیاز است. همچنین لازم به ذکر است که تجزیه و تحلیل VPN و ترافیک رمزگذاری شده یک مسئله برای IDS است. دستگاه های IDS مدرن و جدید توانایی تجزیه و تحلیل ترافیک ورودی را با سرعت Gbit/s1 بالا دارند.

IPS

IPS یک شبکه امنیتی با کارایی بالا است که علاوه بر شناسایی مهاجمان، از راه اندازی موفقیت آمیز حملات شناخته شده جلوگیری می کند. در واقع IPS ترکیبی از IDS و Firewall است و به همین دلیل جایگاه مهمی را در پیاده سازی سرویس های امنیتی شبکه به خود اختصاص می دهد. با توجه به هزینه های بالای خرید و استقرار IPS و از طرفی برخی از تاسیسات IPS دارای سرعت عملیاتی ضعیفی هستند، قبل از سرمایه گذاری باید مسائل آنها را به طور کامل بررسی کرد.تیم‌های امنیتی معمولاً از دو طریق از حملاتی مانند DDoS جلوگیری می‌کنند: پاسخ فعال و جلوگیری از نفوذ. در مدل Active Response، اولین بسته های حمله با موفقیت انجام می شود، اما بعدا بسته ها مسدود می شوند. برعکس، مدل‌های پیشگیری از نفوذ مانند IDS یا IPS توانایی آنالیز بسته‌ها در لایه برنامه را در هر زمان دارند و در نتیجه اولین بسته‌های حمله شناسایی و مسدود می‌شوند.

دستگاه های IPS که برای امنیت یک سیستم خاص پیاده سازی می شوند با 4 استراتژی این کار را انجام می دهند.

حفاظت از حافظه و فرآیند سیستم

این نوع استراتژی با جلوگیری از آسیب رساندن سایر فرآیندها به سایر فرآیندها، از حافظه کش (RAM) محافظت می کند. در این مکانیزم، فرآیندهای سیستم مورد نظر توسط IPS رصد می شود و در صورت مشاهده فرآیند مشکوک، از بین می رود.

دستگاه های شبکه آنلاین

در این استراتژی از تجهیزات امنیتی بین ارتباطات شبکه و قبل از کارت شبکه سیستم استفاده می شود. ترافیک قبل از رسیدن به سیستم مورد نظر تجزیه و تحلیل می شود و بلافاصله تجزیه و تحلیل می شود و تصمیم برای مسدود کردن یا اجازه ورود گرفته می شود.

شلیک تک تیرانداز

این مکانیسم با پایان دادن به جلسه TCP از حملات جلوگیری می کند. اگر حمله ای شناسایی شود، یک TCP RST با شماره دنباله مناسب به هر دو طرف جلسه ارسال می شود و اتصال قطع می شود.

دستگاه های تعامل دروازه

این نوع استراتژی با دروازه شبکه مانند روتر یا فایروال تعامل دارد و دروازه را راهنمایی می کند تا در صورت شناسایی، ترافیک حمله را مسدود کند.

WIDPS

WIDPS (سیستم تشخیص و پیشگیری از نفوذ بی‌سیم) یکی دیگر از تجهیزات خدمات امنیتی شبکه است که برای نظارت بر طیف رادیویی شبکه‌های محلی بی‌سیم و کنترل تهدیدات امنیتی بی‌سیم استفاده می‌شود.بنابراین WIDPS روی لایه دوم مدل OSI کار می کند.

WIDPS لیست آدرس‌های MAC مجاز را در برابر دستگاه‌های موجود در شبکه بررسی می‌کند و در صورت عدم تطابق به مدیران IT هشدار می‌دهد. برخی از محصولات پیشرفته WIDPS، مانند محصولات سیسکو، با تجزیه و تحلیل امضای طیف رادیویی تولید شده توسط دستگاه‌های بی‌سیم، اتصال دستگاه‌های ناشناس را مسدود می‌کنند و به طور موثر از جعل آدرس MAC جلوگیری می‌کنند.

سه راه اساسی برای پیاده سازی WIDPS وجود دارد.

AP یک عملکرد اضافی خواهد داشت و علاوه بر برقراری ارتباط و عبور ترافیک شبکه، به صورت دوره ای APهای سرکش را اسکن می کند.

یک حسگر تعبیه شده در APهای مجاز که به دنبال شناسایی APهای سرکش است.

حسگرهایی را در سرتاسر ساختمان قرار دهید که اطلاعات را جمع آوری کرده و به یک سرور متمرکز ارسال می کنند. این روش نسبت به روش های دیگر گران تر خواهد بود، اما بسیار کارآمد خواهد بود.

UTM

UTM (Unified Threat Management) یک روش امنیت اطلاعات است که با دور زدن ترافیک مخرب، آنتی ویروس و فیلتر محتوا از موفقیت مهاجمان جلوگیری می کند. UTM مدیریت امنیت اطلاعات را ساده می کند، زیرا مدیر شبکه به جای مدیریت چندین دستگاه و برند، یک نقطه مدیریت و گزارش دهی دارد که در زمان و هزینه نیز صرفه جویی می کند.

از ویژگی های مهم دستگاه های UTM می توان به موارد زیر اشاره کرد:

• فایروال های شبکه
• تشخیص نفوذ
• جلوگیری از نفوذ
• آنتی ویروس دروازه
• فایروال پروکسی
• بازرسی عمیق بسته
• پروکسی وب و فیلتر محتوا
• پیشگیری از از دست دادن داده (DLP)
• اطلاعات امنیتی و مدیریت رویداد (SIEM)
• شبکه خصوصی مجازی (VPN)
• بوم خالص
• UTM
• NAC

NAC

NAC (کنترل دسترسی شبکه) یکی دیگر از تجهیزات در زمینه خدمات امنیت شبکه است که وسیله ای برای کنترل امنیت شبکه است و با سیاست های تعریف شده دسترسی به نقاط پایانی و سیستم های درون شبکه را محدود می کند.حتی می تواند مشکل امنیتی سیستم های ناسازگار را به طور خودکار برطرف کرده و سپس دسترسی را اعمال کند.

NAC بسیاری از مسائل امنیتی را قبل از دسترسی بررسی می‌کند، برای مثال، اگر آخرین نسخه نرم‌افزار ضد ویروس نصب شده باشد، به سیستم‌ها دسترسی پیدا می‌کند. در غیر این صورت ترافیک شما مسدود خواهد شد.

NAC ممکن است نیاز به نصب Agent روی سیستم‌ها و استفاده از آن برای ارزیابی امنیت دستگاه داشته باشد.

سرورهای پروکسی

سرورهای پروکسی درخواست را از کاربر درخواست کننده دریافت می کنند و منابع مورد نظر را از سرورهای دیگر دریافت می کنند. در واقع، آنها درخواست سرویس را ارزیابی می کنند و در صورت اجازه، ترافیک را به سرور مقصد ارسال می کنند. Forward Proxy که رایج ترین نوع اجرای سرور پروکسی است که برای بازیابی اطلاعات از مشتری استفاده می شود.

اگر سرور پروکسی از طریق اینترنت برای همه کاربران قابل دسترسی باشد، به آن Open Proxy می گویند. نوع دیگری از اجرای سرور پروکسی وجود دارد که کاربران را به یک سرور در یک شبکه داخلی متصل می کند که به آن پروکسی معکوس می گویند. در این نوع کاربران هیچ اطلاعاتی از سرور اصلی ندارند و فقط ترافیک به سرور پروکسی ارسال می شود. WAF ها (فایروال های کاربردی وب) که در بالا توضیح داده شد در این دسته قرار می گیرند.

پروکسی ها در هر دو فرمت شفاف و غیر شفاف کار می کنند. در مدل اول فقط ترافیک کاربران را پاس می کنند و هیچ تغییری در داده های خود ایجاد نمی کنند و در واقع نیازی به اطلاع کاربران از وجود پروکسی سرور نیست. سازمان ها اغلب سرورهای پروکسی را برای فیلتر کردن برخی از ترافیک و بهبود عملکرد، مانند تعادل بار، راه اندازی می کنند.

• WAF
• فیلتر وب

فیلتر وب

دستگاه های فیلتر کننده وب، کاربران را از بارگیری صفحات خاصی از سایت های خاص جلوگیری می کند. فیلترینگ وب، مسدود کردن وب سایت ها یا بخش هایی از آنها بر اساس URL است، در مقابل فیلتر محتوا، که محدودیت هایی را برای محتوای درخواست ها اعمال می کند. مایکروسافت در ابتدا یک فیلتر فیشینگ مبتنی بر URL را پیاده سازی کرد که بعداً با فیلتر SmartScreen جایگزین شد. هر بار که کاربران درخواست دانلود داده‌ها از یک URL را دارند، آن URL به سرور SmartScreen Filter ارسال می‌شود، جایی که تأیید می‌کند که کاربر در صورت یافتن در لیستی از سایت‌های هرزنامه از سیستم خارج شده است.

فیلترهای وب معمولاً فهرستی از سایت‌های مخرب دارند و آن را بررسی می‌کنند، اما می‌توانید سیاست‌هایی را نیز بر اساس سازمان خود اضافه کنید. از دیگر مزایای فیلترینگ وب می توان به مشاهده تاریخچه جستجوی کاربران، خزیدن در صفحه و مشاهده بارگیری ترافیک در یک دوره زمانی خاص اشاره کرد.

فیلتر اسپم

علاوه بر مسیریابی نامه، از دروازه ایمیل می توان برای پیاده سازی رمزگذاری و امنیت نیز استفاده کرد. فیلترهای هرزنامه معمولاً می توانند هرزنامه را شناسایی کرده و از رسیدن آن به صندوق پستی کاربر جلوگیری کنند. فیلترهای هرزنامه ایمیل ها را بر اساس خط مشی ها یا الگوهای طراحی شده توسط یک سازمان بررسی می کنند. فیلترهای پیشرفته هرزنامه را از طریق الگوهای کلمات مشکوک یا فراوانی کلمات شناسایی می کنند. • فیلتر هرزنامه

• متعادل کننده بار
• متعادل کننده های بار

متعادل کننده بار

یکی از مهمترین جنبه های خدمات امنیت شبکه، دستگاه های Load Balancer است. Load Balancer ترافیک کاربر را بین گروهی از سرورها بر اساس استفاده از CPU، تعداد اتصالات و عملکرد کلی سرور تقسیم می کند. در واقع داده ها به چندین سرور که به صورت اضافی با هم کار می کنند ارسال می شود و مشکل اصلی برنامه ریزی مناسب برای این اشتراک بار است.

Load Balancer را می توان هم در نرم افزار و هم در سخت افزار پیاده سازی کرد و معمولاً در دستگاه دیگری مانند روتر یا فایروال گنجانده می شود.

انواع روش های متعادل سازی بار:

درخواست کتبی:

اولین درخواست کاربر به اولین گروه سرور و درخواست بعدی به گروه بعدی ارسال می شود. هنگامی که به آخرین گروه از سرورهای لیست رسید، Load Balancer دوباره شروع به ارسال داده به گروه اول می کند.

قرابت:

زمان پاسخگویی مشتری را با استفاده از روش های مختلف برای توزیع درخواست های مشتری به حداقل برسانید. ما سه نوع Affinity داریم:

بدون قرابت:

کاربران را به گروه خاصی از سرورها متصل نمی کند. هر درخواست مشتری می تواند برای هر گروهی از سرورها متعادل شود.

وابستگی منحصر به فرد:

از آدرس IP کاربر برای اتصال کاربران به گروه خاصی از سرورها استفاده می کند. بنابراین، درخواست‌هایی که از آدرس IP همان کاربر می‌آیند همیشه به همان گروه از سرورها می‌رسند.

وابستگی کلاس C:

از یک بخش C از آدرس IP کاربر برای اتصال کلاینت ها به گروه خاصی از سرورها استفاده می کند. بنابراین، کاربران در همان محدوده آدرس کلاس C همیشه به همان گروه از سرورها دسترسی دارند.

حداقل اتصال:

این روش بار سرور فعلی را در نظر می گیرد.درخواست فعلی به سروری ارسال می شود که در حال حاضر دارای حداقل تعداد اتصالات فعال است.

موازنه بار تطبیقی مبتنی بر عامل:

هر سرور دارای یک عامل است که بار فعلی خود را به Load Balancer گزارش می دهد. این اطلاعات هنگام تصمیم گیری برای ارسال به سرور مناسب استفاده می شود.

شکست زنجیره ای:

ترتیب سرورها در یک زنجیره از پیش تعریف شده است.

زمان پاسخ وزنی:

برای تعیین اینکه کدام سرور در هر زمان معین سریعترین پاسخ را دارد و اولویت بندی کنید.

شبکه های تعریف شده نرم افزار:

این رویکرد اطلاعات مربوط به لایه های بالایی و پایینی شبکه را ترکیب می کند تا اطلاعات مربوط به وضعیت سرورها، وضعیت برنامه های کاربردی در حال اجرا بر روی آنها، وضعیت زیرساخت شبکه و میزان تراکم شبکه. نقش مهمی در تصمیم گیری دارد. تعادل داشتن بار.

آنتی ویروس

نرم افزار آنتی ویروس یکی از مهم ترین سرویس های امنیتی شبکه و یکی از پرکاربردترین ابزارهای امنیتی افراد و سازمان ها می باشد. آنتی ویروس ها بدافزارها را به روش های مختلفی شناسایی می کنند.

بر اساس امضای بدافزار موجود:

محبوب ترین راه برای شناسایی کدهای مخرب استفاده از Signature است که در واقع یک اثر انگشت بدافزار است. آنها در پایگاه داده های عظیمی برای استفاده توسط اسکنرهای آنتی ویروس جمع آوری شده اند. به همین دلیل بسیار مهم است که برنامه آنتی ویروس به روز باشد تا آخرین امضاها در دسترس باشد.

بر اساس چک جمع ها

چک‌سوم مقداری است که روی فایل محاسبه می‌شود تا مشخص شود که داده‌ها توسط ویروس خراب شده‌اند، بدون اینکه اندازه فایل افزایش یابد. علائم ویروس معمولاً به نوع ویروس بستگی دارد، از جمله موارد زیر:

• راه اندازی مجدد سیستم غیرمنتظره و مکرر
• افزایش ناگهانی حجم داده ها و نرم افزارها
• تغییر پسوند فایل (به اشتراک گذاشته شده با باج افزار)
• برخی از فایل ها ناپدید می شوند
• مشکل در ذخیره فایل های باز
• از دست دادن حافظه

استفاده از روش های اکتشافی:

روشی پیشرفته که بدافزار را شناسایی می کند. رفتارهایی مانند تلاش برای دسترسی به بخش بوت، نوشتن در یک فایل EXE یا حذف محتویات هارد دیسک. بر اساس طول فایل

راه دیگر برای شناسایی ویروس استفاده از اندازه فایل است. از آنجایی که ویروس ها با اتصال به نرم افزارهای جایگزین کار می کنند، حجم نرم افزارهای جایگزین اغلب افزایش می یابد. نرم افزار آنتی ویروس اندازه فایل یا نرم افزار اصلی را با هر استفاده قبلی مقایسه می کند. اگر این دو مقدار متفاوت باشند، نشان دهنده وجود ویروس است.

منبع: خدمات امنیت شبکه ژیوان