به نام خدا

 

    تماس با مدیر سایت/Contact  ایمیل من

 وبلاگ من



-->

محافظت از شبكه توسط مسیریاب ها

امنیت شبکه ,

دوشنبه 3 بهمن 1384

مسیر یاب علاوه بر قابلیت های اتصال شبكه های مختلف به یكدیگر، در زمینه  امنیتی نیز می تواند مورد استفاده قرار گیرد. در این بخش نحوه برقراری امنیت در لبه شبكه توسط مسیریاب را بررسی می كنیم.

شكل زیر نمونه ای از ارتباط یك شبكه امن شده با اینترنت می باشد:

 

Router Plan 1 

علاوه بر آن مسیر یاب میتواند به صورت یكی از عناصر(لایه محافظتی) در روش دفاع در عمق بوده و از ابتدای ارتباط شبكه با دنیای خارج كار محافظت را انجام دهد.

مطابق شكل زیر، مسیریابی كه در لبه شبكه قرار گرفته و به عنوان اولین نقطه كنترلی می باشد، به Screen Router معروف است. این مسیر یاب دارای مسیر های ثابتی است(Static route) كه شبكه داخلی را به فایروال ارتباط می دهد. فایروال موجود نیز كنترل های بیشتری را روی ارتباطات انجام میدهد. علاوه بر این میتواند كار تصدیق هویت كاربران را نیز انجام دهد. بدلیل اینكه مسیر یاب دارای روش های امنیتی بیشتری برای این كار می باشد پیشنهاد میشود كه این كار توسط مسیر یاب انجام گردد.

 

Router Plan 2 

روش دیگر استفاده از یك مسیریاب بین فایروال و شبكه داخلی، و مسیر یاب دوم بین فایروال و اینترنت می باشد. این راه قابلیت اعمال كنترل ها را  در دو نقطه میسر می سازد علاوه بر این در این طرح میتوان یك شبكه بین دو مسیر یاب داشت كه به ناحیه غیر نظامی (de-militarized zone) معروف است. اغلب این  ناحیه برای سرور هایی كه باید از اینترنت در دسترس باشند، استفاده میگردد.

router plan 3

 

بعد از اینكه ارتباطات و طراحی امن شبكه صورت گرفت، پیاده سازی رویه و روال های كنترلی روی ارتباطات (Packet filtering)انجام خواهد شد.

 

كنترل بسته های  TCP/IP:

فیلترینگ بسته های TCP/IP امكان كنترل اطلاعات منتقل شده بین شبكه ها  را بر اساس آدرس و پروتكل های ارتباطی میسر میسازد.

مسیریاب ها روشهای مختلفی را جهت كنترل دارند. بعضی از آنها فیلترهایی دارند كه روی سرویس های شبكه در هر دو مسیر ورودی و خروجی اعمال میكند ولی انواع دیگر آنها تنها در یك جهت كنترل را اعمال می كنند.( سرویس های زیادی  دو سوی می باشند. به طور مثال كاربر از كامپیوتر A به كامپیوتر B ، Telnet كرده و كامپیوتر B اطلاعاتی را به كامپیوتر A می فرستد به همین دلیل مسیر یاب ها برای كنترل این گونه ارتباطات نیاز به كنترل دو سوی دارد). بیشتر مسیر یاب ها میتوانند بسته ها را  بر اساس:

-          آدرس مبدا

-          آدرس مقصد

-          پورت مورد استفاده مبدا و مقصد

-          نوع پروتكل مورد استفاده

كنترل كنند.

از قابلیت های دیگر روتر، فیلتر بر اساس وضعیت مختلف بیت های آدرس می باشد. اگر چه روترها نسبت به محتویات بسته ها(Data) كنترلی نخواهند داشت.

فیلترینگ بسته ها، از مزایای بسیار مهم مسیر یاب هایی است كه بین شبكه های امن و دیگرشبكه ها قرار میگیرد. در این توپولوژی، مسیریاب میتواند سیاست امنیتی را اعمال كند یا پروتكل ها را Reject نماید و  یا اینكه پورت ها را مطابق سیاست نامه امنیتی بسته نگه دارد.  

فیلترها از نظر اعمال محدودیت روی آدرس اهمیت فراوان دارند. به طور مثال در شكل زیر، مسیر یاب می بایست مشخص كند، بسته های اطلاعاتی را كه از  فایروال به خارج شبكه فرستاده می شوند، باید دامنه خاصی از آدرس را داشته باشند. این محدودیت بنام كنترل خروجی یا Egress filtering معروف است.

همین روش برای ارتباطات ورودی نیز صحیح است و به نام كنترل ورودی یا Ingress filter مشخص میشوند.

 

router plan 4 

حذف پروتكل هایی كه دارای ریسك بالایی هستند، از دیگر از مواردی است كه می توان روی مسیریاب انجام داد. جدول زیر نشان دهنده سرویس ها و پورت های آنها می باشد كه باید روی مسیر یاب غیر فعال گردند. 

Router plan 5 

 router plan 6

و جدول زیر شامل سرویس ها یا پورت هایی هستند كه می بایست در برابر  دسترسی كابران خارجی،  روی خود مسیر یاب غیر فعال شوند تا از دسترسی غیر مجاز به مسیر یاب و اطلاعات شبكه جلوگیری كند:

 

router plan 7

 

معمولا سازمان ها یا شركت ها  بسته به نوع استفاده از اینترنت، دارای  لیست  استانداردی از پورتهای مورد نیاز می باشند كه باز بوده و پورت های غیر از این لیست غیر فعال میشوند. در بیشتر موارد، فیلترینگ باید روی ترافیك خروجی و ورودی اعمال شود تا بتوان از حمله های احتمالی به شبكه جلوگیری به عمل آورد. در قسمت بعد به بررسی سیاست نامه امنیتی مسیر یاب و چك لیست امنیتی آن خواهیم پرداخت.

نویسنده : مهدی سعادت

ناشر : واحد امنیت مشورت

تاریخ انتشار : 23 آبان 84

http://sgnec.net


بقیه مطالب وبلاگ l یک مثال ساده در ماکرو نویسی
l ایجاد یک ماجول در ماکرو
l اولین درس ماکرو
l آغاز ماکرو نویسی در اکسل
l تبلت پی سی چیست؟
l سیستم عامل آندروید چیست ؟
l ملکه تبلت‌ درCES 2011 کیست؟
l چگونه یك متخصص امنیتی شوم؟
l تحلیلى اقتصادى از تاثیر اینترنت و فناورى اطلاعات بر بازارها و موسسات بیمه‌
l راه‌اندازی بزرگ‌ترین مرکز فناوری دنیا در چین
l معرفی MRTG به عنوان نرم افزار Monitoring شبکه
l نرم‌افزار یک ‌بیستم صادرات هند را شامل می‌شود
l سایت انستیتوی فیلم آمریكا
l What is Chief Information Officer
l مدیریت زنجیره تأمین با استفاده از فناوری‌های بی‌سیم و موبایل

ساخت وبلاگ در میهن بلاگ

شبکه اجتماعی فارسی کلوب | ساخت وبلاگ صوتی صدالاگ | سوال و جواب و پاسخ | رسانه فروردین، تبلیغات اینترنتی، رپرتاژ، بنر، سئو | Buy Website Traffic