تبلیغات
ناب ترین مطالب تکنولوژی اطلاعات - مطالب امنیت شبکه

به نام خدا

 

    تماس با مدیر سایت/Contact  ایمیل من

 وبلاگ من



-->

معرفی MRTG به عنوان نرم افزار Monitoring شبکه

امنیت شبکه ,

سه شنبه 18 دی 1386

نویسنده :مهدی ممقانی(mahdim@sgnec.net )

ناشر : مهندسی شبكه همكاران سیستم (مشورت )

 

“Introducing MRTG and its advanced abilities“

-1مروری بر MRTG :

نرم افزارمدیریتی   MRTG  ( Multi  Router Traffic Grapher )  درسال1994 توسط  آقایان Tobias Oetike و   Dave Rand تحت (  Public License (General  ایجادگردید .نرم افزارمذکور برپایه زبان  Perl   نگارش گردیده وجهت اجرا نیاز به مترجم زبان  Perl   دارد .

MRTG براساس پروتکل  SNMP  پایه گذاری شده است که به صورت پیش فرض v1 SNMP ودرصورت نیاز v2 SNMP مورد استفاده قرارمی گیرد. بااستفاده از MRTG  می توان کلیه تجهیزات شبکه را که از پروتکل  MRTG  پشتیبانی می کنند , مانیتور نمود.MRTG    با استفاده از  SNMP    اطلاعات مورد نیاز جهت Monitoring    را دریافت وآنهارا به صورتGraph    نمایش می دهد .

 

امروزه MRTG    به عنوان یکی از  مهمترین ابزار   Monitoring  برای کنترل ترافیک Link های مختلف درشبکه ها شناخته می شود .

 

 

 

 

کل مطلب


امنیت شبكه (كلیات)

امنیت شبکه ,

سه شنبه 18 بهمن 1384

امنیت شبكه ( كلیــــــات )

نـــــوع مقاله : علــمی - كاربردی
سطح مقاله : مــــــتـــــــــوسط
كـــــــــاربران : مـد یران امنیتــی

وقتی بحث امنیت شبكه پیش می اید ، مباحث زیادی قابل طرح و ارائه هستند ، موضوعاتی كه هر كدام به تنهایی می توانند جالب ، پرمحتوا و قابل درك باشند ، اما وقتی صحبت كار عملی به میان می اید ، قضیه یك جورایی پیچیده می شود . تركیب علم و عمل ، احتیاج به تجربه دارد و نهایت هدف یك علم هم ، به كار امدن ان هست .
وقتی دوره تئوری امنیت شبكه را با موفقیت پشت سر گذاشتید و وارد محیط كار شدید ، ممكن است این سوال برایتان مطرح شود كه " خب ، حالا از كجا شروع كنم ؟ اول كجا را ایمن كنم ؟ چه استراتژی را پیش بگیرم و كجا كار را تمام كنم ؟ " انبوهی از این قبیل سوالات فكر شما را مشغول می كند و كم كم حس می كنید كه تجربه كافی ندارید و این البته حسی طبیعی هست . پس اگر این حس رو دارید و می خواهید یك استراتژی علمی - كاربردی داشته باشید ، تا انتهای این مقاله با من باشید تا قدم به قدم شما رو به امنیت بیشتر نزدیك كنم.
همیشه در امنیت شبكه موضوع لایه های دفاعی ، موضوع داغی هست و نظرات مختلفی وجود دارد . عده ای فایروال را اولین لایه دفاعی می دانند ، بعضی ها هم Access List رو اولین لایه دفاعی می دانند ، اما واقعیت پنهان این هست كه هیچكدام از اینها ، اولین لایه دفاعی نیستند . یادتون باشد كه اولین لایه دفاعی در امنیت شبكه و حتی امنیت فیزیكی ، Policy هست . بدون policy ، لیست كنترل ، فایروال و هر لایه دیگر ، بدون معنی می شود و اگر بدون policy شروع به ایمن كردن شبكه كنید ، محصول یك آبكش واقعی از كار در می اید .
با این مقدمه ، و با توجه به این كه شما policy مورد نظرتان را كاملا تجزیه و تحلیل كردید و دقیقا می دانید كه چه چیزی رو می خواهید و چی را احتیاج ندارید ، كار را شروع می كنیم . ما باید پنج مرحله رو پشت سر بگذاریم تا كارمان تمام بشود . این پنج مرحله عبارتند از :

1- Inspection ( بازرسی )

2- Protection ( حفاظت )

3- Detection ( ردیابی )

4- Reaction ( واكنش )

5- Reflection ( بازتاب)

در طول مسیر ، از این پنج مرحله عبور می كنیم ، ضمن اینكه ایمن كردن شبكه به این شكل ، احتیاج به تیم امنیتی دارد و یك نفر به تنهایی نمی تواند این پروسه رو طی كند و اگر هم بتواند ، خیلی طولانی می شود و قانون حداقل زمان ممكن را نقض می كند .

1- اولین جایی كه ایمن كردن رو شروع می كنیم ، ایمن كردن كلیه authentication های موجود هست . معمولا رایج ترین روش authentication كه مورد استفاده قرار می گیرد ، استفاده از شناسه كاربری و كلمه رمز هست.
مهمترین جاهایی كه باید authentication را ایمن و محكم كرد عبارتند از :

برای دیدن بقیه مقاله روی ادامه مطلب کلیک کنید

کل مطلب


محافظت از شبكه توسط مسیریاب ها

امنیت شبکه ,

دوشنبه 3 بهمن 1384

مسیر یاب علاوه بر قابلیت های اتصال شبكه های مختلف به یكدیگر، در زمینه  امنیتی نیز می تواند مورد استفاده قرار گیرد. در این بخش نحوه برقراری امنیت در لبه شبكه توسط مسیریاب را بررسی می كنیم.

شكل زیر نمونه ای از ارتباط یك شبكه امن شده با اینترنت می باشد:

 

Router Plan 1 

علاوه بر آن مسیر یاب میتواند به صورت یكی از عناصر(لایه محافظتی) در روش دفاع در عمق بوده و از ابتدای ارتباط شبكه با دنیای خارج كار محافظت را انجام دهد.

مطابق شكل زیر، مسیریابی كه در لبه شبكه قرار گرفته و به عنوان اولین نقطه كنترلی می باشد، به Screen Router معروف است. این مسیر یاب دارای مسیر های ثابتی است(Static route) كه شبكه داخلی را به فایروال ارتباط می دهد. فایروال موجود نیز كنترل های بیشتری را روی ارتباطات انجام میدهد. علاوه بر این میتواند كار تصدیق هویت كاربران را نیز انجام دهد. بدلیل اینكه مسیر یاب دارای روش های امنیتی بیشتری برای این كار می باشد پیشنهاد میشود كه این كار توسط مسیر یاب انجام گردد.

 

Router Plan 2 

روش دیگر استفاده از یك مسیریاب بین فایروال و شبكه داخلی، و مسیر یاب دوم بین فایروال و اینترنت می باشد. این راه قابلیت اعمال كنترل ها را  در دو نقطه میسر می سازد علاوه بر این در این طرح میتوان یك شبكه بین دو مسیر یاب داشت كه به ناحیه غیر نظامی (de-militarized zone) معروف است. اغلب این  ناحیه برای سرور هایی كه باید از اینترنت در دسترس باشند، استفاده میگردد.

router plan 3

 

بعد از اینكه ارتباطات و طراحی امن شبكه صورت گرفت، پیاده سازی رویه و روال های كنترلی روی ارتباطات (Packet filtering)انجام خواهد شد.

 

كنترل بسته های  TCP/IP:

فیلترینگ بسته های TCP/IP امكان كنترل اطلاعات منتقل شده بین شبكه ها  را بر اساس آدرس و پروتكل های ارتباطی میسر میسازد.

مسیریاب ها روشهای مختلفی را جهت كنترل دارند. بعضی از آنها فیلترهایی دارند كه روی سرویس های شبكه در هر دو مسیر ورودی و خروجی اعمال میكند ولی انواع دیگر آنها تنها در یك جهت كنترل را اعمال می كنند.( سرویس های زیادی  دو سوی می باشند. به طور مثال كاربر از كامپیوتر A به كامپیوتر B ، Telnet كرده و كامپیوتر B اطلاعاتی را به كامپیوتر A می فرستد به همین دلیل مسیر یاب ها برای كنترل این گونه ارتباطات نیاز به كنترل دو سوی دارد). بیشتر مسیر یاب ها میتوانند بسته ها را  بر اساس:

-          آدرس مبدا

-          آدرس مقصد

-          پورت مورد استفاده مبدا و مقصد

-          نوع پروتكل مورد استفاده

كنترل كنند.

از قابلیت های دیگر روتر، فیلتر بر اساس وضعیت مختلف بیت های آدرس می باشد. اگر چه روترها نسبت به محتویات بسته ها(Data) كنترلی نخواهند داشت.

فیلترینگ بسته ها، از مزایای بسیار مهم مسیر یاب هایی است كه بین شبكه های امن و دیگرشبكه ها قرار میگیرد. در این توپولوژی، مسیریاب میتواند سیاست امنیتی را اعمال كند یا پروتكل ها را Reject نماید و  یا اینكه پورت ها را مطابق سیاست نامه امنیتی بسته نگه دارد.  

فیلترها از نظر اعمال محدودیت روی آدرس اهمیت فراوان دارند. به طور مثال در شكل زیر، مسیر یاب می بایست مشخص كند، بسته های اطلاعاتی را كه از  فایروال به خارج شبكه فرستاده می شوند، باید دامنه خاصی از آدرس را داشته باشند. این محدودیت بنام كنترل خروجی یا Egress filtering معروف است.

همین روش برای ارتباطات ورودی نیز صحیح است و به نام كنترل ورودی یا Ingress filter مشخص میشوند.

 

router plan 4 

حذف پروتكل هایی كه دارای ریسك بالایی هستند، از دیگر از مواردی است كه می توان روی مسیریاب انجام داد. جدول زیر نشان دهنده سرویس ها و پورت های آنها می باشد كه باید روی مسیر یاب غیر فعال گردند. 

Router plan 5 

 router plan 6

و جدول زیر شامل سرویس ها یا پورت هایی هستند كه می بایست در برابر  دسترسی كابران خارجی،  روی خود مسیر یاب غیر فعال شوند تا از دسترسی غیر مجاز به مسیر یاب و اطلاعات شبكه جلوگیری كند:

 

router plan 7

 

معمولا سازمان ها یا شركت ها  بسته به نوع استفاده از اینترنت، دارای  لیست  استانداردی از پورتهای مورد نیاز می باشند كه باز بوده و پورت های غیر از این لیست غیر فعال میشوند. در بیشتر موارد، فیلترینگ باید روی ترافیك خروجی و ورودی اعمال شود تا بتوان از حمله های احتمالی به شبكه جلوگیری به عمل آورد. در قسمت بعد به بررسی سیاست نامه امنیتی مسیر یاب و چك لیست امنیتی آن خواهیم پرداخت.

نویسنده : مهدی سعادت

ناشر : واحد امنیت مشورت

تاریخ انتشار : 23 آبان 84

http://sgnec.net


مفاهیم امنیت شبکه

امنیت شبکه ,

دوشنبه 3 بهمن 1384

امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

 

 مفاهیم امنیت شبکه

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه      می پردازیم.

 

1- منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

 

2- حمله

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داده

 

3- حلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

2-     خسارت وارده به شبکه درصورت انجام حمله موفق

 

4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

 

5- طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروالها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

 

6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز       می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-  استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

www.ircert.com


برقراری امنیت شبکه با Honeypot

امنیت شبکه ,

شنبه 17 دی 1384

چکیده :
همه ما بارها و بارها شنیده ایم که فلان هکری را دستگیر کردند ویا فعالیتهای غیر قانونی عده ای  از خرابکاران اینترنتی را برملا ساختند و همچنین می دانیم که هکرها و نفوذگران افراد بسیار باهوش وشاید هم تیز هوشی هستند که نسبت به کاری که انجام می دهند اطلاع کافی دارند و به راحتی اثری از فعالیتهای خود بر جا نمی گذارند که قابل شناسائی باشند پس چگونه این نوابغ روزگار در دام مأموران برقراری امنیت شبکه گرفتار می شوند ؟Honeypot  یکی از ابزارهائی است که متخصصین برخورد با هکرها و مدیران شبکه از آن برای شناسایی و به دام انداختن هکرها ونفوذگران استفاده می کنند . در این مقاله ضمن معرفی Honeypot  و انواع آن ،اهمیت تکنولوژی Honeypot   در برقراری امنیت شبکه ها و نحوه گرفتار شدن هکرها در دام متخصصین شبکه را بررسی می کنیم .
کل مطلب


بقیه مطالب وبلاگ l یک مثال ساده در ماکرو نویسی
l ایجاد یک ماجول در ماکرو
l اولین درس ماکرو
l آغاز ماکرو نویسی در اکسل
l تبلت پی سی چیست؟
l سیستم عامل آندروید چیست ؟
l ملکه تبلت‌ درCES 2011 کیست؟
l چگونه یك متخصص امنیتی شوم؟
l تحلیلى اقتصادى از تاثیر اینترنت و فناورى اطلاعات بر بازارها و موسسات بیمه‌
l راه‌اندازی بزرگ‌ترین مرکز فناوری دنیا در چین
l معرفی MRTG به عنوان نرم افزار Monitoring شبکه
l نرم‌افزار یک ‌بیستم صادرات هند را شامل می‌شود
l سایت انستیتوی فیلم آمریكا
l What is Chief Information Officer
l مدیریت زنجیره تأمین با استفاده از فناوری‌های بی‌سیم و موبایل