5- درباره امنیت شبکه فیزیکی و منطقی در شبکه های خانگی متصل به اینترنت توظیح کامل دهید.
امنیت فیزیکی حیطه ی وسیعی از تدابیر را در امنیت شبکه های کامپیوتری دربر میگیرد. استقرار تجهیزات در مکانهای امن و به دور از حملات نفوذگران و همچنین افزایش تعداد سیستم های پشتیبان گیری شبکه، از آن جملهاند. به این ترتیب اطمینان از صحت عملکرد سیستم در صورت وقوع نقص در یکی از تجهیزات شبکه افزایش می یابد. در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خطراتی که تجهیزات شبکه را تهدید می نمایند، نگاهی داشته باشیم . بعد ازشناخت این خطرها میتوان به ارائه راهحلها و ترفندهای دفاعی در برابر حملات امنیتی در حوزه ی امنیت شبکه های کامپیوتری پرداخت.
راهحلها و ترفندهای دفاعی در برابر حملات فیزیکی
- افزایش تعداد ( پشتیبان ) در محل استقرار شبکه
یکی از راهکارها در قالب تهیه پشتیبان از شبکههای کامپیوتری، ایجاد سیستمی کامل، مشابه شبکهی اولیهی در حال کار است . در این راستا ، شبکهی ثانویه ، کاملاً مشابه شبکهی اولیه (چه از بعد تجهیزات و چه از بعد کارکرد) خواهد بود. محل استقرار این شبکه از نظر جغرافیایی با شبکهی اول فاصلهای چندانی ندارد. با استفاده از این دو سیستم مشابه، علاوه بر آن که در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل میکند (مانند زلزله) میتوان از شبکهی دیگر به عنوان شبکه جایگزین استفاده کرد. در استفادههای روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکهی مشابه تقسیم میشود تا زمان پاسخ به درخواست ها به حداقل ممکن برسد. با وجود آن که استفاده از این روش در شبکههای معمول که حجم چندانی ندارند، به دلیل هزینههای تحمیلی بالا،مقرون به صرفه نمی باشد، ولی در شبکههای با حجم بالا که قابلیت اطمینان و امنیت در آن ها از اصول اولیه به حساب میآید امری ضروری است.
- توپولوژی شبکه
طراحی توپولوژیکی شبکه، یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی میتواند از خطای کلی شبکه جلوگیری کند . در این مقوله، سه طراحی رایج و معمول امنیت شبکه های کامپیوتری مورد بررسی قرار میگیرند که عبارتند از : طراحی سری ( Bus) ، طراحی ستارهای (Star) ، طراحی مش (Mesh) که در بخش انواع شبکه به طور کامل به شرح عملکرد آن ها پرداخته ایم .
- محلهای امن برای تجهیزات
در تعیین یک محل امن برای تجهیزات شبکه های کامپیوتری دو نکته مورد توجه قرار میگیرد ، یکی، یافتن مکانی است که به اندازه کافی با سایر نقاط مجموعه در تمایز باشد، به گونهای که هرگونه ورود به محل مشخص باشد. دوم، در نظر داشتن محلی است که در ساختمان یا مجموعهای بزرگ تر قرار گرفته است تا تدابیر امنیتی بکار رفته برای امن سازی مجموعهی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.
رعایت اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات شبکه امری ضروری است :
– محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفلها و مکانیزمهای دسترسی دیجیتالی به همراه ثبت زمانها، مکانها و کدهای کاربری.
– استفاده از دوربینهای حفاظتی در ورودی محلهای استقرار تجهیزات شبکه و اتاقهای اتصالات و مراکز پایگاههای داده.
- انتخاب لایه ی کانال ارتباطی امن
با وجود آن که حملهی فیزیکی به شبکههای کامپیوتری، آنگونه که در قدیم شایع بوده، منسوخ شده و در حال حاضر تلاش اغلب نفوذگران برای به دست گرفتن کنترل یکی از خادمها و سرویسدهندههای مورد اطمینان شبکه معطوف شده ، ولی گونهای از حملهی فیزیکی کماکان دارای خطری جدی است. عمل شنود بر روی سیمهای مسی، چه در انواع Coax و چه در زوجهای بهم تابیده، هماکنون نیز از راههای نفوذ به شمار میآیند. با استفاده از شنود میتوان اطلاعات به دست آمده از تلاشهای دیگر حمله کنندگان برای نفوذ در سیستمهای کامپیوتری را گسترش داد و به جمعبندی مناسبی در موضوع حمله ی امنیتی رسید. هرچند که میتوان سیمها را نیز به گونهای مورد محافظت قرار داد تا کمترین احتمال برای شنود (استراق سمع) و یا حتی تخریب فیزیکی وجود داشته باشد ، ولی در حال حاضر، امن ترین روش ارتباطی در لایهی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنالهای الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روشهای معمول شنود به پایینترین حد خود نسبت به استفاده از سیم در ارتباطات می رسد.
- منابع تغذیه
منابع تغذیه با فعال نگه داشتن نقاط شبکه به حفظ داده ها در شبکه کمک می کنند . لذا چگونگی پیکربندی و نوع منابع تغذیه و قدرت آنها نقش بسیار مهم و انکارناپذیری در امنیت شبکه های کامپیوتری دارد . در این مقوله توجه به نکته زیر بسیار ضروری است :
طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه صورت می گیرد . این طراحی باید به گونهای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آن که به شبکهی برق فشار بیش از اندازه وارد شود، به دست آورند.
- عوامل محیطی
یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برابر عوامل محیطی چون ؛ زلزله ، طوفان ، آتش سوزی و… است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه میشوند . با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق را میتوان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی، با هدف جلوگیری از اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان گیری برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبان گیری است که میتوان از عدم اختلال در شبکه در صورت بروز چنین وقایعی اطمینان حاصل کرد.

عناصر امنیت منطقی
- شماره شناسایی کاربر: نامهای کاربران، حسابها و شناسه شخصی منحصربه فرد برای عاملان یک برنامه یا شبکه کامپیوتری هستند . این شناسهها بر طبق کاراکترهای الفبایی انتخاب شده و به کاربران اختصاص داده می شود.
- احراز هویت : فرایند استفاده شده به وسیله یک برنامه، کامپیوتر یا شبکه کامپیوتری هست که قصد دارد تا هویت یک کاربر را تثبیت کند. بدون اعتبارنامه (کاربران بی نام) هویتی ندارند اما اجازه وارد شدن به سیستم را دارند. تثبیت شناسهها برای مفهوم کنترل دسترسی که اجازه ی دسترسی به افراد مجاز را میدهد و مانع ورود افراد غیرمجاز میگردد، حیاتی است.
- بیومتریک : سندی است که ویژگی فیزیکی و رفتاری کاربری را که قصد دارد تا شناسه خودش را تثبیت کند اندازه میگیرد . ظاهر فیزیکی استفاده شده شامل اثر انگشت، عنبیه و شبکه چشمی، الگوهای صدا و اندازه های دست می باشد. ظاهر رفتاری استفاده شده نیز شامل شناسایی امضا، تصدیق راه رفتن، شناسایی سخنران و تشخیص الگوی نوشتن می باشد. بعد از دریافت خصوصیات فیزیکی شخص به وسیله ی الگوریتم شمارشی، عملیات پردازش آغاز می گردد، سپس این عدد وارد پایگاه داده شده و ویژگیهای کاربر را برای تطبیق ویژگیهای نگهداری شده ( با یک درصد خطای معین ) جستجو میکند.
-
عوامل و مواردی که در حملات منطقی مورد نظر قرار میگیرند :
مدیریت پیکربندی
با وجود نسخه پشتیبان منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهیزات، میتوان با جایگزینی آخرین پیکربندی در کوتاهترین زمان ممکن، وضعیت فعال شبکه را به آخرین حالت بینقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه یک سختافزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.
نرمافزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخه پشتیبان را در فاصلههای زمانی متغیر دارا میباشند. با استفاده از این نرمافزارها احتمال حملاتی که به سبب تأخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید میآید به کمترین حد ممکن میرسد.
مدیریت رمزهای عبور
مناسبترین محل برای ذخیره ی رمزهای عبور بر روی سرور Authentication است . هرچند که در بسیاری از موارد، لازم است که اکثر این رموز بر روی خود سختافزار نگهداری شوند. در این صورت مهمترین نکته فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سختافزارهای مشابه است.
کنترل دسترسی به تجهیزات
این امر به دوصورت کنترل از راه دور و کنترل از طریق درگاه سلول امکان پذیر است. در روش اول میتوان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرسها یا استانداردها و پروتکلهای خاص، احتمال حملات را پایین آورد . در روش دوم، با وجود آن که به نظر میرسد استفاده از چنین درگاهی نیاز به دسترسی فیزیکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیتها در روش اول عملاً امنیت تجهیزات را تامین نمیکند. برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب که امکان دسترسی از راهدور را دارند، اطمینان حاصل نمود.
امن سازی دسترسی
علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روشهای معمول امنسازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمولترین روشهای حمله هستند را به حداقل میرساند.
از دیگر روشهای معمول میتوان به استفاده از کانالهای VPN مبتنی بر IP Sec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونهای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریابها، این روش را ارجح تر میدانند.
امنیت مسیریابها
حملات ضد امنیتی منطقی برای مسیریابها و دیگر تجهیزات فعال شبکه، مانند سوئیچها، را میتوان به سه دستهی اصلی تقسیم نمود :حمله برای غیرفعال سازی کامل
حمله به قصد دستیابی به سطح کنترل
حمله برای ایجاد نقص در سرویسدهی