امنیت فیزیکی حیطه‌ ی وسیعی از تدابیر را در امنیت شبکه های کامپیوتری دربر می‌گیرد. استقرار تجهیزات در مکان‌های امن و به دور از حملات نفوذگران و  همچنین افزایش تعداد سیستم های پشتیبان گیری شبکه، از آن جمله‌اند. به این ترتیب اطمینان از صحت عملکرد سیستم در صورت وقوع نقص در یکی از تجهیزات شبکه افزایش می یابد. در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌اتی که تجهیزات شبکه را تهدید می‌ نمایند، نگاهی داشته باشیم . بعد ازشناخت این خطرها می‌توان به ارائه راه‌حل‌ها و ترفند‌های دفاعی در برابر حملات امنیتی  در حوزه ی  امنیت شبکه های کامپیوتری پرداخت.

راه‌حل‌ها و ترفند‌های دفاعی در برابر حملات فیزیکی

  • افزایش تعداد ( پشتیبان ) در محل استقرار شبکه

    یکی از راه‌کارها در قالب تهیه پشتیبان از شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است . در این راستا ، شبکه‌ی ثانویه‌ ، کاملاً مشابه شبکه‌ی اولیه (چه از بعد تجهیزات و چه از بعد کارکرد) خواهد بود. محل استقرار این شبکه از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای چندانی ندارد. با استفاده از این دو سیستم مشابه، علاوه بر آن که در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به عنوان شبکه جایگزین استفاده کرد. در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه تقسیم می‌شود تا زمان پاسخ به درخواست ها به حداقل ممکن برسد. با وجود آن که استفاده از این روش در شبکه‌های معمول که حجم چندانی ندارند، به دلیل هزینه‌های تحمیلی بالا،مقرون به صرفه نمی باشد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آن ها از اصول اولیه به حساب می‌آید امری ضروری است.

  • توپولوژی شبکه

    طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند . در این مقوله،‌ سه طراحی  رایج و معمول امنیت شبکه های کامپیوتری مورد بررسی قرار می‌گیرند که عبارتند از :  طراحی سری ( Bus) ، طراحی ستاره‌ای (Star)  ، طراحی مش (Mesh) که در بخش انواع شبکه به طور کامل به شرح عملکرد آن ها پرداخته ایم .

  • محل‌های امن برای تجهیزات

    در تعیین یک محل امن برای تجهیزات شبکه های کامپیوتری دو نکته مورد توجه قرار می‌گیرد ، یکی، یافتن مکانی است که به اندازه کافی با سایر نقاط مجموعه در تمایز باشد، به گونه‌ای که هرگونه ورود به محل مشخص باشد. دوم،  در نظر داشتن محلی است که در ساختمان یا مجموعه‌ای بزرگ تر قرار گرفته است تا تدابیر امنیتی بکار رفته برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.

رعایت اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات شبکه امری ضروری است :

– محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری.

– استفاده از دوربین‌های حفاظتی در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.

  • انتخاب لایه ی کانال ارتباطی امن

    با وجود آن که حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، منسوخ شده و در حال حاضر تلاش اغلب نفوذگران برای به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده ،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری جدی است. عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های بهم تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات به دست آمده از تلاش‌های دیگر حمله کنندگان برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی در موضوع حمله ی امنیتی رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود (استراق سمع) و یا حتی تخریب فیزیکی وجود داشته باشد ، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می رسد.

  • منابع تغذیه

    منابع تغذیه با فعال نگه داشتن نقاط شبکه به حفظ داده ها در شبکه کمک می کنند . لذا چگونگی پیکربندی و نوع منابع تغذیه و قدرت آنها نقش بسیار مهم و انکارناپذیری  در امنیت شبکه های کامپیوتری دارد . در این مقوله توجه به نکته زیر بسیار ضروری است  :

    طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌ صورت می گیرد . این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آن که به شبکه‌ی برق فشار بیش از ‌اندازه‌ وارد شود، به دست آورند.

 

 
  • عوامل محیطی

    یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برابر عوامل محیطی چون ؛ زلزله ، طوفان ، آتش سوزی و… است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند . با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری از اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان گیری برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبان گیری است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقایعی اطمینان حاصل کرد.

 

امنیت منطقی شبکه های کامپیوتری

Network securityNetwork security
 
امنیت منطقی شبکه

    امنیت منطقی شبکه های کامپیوتری به معنای استفاده از روش‌هایی برای پایین آوردن خطر حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه های کامپیوتری، بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش پس از ذکر عناصر امنیت منطقی به بررسی عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم. این عوامل  برای اطمینان از این است که تنها کاربران مجاز می‌توانند عملیاتی را انجام بدهند و به اطلاعات در یک شبکه یا یک ایستگاه کاری دسترسی پیدا کنند .

 

عناصر امنیت منطقی

  • شماره شناسایی کاربر:  نام‌های کاربران، حساب‌ها و شناسه شخصی منحصربه‌ فرد برای عاملان یک برنامه یا شبکه کامپیوتری هستند . این شناسه‌ها بر طبق کاراکترهای الفبایی انتخاب شده و به کاربران  اختصاص داده می شود.
 
  • احراز هویت :  فرایند استفاده شده به وسیله یک برنامه، کامپیوتر یا شبکه کامپیوتری هست که قصد دارد تا هویت یک کاربر را تثبیت کند. بدون اعتبارنامه (کاربران بی نام) هویتی ندارند اما اجازه وارد شدن به سیستم را دارند. تثبیت شناسه‌ها برای مفهوم کنترل دسترسی که اجازه ی دسترسی به افراد مجاز را می‌دهد و مانع ورود  افراد غیرمجاز می‌گردد، حیاتی است.
 
  • بیومتریک :  سندی است که ویژگی فیزیکی و رفتاری کاربری را که قصد دارد تا شناسه خودش را تثبیت کند اندازه می‌گیرد . ظاهر فیزیکی استفاده شده شامل اثر انگشت، عنبیه و شبکه چشمی، الگوهای صدا و اندازه های دست می باشد. ظاهر رفتاری استفاده شده نیز شامل شناسایی امضا، تصدیق راه رفتن، شناسایی سخنران و تشخیص الگوی نوشتن می باشد. بعد از دریافت خصوصیات فیزیکی شخص به وسیله ی الگوریتم شمارشی، عملیات پردازش آغاز می گردد،  سپس این عدد وارد پایگاه داده شده و ویژگی‌های کاربر را برای تطبیق ویژگی‌های نگهداری شده ( با یک درصد خطای معین )  جستجو می‌کند.
  • عوامل و مواردی که در حملات منطقی مورد نظر قرار می‌گیرند :

     مدیریت پیکربندی

      با وجود نسخه پشتیبان منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهیزات، می‌توان با جایگزینی آخرین پیکربندی در کوتاه‌ترین زمان ممکن، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.

      نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخه پشتیبان را در فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تأخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

     

    مدیریت رمزهای عبور

    مناسب‌ترین محل برای ذخیره ی رمزهای عبور بر روی سرور Authentication است . هرچند که در بسیاری از موارد،  لازم است که اکثر این رموز بر روی خود سخت‌افزار نگهداری شوند. در این صورت مهم‌ترین نکته فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

     

    کنترل دسترسی به تجهیزات

      این امر به دوصورت کنترل از راه دور و کنترل از طریق درگاه سلول امکان پذیر است. در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌ها یا استانداردها و پروتکل‌های خاص، احتمال حملات را پایین آورد . در روش دوم، با وجود آن که به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزیکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تامین نمی‌کند. برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب که امکان دسترسی از راه‌دور را دارند، اطمینان حاصل نمود.

     

    امن سازی دسترسی

      علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.

      از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IP Sec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را ارجح تر می‌دانند.

     

    امنیت مسیریاب‌ها

    هکر  حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :

    حمله برای غیرفعال سازی کامل

    حمله به قصد دستیابی به سطح کنترل

    حمله برای ایجاد نقص در سرویس‌دهی