عکس پیش‌فرض نوشته

در چند دهه اولیه پیدایش سیستم های کامپیوتری، از شبکه های کامپیوتری بیشتر توسط پژوهشگران دانشگاه و برای ارسال نامه های الکترونیکی و یا توسط کارمندان شرکت ها برای به اشتراک گذاری چاپگر استفاده میشد.

در چنین شرایطی امنیت شبکه های کامپیوتری اهمیت چندانی نداشت. در حالی که امروزه میلیون ها نفر از مردمان عادی از شبکه های کامپیوتری جهت انجام امور بانکی، معاملات و خرید و فروش های خود استفاده میکنند و امنیت شبکه به عنوان یک مسئله اساسی پدیدار شده است.

امنیت شبکه های کامپیوتری

 

امنیت شبکه در برگیرنده عناوین بسیار گسترده است و با مشکلات بسیاری سر و کار دارد.

به طور ساده امنیت را میتوان اطمینان از عدم دسترسی افراد غیر مجاز و جلوگیری از دستکاری در پیام های محرمانه دانست.

امنیت شبکه را میتوان در ارتباط با افرادی تعبیر کرد که تلاش میکنند به سرویس های راه دور در شبکه دسترسی پیدا کنند در حالی که مجوز استفاده از آنها را ندارند؛ همچنین امنیت شبکه به روش هایی اطلاق میشود که بتوان صحت پیام هایی دریافتی را تایید کرد.

برای مثال اگر پیامی از سوی یک شرکت همکار برایتان ارسال شود و از شما درخواست پرداخت وجه اضافه برای ارسال کالاهای مورد نظرتان کند، باید بتوان صحت آنرا تایید کرد و تشخیص داد که آیا این پیام واقعی است یا خیر.

در تعبیری دیگر از امنیت شبکه در خصوص پیشگیری از دخل و تصرف و یا پاسخ جعلی به پیام های قانونی دیگران و مقبله با افرادی که پس از ارسال پیام سعی در انکار آن دارند، یاد میشود.

 

منشاء بیشتر مشکلاتی که به عمد برای امنیت شبکه ها به وجود می آید  افرادی هستند که سعی در کسب درآمد نامشروع، جلب توجه یا آزار دیگران دارند.

با مشاهده و بررسی جرایم رایانه ای به نتیجه خواهیم رسید که تضمین امنیت شبکه، مقوله ای فراتر از رفع اشکالات برنامه نویسی است.

در این خصوص باید اقداماتی جهت پیشگیری از حمله دشمنانی اندیشیده شود که غالباً افراد باهوش و کوشا هستند و در برخی موارد سازمان یافته و با برنامه دقیق اقدام به ایجاد اختلال و حمله به شبکه میکنند.

لازم به ذکر است همیشه عملیات مخرب بر علیه شبکه توسط گروه خاص و خطرناک انجام نمیشود؛ در نتیجه بررسی پرونده های اداره پلیس به این حقیقت خواهیم رسید که بسیاری از حملات بر علیه شبکه توسط عوامل خارجی نبوده است بلکه توسط عوامل داخلی شبکه انجام گرفته است.

بنابراین طراحی سیستم های امنیتی باید با در نظر داشتن این حقیقت انجام شود.

 

مشکلات امنیت شبکه در حالت کلی به چهار دسته مرتبط به هم تقسیم بندی میشوند:

1- سری ماندن اطلاعات

2- احراز هویت کاربران

3- غیر قابل انکار بودن پیام ها

4- نظارت بر صحت اطلاعات

در زیر به بررسی اجمالی موارد بالا می پردازیم:

سری ماندن اطلاعات که بعضاً با نگهداری محرمانه اطلاعات (Confidentiality) نیز از آن یاد میشود، مربوط به انجام عملیاتی است که اطلاعات را از دسترسی کاربران غیر مجاز و بیگانه دور نگه میدارد.

این تعریف همان مفهومی است که در ذهن مردم عادی در مورد امنیت شبکه تداعی میشود.

 

احراز هویت به معنای تایید هویت طرف مقابل ارتباط قبل از در اختیار قرار گرفتن اطلاعات حساس است.

 

غیر قابل انکار بودن پیام ها (Nonrepudiation) با امضای دیجیتالی سر و کار دارد و به اطلاعات و مستندات، هویت حقوقی میدهد.

برای مثال هنگامی که مشتری یک سیستم، تعداد 100 عدد از کالایی با مبلغ 2000 تومان را سفارش داده است، در صورتی که پس از خرید ادعا کند مبلغ هر کالا 1000 تومان بوده است؛ چگونه میتوان خلاف ادعای باطل او را ثابت کرد (؟)، حتی شاید مشتری مدعی شود که چنین سفارشی از جانب او انجام نشده است!

در حالت کلی چگونه میتوان مطمئن شد که پیامی که شما دریافت کرده اید، دقیقاً همان پیاکی است که در اصل فرستاده شده است و فردی بدخواه در حین انتقال پیام آنرا دستکاری نکرده است.

 

چهار مورد فوق در سیستم های سنتی پیرامونمان نیز وجود دارد؛ البته با تفاوت های قابل توجه، برای مثال به موارد زیر توجه کنید:

عملیات نگهداری محرمانه اطلاعات و نظارت بر صحت اطلاعات با تکیه بر پست سفارشی و لاک و مهر کردن مستندات انجام میشود.

اکثر افراد توانایی تشخیص تفاوت اصلی و کپی یک سند را دارند؛ برای مثال هیچ گاه کپی یک چک بانکی را دریافت نخواهند کرد.

اصل و کپی مستندات الکترونیکی در شبکه های کامپیوتری تفاوتی با هم ندارند و از یکدیگر غیر قابل تشخیص اند؛ به عنوان مثال در بانکداری الکترونیک، اصل و کپی چک های الکترونیکی مشابه هم هستند.

 

در دنیای پیرامون ما، افراد از طریق چهره، صدا یا دستخط یک فرد او را احراز هویت میکنند.

در امور اداری، تایید هویت اشخاص از طریق امضای آنها در برگه های حقوقی یا مهرهای برجسته و مانند اینها انجام میشود.

هرگونه تلاش برای جعل یا دستکاری در اسناد، با مقایسه دستخط یا امضا قابل تشخیص است.

این موارد در دنیای الکترونیک قابل اعمال نبوده و بدیهی است که به راهکارهای دیگری نیاز است.

 

در ادامه به بررسی اقدامات و راهکارهای امنیتی شبکه که در هر یک از لایه های پشته پروتکلی شبکه (Protocol Stack) ممکن و قابل اعمال است می پردازیم.

رعایت نکات و اقدامات امنیتی فقط در یک نقطه خاص متمرکز نیست.

در هر لایه از معماری شبکه کامپیوتری، باید نکات و موارد امنیتی مدنظر قرار گرفته و با نهایت دقت انجام شود. (جهت کسب اطلاعات بیشتر درمورد معماری شبکه مراجعه کنید به انواع معماری شبکه های کامپیوتری)

در لایه فیزیکی (Physical Layer) برای جلوگیری از ایجاد انشعاب در سیم و پیشگیری از استراق سمع سیگنال (Wire Tapping)، میتوان سیم ها را در درون یک لوله محافظ قرار داد و لوله را با ماده ای گازی شکل، تحت فشار بالا پر کرد.

در چنین حالتی هر گونه تلاش برای سوراخ کردن لوله یا دستکاری سیم ها منجر به تخلیه گاز، کاهش فشار لوله و در پایان اعلام هشدار خواهد شد.

این نوع امنیت لایه فیزیکی شبکه در برخی از سیستم های نظامی استفاده میشود.

 

در لایه پیوند داده ها (Data Link)، بسته های ارسالی بر روی خطوط نقطه به نقطه (Point To Point) قبل از خروج از دستگاه مبداء، رمزنگاری شده و به محض ورود به سیستم مقصد رمزگشایی میشود.

این راه حل در مواقعی که بسته های اطلاعاتی می بایست از چند مسیر و سیستم عبور کنند، کارآیی خود را از دست خواهد داد زیرا اطلاعات در ابتدای ورود به هر سیستم رمزگشایی و در هنگام خروج از آن مجدداً رمزنگاری میشوند؛ در نتیجه این خطر وجود دارد که در یکی از سیستم های میانی به اطلاعات حمله شود.

همچنین در هر یک از مسیریاب های (سیستم) واقع بر روی مسیر، احتمال دستکاری یا استراق سمع اطلاعات وجود خواهد داشت.

با وجود این کمبودها، روش رمزنگاری لینک (Link Encryption) را میتوان به سادگی به هر شبکه ای افزود و در اکثر موارد سودمند خواهد بود.

 

در لایه شبکه (Network Layer) میتوان برای نظرات مؤثر بر ورود و خروجی بسته های اطلاعاتی مجاز و تشخیص بسته های غیرمجاز (حامل دیتاهای مخرب)، دیوار آتش (Firewall) نصب کرد.

همچنین در این لایه میتوان از پروتکل IPsec یا همان IP Security استفاده کرد.

 

در لایه انتقال (Transport Layer) اتصال (Connection) بین مبداء و مقصد میتوان رمزنگاری شود.

به عبارت دیگر تمام اطلاعات در حال تبادل، در پروسه مبداء رمز شده و در پروسه مقصد از رمز خارج میشود. (به این روش امنیت انتها به انتها یا End to End گفته میشود.)

جهت تضمین حداکثر امنیت، اعمال روش امنیت انتها به انتها الزامی است.

 

در پایان، سایر موارد نظیر احراز هویت و غیر قابل انکار بودن محتوای پیام ها فقط در لایه کاربرد شبکه قابل اعمال و پیاده سازی است.

 

بررسی مستندات به خوبی نشان میدهد که بسیاری از مشکلات در حریم امنیتی شبکه هایی نظیر بانک ها، در سراسر جهان، غالباً از عواملی همچون سهل انگاری کارمندان، انجام اقدامات امنیتی ناکافی، تقلب و کلاهبرداری های داخلی نشئت گرفته است تا اینکه از یک نقشه دقیق، ایجاد انشعاب در خطوط انتقال، سرقت و رمزگشایی اطلاعات …

این آموزش بیش از ۳ سال قبل ارسال شده و اکنون در لیست به‌روزرسانی‌های سایت قرار دارد. اگر پیشنهاد یا انتقادی برای بهبود آموزش دارید، خوشحال می‌شیم به ما اطلاع بدهید.