راه پرداخت
رسانه فناوری‌های مالی ایران

امنیت پشت درهای بسته

محمدعلی فرداد؛ مدیر واحد زیرساخت شرکت فناپ؛

امنیت شبکه، امنیت مرکز داده؛

هر‌گاه سخن از امنیت شبکه به میان می‌آید توجه همه به تهیه فایروال‌هایی برای قرار دادن در ورودیهای اینترنت برای جلوگیری از نفوذ به داخل مرکز داده جلب می‌شود. البته وجوب قرار دادن این تجهیزات بر هیچ کس پوشیده نیست اما بسنده کردن تا این حد کافی است؟ جواب به وضوح خیر است.

 

قبل از هر چیز بهتر است تعریفی از امنیت شبکه داشته باشیم.

امنیت شبکه عبارت است از فراهم کردن امکاناتی در یک سازمان (معمولا شبکه WANیک سازمان) به طوری که اطلاعات موجود در آن سازمان محفوظ بوده و هیچ گونه دسترسی غیرمجاز یا تغییر ناخواسته در اطلاعات آن سازمان رخ ندهد، همچنین تمامی سرویس‌های آن سازمان همیشه در دسترس باشند.

در نتیجه امن‌سازی شبکه عبارت است از:

– حفاظت از اطلاعات سازمان که توسط افراد فاقد صلاحیت خراب نشود.

– حفاظت از اطلاعات سازمان به طور ناخواسته تغییر نکند.

– حفاظت از اطلاعات سازمان به طوری که توسط افراد فاقد صلاحیت خوانده نشود

– حفاظت از سرویس‌های سازمان به طوری که سرویس‌دهی آن‌ها دچار اختلال نشود.

 

نمای زیر به عنوان یک نمونه ساده از شبکه یک سازمان، روش‌های نفوذ را نشان می‌دهد:

مجراهای نفوذ به شبکه با اعداد ۱ تا ۴ مشخص شده‌ که در مقاله حاضر تمرکز روی نقاط شماره ۱ است. در بخش‌هایی که با عدد ۱ علامت‌گذاری شده است هدف نفوذگر ورود به سرویس‌دهنده‌های مرکز داده است. معمولا نفوذگر‌ها در این بخش با استفاده از پورت‌های باز روی سرویس‌دهنده‌ها و ضعف‌های امنیتی ذاتی در بخش‌های سیستم عامل، برنامه‌های سرویس‌دهنده (Application server)، پایگاه‌های داده، برنامه‌های کاربردی و… سعی در نفوذ به سرویس‌دهنده دارند. برای حل مشکل در این بخش باید موارد زیر مد نظر قرار گیرد.

• قرار دادن فایروال در نقاط ورودی در مرکز داده

• تنظیم فایروال‌ها به طوری که فقط پورت‌های مورد نیاز باز باشند (نکته خیلی مهم در این بخش این است که هر چقدر Roleهای تنظیم‌شده در فایروال دقیق‌تر و جزیی‌تر باشند میزان امنیت فراهم‌شده نیز بیشتر است)

• به‌روزرسانی به موقع سیستم‌عامل‌ها، برنامه‌های سرویس‌دهنده، پایگاه‌های داده و از همه مهم‌تر سیستم‌عامل‌های روی فایروال‌ها

• اعمال تمامی patchهای امنیتی اعلام‌شده برای تمامی اجزایی که در ساختار استفاده می‌شوند

• بستن پورت‌های غیرضروری روی تک‌تک سرور‌ها

• عدم استفاده از نرم‌افزارهای crackشده در بخش‌های حساس مرکز داده

• استفاده از آنتی‌ویروس به‌روز و قوی در مرکز داده

• استفاده از مد‌ل‌های مختلف تجهیزات در لایه‌های مختلف (استفاده از تجهیزات Hetrogenuse باعث از دست رفتن یکسری توانایی‌هایی می‌شود که معمولا تجهیزات مختلف یک برند خاص offer می‌دهند اما در صورت استفاده از تجهیزات یک برند خاص احتمال وجود یک Bug امنیتی در تجهیزات این برند تهدید بزرگی برای امنیت مرکز داده و شبکه یک سازمان است)

•بررسی نرم‌افزار‌ها به طوری‌که دارای مشکل امنیتی نباشند.

 

در این بخش لازم است به انواع تهدیداتی که به این نقطه وارد می‌شود اشاره کرد.

به طور کلی تهدیدات به مرکز داده به دو بخش زیر تقسیم می‌شوند:

۱ – تهدیدات عمومی

این تهدیدات عموما به وسیله نفوذگران معمولی و غیروابسته جهت مقاصد شخصی صورت می‌گیرند.

۲ – تهدیدات خاص و برنامه‌ریزی‌شده

این‌گونه تهدیدات عموما به وسیله نفوذگرانی صورت می‌گیرد که وابستگی خاصی به یک سازمان یا Government دارند. این‌گونه خطر ایجادشده بسیار بستگی به وابستگی نفوذگر دارد.

به عنوان مثال با توجه به شرایط موجود در کشور و وضعیت بین‌المللی از نظر سیاسی و تهدیداتی که اعلام می‌‌شود، چنانچه حمله نظامی به ایران انجام شود به صورت همزمان حملات سایبری نیز توسط مهاجم صورت می‌گیرد. با توجه به اینکه تمامی تجهیزاتی که در مراکز داده ما استفاده می‌شوند از برندهای آمریکایی هستند به احتمال زیاد نقاط ورود زیادی برای ورود به شبکه‌هایی که از این تجهیزات استفاده می‌کنند، دارند.

موارد مطرح‌شده در بالا برای جلوگیری از تهدیدات عمومی هستند اما در خصوص جلوگیری از تهدیدات خاص و برنامه‌ریزی‌شده چه باید کرد؟ از آنجا که این تهدیدات بسیار به دلیل وابستگی ایجاد می‌شوند پس در نتیجه برای حل آن‌ها باید میزان وابستگی را کاهش داد.

 

موارد زیر از جمله اقداماتی است که در این خصوص باید صورت گیرد:

• استفاده از فایروال‌های داخلی ایرانی در Edge‌ها قبل از فایروالهای خارجی

• استفاده از آنتی‌ویروس ایرانی در مرکز داده

• Apply کردن Patchهای امنیتی با طمانینه و دقتق

• استفاده از ابزارهای مانیتورینگ داخلی جهت کنترل تجهیزات و Log‌ها به صورت دقیق

 

برای توضیح این مطالب به ذکر مثالی می‌پردازم:

در بازدید از وضعیت امنیت در یک مرکز داده مشخص شد سازمان مورد بحث از ACS برای کنترل دسترسی‌های مورد نیاز به تجهیزات شبکه و امنیتی اعم از سوئیچ، رو‌تر و فایروال استفاده می‌کند. ضمن اینکه به منظور استفاده از ACS مجبور به Crack نسخه مربوطه شده بود. در ادامه و پس از بررسی‌های انجام‌شده در مورد روش Crack، معلوم شد که نرم‌افزار مورد استفاده روی عملکرد تابعی که وظیفه کنترل دسترسی را بر عهده داشت خلل ایجاد می‌کند و برای هرگونه دسترسی، پیغام دسترسی و امضای مجاز به عنوان خروجی خود صادر می‌کرد.

همان‌طور که متوجه شدید متاسفانه یک چنین سوراخ امنیتی بزرگی در نرم‌افزاری که وظیفه تامین امنیت تمامی تجهیزات شبکه یک مرکز داده سازمانی مهم را بر عهده دارد، موجود است و حتی مشاور سازمان نیز از این نکته غافل مانده است.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.