در شروع هر کاری ما باید بدانیم چه داریم و باید از چه چیز محافظت کنیم مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

منابع شبکه
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده
3- منابع نامحسوس شبکه مانند عرض باند و سرعت
4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5- ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند.
6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

تهدیدات علیه امنیت شبکه:
تهدیدات و حملات علیه امنیت شبکه از جنبه های مختلف قابل بررسی هستند. از یک دیدگاه حملات به دو دسته فعال و غیر فعال تقسیم می شوند و از دیدگاه دیگر مخرب و غیر مخرب و از جنبه دیگر میتوان براساس عامل این حملات آنهارا تقسیم بندی نمود. بهرحال حملات رایج در شبکه ها بصورت ذیل میباشند:

در حالت کلی این تهدیدات شامل:
۱- حمله جلوگیری از سرویس (DOS):
در این نوع حمله، کاربر دیگر نمیتواند از منابع و اطلاعات و ارتباطات استفاده کند. این حمله از نوع فعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد.

2- استراق سمع:
در این نوع حمله، مهاجم بدون اطلاع طرفین تبادل داده، اطلاعات و پیامها را شنود می کند. این حمله غیرفعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد.

3- تحلیل ترافیک:
در این نوع حمله مهاجم براساس یکسری بسته های اطلاعاتی ترافیک شبکه را تحلیل کرده و اطلاعات ارزشمندی را کسب میکند. این حمله یک نوع حمله غیر فعال است و اکثرا توسط کاربران خارجی صورت می گیرد.

4- دستکاری پیامها و داده ها:
این حمله یک حمله فعال است که در آن مهاجم جامعیت و صحت اطلاعات را با تغییرات غیر مجاز بهم می زند و معمولا توسط کاربر خارجی صورت می گیرد.

5- جعل هویت:
یک نوع حمله فعال است که در آن مهاجم هویت یک فرد مجاز شبکه را جعل می کند و توسط کاربران خارجی صورت میگیرد.

و در حالت تخصصی تر و توضیحی حملات شامل :

حملات تحت شبكه


Back Door (در پشتی )
• به هر معبر باز در نرم افزار، به طوری كه كسی بتواند بدون اطلاع صاحب نرم افزار و كاربر نرم افزار ، از آن عبور كرده و به داخل سیستم نفوذ كند ، Back Door گفته می شود.
• Back Door ها اغلب به دلیل عدم توجه ایجاد كننده نرم افزار ، به صورت باز رها می شود و همین امر باعث می شود علاوه بر ایجاد كننده ، دیگران نیز از آن سوءاستفاده كنند.

Spoofing
• تكنیكی است برای دسترسی غیر مجار به كامپیوتر ها
• هكر ابتدا آدرس IP یك كامپیوتر مورد اعتماد را پیدا می كند.
• پس از به دست آوردن این اطلاعات هكر شروع ارسال اطلاعات به سیستم قربانی كرده و خود را مورد اعتماد وانمود می كند (خود را به جای یك كامپیوتر مورد اعتماد جا می زند! )
• پس از برقراری ارتباط شروع به دریافت اطلاعاتی می كند كه در حالت معمول ، مجاز به دسترسی به آنها نیست
Man in the Middel
• نفوذگر بین دو كامپیوتر كه در حال تبادل اطلاعات هستند قرار می گیرد.
• نفوذگر ترتیبی را اتخاذ می كند كه دو كامپیوتر از وجود او بی اطلاع باشند.
• به این ترتیب دسترسی كاملی به اطلاعات دارد. یعنی هم می تواند آنها را دریافت كند و هم می تواند آنها را مطابق میل خود تغییر دهد و به نفر بعدی تحویل دهد.
• سیستم های Wireless در معرض این حمله قرار دارند.
Replay
• وقتی یك هكر به وسیله ابزار Sniffer بسته های اطلاعاتی را از روی سیم بر می دارد ، یك حمله Replay رخ داده است
• وقتی بسته ها دزدیده شدند ، هكر اطلاعات مهم و نامهای كاربری و كلمات عبور را از درون آن استخراج می كند.
• وقتی كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روی خط قرار می گیرند و یا بدانها به صورت دروغین پاسخ داده می شود.

TCP/IP Hijacking
• معمولا به آن جعل نشست (Session Hijacking ) نیز گفته می شود.
• هكر می تواند نشست TCP بین دو ماشین را به دست آورد
• یك روش مشهور استفاده از Source-rout كردن IP ها می باشد.
• Source-rout كردن یعنی بسته های IP را طوری تغییر دهیم كه از مسیری خاص بگذرند.
DNS Poisoning
• این حمله هنگامی است كه فایل DNS شما با اطلاعات ناجوری پر شود
• به صورت ساده تر هنگامی می باشد كه نفوذگر ركوردهای DNS را كه به Host های صحیحی اشاره دارند ، به Host مورد نظر خود تغییر می دهد.

Denial Of Service ( DOS ) و Distributed Denial Of Service ( DDOS)
• این نوع حملات به منظور از كار انداختن یك سرویس و یا از دسترس كاربران خارج كردن یك سرویس به كار می رود.
• نوع توزیع شده این نوع حملات ، از تعداد زیادی كامپیوتر ( Zompbie ) در سراسر دنیا استفاده می شود. و در لحظه ای كه حمله كننده اصلی دستور می دهد تمام این Zompbie ها به طور همزمان به یك قربانی خاص از پیش تعیید شده ، حمله می كنند.
• نمونه ایرانی آن كرم دامبی بود كه پس از انتشار به سایتهای IIRIB و ISNA و ... حمله می كرد

Social Engineering (مهندسی اجتماعی )
• بیشتری زمانی رخ می دهد كه هكر به سیستم های واقعی قصد نفوذ دارد
• راه دیگر هنگامی می باشد كه نفوذگر با استفاده از نقاط ضعف كاربر انتهایی (End User ) راه نفوذ به شبكه را پیدا می كند.
• سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت های شخصیتی افراد برای اغفال آنها و یا تحت فشار قرار دادن آنها تا اطلاعات مورد نیاز برای نفوذ به شبكه را در اختیار فرد هكر قرار دهد
Birthday
• یك حمله Birthday نامی است برای یك رده از حملات Brute-Force
• برای فهم بهتر این حمله شما باید به روشهای رمز كردن و شكاندن آنها، اطلاع داشته باشید
Brute force
• یك روش برای به شكستن كلمات رمز و به دست آوردن آنهاست
• حمله Brute-force حروف را به صورت تركیبی استفاده می كند و با تست كردن آنها رمز عبور را پیدا می كند.
• برای مقابله با این روش باید كلمات رمز با طول زیاد انتخاب كرد و یا كلمات رمز را هر دفعه تغییر داد
Dictionary
• یك روش برای به دست آوردن كلمات رمز عبور است
• كلمه Dictionary در اصل لغتنامه ای از كلمات معروف می باشد كه در یك فایل ذخیره شده اند و به وسیله یك ابزار برای شكستن كلمات رمز ، مورد استفاده قرار می گیرند
• برای مقابله با این حمله باید از كلماتی استفاده كرد كه در لغتنامه وجود ندارد
Software Exploitation
• حمله علیه سوراخها و باگهای موجود در كدهای سیستم
• برای اصلاح آنها باید از Hotfix ها و Service Pack ها استفاده كرد
War Dialing
• استفاده از یك ابزار پویشگر برای اتصال به یك رنجی از شماره های تلفن به وسیله مودم برای اهداف نفوذگرانه
• یك War Dialer نرم افزار می باشد كه با استفاده از مودم با یك رنجی از شماره ها تماس گرفته و شماره هایی كه تماسی موفق داشته اند را جمع آوری می كند
Buffer Overflow
• حمله سرریزی بافر از كدهای نوشته شده ضعیف استفاده می كند
اگر در كدهای مختلف نرم افزاری طول آرگومانها بررسی نگردد در معرض این حمله قرار دارند

SYN flood

. حملات SYN flood از مكانیزم دست تكانی سه مرحله ای (Three-Way handshaking ) در پروتكلهای TCP/IP سوءاستفاده می كند.
• . تعداد زیادی از درخواست ها به صورت نصفه كاره ارسال و رها می شود و باعث می شود كه سیستم
به علت مواجهه با كمبود حافظه از كار بیافتد

Smurfing
• سوء استفاده از ICMP
• فرستادن بسته های به سوی یك شبكه سراسری با آدرسهای منبع دروغین
• قربانی به صورت ناگهانی با سیلی از اینگونه بسته ها مواجهه می گردد و از كار می افتد

Sniffing
• حملات Sniffing با استفاده از شنود و جذب كلیه اطلاعات شبكه انجام می گیرد
• با استفاده از یك تحلیلگر داده های شبكه ، كلیه اطلاعات جذب شده ، تجزیه و تحلیل می شود و كلیه رمزهای عبور و نامهای كاربری شبكه استخراج می گردد.


Ping of Death
• فرستادن بسته های بزرگتر از حد معمول برای درهم شكستن سیستم شما
• این حمله به صورت واقعی روی سیستمهای قدیمی ویندوز ، لینوكس و مسیریابهای سیسكو انجام می گیرد.

پویش پورت
• پویش كردن پورت به وسیله نرم افزارهایی انجام می شود تا پورتهای باز سیستم مشخص شود
• بعد از آن با پیدا كردن نقاط آسیب پذیر پورتهای فوق ، یك حمله شكل می گیرد

حملات قطعه قطعه كردن (Fragmentation Attack )
• هدف این دسته از حملات قطعه قطعه كردن یك بسته IP و دوباره بازیابی كردن آن و ایجاد یك كد اجرایی می باشد.
• این دسته حملات بسیار متنوع می باشد از جمله :
o Teardrop
o Teardrop2
o NewTear
o SynDrop
o Bonk
o Boink
شناخت انواع حملات رایج بخش مهمی از امنیت شبکه است تا زمانی که یک کاربر نداند چه تهدیداتی و چگونه ممکن است شبکه را مورد حمله قرار دهد نمی تواند ارزیابی درستی از انچه باید در جهت ایمنی انجام دهد داشته باشد لیست سریع فوق تنها توضیحی اجمالی در جهت شناخت کلی نوع حملات است حال انکه چگونگی جلوگیری و دفع تک تک این حملات در بحث ما نمی گنجد و نیازمند دوره های تخصصی است.
3-2هدف امنیت
هدف های امنیتی عبارتند از
1- حفظ محرمانگی: یعنی کاربران خاصی از داده بتوانند استفاده کنند
2- حفظ جامعیت داده: یعنی داده ها بدرستی در مقصد دریافت شوند.
3- احراز هویت: یعنی گیرنده از هویت فرستنده آگاه شود.
4- کنترل دستیابی مجاز: یعنی فقط کاربران مجاز بتوانند به داده ها دستیابی داشته باشند.
5- عدم انکار: یعنی فرستنده نتواند ارسال پیام توسط خودش را انکار کند.

تحلیل خطر
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
1- احتمال انجام حمله
2- خسارت وارده به شبکه درصورت انجام حمله موفق
سیاست امنیتی
سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی و راه کار به روز رسانی آنها می باشد.
هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود.
.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1- چه و چرا باید محافظت شود.
2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
نواحی امنیتی
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.©