حملات در یک شبکه کامپیوتری حاصل پیوند سه عنصر مهم 1-سرویسها ی فعال، 2-پروتکلهای استفاده شده و 3- پورتهای باز میباشد.
یکی از مهمترین وظایف کارشناسان فناوری اطلاعات، اطمینان از ایمن بودن شبکه و مقاوم بودن آن در مقابل حملات است (مسوولیتی بسیار خطیر و سنگین). در زمان ارائه سرویس دهندگان، مجموعهای از سرویسها و پروتکلها به صورت پیش فرض فعال و تعدادی دیگر نیز غیر فعال شدهاند. این موضوع ارتباط مستقیمیبا سیاستهای یک سیستم عامل و نوع نگرش آنان به مقوله امنیت دارد. در زمان نقد امنیتی سیستمهای عامل، پرداختن به موضوع فوق یکی از محورهایی است که کارشناسان امنیت اطلاعات با حساسیتی بالا آنان را دنبال مینمایند.
اولین مرحله در خصوص ایمن سازی یک محیط شبکه، تدوین، پیاده سازی و رعایت یک سیاست امنیتی است که محور اصلی برنامهریزی در خصوص ایمن سازی شبکه را شامل میشود. هر نوع برنامهریزی در این رابطه مستلزم توجه به موارد زیر است:
1- بررسی نقش هر سرویس دهنده به همراه پیکربندی انجام شده در جهت انجام وظایف مربوطه در شبکه انطباق سرویسها، پروتکلها و برنامههای نصب شده با خواستهها ی یک سازمان .
2- بررسی تغییرات لازم در خصوص هر یک از سرویس دهندگان فعلی (افزودن و یا حذف سرویسها و پروتکلهای غیرضروری، تنظیم دقیق امنیتی سرویسها و پروتکلهای فعال).
متاسفانه در اکثر موارد توجه جدی به مقوله برنامهریزی و تدوین یک سیاست امنیتی نمیگردد.
فناوریها به سرعت و به صورت مستمر در حال تغییر بوده و میبایست متناسب با فناوریهای جدید، تغییرات لازم با هدف افزایش ضریب مقاومت سرویس دهندگان و کاهش نقاط آسیب پذیر آنان با جدیت دنبال شود. بنابراین مقوله امنیت یک مقوله مستمر و مداوم در یک سازمان است نه یک موضوع دفعی.
نشستن پشت یک سرویس دهنده و پیکربندی آن بدون وجود یک سیاست امنیتی بستر لازم برای بسیاری از حملاتی که در آینده اتفاق خواهند افتاد را فراهم مینماید.
هر سیستم عامل دارای مجموعهای از سرویسها، پروتکلها و ابزارهای خاص خود بوده و نمیتوان بدون وجود یک برنامه مشخص و پویا به تمامیابعاد آنان توجه و از پتانسیلهای آنان در جهت افزایش کارایی و ایمن سازی شبکه استفاده نمود. پس از تدوین یک برنامه مشخص در ارتباط با سرویس دهندگان، میبایست در فواصل زمانی خاصی، برنامههای تدوین یافته مورد بازنگری قرار گرفته و تغییرات لازم در آنان با توجه به شرایط موجود و فناوریهای جدید ارائه شده، اعمال گردد. فراموش نکنیم که حتی راه حلهای انتخاب شده فعلی که دارای عملکردی موفقیت آمیز میباشند، ممکن است در آینده و با توجه به شرایط پیش آمده قادر به ارائه عملکردی صحیح، نباشند.
وظیفه یک سرویس دهنده
پس از شناسایی جایگاه و نقش هر سرویس دهنده در شبکه میتوان در ارتباط با سرویسها و پروتکلهای مورد نیاز آن به منظور انجام وظایف مربوطه، تصمیمگیری نمود. برخی از سرویس دهندگان به همراه وظیفه آنان در یک شبکه کامپیوتری به شرح زیر میباشد:
:Logon Server این نوع سرویس دهندگان مسوولیت شناسایی و تائید کاربران در زمان ورود به شبکه را برعهده دارند. سرویس دهندگان فوق میتوانند عملیات خود را به عنوان بخشی در کنار سایر سرویس دهندگان نیز انجام دهند.
: Network Services Server این نوع از سرویس دهندگان مسوولیت میزبان نمودن سرویسهای مورد نیاز شبکه را برعهده دارند. این سرویسها عبارتند از :
- Dynamic Host Configuration Protocol) DHCP)
- Domain Name System) DNS)
- Windows Internet Name Service) WINS)
- Simple Network Management Protocol) SNMP)
:Application Server این نوع از سرویس دهندگان مسوولیت میزبان نمودن برنامههای کاربردی و سایر نرمافزارهای مورد نیاز در سازمان را برعهده دارند.
:File Server از این نوع سرویس دهندگان به منظور دستیابی به فایلها و دایرکتوریهای کاربران، استفاده میگردد.
:Web Server این نوع سرویس دهندگان مسوولیت میزبان نمودن برنامههای وب و وب سایتهای داخلی و یا خارجی را برعهده دارند.
:FTP Server این نوع سرویس دهندگان مسوولیت ذخیره سازی فایلها برای انجام عملیات Downloading و Uploading را برعهده دارند. سرویس دهندگان فوق میتوانند به صورت داخلی و یا خارجی استفاده گردند.
:Email Server این نوع سرویس دهندگان مسوولیت ارائه سرویس پست الکترونیکی را برعهده دارد.
به منظور شناسایی سرویسها و پروتکلهای مورد نیاز بر روی هر یک از سرویس دهندگان، میبایست در ابتدا به این سوال پاسخ داده شود که نحوه دستیابی به هر یک از آنان به چه صورت است، شبکه داخلی، شبکه جهانی و یا هر دو مورد. پاسخ به سوال فوق زمینه نصب و پیکربندی سرویسها و پروتکلهای ضروری و حذف و غیر فعال نمودن سرویسها و پروتکلهای غیرضروری در ارتباط با هر یک از سرویس دهندگان موجود در یک شبکه کامپیوتری را فراهم مینماید.
معمولاً تولید کنندگان سیستمهای عامل در مستندات مربوط به این سرویسها اشاره مینمایند. استفاده از مستندات و پیروی از روشهای استاندارد ارائه شده برای پیکربندی و آماده سازی سرویس دهندگان، زمینه نصب و پیکربندی مطمئن با رعایت مسائل ایمنی را بهتر فراهم مینماید.
زمانی که کامپیوتری در اختیار شما گذاشته میشود، معمولا بر روی آن نرمافزارهای متعددی نصب و پیکربندیهای خاصی نیز در ارتباط با آن اعمال شده است. یکی از مطمئنترین روشها به منظور آگاهی از این موضوع که سیستم فوق انتظارات شما را متناسب با برنامه تدوین شده، تامین مینماید، انجام یک نصب Clean با استفاده از سیاستها و لیستها ی از قبل مشخص شده است. بدین ترتیب در صورت بروز اشکال میتوان به سرعت از این امر آگاهی و هر مشکل را در محدوده خاص خود بررسی و برای آن راه حلی انتخاب نمود. (شعاع عملیات نصب و پیکربندی را به تدریج افزایش دهیم)
مشخص نمودن پروتکلهای مورد نیاز
برخی از مدیران شبکه عادت دارند که پروتکلهای غیرضروری را نیز بر روی سیستم نصب نمایند، یکی از علل این موضوع، عدم آشنایی دقیق آنان با نقش و عملکرد هریک از پروتکلها در شبکه بوده و در برخی موارد نیز بر این اعتقاد هستند که شاید این پروتکلها در آینده مورد نیاز خواهد بود. پروتکلها همانند سرویسها، تا زمانی که به وجود آنان نیاز نمیباشد، نمیبایست نصب گردند. با بررسی یک محیط شبکه با سوالات متعددی در خصوص پروتکلهای مورد نیاز برخورد نموده که پاسخ به آنان امکان شناسایی و نصب پروتکلهای مورد نیاز را فراهم نماید.
به چه نوع پروتکل و یا پروتکلهایی برای ارتباط سرویس گیرندگان (Desktop) با سرویس دهندگان، نیاز میباشد؟
به چه نوع پروتکل و یا پروتکلهایی برای ارتباط سرویس دهنده با سرویس دهنده، نیاز میباشد ؟
به چه نوع پروتکل و یا پروتکلهایی برای ارتباط سرویس گیرندگان (Desktop) از راه دور با سرویس دهندگان، نیاز میباشد ؟
آیا پروتکل و یا پروتکلهای انتخاب شده ما را ملزم به نصب سرویسهای اضافهای مینمایند ؟
آیا پروتکلهای انتخاب شده دارای مسائل امنیتی خاصی بوده که میبایست مورد توجه و بررسی قرار گیرد؟
در تعداد زیادی از شبکههای کامپیوتری، از چندین سیستم عامل نظیر ویندوز، یونیکس و یا لینوکس، استفاده میگردد. در چنین مواردی میتوان از پروتکل TCP/IP به عنوان فصل مشترک بین آنان استفاده نمود. در ادامه میبایست در خصوص فرآیند اختصاص آدرسهای IP تصمیم گیری نمود به صورت ایستا و یا پویا و به کمک DHCP . در صورتی که تصمیم گرفته شود که فرآیند اختصاص آدرسهای IP به صورت پویا و به کمک DHCP، انجام شود، به یک سرویس اضافه و با نام DHCP نیاز خواهیم داشت. با این که استفاده از DHCP مدیریت شبکه را آسانتر مینماید ولی از لحاظ امنیتی دارای درجه پائینتری نسبت به اختصاص ایستای آدرسهای IP، میباشد چراکه کاربران ناشناس و گمنام میتوانند پس از اتصال به شبکه، بلافاصله از منبع صادرکننده آدرسهای IP، یک آدرس IP را دریافت و به عنوان یک سرویس گیرنده در شبکه ایفای وظیفه نمایند. این وضعیت در ارتباط با شبکههای بدون کابل غیرایمن نیز صدق مینماید. مثلا یک فرد میتواند با استقرار در پارکینگ یک ساختمان و به کمک یک Laptop به شبکه شما با استفاده از یک اتصال بدون کابل، متصل گردد. پروتکل TCP/IP، برای «معادل سازی نام به آدرس» از یک سرویس دهنده DNS نیز استفاده مینماید.