از جمله مهم ترین و حساس ترین اقداماتی که مدیران شبکه سازمان ها باید انجام دهند ایجاد امنیت زیرساخت IT سازمان می باشند. چرا که در صورت افزایش امنیت می توان به راحتی و با خیالی آسوده به امور جاری سازمان پرداخت. همچنین در صورت قصور در ایجاد زیرساخت های امنیتی بسیار قوی در سازمان ها و نفوذ هکرها، این حملات می توانند به درز و افشای اطلاعات سازمان منجر شده و این امر سبب وارد آمدن خسارت های جبران ناپذیری به سازمان ها می شود. در بخش های گذشته به مفهوم فایروال پرداختیم و بیان کردیم که فایروال ها اولین دفاع کنندگان در برابر نفوذ هکرها، باج افزارها، بد افزارها و همچنین ویروس ها بوده اند. بیان کردیم فایروال ها می توانند سخت افزاری و یا نرم افزاری باشند.
با انواع فایروال ها چون Access Control Lists, Proxy firewalls, Stateful inspection و UTM ها آشنا شدیم و ویژگی های این دو نوع را بررسی کردیم. در این نوشته که آخرین نوشته از سری نوشته های بررسی انواع فایروالها در شبکه سازمان می باشد به بررسی دو نوع آخر فایروال ها خواهیم پرداخت.
با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حملات به امنیت سازمانها نیز آغاز شد. سیستم های قدیمی امنیت و تکنولوژی حملات جدید چالشهایی هستند که ادرات و سازمان ها با آن روبهرو شدند. امروزه اطلاعات(داده ها) از مهمترین و اصلی ترین داراییهای یک سازمان محسوب میشوند. در گذشته های نه چندان دور حفاظت از اطلاعات و داده ها بسیار آسانتر بود. تمامی اطلاعات و دادهها بهصورت فیزیکی و بهطورکلی دستی و مکتوب در صندوقهایی محافظت میشدند و افرادی به عنوان نگهبان از این اطلاعات محافظت فیزیکی میکردند. بهاینترتیب امنیت دادهها و اطلاعات درگذشته تأمین میشد. میتوان گفت از همان زمان سرقت دادهها بوده است. اکنونکه دنیای دادهها و اطلاعات از آنالوگ به دیجیتال تغییر کرده است، شیوه سرقت و بهطورکلی انواع تهدیدات نیز با آن تغییر کردهاند.
انواع حملات :
حملات فعال (Active):در این نوع از حملات، حملهکننده به طور مستقیم حملاتی را روی سرورهای سازمان صورت میدهد و چون حملات به صورت آشکار انجام میگیرد به راحتی قابل مشاهده و مانیتورینگ است. از راهکار های مقابله با این حملات میتوان از راه اندازی فایروالها (نرم افزاری و سخت افزاری) و همچنین سیستمهای IPS نام برد.
حملات غیر فعال:(Passive) این حملات در مقابل امنیت شبکه سازمان میباشند که با هدف شناسایی شبکه، شخص نفوذ کننده اقدام به مانیتورینگ شبکه سازمان میکند. از آنجاییکه در این حمله نفوذ کننده هیچ گونه فعالیت خرابکارانه ای انجام نمیدهد تشخیص این نوع از حملات بسیار سخت و دشوار می باشد. برای نمونه یکی از انواع حملات Passive آن است که نفوذ کننده اقدام به Capture کردن بستههای شبکه داخلی سازمان میکند. نکته امیدوار کننده اینکه این نوع از حملات به آسانی و با رمزنگاری صحیح در زیرساخت شبکه قابل پیشگیری باشد.
حملات داخلی:(Close-in) در این نوع از حملات نفوذ کننده به صورت فیزیکی به سیستم ها دسترسی پیدا میکند. متاسفانه با دسترسی فیزیکی به سیستمها تقریبا شخص نفوذ کننده کارهای بسیاری را میتواند انجام دهد وخسارتهای جبرانناپذیری به سازمان وارد کند. راه مناسب و منطقی مقابله با این نوع از حملات تأمین امنیت فیزیکی سیستم ها و سرورها است.
حملات خودی (Insider):این نوع حملات به شبکه معمولا توسط کاربران داخلی سازمان ها که دسترسیهایی به سیستمها و ازلاعات دارند انجام میگیرد. سطح دانش و آگاهی این کاربران از شبکه های کامپیوتری بهطوری است که میتوانند به سیستمها نفوذ کنند. راهکار جلوگیری از این نوع حملات امنیت در لایه۲ و تمرکز بر روی (Authentication)تصدیق هویت میباشد ضمن اینکه امنیت فیزیکی بایدبهطور کامل تأمین شود.
جدیدترین نوع فایروال THREAT-FOCUSED NGFW :
- این نوع از فایروال ها علاوه بر دارا بودن قابلیتها و امکانات فایروال های Next Generation دارای تشخیص پیشرفته تهدیدها می باشند. با استفاده از Threat-focused NGFW شما میتوانید کارهای زیر را انجام دهید.
- کاهش شدید زمان تشخیص تا پاکسازی: با استفاده از retrospective Security که میتواند بهطور مداوم به مانیتورینگ فعالیتها و رفتارهای مشکوک حتی پس از تشخیص اولیه میپردازد
- تشخیص بهتر فعالیتهای مشکوک با استفاده از تطبیق رویدادهای شبکه و endpoint
- مدیریت بسیار آسان فایروال های Threat-focused Next Generation در زیرساخت امنیت شبکه سازمان ها
- سازگاری کامل با تهدیدات جدید: پشتیبانی از بهروزرسانیهای دورهای جهت گرفتن اطلاعات تکنیکهای جدید بهمنظور رفع مشکلات و تهدیدهای آینده شبکههای کامپیوتری در سازمان ها.
یکی از مهمترین فاکتورهایی که هنگام تهیه فایروالها باید به ان توجه کرد: throughput که جزء مهمی از اجزاء یک فایروال میباشد میتواند بهعنوان یک Backup از ان استفاده کرد. همچنین بیشترین تفاوتی نیز که بین فایروالهای سختافزاری و نرمافزاری بیان میشود همین throughput میباشد که در فایروالهای سختافزاری از میزان بیشتری برخوردار است. البته با استفاده از کارتهای شبکه بسیار قوی شما میتوانید بهراحتی با استفاده از فایروالهای نرمافزاری نیاز سازمان خود را برطرف کنید.
همانطور که از نام UTM ها این نوع فایروالها از تجمیع Stateful inspection firewall, antivirus و IPS در یک Appliance ایجاد میشوند. در طول زمان تعریف UTM گسترشیافته و به آن ویژگیهای جدید امنیت شبکه نیز اضافهشده است. باید دانست که موفقیت UTM ها به خاطر استفاده مؤثر از تصمیماتی که بر اساس تمامی ویژگیهای Stateful inspection-based firewall گرفته میشود میباشد. این به خاطر اجزا UTM میباشد درحالیکه در یک دیوایس هستند، Downstream Security Services میباشند. بنابراین میتوان گفت که Unified Treat Management ها ویژگیهای امنیتی زیادی فراهم میکنند درحالیکه در یک محصول میباشند.
نحوه ی عملکرد فایروال شبکه امنیتی
فایروال یک دستگاه شبکه ای است که بسته هایی را که در شبکه ها وارد می شوند و یا از آنها خارج می شوند نظارت می کند و با توجه به قوانینی که برای مشخص کردن آنچه که در ترافیک شبکه مجاز است تصمیم میگیرد.انواع مختلفی از فایروال ها وجود دارد که در طول سال ها توسعه یافته اند، به طور مداوم پیچیده تر شده و پارامترهای بیشتری را در هنگام تعیین اینکه آیا ترافیک مد نظر باید اجازه عبور در شبکه را داشته باشد یا خیر، در نظر گرفته میشود.ابتدایی ترین کار فایروال ها فیلتر بسته ها در شبکه هست، اما جدیدترین شان قابلیت های فراوانی دارند.در ابتدا جایگاهشان در مرز بین شبکه های مورد اعتماد و غیر قابل اعتماد بود، اما هم اکنون برای حفاظت از بخش های داخلی شبکه ها، از قبیل مراکز داده، از بخش های دیگر شبکه سازمان، مورد استفاده قرار میگیرند.
فایروال ها سنگر اصلی دفاعی برای اکثر سازمان هایی محسوب میشوندکه درگیر شرایطی مانند: استفاده از پروکسی، برنامه نویسی، برنامه های تحت وب و … هستند.فایروال ها در حدود سه دهه هست که همراه ما هستند، با این وجود آنها به شدت تکامل یافته و شامل ویژگی هایی هستند که به عنوان آپشن جداگانه مورد فروش قرار میگیرند. این فایروال ها به عنوان دروازه بین کاربرانی که برای اطلاعات درخواست دارند عمل می کنند که داده ها و منبع اطلاعاتی آن هاررا مورد بررسی قرار میدهد. دستگاه های میزبان به پروکسی متصل می شوند و پروکسی یک اتصال جداگانه به منبع داده می کند.در پاسخ، دستگاههای منبع، اتصالات به پروکسی را ایجاد می کنند و پروکسی یک اتصال جداگانه به دستگاه میزبان ایجاد می کند. قبل از انتقال بسته ها به یک آدرس مقصد، پروکسی می تواند آنها را برای اجرای سیاست ها و ماسک کردن محل دستگاه گیرنده فیلتر کند.نکته مثبت فایروال های مبتنی بر پروکسی این است که دستگاه های خارج از شبکه محافظت شده می توانند اطلاعات محدودی در مورد شبکه جمع آوری کنند زیرا آنها هرگز به طور مستقیم به آن متصل نیستند.نکته منفی عمده فایروال های مبتنی بر پروکسی این است که قطع اتصال های ورودی و ایجاد اتصالات خروجی به علاوه فیلتر باعث تاخیر هایی می شود که می تواند عملکرد را کاهش دهد. به نوبه خود، این می تواند با استفاده از برخی از برنامه های کاربردی در فایروال از بین برود چرا که زمان پاسخ بسیار کند میشود.
با توجه به آخرین رده بندی شرکت Gartner فایروال های سازمانی، عبارتند از Checkpoint، Cisco، Fortinet و Palo Alto Networks.پنج سال پیش، پیشتازان فایروال Gartner شامل Checkpoint و Palo Alto بودند، اما در سال ۲۰۱۸ سیسکو به رده بالا پیوست.از بین ارائه دهندگان همچنین Cico، Fortinet و Palo Alto به عنوان برترین متخب مشتریان قرار گرفتند. در مجموع، مشتریان ۱۷ تولید کننده را مورد بررسی قرار دادند و مجموعا ۳،۴۰۶ بازبینی را انجام دادند.
این دسته از فایروال های امنیتی به طور منطقی بین سرورهایی که از برنامه های کاربردی وب و اینترنت پشتیبانی می کنند، قرار دارند. به صورت منطقی می توانند از حملات خاص HTML مانند cross-site scripting، تزریق SQL و دیگر موارد محافظت کنند. آنها می توانند سخت افزاری یا مبتنی بر فضای ابری باشند و یا می توانند به برنامه های مستقل تبدیل شوند تا تعیین کنند آیا کاربری که در تلاش برای دسترسی به سرور است مجاز به دسترسی می باشد یا خیر.نسل بعدی فایروال هابسته ها را می توانند با ویژگی هایی بیش از حالت اتصالات و آدرس های منبع و مقصد فیلتر کرد. این جایی است که NGFW ها وارد بازی می شوند. آنها قوانینی را برای برنامه های کاربردی و کاربران مجاز دارند و در داده های جمع آوری شده از فناوری های دیگر ترکیب می کنند تا تصمیمات آگاهانه تر درباره اینکه چه ترافیکی اجازه عبور دارد و چه ترافیکی باید متوقف شوند.به عنوان مثال، برخی از این NGFW ها فیلترینگ URL را انجام می دهند، می توانند اتصالات SSL و اتصالات لایه حمل و نقل (TLS) را خاتمه دهند.
بازرسی عمیق بسته نوعی از فیلتر بسته ها است که به نظر می رسد فراتر از بررسی این باشد که بسته ها از چه زمانی وارد می شوند و محتوای آنها بازرسی می شوند. مثلا چه کاربردی در حال دسترسی یا چه نوع داده ای در حال انتقال است. این اطلاعات می تواند سیاستهای هوشمند و گرانشی برای فایروال را به اجرا در آورد. DPI می تواند مورد استفاده برای مسدود کردن و یا اجازه ترافیک، بلکه محدود کردن میزان پهنای باند برنامه های کاربردی خاص مجاز به استفاده از اینترنت شود. همچنین می تواند یک ابزار برای محافظت از مالکیت معنوی یا بررسی اطلاعات حساس از یک شبکه امن باشد.پیوست های ورودی یا ارتباط با منابع خارجی می توانند حاوی کد مخرب باشند. با استفاده از Sandboxing، برخی از NGFW ها می توانند این پیوست ها را از بین ببرند، به طوریکه آن را اجرا و شناسایی کنند که آیا آن مخرب است یا خیر. ضعف این فرآیند این است که می تواند بسیاری منابع CPU را مصرف کند و تاخیر قابل ملاحظه ای در ترافیک از طریق فایروال ایجاد می کند.ویژگی های دیگری وجود دارد که می تواند در NGF ها گنجانده شود. آنها می توانند از جمع آوری داده های سیستم عامل های دیگر و استفاده از آن برای تصمیم گیری استفاده کنند. به عنوان مثال، اگر یک نشانه ی جدیدی از بدافزار توسط محققان شناسایی شده باشد، فایروال می تواند از سیستم های دیگر اطلاعات بگیرند و ترافیکی را که شامل نشانه های مخرب باشد، فیلتر کند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.