در این مقاله برخی از مشکلات رایج در ایجاد امنیت اطلاعات در شبکه های سازمانی را مورد بررسی قرار می گیرد و همچنین راهکارهایی را برای برطرف ساختن برخـی از آن ها ارائه شده است

حمـلات خـرابکـارانه به شبکـه هـای سازمـانی به قـدری افـزایـش یافـتـه اسـت کـه ایـن روزهـا کـمـتـر مـدیـر شـبـکـهای را مـی یـابـید کـه بـا ایـن حـمـلات مـواجــه نشـده باشـد.در ایـن مقاله سعـی داریـم نکـاتی در مـورد مبـانی چگـونگی نفـوذ نـرم افـزارهـای مخـرب بـه یـک شبـکـه محـلــی (Local area network) را بــه آن ها کـه تاکنـون نفـوذ امنیتـی بـه شبکـه خـود را تجـربـه نکـرده انـد ارائـه دهیـم و همچنیـن مطـالبـی در مـورد اصـول کنتـرل مؤثـر حمـلات گونـاگون از طـریـق ارائــه مـثـا ل هـایی از مطـالعه مـوردی در ایـن بـاره ذکـر نمـاییـم.

حفاظــت از شبکــه یـک ســازمان بـزرگ از طـریـق آنتـی ویـروس نیـز مشکلـی بس بـزرگ تـر است. بـرای رسیـدن بـه ایـن مقصـود ضـروری اسـت که تعـادلی منـطـقی میـان امنـیـت شبکـه از یـک سـو و عملکرد و کـارایی آن در سـوی دیـگــر بـرقـرار شـود. در اینجـا مـی تـوانیـم دو طـرف این رابطـه تعـادلی را به طـور مشخـص از یکدیگـر تـمیـز دهـیـم.

کاربـران مجـازنـد کـه تقریبـاً هـرآنچـه مـی خـواهنـد را انجام دهنـد برای مثـال دارای حـق یـک مـدیـر شبکـه محلـی هستنـد، بـه اینتـرنت دستـرسی دارنـد (هـم دستـرسی از راه دور و هـم اتصـال مستقیـم به اینـترنت از طـریق یک مـودم)، امـکان استـفاده از حافظه های جانبـی را دارنـد، و همچنـین می تواننـد نـرم افــزار هـای مـورد نظـر خــود را نصــب کــرده و نـرم افـزارهای نصب شـده بـر روی سیسـتم را حـذف یا پیکـره بندی کنند.


حـال در طـرف دیگـر در نظـر بگیـرید که حقـوق کـاربـر کامـلاً محـدود است، سیـاست هـای دامنـه (Domain policies) اعمال می شـونـد، نظـارت بـر حجـم ترافیـک و استفـاده از فیلتـرهـای گـونـاگون دستـرسی به اینتـرنت را محـدود و یا غیـر ممکن کرده است، امکان استفاده از حافظـه های جـانبـی وجـود نـدارد، و مـتـأسفـانـه نصــب نـرم افـزار نیـز تنـها از طـریق مدیـر شبکـه و یـا متخصصین بخـش IT شـرکت امکـان پذیر است.

تجـربه نشـان داده اسـت کـه ایـن دو روش افـراط گـونـه وجـود دارد و اغلـب هیچ یک از ایـن دو روش نیـز توجـیه منطقـی نـدارد. عـلاوه بر ایـن اعمـال هیچ یک از ایـن دو روش بـه معنـای تضمـین نفـوذناپـذیر بـودن شبـکه آن سـازمان در بـرابر حمـلات خـرابکـارانه نخـواهد بـود.

امـروزه شمـار حمـلاتی کـه بـا تـوزیع ویـروس در سیـستم شبکه ایمیل جهـانی صـورت می گیرنـد کمتـر شده است. این ویروس ها شامل پیغامی با مضمون سرقت آدرس های اینترنتی کاربر و لینک های مربوط به آن هستنـد. در واقـع این پیغـام ها حـاوی هیچ گونه کـد خرابکـاری نیسـتنـد بلـکـه هـدف اصلـی آن ها هدایت و به دام انداختـن کاربـران کنجکـاو به سمـت یک سـایت مشخـص است. خوشبختـانه بیشتـر ایـن پیـام ها توسـط مِیـل سِـرور سـازمـان فیلتـر می شـوند چـراکه این سرورها شامل اجزایی برای فیلتر کردن ویروس هـا و هرزنامه هـا هستند.

امـا ایـن اتفـاق یعنـی فیلتـر شـدن پیغـام هـای مشکـوک تنهـا زمـانـی امکـان پذیـر اسـت که آن پیغـام بـه Mail Serever ارسـال شـود. تحلیـل تجـربیـات کـاربران شبکه نشان داده اسـت کـه دسـت کـم سـه احتـمـال دیـگـر وجـود دارد:

• مـی تـوان از مِسِنجـرها و نظایـرشان بـرای ارسـال فـایل هـا و لینک هـای مخـرب استفـاده نمـود. ایـن روش بسیــار محـبـوب اسـت و اغـلـب تـوسـط هـکـرهـا و نـرم افـزارهـای مخـرب مـورد استفـاده قـرار مـی گیرد. این روزها حتی ممکن است با کرم های مسنجری مواجه شـویـم که با استفـاده از هـوش مصنـوعی خـود نه تنـها لینک هـای مخـربی را بـرای کـاربر ارسـال مـی کننـد بلکـه امکان برقـراری ارتبـاط مستقیم محـاوره ای با کـاربر را نیـز دارا هستنـد.

• در مـواردی که کاربـر با هیچ گونه کنتـرل و منـع سازمـانی مـواجـه نبـاشـد اغلـب از Mailboxهـایی کـه بـر روی سـرور ثالـث قـرار دارد استفـاده می کند، به ویـژه آن که شمار سـازمان هایی که پیشنهـاد ایجـاد یک Mailbox رایگـان را به کـاربر می دهند هـم کـم نیـست (مثـلاً Gmail). بنابر آمارهـایی که مؤلـف این مقاله گـردآوری نموده است بیش از ۷۰ درصـد کاربـران شبکـه یک شرکت به طور متوسط از سرویس های چنیـن شرکـت هایی استفـاده می کننـد. عـلاوه بر این دستـرسی به ایمیـل از طـریق یک واسـط اینتـرنتی این امکـان را بـرای کـاربر فراهم می کند که آسان تر مقابله های امنیـتی نظیـر مسـدود شـدن تـرافیک کاربـران بـر روی پـورت هـای SMTP و POP۳ را دور بـزنـد.

• بسیـاری از سـایت های اینتـرنتی حـاوی اطلاعـات خطـرناکی هستنـد که کـاربر بنـا بـر هـر دلیلـی آن ها را ایمـن و قـابل اعتمـاد قلمـداد می کنـد. شبکـه های اجتمـاعـی گونـاگـون، فـورومهای موضـوعـی مختـلف، سروریس های ارتباطی شخصی این سایت ها، وبلاگ ها و مجلات در صدر این سایت ها قرار دارند.

در سال های اخیر آلوده شـدن کامپیوترهــا در هنگـام بازدیـد کاربـر از سـایت های اینترنتی تغییـر قابل توجهی داشتـه اسـت. تـا پیش از این کامپیوترهـای متصـل به یک شبکه سازمانی تنها در زمـان بازدید از سـایت های غیـرقـابـل اعتماد و نامـوثق (معـمـولاً Porn و Warez) آلـوده مـی شدنـد. مدیـران شبکـه نیـز می توانستند با استفـاده از فیلتـرها و سیـاست هـای امنیتـی به راحـتی از پس چنـین مشکـلاتی بر آینـد.

در حـال حـاضـر بیـش از ۷۰ درصد از آلودگـی ها در زمـانی اتفـاق می افتد کـه کاربـر برای حل یک مسأله کاری از یکی از سایت های موثق و قانونی بازدید می کند. امـروزه فِلـش ها عملاً جایگـزین فـلاپی ها و CDها شده اند و روز بـه روز نیز از قیمـت شان کاستـه می شود.

آمـارهای به دست آمده از ۱۵۰۰ رایانه متصل به یک شبکـه گستـرده و توزیع یافتـه در یک بازه زمـانـی سه ماهه حاکی از آن است که:

• بیش از ۹۵ درصد کاربران دست کم یکبار یک دستگاه فِلش را به رایانه خود متصل کردند (به غیر از رایانه های خدماتی که اتصال فلـش به آن ها ممنـوع است و در صورت استفاده از فلـش که منجـر به آلودگی سیستم و ایجاد اختلال در رونـد کار سازمـان شود می تواند مجـازات های شدیدی از قبیل اخراج کارمند از سازمان را به دنبـال داشته باشد)

• در حدود ۱۵ الی ۲۰ درصد کاربران به صورت مستمر از درایوهای گوناگون استفاده می کنند (یعنی اتصال بیش از ۱۰ درایو مختلف در ماه). همچنین متوسط درایوهای متصل شده به یک رایانه برابر با ۱۷ و بیشترین تعداد نیز معادل با ۱۷۸ درایو می باشد که این تعداد چندان هم زیاد نیست.

• دست کم حدود ۱۰ درصد از کاربران از یک USB قابل تشخیص به عنوان یک درایو در رایانه خود استفاده نمودند که اکثراً نیز از نوع دوربین های دیجیتال، mp۳ Player، گوشی تلفن همراه و ابزارهای ارتباطی بوده است.

• در حـدود۶۰ درصـد از مـوارد مرتبـط به تشخیـص نـرمافزارهای مخرب در یک شبکه نیز به فلش درایوها مربوط می شده است. علاوه بر این در ۴۰ درصد از موارد بیش از یک نوع بدافزار در درایوها تشخیص داده شد. البته این ارقام مختص به برخی شرکت های معین است با این حال به سادگی میتوان این گرایش کلی را به راحتی می توان مشاهده کرد. البته باید در نظر داشت که با وجود چنین آمارهایی هم مدیریت و هم کارکنان شرکت ها اغلب از تلاش بخش امنیت IT سازمان خود در ممانعت از استفاده درایو توسط کازکنان ابراز ناخشنودی می کنند.

تهــدیـد ابـزارهــای همــراه
در بحث امنیت شبکه، ابزارهای همراه نظیر رایانه های قابل حمل و اغلب نِت بوک و نوت بوک های گوناگون به دلیل پورتابل بودنشان مشکلی بسیار بزرگ را پیش پای مدیران شبکه قرار داده اند که در نتیجه می توانند باعث بروز اتفاقات زیر شوند:
• نرم افزار آنتی ویروس بر روی نوت بوکی که در داخل شبکه یک سازمان قرار می گیرد نصب شده است و کاربر نیـز می تواند به منابع شبکه متعددی متصل شود و تحت نظارت مدیران آن شبکه قرار گیرد. در این صـورت این نوت بوک تفاوتی با یک دسکتاپ PC نخواهد داشت.

• در خارج از محدوده شبکه سازمان نیز ممکن است کاربری با نوت بوک خود قرار داشته باشد که:
برای هفته هـای و حتی ماه ها نوت بوک خود را روشـن نمی کنـد و یا به شبکه یا اینترنت متصل نمی شود و در نتیجه پایگاه داده آنتی ویروس قدیمی و کهنه می شود و دیگر توان مقابله با تهدیدات جدید را ندارد. یا ممکن است که به یک سیستم متصل شود بدون آنکه در مورد اعتبار آن چیزی بداند.

اتصال نوت بوک ها به Wi-Fi امری است عادی؛ اما نکته مهم آن است کـه ایـن وسایل قابل حمل اغلب به شبکه های غیر ایمنی متصل می شـوند. پیکره بندی یـک نوت بوک توسط مدیران سیستم یک شرکت به معنای قابلیت پیش بینی هر نوع تهدید احتمالی، برطرف ساختن تمامی کاستی های آن و یا تأییدی بر استفاده شخصی کارکنان از آن نوت بوک نخواهد بود.

متأسفانه کارکنان شرکت ها نوت بوک های شرکت خود را همچون یک وسیله بازی برای خویشاوندان و فرزندانشان تلقی می کنند و همین امر در نهایت منجر به بروز پیامدهای ناگواری می شود.

مؤلف این مقاله بارها و بارها کارمندانی را مشاهده کرده است که پس از تعطیلات پایان هفته، نوت بوک به دست و در حالی که سیستم عامل نوت بوک های خود را مجدداً نصب کرده و آنتی ویروس و چندین نرم افزار مهم دیگر را بدون اجازه پاک کرده اند وارد سازمان شده اند.

در چنین مواقعی آلودگی این نوت بوک ها و یا اتصال آن ها به سیـستم های آلوده دیر یا زود اتفاق خواهد افتاد و گریزی از آن نخواهد بود. این نوت بوک ها معمولاً به وسایل مختلفی نظیر تلفن های همراه و مودم متصل می شوند که اغلب نیز آلوده هستند.

در ادامه نیز احتمالاً کاربر نوت بوک خود را به شبکه سازمان متصل خواهد کرد که همانگونه که پیشتر گفته شد به منابع شبکه دسترسی پیدا کرده که این خود بهترین روش برای گسترش کرم های اینترنتی در سراسر شبکه است، و در عین حال هرگونه اتصال به ایمیل و اینترنت راه را برای تولید انبوه هرزنامه ها هموار خواهد کرد. البته باید بدانید که پیشگیری از چنین حوادثی آن هم تنها با استفاده از ضد ویروس بسیار دشوار است و به این ترتیب تنهـا راه اتخـاذ برخـی تدابیـر است که در زیـر به آن ها اشاره خواهیم کرد:

• ایجاد یک زیرشبکه (Sub-network) مجزا که تا حد ممکن از شبکه اصلی جدا شده است و کاربران می توانند برای اتصال نوت بوک های خود به شبکه از آن استفاده کنند. می توان چندین زیرشاخه از شبکه اصلی را درجات مختلف اتصال به شبکه اصلی ایجاد نمود.

• اتخاذ یک سیاست مشخص برای رایانه های همراه و همچنین اجباری کردن چکآپ نوت بوک ها توسط متخصصان IT پیش از اتصال این ابزارها به شبکه سازمان.

معـایب دستــرسی دوگــانـه
اتصال همزمان رایانه های قابل حمل به دو شبکه مجزا از دیگر مسائل مهم است. مشکل آنجاست که این روزها بسیاری از نوت بوک ها و نِت بوک ها دارای یک مودم ۳G یکپارچه بوده و همگی آنها نیز دارای یک ماژول WiFi هستند. در نتیجه این ابزارها می توانند به طور همزمان به شبکه سازمان و یک شبکه دیگر متصل شوند و در نتیجه امنیت شبکه سازمانی را مختل کنند.

اخیراً بسیاری از اپراتورهای تلفن همراه اینترنت نامحدود و ارزان قیمیت را از طریق شبکه های نسل سومی در اختیار مشترکین خود قرار می دهند و همین مسأله شرایط را بدتر هم کرده است. همچنین USBهایی که به اندازه یک فلش هستند و تنها ۲۰ دلار قیمت دارند به بازار عرضه شده است.

در نتیجه کارمندان سازمان می توانند یک مودم را با خود به محل کار بیاورند آن را به سیستم خود متصل کنند و در نتیجه به شبکه وصل شوند. اوضاع بسیار خطرناکی خواهد شد به ویژه آنکه نمی توان تنها با خاموش کردن این وسایل ، یا محدود کردن حقوق کاربران تا حدودی که دیگر امکان استفاده و اتصال چنین وسایلی به رایانه های سازمان را نداشته باشند، مشکل را برطرف کرد.

بـازی تـدافعــی: انطبـاق سیـاسـت هــا
تا اینجای مطلب شایع ترین و بارزترین مشکلاتی که ممکـن است در یک شبـکه سـازمانـی رخ دهـد را مـورد بررسی قرار دادیم و باید بدانید که این مشکلات راهکارهای گوناگونی دارند.

فرض کنید سیستم های ویندوز یک شبکه که توسط Kaspersky Administration Kit مدیـریت مـیشوند مجهـز به آنتـی ویـروس Kaspersky۸.۰ نیـز هستند. در این مثال عملکرد برنامه آنتی ویروس عمدتاً توسط یک «سیاست» مشخص مدیریت می شود. در این مثال مراد از سیاست مشخص نوعی پیکره بندی مشخص است که در یک کامپیوتر اعمال می شود.

هدف حل مسأله اتصال فلش درایوها و اتصال کارمندان از طریق مودم است و در این راستا می توان از قسمت Device Control سیاست آنتی ویروس آغاز کرد. در این قسمت می توان بدون آنکه در اتصال سایر کاربران اختلالی ایجاد شود، اتصال برخی USBهای مشخص را مسدود کرد و به عنوان مثال بدون قطع اتصال فلش ها و پرینترهای متصل به شبکه، اتصال مودم های USB را قطع کرد.


در اینجا لازم است که به ۲ نکته مهم اشاره کنیم:
• با استفاده از Kaspersky Administration Kit می توان«سیاست های فعال»ایجاد نمود یعنی سیاست هایی که می توان در مورد تمامی کامپیوترهای موجود در یک گروه تعریف شده اعمال نمود. همچنین در مورد رایانه هایی که خارج از محدوده شبکه سازمان قرار دارند نیز می توان «سیاست همراه» را اتخاذ نمود که در مورد نوت بوک ها مـی تواند بسیار سودمند باشد.

با اتخاذ یک سیاست فعال می توان از اتصال مودم به شبکه سازمان جلوگیری کرد و قسمت هایی از شبکه را که در هنگام کار در داخل محدوده سازمان به کار نمـی آیند خاموش کـرد که از آن جملـه می توان به برنامه فایروال و آنتی هکر اشاره نمود. به همین ترتیب با اتخاذ سیاست همراه می توان سیستم حفاظتی و تشخیصی شبکه در بالاترین سطح خود، به کارکنان اجازه داد که با استفاده از مودم به شبکه متصل شوند.

• این سیاست ها در سطح گروهـی قابل اجـرا هستند و به همیـن منظور می توان بر حسب میزان استفاده از کامپیوترهای موجود در شبکه، گروه های مختلفی را ایجاد کرد. برای مثال به منظور جلوگیری از اتصال مودم و هرگونه فلش توسط کاربران معمولی، می توان علاوه بر مسدود نمودن هرنوع وسیله از پیش تعریف شده با استفاده از قسمت Device Control، بخش Auto run سیستم را غیرفعال نمود و به این ترتیب شانس آلوده شدن یک کامپیوتر به وسیله کرم های اینترنتی را به حداقل رساند.

حفـاظـت در بـرابــر اینـتــرنـت
علاوه بر تکنیـک های حفاظتی ابتدایی که از آن جمله می توان به نصب آنتی ویروس بـرای همـه کامپیـوترهای موجـود در محـیط هـای کـاری، مسدود نمودن اجزای خطرناک در سطح آنتی ویروس، نظارت بر ذخیـره موقت پرونـده ها و صفحـات وب (Web cache)، و استفاده از heuristics/HIPها که با شروع بـه کار بـدافزارهـا فعال می شوند، می توان از تدابیـر سازمـانی منـاسبی که با استفـاده از فیلترها و سیاست های مختلف به اجرا گذاشتـه می شوند بهره برد.

برای مثال بازدید و استفاده از هر نوع سیستم ایمیلی جدای از سیستم سازمانی باید ممنوع شود. این روش بسیار مناسبی است و چنانچه پورت های ۲۵ (SMTP) و ۱۱۰ (POP۳) توسط فایروال سازمان مسدود شوند، نه تنها امنیت شبکه افزایش می یابد که بسیاری از برنامه های Spambot را نیز مسدود خواهد نمود. با این حال باید در نظر داشت که این کار معجزه نمی کند.

بازدید از شبکه های اجتماعی و سایت هایی مانند آن باید در همه شبکه های سازمانی ممنوع شود. چنین قانونی باید در مجموعه قوانین امنیت اطلاعات یک سازمان گنجانده شود؛ در غیر این صورت کاربران به دنبال راهکارهای دیگری برای دور زدن فیلترهای ایجاد شده توسط مدیر شبکه خواهند بود. همزمـان باید لیست های سفید نیز در اختیـار کارکنان قـرار گیرد.

این لیسـت ها حـاوی آدرس سـایت هایی هستند که به تشخیـص کارفرمـا مـی تواند در رونـد کـاری افـراد سـودمـند باشـد و مـدیـر شبـکـه نیــز آن ها را ایمـن می دانـد و کارکنـان نیز تنهـا اجـازه استفـاده از این آدرس هـا را دارنـد. بر ایـن اسـاس یک کاربـر نبـاید اجـازه دستـرسی کامـل به اینتـرنت را داشتـه باشد. بـا ایـن حـال نظـارت بـر منـابع خـود شـرکت نیـز نبـایـد مـورد غفلت و سهـل انـگاری واقـع شـود.

واکـنش بـه پیـدایش یـک کـرم شبـکــه
همانگونه که پیشتر گفته شد یکی از مشکلات رایج در یک شبکه سازمانی آن است که اتصال یک کامپیوتر آلوده به آنها مسأله چندان دشواری نیست، حال این وسیله آلوده می تواند کامپیوتر یک بازدید کننده باشد و یا نوت بوک یکی از کارکنان که برای تعطیلات پایان هفته آن را به منزل برده است و در حالی که آلوده بوده است آن را به شبکه سازمان متصل نموده است. در هر دوی این موارد وظیفه اصلی شناسایی و جداسازی کامپیوتر آلوده به منظور پاک سازی آن است.

این مشکل نیز تنها با استفاده از یک آنتی هکر قابل حل است. آنتی هکرها نه تنها از حملات امنیتی به شبکه جلوگیری می کنند بلکه هرگونه اطلاعات در مورد آنها را برای سرور مدیریت ارسال میکنند. در نتیجه مدیر شبکه می تواند گزارشات موجود بر روی سرور را مطالعه نموده و یا یک راهکار مناسب برای هشدار زودتر از موعد مثلاً از طریق یک ایمیل را اتخاذ نماید.

در این صورت هریک از حملات ثبت شده از طریق یک ایمیل به اطلاع مدیر شبکه خواهد رسید و این ایمیل نیز غالباً حاوی مطالب زیر خواهد بود:
رخـداد: حمله به شبکه در تاریخ دوم ژولای و رأس ساعت ۲۳:۴۲ شناسایی شد (به وقت گرینویچ +۳:۰۰)

حمـله بـه شبکـه: نفوذ با موفقیـت انجـام شـد
اسـتـخـــراج داده ای از DCOM: انتقــال اطـلاعــات از XXXXXXXX بـه پـورت محلـی ۱۳۵ مسـدود شـد.
چنین ایمیلی باید حـاوی اطلاعـات کافی و مفید برای واکنش سریع مدیـر شبکه به یک اتفاق باشـد. اطلاعاتی نظیری اینکه کامپیـوتر مورد حمله قرار گرفته است، چگونگی و زمان بروز این حمله، و مهم تر از همه اینکه آیا آدرس IP مهاجم شناسایی شده است یا خیر که در این مثال بجای آدرس مهاجم از عبارت xxxxxxxxxxx به جای آدرس مهـاجم استفـاده شـده است. این روش هشـدار مـی تواند بسیار سودمند واقع شود چراکه احتمال هیچ گونه تشخیص نادرست وجود نـدارد و هرگـونه حملـه به شبکه سازمانی حاکی از آن خواهد بود که:
• فایروال شبکه مشکل خاصی دارد مثلاً در خطر است و یا به درستی پیکره بندی نشده است.
• کامپیوتری که مورد حمله قرار گرفته است احتمالاً به اینترنت و یا شبکه دیگری متصل شده است و حمله از آنجا صورت گرفته است.
• یک کامپیوتر آلوده و یا تعداد بیشتر به شبکه سازمان متصل شده اند.

نتـیجـه گیــری
در این مقاله برخی از مشکلات رایج در ایجاد امنیت اطلاعات در شبکه های سازمانی را مورد بررسی قرار دادیم و همچنین راهکارهایی را برای برطرف ساختن برخـی از آن ها ارائه دادیم. مقاله مذکور حاوی تمام مشکلات متداول در این عرصه نیست با این حال مدیران شبکه یک سازمان می توانند با استفاده از برنامه های ضد بدافزار اطمینان حاصل نمایند که از اینکه تمامی کامپیوترهای موجود در آن شبکه به درستی حفاظت می شوند، سیـاست هـای منـاسبی اتخاذ شده است، و خود مدیران نیز بلافاصله از بروز هر اتفاق مهمی در محیط شبکه مطلع خواهند شد و این اطلاعات مهم نیز ثبت می شوند و در نتیجه شانس مهاجمان در دستیابی به اطلاعات محـرمانه سازمان را کاهش دهند.