برچسبها: امنیت شبكه ها(استراتژی و سیاست گذاری,
نظر به اهمیت سیاست گذاری مشخص در حفاظت از شبكه مورد نظرو با توجه به تجزیه و تحلیل كامل بایستی پنج مرحله زیر در اجرای سیاست های مورد نظر طی شود:
بازرسی (Inspection)
حفاظت Protection))
ردیابی ((Detection
واكنش (Reaction)
بازتاب ( (Reflection
در طول مسیر ایمن سازی شبكه از این پنج مرحله عبور می كنیم، ضمن آن كه این مسیر، احتیاج به یك تیم امنیتی دارد و یك نفر به تنهایی نمی تواند این پروسه را طی كند.
اولین جایی كه ایمن كردن رو شروع می كنیم ، ایمن كردن كلیه( authentication) تصدیق های موجود هست . معمولا رایج ترین روش authentication كه مورد استفاده قرار می گیرد ، استفاده از شناسه كاربری و كلمه رمز هست.
▪ مهمترین جاهایی كه باید authentication را ایمن و محكم كرد عبارتند از :
ـ كلمات عبور كاربران ، به ویژه مدیران سیستم .
ـ كلمات عبور سوییچ و روتر ها ( من روی سوییچ خیلی تاكید میكنم ، چون این device به صورت plug and play كار می كند ، اكثر مدیرهای شبكه از config كردن ان غافل می شوند ، در حالی كه می تواند امنیت خیلی خوبی به شبكه بدهد ، به مدیران امنیتی توصیه میكنم كه حتما این device رو كنترل كنند ) .
ـ كلمات عبور مربوط به SNMP .
كلمات عبور مربوط به پرینت سرور .
ـ كلمات عبور مربوط به محافظ صفحه نمایش .
آنچه كه شما در كلاس های امنیت شبكه در مورد Account and Password Security یاد گرفتید را اینجا به كار می برید . كه من به خاطر طولانی نشدن بحث به انها اشاره نمیكنم .
قدم دوم نصب و به روز كردن آنتی ویروس بر روی همه دسكتاپ ، سرور و میل سرورها هست . ضمن اینكه آنتی ویروس های مربوط به كاربران باید به طور اتوماتیك به روز رسانی بشود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشكوك یا اضطراری به كاربران هم داده بشود .
مرحله سوم شامل نصب آخرین به روز رسانی های امنیتی سیستم عامل و سرویسهای موجود هست . در این مرحله علاوه بر كارهای ذكر شده ، كلیه سرورها و device ها و دسك تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی ، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند .
در این مرحله نوبت گروه بندی كاربران و اعطای مجوزهای لازم به فایلها و دایركتوری ها میباشد . ضمن اینكه account های قدیمی هم باید غیر فعال شوند . گروه بندی و اعطای مجوز بر اساس یكی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود . بعد از پایان این مرحله ، یك بار دیگه امنیت سیستم عامل باید چك بشود تا چیزی فراموش نشده باشد .
حالا نوبت device ها هست كه معمولا شامل روتر ، سوییچ و فایروال می شود . بر اساس policy موجود و توپولوژی شبكه ، این box ها باید config بشوند . تكنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین اساس این مرحله خیلی مهم هست. حتی موضوع مهم IP Addressing كه از وظایف مدیران شبكه هست می تواند مورد توجه قرار بگیرد تا اطمینان حاصل بشود كه از حداقل ممكن برای IP Assign به شبكه ها استفاده شده است.
قدم بعد تعیین استراژی backup گیری هست . نكته مهم كه اینجا وجود دارد این هست كه باید مطمئن بشویم كه سیستم backup گیری و بازیابی به درستی كار می كند و بهترین حالت ممكن باشد .
امنیت فیزیكی . اول از همه به سراغ UPS ها می رویم . باید چك كنیم كه UPS ها قدرت لازم رو برای تامین نیروی الكتریكی لازم جهت كار كرد صحیح سخت افزار های اتاق سرور در زمان اضطراری رو داشته باشند . نكات بعدی شامل كنترل درجه حرارت و میزان رطوبت هست. همینطور ایمنی در برابر سرقت و آتش سوزی. سیستم كنترل حریق باید به شكلی باشد كه به نیروی انسانی و سیستم های الكترونیكی آسیب وارد نكند . به طور كل آنچه كه در مورد امنیت فیزیكی یاد گرفتید را در این مرحله به كار می برید
امنیت وب سرور یكی از موضوعاتی هست كه روش باید وسواس داشته باشید. به همین دلیل در این قسمت كار ، مجددا و با دقت بیشتر وب سرور رو چك و ایمن می كنیم . در حقیقت ، امنیت وب رو اینجا لحاظ می كنیم . ( اسكریپت های سمت سرویس دهنده رو هیج وقت فراموش نكنید )
حالا نوبت چك ، تنظیم و تست سیستم های Auditing و Logging هست . این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد . سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبی محافظت می شود . در ضمن ساعت و تاریخ سیستم ها درست باشد ، مبادا كه اشتباه باشه كه تمام زحماتتان در این مرحله به باد میرود . و امكان پیگیری های قانونی در صورت لزوم دیگر وجود ندارد .
ایمن كردن Remote Access با پروتكل ها و تكنولوژی های ایمن و Secure قدم بعدی رو تشكیل می دهد. در این زمینه با توجه به شرایط و امكانات ، ایمن ترین پروتكل و تكنولوژی ها رو به خدمت بگیرید .
نصب فایروال های شخصی در سطح host ها ، لایه امنیتی مضاعفی به شبكه شما میدهد . پس این مرحله رو فراموش نكنید .
شرایط بازیابی در حالت های اضطراری رو حتما چك و بهینه كنید . این حالت ها شامل خرابی قطعات كامپیوتری ، خرابكاری كاربران عادی ، خرابی ناشی از بلایای طبیعی ( زلزله - آتش سوزی - افتادن - سرقت - سیل و ... ) و خرابكاری ناشی از نفوذ هكرها ، میباشد . استاندارد های warm site و hot site را در صورت امكان رعایت كنید.
یادتون باشد كه " همیشه در دسترس بودن اطلاعات " ، جز، قوانین اصلی امنیتی هست .
و قدم آخر این پروسه كه در حقیقت شروع یك جریان همیشگی هست ، عضو شدن در سایتها و بولتن های امنیتی و در جریان آخرین اخبار امنیتی قرار گرفتن هست .
برچسبها: مراحل و لایه های ضروری در حفاظت از شبكه,
۱: در صورت نفوذ یک خرابکار به شبکة شما ممکن است حساب بانکیتان تغییر کند.
۲: خرابکاران شبکهای آن قدر تلاش میکنند تا بالاخره موفق به ورود به اینترانت شما شوند. لازم به ذکر است که در برخی موارد در صورتیکه یک خرابکار بتواند به حساب بانکی شما نفوذ کند فایل آن بطور خودکار بسته نمیشود.
۳: گاهی اوقات خرابکاران برای نفوذ به یک رایانه ناچارند کد جدیدی به آن وارد کنند. برای این کار لازم است رایانه دوباره راهاندازی شود. بنابراین راهاندازیهای مجدد رایانه، که بطور غیرمنتظره انجام میشود، میتواند نشانهای از نفوذ خرابکاران شبکهای به رایانه شما باشد.
۴: بعضی اوقات خرابکاران شبکهای تنها با حذف بخشهایی از یک فایل میتوانند راه نفوذ خود در آن را مخفی نگه دارند. بنابراین قسمتهای حذف شده از یک فایل میتواند نشاندهندة مسیر نفوذ خرابکاران شبکهای به یک فایل از رایانه باشد.
۵: گاهی با این که انتظار میرود ارتباط بین دو رایانه از طریق شبکه، در زمانهایی مشخص، بسیار کم باشد ترافیک زیادی در آن مسیر ملاحظه میشود. چه بسا خرابکاران شبکهای در حال تلاش برای نفوذ به آن سیستمها باشند و همین امر موجب ترافیک سنگین بین آنها شود.
۶: بخشهایی در سیستم هر شرکت وجود دارد که جدا از بقیه سیستم بوده و تنها افراد معدودی به آن دسترسی دارند، گاهی میتوان خرابکاران شبکهای را در چنین بخشهایی پیدا کر
برچسبها: شش نشانه از خرابکاران شبکهای ,
دیوار آتش یا firewall معمولا تركیبی از سخت افزار و نرم افزار است که از دستیابی غیر مجاز به یک سیستم رایانه جلوگیری میکنند. در برخی از دیوارهای آتش برنامهها بدون اخذ مجوز قادر نخواهند بود از یک كامپیوتر برای سایر كامپیوترهاا، داده ارسال کنند كه به آنها دیوار آتش دو طرفه گویند، زیرا علاوه بردرگاه های ورودی درگاه های خروجی هم کنترل میشوند. بستههای اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله دیوار آتش متوقف میشوند
در حقیقت فایروال ها را می توانند مانند قلعه ای دانست كه یك درگاه ورود و خروج دارد یعنی یك نقطه دسترسی به شبكه كه این هم می توانند به عنوان مزیت و هم به عنوان عیب فایر وال ها ذكر شود.
بعضی از روترها (ره یاب شبكه) به همراه فایروال نصب شده ارائه می شوند.
ipfw, ipchains, pf نمونه ای از نرم افزارهای فایروال در سیستم عامل یونیكس می باشد همچنین ویندوز XP و سیستم عامل مكینتاش نیز همراه فایروال اارئه می شوند.
برچسبها: Firewalls یا دیوار آتش ,
برای جلوگیری از این نوع حمله می بایستی :
مسیر دسترسی فیلتر شود به همین منظور بسته های ارسالی به IP روت شده نبایستی ارسال شود.
راهنمایی های امنیتی جدی گرفته شده و همیشه نرم افزارهای امنیتی به روز شود.
حملات از طریق پروتكل كنترل انتقال Transmission Control Protocol (TCP)
در این حمله میزبان های انتهایی اطلاعات ارسالی را عوض کرده و به جای آن بسته های دلخواه را ارسال می نمایند و کاربر فکر می کند که اطلاعات از سوی یک منبع حقیقی ارسال شده است.
ارتباطات TCP براساس توالی شماره ها و همچنین شماره پورت های برقرار می شود. توالی شماره ها را می توان از طریق حدس و گمان و شماره پورت را از طریق اسکن پورت ها می توان بدست آورد که این یک مشکل امنیتی است.
حال اگر یک حمله کننده این اطلاعات را بدست آورد مسیر ارسال اطلاعات در اختیار او قرار خواهد گرفت و او می تواند اطلاعات غیر حقیقی را ارسال نموده و دریافت کننده نیز به تصور غلط این اطلاعات را به جای اطلاعات درست دریافت می کند در حقیقت یک حمله صورت گرفته است.
برای جلوگیری از این حمله بایستی مبداء ارسال اطلاعات و مقصد یکدیگر را به دقت شناسائی و سپس ارسال صورت گیرد.
حملات TCP
برای پی بردن به طریقه ایجاد این حمله به مثال زیر توجه کنید:
آلیس قصد دارد با آقای باب تماس حاصل نماید در این بین آقای گوش بزرگ قصد دزدیدن این اطلاعات را دارد
سرقت غیرقانونی بسته های اطلاعاتی Packet Sniffing
به یاد بیاورید كه در یك شبكه محلی (اترنت) برای ارسال دیتا بر روی شبكه و به مقصد آدرس خاص، فرستنده اطلاعات را به همراه مك آدرس گیرنده ارسال می نماید و به همین ترتیب ممكن است كسانی هم بر روی مسیر حضور غیرقانونی داشته باشند و اطلاعات ارسالی را دریافت نمایند كه این طریق سرقت اطلاعات را sniffing گوئیم .
این روش ارسال اطلاعات برای شبكه های بی سیم و هر گونه شبكه توزیع كننده دیتا به كار می رود .
نكته مهم این كه سرقت چه نوع اطلاعاتی در بین راه مفید خواهد بود طبیعی است كه همه متون مخصوصا متونی كه شامل كلمات عبور و ... برای سرقت مفید خواهد بود.
چگونه از سرقت بسته های اطلاعاتی جلوگیری كنیم؟
از پروتكل SSH استفاده نماییم و به جهت حفاظتی از پروتكل Telnet استفاده نشود
پروتكل SSH یا Secure Shellپروتكلی است كه با استفاده از یك كانال امن اجازه ارسال و دریافت اطلاعات را در شبكه و بین دو عضو شبكه صادر می نماید.
هنوز هم استفاده از پروتكل Telnet در شبكه مرسوم است و استفاده كنندگان براحتی كلمه و رمز عبور خود را از طریق این پروتكل ارسال می نمایند. به همین جهت امكان سرقت آنها به راحتی وجود دارد در صورتیكه اگر از پروتكل SSHاستفاده شود این امكان وجود ندارد.
به جای استفاده از پروتكل HTTP این پروتكل را بر روی SSL استفاده كنیم. مخصوصا زمانی كه قصد خرید توسط كارت اعتباری بر روی شبكه را داریم.
جهت دانلود فایل ها بر روی شبكه به جای استفاده از پروتكل FTP از پروتكل SFTPاستفاده كنیم.
از IP خود و آدرس های شناسایی شبكه حفاظت كنیم.
برچسبها: چگونه این حمله را دفع کنیم؟,
امنیت اطلاعات در شبکه های کامپیوتری و سیستم های تجاری را می توان از شش وجه یعنی دسترسی فیزیکی، نیروی انسانی، سیستم عامل، داده ها، برنامه های کاربردی و شبکه مورد بررسی قرار داد. به لحاظ منطقی این وجوه را می توان به سه دسته تقسیم کرد:
امنیت فیزیکی: این دسته شامل وجوه امنیت دسترسی فیزیکی و امنیت نیروی انسانی از وجوه شش گانه است.
امنیت محلی: امنیت سیستم عامل، داده ها و برنامه های کاربردی در این دسته قرار می گیرند.
امنیت ارتباطات: از وجوه شش گانه امنیت، تنها وجه امنیت شبکه در این گروه قرار می گیرد.
حال به طور مشروح به هر یک از وجوه بالا می پردازیم.
1_ امنیت دسترسی فیزیکی
تأمین امنیت هر شبکه کامپیوتری مستلزم تأمین امنیت در محیط فیزیکی سخت افزارها است. عواملی مانند حوادث غیر مترقبه (سیل، زلزله، طوفان، و مانند اینها)، دستبردهای جاسوسی، دستبردهای معمولی، هکری (بمب گذاری، حملات سازمان یافته و مانند اینها) می توانند امنیت فیزیکی را مورد تهدید قرار دهند. تأمین امنیت فیزیکی شامل بخش های زیر است:
_ ارتباط فیزیکی خطوط ارتباطی (مانند فیبر نوری، کابل، ماهواره «امواج رادیویی» مایکرویو و نظایر آن) از نظر قطع شدن خطوط و استفاده غیر مجاز.
_ دستگاه های رابط شامل تکرارکننده ها، مسیریاب ها، پل ها، دروازه ها و نظایر آن.
_ کامپیوترهای انتهایی شامل کامپیوتر رومیزی، قابل حمل، مینی کامپیوترها و نظایر آن.
_ مکان های نگهداری تجهیزات کامپیوتری.
محل استقرار و نحوه استقرار تجهیزات.
روش های مقابله با نقاط ضعف دسترسی فیزیکی عبارتند از:
کنترل دسترسی: این روش، کارآمدترین روش برای تأمین امنیت دسترسی فیزیکی است. بدین ترتیب که می توان نوع دسترسی و افراد مجاز را تعریف نمود. برای مثال، افراد خاصی اجازه ورود به مکان هایی که تجهیزات شبکه در آن قرار می گیرند، داشته باشند.
ایجاد پوشش، یکی دیگر از روش های تأمین امنیت دسترسی فیزیکی، قرار دادن پوشش است. برای مثال می توان خط مسی انتقال را در داخل لوله های محافظ قرار داد تا به این صورت هکر نتواند از آن انشعاب بگیرد. یا اینکه کامپیوترها و سخت افزارها را داخل اتاق مناسب مستقر نمود تا امنیت دسترسی فیزیکی توسط حفاظ ساختمانی ایجاد گردد. بعلاوه می توان دستگاه هایی که وظایف مهم در شبکه انجام می دهند را به ups مجهز نمود تا در موقع قطع برق دچار وقفه نشوند.
کشف خطا و ترمیم: با توجه به آنکه پیش بینی همه خطاها و خسارات امکان پذیر نیست، باید راه هایی برای کشف خطا و ترمیم، مثلاً روشی برای کشف قطع خطوط ارتباطی یا خرابی مسیریاب ها، وجود داشته باشد.
انتخاب نوع رسانه ها و دستگاه های فیزیکی:
سطح امنیت در رسانه ها و دستگاه ها بسیار متفاوت است. مثلاً فیبر نوری از سیم مسی امن تر است، زیرا بسادگی نمی توان از آن انشعاب گرفت و همچنین نرخ خطای بسیار پایینی دارد.
تهیه دستورالعمل های بهره برداری: از دیگر راه های تأمین امنیت فیزیکی، آگاه سازی نیروی انسانی در مورد نحوه استفاده امن از سیستم ها و تجهیزات از طریق صدور بخش نامه ها و دستور العمل های بهره برداری می باشد.
تأمین امنیت دسترسی فیزیکی علاوه بر تأمین امنیت در برابر خطاهای عمدی، به تأمین امنیت در مقابل خطاهای غیر عمدی (خرابی و از کار افتادن دستگاه ها و رسانه ها) نیز وابسته است.
2_ امنیت نیروی انسانی
منظور از نیروی انسانی، تمام افرادی هستند که به نحوی با شبکه کامپیوتری در ارتباط هستند. این افراد شامل کاربران و گردانندگان، سیاست گذاران شبکه، طراحان، مجریان و اپراتورهای شبکه می باشند. مشکلات ناشی از عدم رعایت اصول امنیت توسط نیروی انسانی، معمولاً جبران ناپذیر است و با آموزش نیروی انسانی، می توان از بروز چنین مشکلاتی جلوگیری کرد. افرادی که با شبکه سروکار دارند، به سه دسته زیر تقسیم می شوند:
کاربران خارجی: افراد خارج از سازمان با نفوذ به سازمان، می توانند سبب انتقال اطلاعات به صورت فیزیکی یا منطقی شوند. هکرها می توانند با کارگزارهای داخلی ارتباط برقرار کنند و شبکه را مورد حمله قرار دهند و امنیت سیستم را به مخاطره بیاندازند.
کاربران داخلی : در بیشتر موارد، کاربران داخلی اجازه دسترسی به کلیه منابع اطلاعاتی را دارند و در صورت استفاده نادرست از این امکانات، خسارات جبران ناپذیری وارد خواهد شد.
دست اندرکاران شبکه: این گروه مسؤل تأمین و حفظ امنیت شبکه های کامپیوتری هستند. طراحی، اجرا، پیاده سازی و حفظ و نگهداری پارامترهای امنیتی از وظایف این گروه است. با توجه به اینکه این گروه اطلاعات بیشتری در اختیار دارند، احتمال ایجاد آسیب های امنیتی عمیق تر بوده و معمولاً این آسیب ها بسیار گران تمام می شود.
روش های مقابله با خطرات ناشی از عدم رعایت امنیت در بعد نیروی انسانی، عبارتند از:
تعریف دقیق سیاست های امنیتی شبکه: سیاستگذاران امنیتی باید بطور شفاف اهداف امنیتی سیاست های امنیتی را مشخص کنند. هر فرد به اندازه مسؤلیت و شغل سازمانی خود و به اندازه اطلاعات و منابع مهمی که در دست دارد باید از اهداف امنیتی سازمان اطلاع داشته باشد تا طبق آن امنیت قابل قبولی را در محیط کار خود ایجاد نماید.
تعریف دقیق پست ها و جداسازی مسؤلیت ها: مسؤلیت ها باید جدا شوند تا هر کس بطور شفاف وظایف مشخصی داشته باشد. همچنین میزان مسؤلیت هر پست نسبت به حفظ امنیت باید مشخص گردد تا فرد مسؤل از سطح امنیتی پست خود مطلع گردد.
آموزش نیروی انسانی : مهمترین عاملی که می تواند نیروی انسانی را در مقابل حملات امنیتی حفظ نماید دانایی و آگاهی آنها از روش های از دست رفتن اطلاعات و روش های مقابله است.
مدیریت و کنترل کاربران : به منظور حفظ امنیت و پیگیری وقایع ضد امنیتی، مدیریت و کنترل مداوم کاربران ضروری است.
در صورت جابجایی فرد در سازمان نباید فرد بتواند از امکانات قبلی خود در دسترسی به اطلاعات استفاده نماید. فعالیت های غیر قانونی کاربران با ثبت وقایع و آمارگیری از تعداد دسترسی به انواع اطلاعات مشخص خواهد شد. در مجموع، حفظ امنیت توسط نیروی انسانی سازمان الزامی است. استخدام دقیق و آموزش متناوب نیروی انسانی، تعیین مرزها و پست ها و مسؤلیت ها برای تأمین امنیت ضروری است.
3 - امنیت سیستم عامل
تأمین امنیت در سیستم عامل، یکی از ابعاد مهم حفظ و تأمین امنیت در هر شبکه کامپیوتری به شمار می رود. سیستم عامل به عنوان پایه ای ترین نرم افزار در هر کامپیوتر، مسؤلیت مدیریت منابع و برقراری ارتباط میان کاربر و سخت افزار را بر عهده دارد. بنابراین، می توان گفت که هر گونه ناامنی در سیستم عامل موجب بروز ناامنی در کل یک سیستم کامپیوتری و بالطبع در زیر سیستم ارتباطی می شود.
سیستم های عامل دارای سطوح مختلفی از امنیت هستند که تحت رده بندی استاندارد TCSES (Trusted Computer Systems Evaluation Criteria) توصیف می شوند. یک سیستم عامل حداقل باید پیاده سازی امنی از پروتکل های شبکه و از جمله TCP/IPرا دارا باشد. سایر ویژگی های یک سیستم عامل امن عبارتند از:
وجود سطوح مختلف امنیتی، حداقل در دو سطح کاربر و سیستم به منظور تأثیرناپذیری سیستم عامل از خطاهای سهوی و عمدی کاربران مجاز.
به کارگیری روش های مناسب برای ذخیره اطلاعات هویت شناسی کاربران، جلوگیری از انتخاب گذرسواژه های ضعیف و جلوگیری از عدم تغییر گذرواژه برای مدت طولانی.
ثبت وقایع سیستم برای پیگیری های اداری و قانونی و رفع خطا.
وجود و پشتیبانی از یک سطح حداقل امنیت به گونه ای که این حداقل سطح، قابل از کار انداختن نباشد. به عنوان مثال، بدون دسترسی فیزیکی به کنسول (واقع در سایت نگهداری کامپیوتر ) امکان باز آغازی (Rebooting)، فرمت کردن دیسک و یا خاموش کردن سیستم وجود نداشته باشد.
وجود روش هایی برای کنترل دسترسی پردازه ها به منابع سیستم. این بدان معناست که هر پردازه در سیستم، تنها به منابعی دسترسی داشته باشد که برای مالکش تعریف شده است.
4- امنیت داده ها
رشد فزاینده حجم و نوع داده های ذخیره شده از یک سو و کلیدی تر شدن نقش آنها در تصمیم گیری ها از سوی دیگر، سبب شده تا ضرورت حفاظت داده ها برای همه مدیران توجیه پذیر شود. از طرف دیگر، گسترش شبکه های کامپیوتری و افزایش تعداد کاربران شبکه، سبب شده است تا علاوه بر آنکه احتمال نفوذ غیر مجاز هکرها افزایش یابد، داده ها نیز به طور پراکنده و توزیع شده در سراسر شبکه ذخیره شوند. بدیهی است که تأمین و حفظ امنیت برای داده های توزیع شده دشوارتر است.
در حالت کلی می توان داده ها را به دو دسته کاربردی و کنترلی تقسیم بندی نمود. داده های کاربردی همان داده ها یا اطلاعاتی هستند که مورد استفاده کاربران قرار می گیرند و در کاربردهای متفاوتی مطرح می شوند. داده های کنترلی شامل اطلاعات پیکربندی سیستم، مشخصات کاربران و رویدادهای ثبت شده در سیستم هستند. این داده ها نقش اساسی در چگونگی عملکرد سیستم دارند و ناامنی در آنها منجر به توقف خدمات و مانع از کارکرد سیستم می شوند. وظیفه مدیریت این سیستم فایل است.
وظیفه مدیریت داده های کاربردی در سیستم های کامپیوتری معمولاً بر عهده نرم افزارهای مدیریت پایگاه داده است. این نرم افزار امکان ذخیره سازی و بازیابی داده ها را فراهم می کند. برای حفظ و تأمین امنیت داده ها، باید امنیت در مدیریت پایگاه داده تأمین شود. ممکن است امنیت سیستم عامل بر روی امنیت مدیریت پایگاه داده ها تأثیر گذارد. روش های تأمین امنیت داده ها عبارتند از:
استفاده از افزونگی داده: این روش برای کشف حمله و گاه ترمیم به کار می رود.
ایجاد حصار در اطراف داده: حصاربندی منطقی یا فیزیکی داده ها یکی دیگر از روش های مقابله با خطاهای احتمالی در داده ها محسوب می شود. منظور از حصار فیزیکی، حصار کشیدن در اطراف رسانه های ذخیره سازی یا در اطراف خطوط انتقال داده یا در اطراف مکان های استفاده و تولید داده است و حصار منطقی به معنای قرار دادن قواعد و ضوابط مربوط به نحوه کار با داده برای کاربران یا ضوابط مربوط به نحوه ارسال و ذخیره داده هاست.
رمز نگاری: این روش قدرتمندترین و مطمئن ترین روش برای ایجاد امنیت است، زیرا حتی اگر خطوط ارسال داده و رسانه های ذخیره سازی داده در مکان های ناامن باشند، باز هم داده های رمز شده از حملات هکرها مصون خواهند ماند.
به کارگیری روش های هویت شناسی(Authenticaion): در این روش بیش از ارسال داده، طرفین یکدیگر را شناسایی کرده و از هویت طرف مقابل مطمئن می شوند.
ثبت رویداد(Log) : دو هدف آن عبارتند از پیگیری و بررسی تراکنش های کاربران و یافتن فرد هکر و ترمیم داده ها به حالت درست و سازگار در صورت بروز خطا یا خرابی.
به علاوه، معمولاً برای ایجاد امنیت داده ای، از نوعی طبقه بندی امنیتی نیز استفاده می گردد. بدین ترتیب که داده ها از نظر امنیتی بر اساس اهمیت و نقش داده ها و یا بر اساس میزان خسارتی که با لو رفتن داده ایجاد می شود طبقه بندی می شوند و خدمات امنیتی مورد نیاز هر طبقه تعیین و طراحی می شود.
5- امنیت برنامه های کاربردی
برنامه های کاربردی نقطه ارتباط سیستم های کامپیوتری با کاربران آن ها را تشکیل می دهند. وجود ضعف های امنیتی در این برنامه ها و یا در مبادلات میان آن ها می تواند امنیت کلی سیستم را به خطر بیاندازد. به طور مثال وجود یک برنامه کاربردی غیر امن در سیستم حتی در صورتی که سیستم عامل آن امن شده باشد، می تواند باعث آسیب رساندن به منابع و اطلاعات محلی سیستم شود. همچنین یک برنامه کاربردی غیر امن می تواند اطلاعات حساس و سری سیستم را از طریق شبکه به بیرون از سازمان انتقال دهد که این کار نیز با امن کردن شبکه قابل پیشگیری نمی باشد. درجه خطرناک بودن چنین اتفاقاتی را زمانی می توان به درستی درک کرد که این برنامه ناامن در کاربردهای حساسی نظیر کاربردهای نظامی مورد استفاده قرار گیرد.
با توجه به مطالبی که گفته شد برای اطمینان از امنیت برنامه های کاربردی و استفاده از آن در کاربردهایی که نیاز به امنیت دارند، اقدامات زیر می تواند صورت گیرد.
تهیه نرم افزارهای کاربردی از ایجادکنندگان مطمئن، یکی از راه های اطمینان از امنیت برنامه های کاربردی، تهیه آنها از منابعی است که می توان از نظر امنیتی به آنها اطمینان کرد. به عنوان مثال بهتر است که این نوع برنامه ها از منابعی که امکان همکاری آنها با سرویس های جاسوسی وجود دارد، تهیه نشود.
ارزیابی برنامه قبل از عملیاتی کردن آن: پس از تهیه یک برنامه کاربردی و قبل از استفاده از آن در سیستم های حساس اطلاعاتی، بهتر است این برنامه مدتی در محلی غیر از محل نصب نهایی مورد استفاده قرار گیرد و عملکرد آن به دقت مورد بررسی قرار گیرد.
6- امنیت شبکه
رشد روز افزون شبکه های کامپیوتری از یک سو و ماهیت توزیع شده و عدم امکان کنترل مرکزی در شبکه ها از سوی دیگر سبب شده تا تأمین امنیت شبکه های کامپیوتری از اهمیت ویژه ای برخوردار شود. همچنین وجود مشکلات امنیتی در پروتکل های شبکه و در دسترس بودن مشخصات این پروتکل ها و بعضاً کد پیاده سازی شده آنها باعث بروز ناامنی های بسیاری در شبکه های عمومی شده است.
کنجکاوان در مراکز آموزشی و دانشگاه ها، رقبای تجاری و دشمنان سیاسی می توانند سبب بروز مشکلاتی در شبکه های مبتنی بر TCP/IP شوند. همچنین، از آن جا که شبکه های کامپیوتری بستر ایجاد سایر سیستم های توزیع شده مانند سیستم های عامل توزیع شده و سیستم های مدیریت پایگاه داده های توزیع شده نیز هستند، تأمین و حفظ امنیت در شبکه های کامپیوتری مبنایی برای تأمین امنیت در سیستم ها و کاربردهای توزیع شده نیز خواهد بود.
برچسبها: وجوه امنیت اطلاعات شبکه های کامپیوتری,
تهدیدات شبکه
ویروس ها
ویروس ها ، برنامه هائی کامپیوتری می باشند که توسط برنامه نویسان گمراه و در عین حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثیر خود و آلودگی کامپیوترها بر اثر وقوع یک رویداد خاص ، باشند . مثلا" ویروس ها ئی که از آنان با نام "ماکرو ویروس " یاد می شود ، خود را به فایل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرایط لازم به منظور اجرای آنان نیز فراهم می گردد.
برنامه های اسب تروا ( دشمنانی در لباس دوست )
برنامه های اسب تروا و یا Trojans ، به منزله ابزارهائی برای توزیع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده و یا حتی نرم افزاری مفیدی نظیر بازی های کامپیوتری باشند که با تغییر قیافه و با لباسی مبدل و ظاهری مفید خود را عرضه می نمایند. تروجان ها ، قادر به انجام عملیات متفاوتی نظیر حذف فایل ها ، ارسال یک نسخه از خود به لیست آدرس های پست الکترونیکی ، می باشند. این نوع از برنامه ها صرفا" می توانند از طریق تکثیر برنامه های اسب تروا به یک کامپیوتر،دریافت فایل از طریق اینترنت و یا باز نمودن یک فایل ضمیمه همراه یک نامه الکترونیکی ، اقدام به آلودگی یک سیستم نمایند.
ویرانگران
در وب سایت های متعددی از نرم افزارهائی نظیر اکتیوایکس ها و یا اپلت های جاوا استفاده می گردد . این نوع برنامه ها به منطور ایجاد انیمیشن و سایر افکت های خاص مورد استفاده قرار گرفته و جذابیت و میزان تعامل با کاربر را افزایش می دهند . با توجه به دریافت و نصب آسان این نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسیب رسانی به سایر سیستم ها تبدیل شده اند . این نوع برنامه ها که به "ویرانگران" شهرت یافته اند ، به شکل یک برنامه نرم افزاری و یا اپلت ارائه و در دسترس استفاده کنندگان قرار می گیرند .
حملات شناسائی
در این نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخریب و آسیب رساندن به آنان می نمایند . مهاجمان در این رابطه از نرم افزارهای خاصی نظیر Sniffer و یا Scanner به منظور شناسائی نقاط ضعف و آسیب پذیر کامپیوترها ، سرویس دهندگان وب و برنامه ها ، استفاده می نمایند . در این رابطه برخی تولیدکنندگان ، نرم افزارهائی را با اهداف خیرخواهانه طراحی و پیاده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نیز استفاده می شود
حملات دستیابی
دراین نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه و دستیابی به آدرس های پست الکترونیکی ، اطلاعات ذخیره شده در بانک های اطلاعاتی و سایر اطلاعات حساس، می باشد.
نامه های الکترونیکی ناخواسته
از واژه Spam در ارتباط با نامه های الکترونیکی ناخواسته و یا پیام های تبلیغاتی ناخواسته ، استفاده می گردد. این نوع از نامه های الکترونیکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و یا دردسر ما را بیشتر نمایند . دامنه این نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخیره سازی بر روی کامپیوترهای کاربران را شامل می شود .
ره گیری داده ( استراق سمع )
بر روی هر شبکه کامپیوتری روزانه اطلاعات متفاوتی جابجا می گردد و همین امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در این نوع حملات ، مهاجمان اقدام به استراق سمع و یا حتی تغییر بسته های اطلاعاتی در شبکه می نمایند . مهاجمان به منظور نیل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمایند.
حملات از کار انداختن سرویس ها
در این نوع حملات ، مهاجمان سعی در ایجاد مزاحمت به منظور دستیابی به تمام و یا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمایند . حملات فوق به اشکال متفاوت و با بهره گیری از فن آوری های متعددی صورت می پذیرد . ارسال حجم بالائی از داده ها ی غیرواقعی برای یک ماشین متصل به اینترنت و ایجاد ترافیک کاذب در شبکه ، نمونه هائی از این نوع حملات می باشند.
برچسبها: امنیت شبکه های کامپیوتری,
يک سيستم کامپيوتری از چهار عنصر : سخت افزار ، سيستم عامل ، برنامه های کاربردی و کاربران ، تشکيل می گردد. سخت افزار شامل حافظه ، دستگاههای ورودی ، خروجی و پردازشگر بوده که بعنوان منابع اصلی پردازش اطلاعات ، استفاده می گردند. برنامه های کاربردی شامل کمپايلرها ، سيستم های بانک اطلاعاتی ، برنامه های تجاری و بازرگانی ، بازی های کامپيوتری و موارد متنوع ديگری بوده که روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص می نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها می باشد . هر يک از کاربران سعی در حل مشکلات تعريف شده خود از طريق بکارگيری نرم افزارهای کاربردی در محيط سخت افزار می نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه های کاربردی متفاوتی که توسط کاربران گوناگون نوشته و اجراء می گردند ، کنترل و هدايت می نمايد. بمنظور بررسی امنيت در يک سيستم کامپيوتری ، می بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک سيستم کامپيوتری پرداخته گردد.
در اين راستا ، قصد داريم به بررسی نقش عوامل انسانی دررابطه با امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه های موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزاری و يا سيستم عامل را بخدمت بگيريم ولی کاربران و يا عوامل انسانی درگير در يک سيستم کامپوتری، پارامترهای امنيتی را رعايت ننمايند ، کاری را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که شما بهترين اتومبيل با درجه بالای امنيت را طراحی و يا تهيه نمائيد ولی آن را در اختيار افرادی قرار دهيد که نسبت به اصول اوليه رانندگی توجيه نباشند ( عدم رعايت اصول ايمنی ) .
ما می بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه بصورت يک فرآيند نگاه کرده و امنيت را در حد يک محصول خواه نرم افزاری و يا سخت افزاری تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده ای دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزی که هست در نظر گرفت و پارامتر ديگری را ناديده گرفته و يا وزن غير قابل قبولی برای آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژی های نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار می بايست بکنيم که از تکنولوژی ها استفاده مفيدی را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا" نقش عوامل انسانی که استقاده کنندگان مستقيم اين نوع تکنولوژی ها می باشند ، بسيار محسوس و مهم است .
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدی در رابطه با امنيت اطلاعات و تهاجم به شبکه های کامپيوتری مواجه می باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژی های امنيتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ايمنی ) کاربران شبکه های کامپيوتری و استفاده کنندگان اطلاعات حساس در يک سازمان ، همواره بعنوان مهمترين تهديد امنيتی مطرح و عدم پايبندی و رعايت اصول امنيتی تدوين شده ، می تواند زمينه ايجاد پتانسيل هائی شود که توسط مهاجمين استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنين فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخی حالات اشتباه ما زمينه موفقيت ديگران! را فراهم می نمايد . اگر سعی نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولی جملگی عوامل انسانی در يک سازمان می باشند که حرکت و يا حرکات اشتباه هر يک می تواند پيامدهای منفی در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسی اشتباهات متداولی خواهيم پرداخت که می تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتی در رابطه با اطلاعات حساس در يک سازمان را باعث گردد.
اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادی اطلاق می گردد که مسئوليت نگهداری و نظارت بر عملکرد صحيح و عملياتی سيستم ها و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازی شبکه و تشخيص ضعف های امنيـتی موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهی است واگذاری مسئوليت های متعدد به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبی در زمان انجام کار مستمر بر روی چندين موضوع متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردی را افزايش خواهد داد. در ادامه با برخی از خطاهای متداولی که ممکن است توسط مديران سيستم انجام و سازمان مربوطه را با تهديد امنيتی مواجه سازد ، آشنا خواهيم شد.
مورديک : عدم وجود يک سياست امنيتی شخصی
اکثر قريب به اتفاق مديران سيستم دارای يک سياست امنيتی شخصی بمنظور انجام فعاليت های مهمی نظير امنيت فيزيکی سيستم ها ، روش های بهنگام سازی يک نرم افزار و روشی بمنظور بکارگيری patch های جديد در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به اين موضوع اذعان دارند که برخی از سيستم های آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مديران سيستم حتی نسبت به آخرين نقاط آسيب پذيرتشخيیص داده شده نيز آگاهی بهنگام شده ای را نداشته و قطعا" در چنين مواردی انتظار نصب patch مربوطه نيز توقعی بی مورد است . وجود نقاط آسيب پذير در شبکه می تواند يک سازمان را در معرض تهديدات جدی قرار دهد . امنيت فرآيندی است که می بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و دانش خود را بهنگام نمائيم .اکثر مديران سيستم ، کارشناسان حرفه ای و خبره امنيتی نمی باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه دارای گواهينامه های خاصی امنيتی و يا دانش و اطلاعات اضافه در رابطه با امنيت اطلاعات می باشند ، همواره يک قدم از کسانی مهارت آنان صرفا" محدود به شبکه است ، جلوتر می باشند . در ادامه ، پيشنهاداتی بمنظور بهبود وضعيت امنيتی سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ، ارائه می گردد :
-
بصورت فيزيکی محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کاری شما فعاليت دارند ، می بايست کاملا" کنترل شده و تحت نظارت باشد .
-
هر مرتبه که سيستم خود را ترک می کنيد ، عمليات logout را فراموش نکنيد .در اين رابطه می توان يک زمان time out را تنظيم تا در صورت فراموش نمودن عمليات logout ، سيستم قادر به حفاظت خود گردد.
-
خود را عضو خبرنامه ها ی متفاوت امنيتی کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
-
سعی گردد بصورت مستمر از سايت های مرتبط با مسائل امنيتی ديدن تا درزمان مناسب با پيام های هشداردهنده امنيتی در رابطه با نرم افزارهای خارج از رده و يا نرم افزارهای غير اصلاح شده ( unpatched ) آشنا گرديد.
-
مطالعه آخرين مقالات مرتبط با مسائل امنيتی يکی از مراحل ضروری و مهم در فرآيند خود آموزشی ( فراگيری ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتی در کميته های موجود ، توجيه است .
-
استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهای عبور وI هر چيزی که ممکن است زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابی به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده می شود، قبل ازترک محل کار ، آنها را از بين ببريد. افراديکه دارای سوء نيت بوده در محدوده کاری شما می باشند ، می توانند ازمزايای ضعف های شناخته شده استفاده نمايند، بنابراين ضروری است استفاده از چنين ياداشت هائی محدود و يا بصورت کامل حذف گردد .
مورد دو : اتصال سيستم های فاقد پيکربندی مناسب به اينترنت
همزمان با گسترش نيازهای سازمان، سيستم ها و سرويس دهندگان جديدی بر اساس يک روال معمول به اينترنت متصل می گردند. قطعا" توسعه سيستم با هدف افزايش بهره وری در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائی بدون تنظيمات امنيتی خاص به اينترنت متصل شده و می تواند زمينه بروز آسيب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سيستم از لحاظ امنيتی بدرستی مميزی نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، يک تهديد برای هر سازمان بشمار می رود . افراد و يا اسکريپت های پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم های آسيب پذير را دنبال می نمايند. در اين راستا ، شرکت هائی خاصی وجود دارد که موضوع فعاليت آنان شبکه بوده و برای تست سيستم های توليدی خود بدنبال سيستم های ضعيف و آسيب پذير می گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادی بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن برای اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدی گرفته و پيگری لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد می گردد :
-
قبل از اتصال فيزيکی يک کامپيوتر به شبکه ، مجوز امنيتی لازم با توجه به سياست های تدوين شده امنيتی برای آن صادر گردد ( بررسی سيستم و صدور مجوز اتصال )
-
کامپيوتر مورد نظر می بايست شامل آخرين نرم افزارهای امنيتی لازم بوده و از پيکربندی صحيح آنان می بايست مطمئن گرديد.
-
در صورتيکه لازم است بر روی سيستم مورد نظر تست های شبکه ای خاصی صورت پذيرد ، سعی گردد امکان دستيابی به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
-
سيستمی را که قصد اتصال آن به اينترنت وجود دارد ، نمی بايست شامل اطلاعات حساس سازمان باشد.
-
سيستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسيب پذير و ضعف های امنيتی را شناسائی نمايند.
مورد سه : اعتماد بيش از اندازه به ابزارها
برنامه های پويش و بررسی نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جاری امنيتی شبکه استفاده می گردد . پويشگرهای تشخيص نقاط آسيب پذير ، اطلاعات مفيدی را در ارتباط با امنيت سيستم نظير : مجوزهای فايل ، سياستهای رمز عبور و ساير مسائل موجود، ارائه می نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ی فوق ، عموما" نيمی از مسائل امنيتی مرتبط را به سيستم واگذار نموده و نمی توان به تمامی نتايج بدست آمده توسط آنان بسنده و محور عمليات خود را بر اساس يافته های آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده بر روی سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر) . بهرحال استفاده از اين نوع نرم افزارها قطعا" باعث شناسائی سريع نقاط آسيب پذير و صرفه جوئی زمان می گردد ولی نمی بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتی است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، می تواند نتايج نامطلوب امنيتی را بدنبال داشته باشد . در برخی موارد ممکن است لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستی انجام و يا حتی تاسکريپت های خاصی در اين رابطه نوشته گردد .
مورد چهار : عدم مشاهده لاگ ها ( Logs )
مشاهده لاگ های سيستم، يکی از مراحل ضروری در تشخيص مستمر و يا قريب الوقوع تهديدات است . لاگ ها، امکان شناسائی نقاط آسيب پذير متداول و حملات مربوطه را فراهم می نمايند. بنابراين می توان تمامی سيستم را بررسی و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ های سيستم ، تسهيلات لازم بمنظور رديابی مهاجمان فراهم می گردد.( البته بشرطی که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواری بررسی و آنها را در يک مکان ايمن ذخيره نمائيد.
مورد پنج : اجرای سرويس ها و يا اسکريپت های اضافه و غير ضروری
استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازی شخصی برای تست اسکريپت ها و سرويس های متفاوت ، يکی ديگر از اشتباهات متداولی است که توسط اکثريت قريب به اتفاق مديران سيستم انجام می شود . داشتن اينچنين اسکريپت ها و سرويس های اضافه ای که بر روی سيستم اجراء می گردند ، باعث ايجاد مجموعه ای از پتانسيل ها و نفاط ورود جديد برای يک مهاجم می گردد ( در صورتيکه سرويس های اضافه و يا اسکريپت ها بر روی سرويس دهنده اصلی نصب و تست گردند ، مشکلات می تواند مضاعف گردد ). در صورت نياز به تست اسکريپت ها و يا اجرای سرويس های اضافه ، می بايست عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوتری که به شبکه متصل است در اين راستا استفاده نگردد ) .
اشتباهات متداول مديران سازمان ها
مديران سازمان، به افرادی اطلاق می گردد که مسئوليت مديريت ، هدايت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظير بودجه ، سروکار دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزايای متعددی را بدنبال دارد. واژه " تجارت الکترونيکی" بسيار متداول و استراتژی تجارت الکترونيکی ، از جمله مواردی است که در هر برنامه ريزی تجاری به آن توجه خاص می گردد. در صورتيکه سازمان ها و موسسات دارای يک استراتژی امنيتی مشخص شده ای نباشند ، اتصال به شبکه جهانی تهديدی در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخی از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفی در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره می گردد :
مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکی از منابع ارزشمند درهر سازمان محسوب می گردند. همواره می بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعی و خطاء نيست و ممکن است در اين محدوده زمانی چيزی را که يک سازمان از دست می دهد بمراتب بيشتر از چيزی است که می خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتی است که برای يک سازمان دارای جايگاهی است و همواره می بايست بهترين تصميم دررابطه با استفاده از منابع انسانی ماهر ، اتخاذ گردد. استفاده از يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدی امنيتی است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمی توانيم مسئوليت پياده سازی استراتژی امنيتی در سازمان را به افرادی واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند ) .
مورد دوم : فقدان آگاهی لازم در رابطه با تاثير يک ضعف امنيتی بر عملکرد سازمان
بسياری از مديران سازمان بر اين باور می باشند که " اين مسئله برای ما اتفاق نخواهد افتاد " و بر همين اساس و طرز فکر به مقوله امنيت نگاه می نمايند . بديهی است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالی وجود نخواهد داشت . اين مسئله می تواند بدليل عدم آشنائی با ابعاد و اثرات يک ضعف امنيتی در سازمان باشد . در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل برای ديگران بوجود نمی آيد و ما نيز در معرض مشکلات فراوانی قرار خواهيم داشت .بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالی يک ضعف امنيتی توجيه و دانش لازم در اختيار آنان قرار گيرد . در صورت بروز يک مشکل امنيتی در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با ادامه فعاليت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنيای شديد رقابت ، کافی است سازمانی لحظاتی آنچيزی باشد که نمی بايست باشد ، همين امر کافی است که تلاش چندين ساله يک سازمان هرز و در برخی حالات فرصت جبران آن نيز وجود نخواهد داشت .
- تاثير منفی بر ساير فعاليت های تجاری online سازمان
- عاملی برای توزيع اطلاعات غير مفيد و غير قابل استفاده در يک چرخه تجاری
- عرضه اطلاعات حساس مشتريان به يک مهاجم و بمخاطره افتادن اطلاعات خصوصی مشتريان
- آسيب جدی وجهه سازمان و بدنبال آن از دست دادن مشتريان و همکاران تجاری
مورد سوم : عدم تخصيص بودجه مناسب برای پرداختن به امنيت اطلاعات
مجاب نمودن يک مدير سازمان مبنی بر اختصاص بودجه مناسب برای پرداختن به مقوله امنيت اطلاعات در سازمان از حمله مواردی است که چالش های خاص خود را خواهد داشت .مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودی در رابطه با تاثير وجود ضعف های امنيتی در عملکرد سازمان را دارند و يا در برخی حالات بودجه ، آنان را برای اتخاذ تصميم مناسب محدود می نمايد.اينترنت يک شبکه جهانی است که فرصت های جذاب و نامحدود تجاری را برای هر بنگاه تجاری فراهم می نمايد، با رعايت امنيت اطلاعات و حفا ظت مناسب از داده های حساس ،امکان استفاده از فرصت های تجاری بيشتری برای يک سازمان فراهم خواهد شد. با اختصاص يک بودجه مناسب برای پرداختن و بهاء دادن به مقوله امنيت اطلاعات در يک سازمان ، پيشگيری های لازم انجام ودر صورت بروز مسائل بحرانی ، امکان تشخيص سريع آنان و انجام واکنش های مناسب فراهم می گردد . بعبارت ديگر با در نظر گرفتن بودجه مناسب برای ايمن سازی سازمان ، بستر مناسب برای حفاظت سيستم ها و داده های حساس در يک سازمان فراهم خواهد شد . قطعا" توليد و عرضه سريع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات ، يکی از مهمترين شاخص های رشد در عصر حاضر بوده و هر آنچيزی که می تواند خللی در فرآيند فوق ايجاد نمايد ، باعث توقف و گاها" برگشت به عقب يک سازمان ، می گردد.
مورد چهارم : اتکاء کامل به ابزارها و محصولات تجاری
اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده ايد ؟ اغلب آنان در پاسخ خواهند گفت :" ما از يک فايروال شناخته شده و يک برنامه ويروس ياب بر روی سرويس دهنده استفاده می کنيم ، بنابراين ما در مقابل حملات ايمن خواهيم بود " . توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريداری آن خيال خود را در ارتباط با امنيت راحت نمائيم . مديران سازمان لازم است شناخت مناسب و اوليه ای از پتانسل های عمومی يک فايروال و يا برنامه های ويروس ياب داشته باشند ( قادر به انجام چه کاری می باشند و چه کاری را نمی توانند انجام دهند. مثلا" اگر ويروس جديدی نوشته و در شبکه توزيع گردد ، برنامه های ويروس ياب موجود قادر به تشخيص و برخورد با آن نخواهند بود.اين نوع برنامه ها صرفا" پس از مطرح شدن يک ويروس و آناليز نحوه عملکرد آن می بايست بهنگام شده تا بتوانند در صورت بروز وضعيتی مشابه با آن برخورد نمايند) . ابزارهائی همچون فايروال و يا برنامه های ويروس ياب ، بخشی از فرآيند مربوط به ايمن سازی اطلاعات حساس در يک سازمان بوده و با بکارگيری آنان نمی توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .
مورد پنجم : يک مرتبه سرمايه گذاری در ارتباط با امنيت
امنيت مفهمومی فراگير و گسترده بوده که نيازمند هماهنگی و سرمايه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جديدی می باشيم . ما نمی توانيم در مواجهه با يک تکنولوژی جديد بصورت انفعالی برخورد و يا عنوان نمائيم که ضرورتی به استفاده از اين تکنولوژی خاص را نداريم . بکارگيری تکنولوژی عملا" صرفه جوئی در زمان و سرمايه مادی را بدنبال داشته و اين امر باعث ارائه سرويس های مطلوبتر و ارزانتر به مشتريان خواهد شد. موضوع فوق هم از جنبه يک سازمان حائز اهميت است و هم از نظر مشتريان ، چراکه ارائه سرويس مطلوب با قيمت تمام شده مناسب يکی از مهمترين اهداف هر بنگاه تجاری محسوب شده و مشتريان نيز همواره بدنبال استفاده از سرويس ها و خدمات با کيفيت و قيمت مناسب می باشند. استفاده از تکنولوژی های جديد و سرويس های مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت . بنابراين لازم است به اين موضوع توجه شود که امنيت يک سرمايه گذاری پيوسته را طلب می نمايد، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزايش بهره وری در يک سازمان ، زمينه پرداختن به امنيت می بايست مجددا" و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمايه گذاری لازم در ارتباط با آن صورت پذيرد . تفکر اينکه، امنيت يک نوع سرمايه گذاری يکبار مصرف است ، می تواند از يکطرف سازمان را در استفاده از تکنولوژی ها ی نو با ترديد مواجه سازد و از طرف ديگر با توجه به نگرش به مقوله امنيت ( يکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبی برای پياده سازی يک سيستم امنيتی و حفاظتی مناسب را نداشته باشيم .
اشتباهات متداول کاربران معمولی
کاربران ، به افرادی اطلاق می گردد که طی روز با داده ها ی حساس در يک سازمان سروکار داشته و تصميمات و فعاليت های آنان، داده ها ی حساس و مقوله امنيت و حفاظت از اطلاعات را تحت تاثير مستقيم قرار خواهد داد. در ادامه با برخی از اشتباهات متداولی که اين نوع استفاده کنندگان از سيستم و شبکه مرتکب می شوند ، اشاره می گردد.
مورد يک : تخطی از سياست امنينی سازمان
سياست امنيتی سازمان ، اعلاميه ای است که بصورت جامع ، مسئوليت هر يک از پرسنل سازمان ( افراديکه به اطلاعات و سيستم های حساس در سازمان دستيابی دارند ) در ارتباط با امنيت اطلاعات و شبکه را تعريف و مشخص می نمايد. سند و يا اعلاميه مورد نظر ، بعنوان بخش لاينفک در هر مدل امنيتی بکارگرفته شده در سازمان محسوب می گردد.هدف عمده اعلاميه فوق ، ارائه روشی آسان بمنظور شناخت و درک ساده نحوه حفاظت سيستم های سازمان در زمان استفاده است . کاربران معمولی ، عموما" تمايل به تخطی از سياست های تدوين شده امنيتی در يک سازمان را داشته و اين موضوع می تواند عاملی مهم برای تحت تاثير قراردادن سيستم های حساس و اطلاعات مهم سازمان در مواجهه با يک تهديد باشد. پيامد اين نوع عمليات ، بروز اشکال و خرابی در رابطه با اطلاعات ارزشمند در يک سازمان خواهد بود.بهمين دليل است که اکيدا" توصيه می گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعيت از سياست های امنيتی در سازمان به آنان يادآوری و بر آن تاکيد گردد .
مورد دوم : ارسال داده حساس بر روی کامپيوترهای منزل
يکی از خطرناکترين روش ها در رابطه با داده های حساس موجود در يک سازمان ، فعاليتی است که باعث غير فعال شدن تمامی پيشگيری های امنيتی ايجادشده و در گير شدن آنان در يک فرآيند غير امنيتی می گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روی کامپيوتر منزل خود فوروارد ( ارسال ) نمايند . در حقيقت کاربران تمايل به فوروارد نمودن يک پروژه ناتمام و يا برنامه ريزی تجاری به کامپيوتر منازل خود را داشته تا از اين طريق امکان اتمام کار خود در منزل را پيدا نمايند. کاربران به اين موضوع توجه نکرده اند که تغيير محيط ايمن سازمان با کامپيوتر منزل خود که دارای ايمنی بمراتب کمتری است ، بطور جدی اطلاعات را در معرض آسيب و تهاجم قرار خواهد داد . در صورتيکه ضروری است که اطلاعات را به کامپيوترهای منزل فوروارد نمود ، يک سطح مناسب ايمنی می بايست وجود داشته باشد تا اين اطمينان بوجود آيد که نوت بوک ها و يا کامپيوترهای منازل در مقابل مهاجمين اطلاعاتی حفاظت شده و ايمن می باشند.
مورد سوم : ياداشت داده های حساس و ذخيره غيرايمن آنان
ايجاد و نگهداری رمزهای عبور قدرتمند ، فرآيندی مستمر است که همواره می بايست مورد توجه قرار گيرد. کاربران همواره از اين موضوع نفرت دارند که رمزعبورهائی را ايجاد نمايند که قادر به بخاطرآوردن آن نمی باشند. سياست امنيتی تدوين شده سازمان می بايست تعيين نمايد که يک رمز عبور چگونه می بايست ايجاد و نگهداری گردد. بخاطر سپردن چنين رمزعبوری همواره مسائل خاص خود را خواهد داشت . بمنظور حل اينچنين مشکلی ، کاربران تمايل دارند که ياداشت های مخفی را نوشته و آنها را زير صفحه کليد ، کيف جيبی و يا هر مکان ديگر در محل کار خود نگهداری نمايند. ياداشت ها ی فوق ، شامل اطلاعات حساس در ارتباط با داده های مربوط به رمزعبور و ساير موارد مرتبط است .استفاده از روشهای فوق برای نگهداری اطلاعات ، يک تخطی امنيتی است .دراين راستا لازم است ،کاربران توجيه و به آنان آگاهی لازم داده شود که با عدم رعايت موارد مشخص شده امنيتی ،پتانسيل های لازم بمنظور بروز مشکل در سيستم افزايش خواهد يافت . لازم است به کاربران ، روش ها و تکنيک های متفاوت بخاطر سپردن رمز عبور آموزش داده شود تا زمينه استفاده کاربران از ياداشت برای ثبت اينگونه اطلاعات حساس کاهش يابد . سناريوی های متفاوت برای آنان تشريح و گفته شود که يک مهاجم با استفاده از چه روش هائی ممکن است به اطلاعات ثبت شده در ياداشت ها ، دست پيدا نموده و زمينه بروز مشکل را فراهم نمايد.
مورد چهارم : دريافت فايل از سايت های غير مطمئن
يکی از سرويس های اينترنت امکان دريافت فايل توسط کاربران است . کاربران بمنظور دريافت فايل از اينترنت ، اغلب از امتيازات خود تعدی و حتی سياست ها ی موجود در سازمان را در معرض مخاطره و آسيب قرار می دهند . دريافت فايل از وب سايت های گمنام و يا غير مطمئن باعث کمک در توزيع برنامه های مهاجم در اينترنت می گردد. بدين ترتيب ما بعنوان ابزاری برای توزيع يک برنامه مخرب در اينترنت تبديل خواهيم شد. فايل ها و برنامه های دريافتی پس از آلودگی به نوع خاصی از برنامه مخرب ( ويروس ، کرم ، اسب تراوا ) ، می تواند تاثيرات منفی فراوانی را در ارتباط با عملکرد يک سازمان بدنبال داشته باشد .کاربران می بايست بندرت فايل هائی را از اينترنت دريافت در موارديکه ضرورت اين کار حس و به برنامه ای خاص نياز باشد ، اکيدا" توصيه می گردد که موضوع با دپارتمان IT ( يا ساير بخش های مسئول در سازمان ) درميان گذاشته شود تا آنان بر اساس تجربه و دانش خود ، اقدام به تهيه برنامه مورد نظر از منابع مطمئن نمايند .
مورد پنجم : عدم رعايت امنيت فيزيکی
ميزان آگاهی و دانش کاربران در رابطه با رعايت مسائل ايمنی خصوصا" امنيت فيزيکی ، بطرز کاملا" محسوسی افزايش امنيت و حفاظت داده ها ی حساس در يک سازمان را بدنبال خواهد داشت . عموما" ، رفتار کاربران در زمان استفاده از ايستگاه های کاری سازمان سهل انگارانه و فاقد سوادعمومی ايمنی است . کاربران ، اغلب ايستگاههای کاری خود را بدون در نظر گرفتن امنيت فيزيکی رها و screensaver آنان ، بندرت دارای رمز عبور بوده و می تواند باعث بروزمسائل متعددی گردد. به کاربران می بايست آموزش های لازم در رابطه با استراتژی های متفاوت بمنظور استفاده از سيستم های سازمان داده شود : مطمئن شويد آنها قادرند بدرستی با اطلاعات حساس در سازمان برخورد نمايند و همواره پيامدهای عدم رعايت امنيت فيزيکی به آنان يادآوری گردد.
خلاصه
در اين مقاله به بررسی اهم اشتباهات متداول که ممکن است از جانب عوامل انسانی در يک سيستم کامپيوتری بروز نمايد ، اشاره و گفتته شد که عدم رعايت مسائل مربوطه می تواند زمينه بروز مشکلات متعدد ايمنی در سازمان را بدنبال داشته باشد . موارداعلام شده را جدی گرفته و در صورت ضرورت مدل امنيتی جاری را بازسازی نمائيد . به کاربران ، مديران شبکه و حتی مديران سازمان آموزش های لازم داده شود تا سطح آگاهی و اطلاعات آنان دررابطه با امنيت افزايش يابد( جملگی می بايست دارای يک سطح مناسب از سوادعمومی در ارتباط با امنيت اطلاعات باشيم ). تداوم عمليات يک سازمان در عصر حاضر ارتباط مستقيم به رعايت مسائل ايمنی توسط عوامل انسانی آن سازمان دارد.
برچسبها: نقش عوامل انسانی در امنيت شبکه های کامپيوتری,
امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ، هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:
1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟
2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟
3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟
اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آن هستند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:
a. رمز هاي عبور
b. مديريت اصلاحيه ها
c. آموزش كاركنان و نحوه اجراي برنامه ها
d.نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن
e. ضد ويروس
f. ديواره آتش
g. شناسايي و جلوگيري از نفوذ گران
h. فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي
i. تنظيمات سيستمي و پيكره بندي آنها
در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.
براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش.
موضوع امنيت تجهيزات به دو علت اهميت ويژهاي مييابد :
الف – عدم وجود امنيت تجهيزات در شبكه ، به نفوذگران به شبكه اجازه ميدهد كه با دستيابي به تجهيزات ، امكان پيكربندي آنها را به گونهاي كه تمايل دارند آن سختافزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكانپذير خواهد شد.
ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهيزات بر روي شبكه الزامي است. توسط اين حملهها نفوذگران ميتوانند سرويسهايي را در شبكه از كار بياندازند كه از اين طريق در برخي موارد امكان دسترسي به اطلاعات با دور زدن هر يك از فرايندهاي AAA فراهم ميشود.
در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار ميگيرد. عناوين برخي از اين موضوعات به شرح زير هستند :
- امنيت فيزيكي و تأثير آن بر امنيت كلي شبكه
- امنيت تجهيزات شبكه در سطوح منطقي
- بالابردن امنيت تجهيزات توسط افزايش تعداد ( پشتيبان ) سرويسها و سختافزارها ( بمعني تهيه سرويس ها و تجهيزات مشابه بعنوان پشتيبان )
موضوعات فوق در قالب دو بحث اصلي امنيت تجهيزات مورد بررسي قرار ميگيرند :
- امنيت فيزيكي
- امنيت منطقي
1- امنيت فيزيكي
امنيت فيزيكي حيطه وسيعي از تدابير را در بر ميگيرد كه استقرار تجهيزات در مكانهاي امن و به دور از خطر حملات نفوذگران و استفاده از افزايش تعداد ( پشتيبان ) سيستم ، از آن جملهاند. با استفاده از افزايش تعداد ( پشتيبان ) ، اطمينان از صحت عملكرد سيستم در صورت بروز و وقوع نقص در يكي از تجهيزات (كه توسط عملكرد مشابه سختافزار و يا سرويسدهنده مشابه جايگزين ميشود) بدست ميآيد.
در بررسي امنيت فيزيكي و اعمال آن، ابتدا بايد به خطرهايي كه از اين طريق تجهزات شبكه را تهديد ميكنند نگاهي داشته باشيم. پس از شناخت نسبتاً كامل اين خطرها و حملهها ميتوان به راهحلها و ترفندهاي دفاعي در برابر اينگونه حملات پرداخت.
1-1- افزايش تعداد ( پشتيبان ) در محل استقرار شبكه
يكي از راهكارها در قالب تهيه پشتيبان از شبكههاي كامپيوتري، ايجاد سيستمي كامل، مشابه شبكهي اوليهي در حال كار است. در اين راستا، شبكهي ثانويهي، كاملاً مشابه شبكهي اوليه، چه از بعد تجهيزات و چه از بعد كاركرد، در محلي كه ميتواند از نظر جغرافيايي با شبكهي اول فاصلهاي نه چندان كوتاه نيز داشته باشد برقرار ميشود. با استفاده از اين دو سيستم مشابه، علاوه بر آنكه در صورت رخداد وقايعي كه كاركرد هريك از اين دو شبكه را به طور كامل مختل ميكند (مانند زلزله) ميتوان از شبكهي ديگر به طور كاملاً جايگزين استفاده كرد، در استفادههاي روزمره نيز در صورت ايجاد ترافيك سنگين بر روي شبكه، حجم ترافيك و پردازش بر روي دو شبكهي مشابه پخش ميشود تا زمان پاسخ به حداقل ممكن برسد.
با وجود آنكه استفاده از اين روش در شبكههاي معمول كه حجم چنداني ندارند، به دليل هزينههاي تحميلي بالا، امكانپذير و اقتصادي به نظر نميرسد، ولي در شبكههاي با حجم بالا كه قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب ميآيند از الزامات است.
1-2- توپولوژي شبكه
طراحي توپولوژيكي شبكه، يكي از عوامل اصلي است كه در زمان رخداد حملات فيزيكي ميتواند از خطاي كلي شبكه جلوگيري كند.
در اين مقوله، سه طراحي كه معمول هستند مورد بررسي قرار ميگيرند :
الف – طراحي سري ( Bus) :
در اين طراحي با قطع خط تماس ميان دو نقطه در شبكه، كليه سيستم به دو تكه منفصل تبديل شده و امكان سرويس دهي از هريك از اين دو ناحيه به ناحيه ديگر امكان پذير نخواهد بود.
ب – طراحي ستارهاي ( Star) :
در اين طراحي، در صورت رخداد حمله فيزيكي و قطع اتصال يك نقطه از سرور اصلي، سرويسدهي به ديگر نقاط دچار اختلال نميگردد. با اين وجود از آنجا كه سرور اصلي در اين ميان نقش محوري دارد، در صورت اختلال در كارايي اين نقطه مركزي، كه ميتواند بر اثر حمله فيزيكي به آن رخ دهد، ارتباط كل شبكه دچار اختلال ميشود، هرچند كه با در نظر گرفتن ( پشتيبان ) براي سرور اصلي از احتمال چنين حالتي كاسته ميشود.
ج – طراحي مش ( Mesh) :
در اين طراحي كه تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيكي در سطوح دسترسي منجر به اختلال عملكرد شبكه نخواهد شد، با وجود آنكه زمانبندي سرويسدهي را دچار اختلال خواهد كرد. پيادهسازي چنين روش با وجود امنيت بالا، به دليل محدوديتهاي اقتصادي، تنها در موارد خاص و بحراني انجام ميگيرد.
1-3- محلهاي امن براي تجهيزات
در تعيين يك محل امن براي تجهيزات دو نكته مورد توجه قرار ميگيرد :
- يافتن مكاني كه به اندازه كافي از ديگر نقاط مجموعه متمايز باشد، به گونهاي كه هرگونه ورود به محل مشخص باشد.
- در نظر داشتن محلي كه در داخل ساختمان يا مجموعهاي بزرگتر قرار گرفته است تا تدابير امنيتي بكارگرفته شده براي امن سازي مجموعهي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به كار گرفت.
با اين وجود، در انتخاب محل، ميان محلي كه كاملاً جدا باشد (كه نسبتاً پرهزينه خواهد بود) و مكاني كه درون محلي نسبتاً عمومي قرار دارد و از مكانهاي بلا استفاده سود برده است (كه باعث ايجاد خطرهاي امنيتي ميگردد)، ميتوان اعتدالي منطقي را در نظر داشت.
در مجموع ميتوان اصول زير را براي تضمين نسبي امنيت فيزيكي تجهيزات در نظر داشت :
- محدود سازي دسترسي به تجهيزات شبكه با استفاده از قفلها و مكانيزمهاي دسترسي ديجيتالي به همراه ثبت زمانها، مكانها و كدهاي كاربري دسترسيهاي انجام شده.
- استفاده از دوربينهاي حفاظتي در ورودي محلهاي استقرار تجهيزات شبكه و اتاقهاي اتصالات و مراكز پايگاههاي داده.
- اعمال ترفندهايي براي اطمينان از رعايت اصول امنيتي.
1-4- انتخاب لايه كانال ارتباطي امن
با وجود آنكه زمان حملهي فيزيكي به شبكههاي كامپيوتري، آنگونه كه در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن كنترل يكي از خادمها و سرويسدهندههاي مورد اطمينان شبكه معطوف شده است، ولي گونهاي از حملهي فيزيكي كماكان داراي خطري بحراني است.
عمل شنود بر روي سيمهاي مسي، چه در انواع Coax و چه در زوجهاي تابيده، هماكنون نيز از راههاي نفوذ به شمار ميآيند. با استفاده از شنود ميتوان اطلاعات بدست آمده از تلاشهاي ديگر براي نفوذ در سيستمهاي كامپيوتري را گسترش داد و به جمعبندي مناسبي براي حمله رسيد. هرچند كه ميتوان سيمها را نيز به گونهاي مورد محافظت قرار داد تا كمترين احتمال براي شنود و يا حتي تخريب فيزيكي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايهي فيزيكي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنالهاي الكتريكي، هيچگونه تشعشعي از نوع الكترومغناطيسي وجود ندارد، لذا امكان استفاده از روشهاي معمول شنود به پايينترين حد خود نسبت به استفاده از سيم در ارتباطات ميشود.
1-5- منابع تغذيه
از آنجاكه دادههاي شناور در شبكه به منزلهي خون در رگهاي ارتباطي شبكه هستند و جريان آنها بدون وجود منابع تغذيه، كه با فعال نگاهداشتن نقاط شبكه موجب برقراري اين جريان هستند، غير ممكن است، لذا چگونگي پيكربندي و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي ميكنند. در اين مقوله توجه به دو نكته زير از بالاترين اهميت برخوردار است :
- طراحي صحيح منابع تغذيه در شبكه بر اساس محل استقرار تجهيزات شبكه. اين طراحي بايد به گونهاي باشد كه تمامي تجهيزات فعال شبكه، برق مورد نياز خود را بدون آنكه به شبكهي برق ، فشار بيش از اندازهاي (كه باعث ايجاد اختلال در عملكرد منابع تغذيه شود) وارد شود، بدست آورند.
- وجود منبع يا منابع تغذيه پشتيبان ( UPS) به گونهاي كه تعداد و يا توان پشتيباني آنها به نحوي باشد كه نه تنها براي تغذيه كل شبكه در مواقع نياز به منابع تغذيه پشتيبان كفايت كند، بلكه امكان تامين برق بيش از مورد نياز براي تعدادي از تجهيزات بحراني درون شبكه را به صورت منفرد فراهم كند.
1-6- عوامل محيطي
يكي از نكات بسيار مهم در امن سازي فيزيكي تجهيزات و منابع شبكه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملكرد شبكه ميشوند. از مهمترين عواملي در هنگام بررسي امنيتي يك شبكه رايانهاي بايد در نظر گرفت ميتوان به دو عامل زير اشاره كرد :
- احتمال حريق (كه عموماً غير طبيعي است و منشآ انساني دارد)
- زلزله، طوفان و ديگر بلاياي طبيعي
با وجود آنكه احتمال رخداد برخي از اين عوامل، مانند حريق، را ميتوان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي، با هدف جلوگيري در اختلال كلي در عملكرد شبكه، وجود يك سيستم كامل پشتيبان براي كل شبكه است. تنها با استفاده از چنين سيستم پشتيباني است كه ميتوان از عدم اختلال در شبكه در صورت بروز چنين وقعايعي اطمينان حاصل كرد.
2- امنيت منطقي
امنيت منطقي به معناي استفاده از روشهايي براي پايين آوردن خطرات حملات منطقي و نرمافزاري بر ضد تجهيزات شبكه است. براي مثال حمله به مسيريابها و سوئيچهاي شبكه بخش مهمي از اين گونه حملات را تشكيل ميدهند. در اين بخش به عوامل و مواردي كه در اينگونه حملات و ضد حملات مورد نظر قرار ميگيرند ميپردازيم.
2-1- امنيت مسيريابها
حملات ضد امنيتي منطقي براي مسيريابها و ديگر تجهيزات فعال شبكه، مانند سوئيچها، را ميتوان به سه دستهي اصلي تقسيم نمود :
- حمله براي غيرفعال سازي كامل
- حمله به قصد دستيابي به سطح كنترل
- حمله براي ايجاد نقص در سرويسدهي
طبيعي است كه راهها و نكاتي كه در اين زمينه ذكر ميشوند مستقيماً تنها به امنيت اين عناصر مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفك هستند. لذا تأمين امنيت تجهيزات فعال شبكه به معناي تآمين قطعي امنيت كلي شبكه نيست، هرچند كه عملاً مهمترين جنبهي آنرا تشكيل ميدهد.
2-2- مديريت پيكربندي
يكي از مهمترين نكات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پروندهها مختص پيكربندي است. از اين پروندهها كه در حافظههاي گوناگون اين تجهيزات نگاهداري ميشوند، ميتوان در فواصل زماني مرتب يا تصادفي، و يا زماني كه پيكربندي تجهيزات تغيير مييابند، نسخه پشتيبان تهيه كرد.
با وجود نسخ پشتيبان، منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در كارايي تجهزات، كه ميتواند منجر به ايجاد اختلال در كل شبكه شود، در كوتاه ترين زمان ممكن ميتوان با جايگزيني آخرين پيكربندي، وضعيت فعال شبكه را به آخرين حالت بينقص پيش از اختلال بازگرداند. طبيعي است كه در صورت بروز حملات عليه بيش از يك سختافزار، بايد پيكربندي تمامي تجهيزات تغييريافته را بازيابي نمود.
نرمافزارهاي خاصي براي هر دسته از تجهيزات مورد استفاده وجود دارند كه قابليت تهيه نسخ پشتيبان را فاصلههاي زماني متغير دارا ميباشند. با استفاده از اين نرمافزارها احتمال حملاتي كه به سبب تآخير در ايجاد پشتيبان بر اثر تعلل عوامل انساني پديد ميآيد به كمترين حد ممكن ميرسد.
2-3- كنترل دسترسي به تجهيزات
دو راه اصلي براي كنترل تجهزات فعال وجود دارد :
- كنترل از راه دور
- كنترل از طريق درگاه كنسول
در روش اول ميتوان با اعمال محدوديت در امكان پيكربندي و دسترسي به تجهيزات از آدرسهايي خاص يا استاندارها و پروتكلهاي خاص، احتمال حملات را پايين آورد.
در مورد روش دوم، با وجود آنكه به نظر ميرسد استفاده از چنين درگاهي نياز به دسترسي فيزكي مستقيم به تجهيزات دارد، ولي دو روش معمول براي دسترسي به تجهيزات فعال بدون داشتن دسترسي مستقيم وجود دارد. لذا در صورت عدم كنترل اين نوع دسترسي، ايجاد محدوديتها در روش اول عملاً امنيت تجهيزات را تآمين نميكند.
براي ايجاد امنيت در روش دوم بايد از عدم اتصال مجازي درگاه كنسول به هريك از تجهيزات داخلي مسيرياب، كه امكان دسترسي از راهدور دارند، اطمينان حاصل نمود.
2-4- امن سازي دسترسي
علاوه بر پيكربندي تجهيزات براي استفاده از Authentication، يكي ديگر از روشهاي معمول امنسازي دسترسي، استفاده از كانال رمز شده در حين ارتباط است. يكي از ابزار معمول در اين روش SSH(Secure Shell) است. SSH ارتباطات فعال را رمز كرده و احتمال شنود و تغيير در ارتباط كه از معمولترين روشهاي حمله هستند را به حداقل ميرساند.
از ديگر روشهاي معمول ميتوان به استفاده از كانالهاي VPN مبتني بر IPSec اشاره نمود. اين روش نسبت به روش استفاده از SSH روشي با قابليت اطمينان بالاتر است، به گونهاي كه اغلب توليدكنندگان تجهيزات فعال شبكه، خصوصاً توليد كنندگان مسيريابها، اين روش را ارجح تر ميدانند.
2-5- مديريت رمزهاي عبور
مناسبترين محل براي ذخيره رمزهاي عبور بر روي سرور Authentication است. هرچند كه در بسياري از موارد لازم است كه بسياري از اين رموز بر روي خود سختافزار نگاهداري شوند. در اين صورت مهمترين نكته به ياد داشتن فعال كردن سيستم رمزنگاري رموز بر روي مسيرياب يا ديگر سختافزارهاي مشابه است.
3- ملزومات و مشكلات امنيتي ارائه دهندگان خدمات
زماني كه سخن از ارائه دهندگان خدمات و ملزومات امنيتي آنها به ميان ميآيد، مقصود شبكههاي بزرگي است كه خود به شبكههاي رايانهاي كوچكتر خدماتي ارائه ميدهند. به عبارت ديگر اين شبكههاي بزرگ هستند كه با پيوستن به يكديگر، عملاً شبكهي جهاني اينترنت كنوني را شكل ميدهند. با وجود آنكه غالب اصول امنيتي در شبكههاي كوچكتر رعايت ميشود، ولي با توجه به حساسيت انتقال داده در اين اندازه، ملزومات امنيتي خاصي براي اين قبيل شبكهها مطرح هستند.
3-1- قابليتهاي امنيتي
ملزومات مذكور را ميتوان، تنها با ذكر عناوين، به شرح زير فهرست نمود :
· قابليت بازداري از حمله و اعمال تدابير صحيح براي دفع حملات
· وجود امكان بررسي ترافيك شبكه، با هدف تشخيص بستههايي كه به قصد حمله بر روي شبكه ارسال ميشوند. از آنجاييكه شبكههاي بزرگتر نقطه تلاقي مسيرهاي متعدد ترافيك بر روي شبكه هستند، با استفاده از سيستمهاي IDS بر روي آنها، ميتوان به بالاترين بخت براي تشخيص حملات دست يافت.
· قابليت تشخيص منبع حملات. با وجود آنكه راههايي از قبيل سرقت آدرس و استفاده از سيستمهاي ديگر از راه دور، براي حمله كننده و نفوذگر، وجود دارند كه تشخيص منبع اصلي حمله را دشوار مينمايند، ولي استفاده از سيستمهاي رديابي، كمك شاياني براي دست يافتن و يا محدود ساختن بازهي مشكوك به وجود منبع اصلي مينمايد. بيشترين تآثير اين مكانيزم زماني است كه حملاتي از نوع DoS از سوي نفوذگران انجام ميگردد.
3-2- مشكلات اعمال ملزومات امنيتي
با وجود لزوم وجود قابليتهايي كه بطور اجمالي مورد اشاره قرار گرفتند، پيادهسازي و اعمال آنها همواره آسان نيست.
يكي از معمولترين مشكلات، پيادهسازي IDS است. خطر يا ترافيكي كه براي يك دسته از كاربران به عنوان حمله تعبير ميشود، براي دستهاي ديگر به عنوان جريان عادي داده است. لذا تشخيص اين دو جريان از يكديگر بر پيچيدگي IDS افزوده و در اولين گام از كارايي و سرعت پردازش ترافيك و بستههاي اطلاعاتي خواهد كاست. براي جبران اين كاهش سرعت تنها ميتوان متوسل به تجهيزات گرانتر و اعمال سياستهاي امنيتي پيچيدهتر شد.
با اين وجود، با هرچه بيشتر حساس شدن ترافيك و جريانهاي داده و افزايش كاربران، و مهاجرت كاربردهاي متداول بر روي شبكههاي كوچكي كه خود به شبكههاي بزرگتر ارائه دهنده خدمات متصل هستند، تضمين امنيت، از اولين انتظاراتي است كه از اينگونه شبكهها ميتوان داشت.
برچسبها: امنیت شبکه های کامپیوتری,
معرفی لینوکس
چرا باید از لینوکس استفاده کنیم ؟
با دیدن این سوال شاید با خود بگویید با داشتن محبوب ترین سیستم عامل جهان ویندوز دیگر چه نیازی به پاسخ دادن می باشد.
درجواب باید بگویم آیا شما حتی با داشتن قوی ترین سیستم امنیتی بر روی سیستم عامل ویندوزی خود از امنیت این سیستم عامل مطمئن هستید؟
ویندوز سیستم عاملی می باشد که علاوه بر چشم پوشی از تمامی باگ ها که با استفاده از نرم افزار های امنیتی تا حدی قابل جبران می باشند دارای back door هایی می باشد که توسط این back door ها سازمان های جاسوسی در حال شنود گسترده کاربران بصورت طبقه بندی شده می باشند. هنوز زمان زیادی از افشاگری ادوارد اسنودن کارمند سابق آژانس امنیت ملی امریکا در مورد جاسوسی گسترده آمریکا نگذشته است که کشور برزیل بدین خاطر هم اکنون در حال طراحی سیستم عامل جدیدی بر پایه لینوکس برای حفظ امنیت بیشتر کاربران و ادارات دولتی خود می باشد.
در این باره نیزوب سایت رسمی فدرال دولت آلمان درمورد back door موجود در ویندوز ۸ که به مایکروسافت و NSA (آژانس امنیت ملی امریکا) امکان شنود گسترده کاربران را می دهند هشدار داد.البته استفاده از نسخه های متعدد لینوکس تا حد بسیار زیادی از جاسوسی جلوگیری خواهند کرد ولی پایه ریزی و طراحی سیستم جدیدی بر پایه لینوکس همچون کشور برزیل کار بسیار هوشمندانه تری خواهد بود/
در کشور مالزی شاهد پیشرفت چشمگیری در حوزه فناوری می باشیم که با شعار از هیچ به اوج محقق شد که یکی از مهترین عوامل، انتخاب سیستم عامل رایگان لینوکس برای کاربرد و آموزش بود که صرفه جویی ارزی برای کشور مالزی به همراه داشت.
نسخه های بسیار متعددی از لینوکس وجود دارند که بر خلاف سیستم عامل های تجاری مانند ویندوز که تحت کنترل یک شرکت بخصوص می باشد، هسته لینوکس متن باز بوده استفاده از آن رایگان می باشد.
گروه های مختلفی در سراسر جهان در حال پشتیبانی از این پروژه متن باز می باشند و هدف تمامی این گرو ها بهبود عملکرد این سیستم می باشد بطور معمول هر توزیع از لینوکس برای مرتفع کردن یک سری از نیاز ها طراحی و ساخته شده اند برای مثال برخی از توزیع ها برای دریافت ترافیک سنگین مانند وب سرور ها طراحی شده اند یا برخی دیگر برای شبکه هایی که امنیت در آن حرف اول را میزند مورد استفاده قرار گرفته اند
درواقع لینوکس هسته بسیاری از فایروال های پشرفته امروزی می باشد لینوکس علاوه بر نسخه های رومیزی همچنین می تواند به عنوان سیستم عامل دستگاه های embedded (توکار) همانندروتر ها ، سوئیچ ها ،سیستم تلفن های هوشمند ، سیستم های ماهواره ای و غیره مورد استفاده قرار گیرد
انتخاب یک نسخه مناسب لینوکس
به هر حال برای انتخاب یک نسخه مناسب لینوکس باید بگویم چیزی به نام بهترین نسخه لینوکس وجود ندارد.هر نسخه از لینوکس کاربرد خواص خودش را دارد به عنوان مثال شما برای کوهنوردی به لباسی و تجهیزاتی خواهید داشت که شما را در برابر باد ، باران و هواس سرد محافظت کند ولی زمانی که به یک مهمانی رسمی دعوت شده اید از لباس رسمی برای مهمانی استفاده خواهید کرد و برای زندگی روزمره به یک لباس معمولی نیاز خواهید داشت و برای شنا شما به یک لباس مخصوص سبک با جنسی خواص نیاز خواهید داشت
به عنوان یک معادل اگر هر یک از لباس ها را توزیع های مختلفی از لینوکس در نظر بگیریم در شرایط خواصی ما نیاز به پوشش های خاصی خواهیم داشت به عنوان مثالی برای لباس شنا که خصیصه آن حجم کم می باشد در لینوکس توزیعی بسیار کم حجمی وجود دارد که فقط ملزومات را پوشش می دهد
معروف ترین نسخه های دسکتاپ لینوکس عبارتند از :
۱. Fedora(فدورا)
۲. Ubuntu(ابونتو)
۳. Linux Mint(مینت)
معروفترین نسخه های سرور عبارتند از :
۱. Debian(دبیان)
۲. CentOS(سنت)
۳. OpenSUSE(اوپن سوس)
۴. Slackware(ساکور)
برچسبها: چرا از لینوکس استفاده کنیم و کدام توزیع مناسب ما می باشد ؟,