پایان نامه تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT

 
واحد تهران جنوب
دانشکده تحصیلات تکمیلی
سمینار برای دریافت درجه کارشناسی ارشد
“M.Sc”
مهندسی کامپیوتر – نرم افزار
عنوان :
تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT
استاد راهنما :
دکتر ناصر مدیری
نگارش :
منیر سادات شاه ولایتی
خردادماه 1388
أ
ب
دانشگاه آزاد اسلامی
واحد تهران جنوب
دانشکده تحصیلات تکمیلی
سمینار برای دریافت درجه کارشناسی ارشد
“M.Sc”
مهندسی کامپیوتر – نرم افزار
عنوان :
تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT
نگارش :
منیر سادات شاه ولایتی
-1 استاد راهنما : دکتر ناصر مدیری
2 -مدیر گروه : دکتر محمدرضا صالح نمدی
1388 17/3/ : دفاعیه تاریخ
ج
تقدیم به عزیزانم:
پدر ، مادر ، همسر و یگانه دخترم ، که با صبری به گستردگی آسما ن و قلبی به گرمی خورشید
مرا در طی طریق زندگی یاری نمودند و خواهند نمود و به بار نشستن هدفم بواسطه ی باران
محبت و حمایت بی دریغ آنان بود .
د
سپاسگزاری
با سپاس بی اندازه از خداوند متعال و قدردانی و تشکر فراوان از استاد ارجمند جناب آقای
دکترناصر مدیری که مرا در حصول نتیجه، مورد راهنمایی و حمایت های ارزشمند شان قرار
دادند. بدیهی است که پیشنهادات وانتقادات سازنده ی استاد گرامی مرا در بهبود کار و انجام
هرچه بهتراین سمینار یاری نمود. یابه ن امید که این سمینار در جهت ارتقای سطح علمی و
تشویق دانشجویان پرتلاش ، دریچه ای هرچند کوچک را بگشاید.

فهرست مطالب
عنوان مطالب شماره صفحه
چکیده …………………………………………………………………………………. 1
مقدمه ………………………………………………………………………………….. 2
فصل اول : کلیات
4 ……………………………………………………………………………هدف 1 -1( °
4 …………………………………………………………………..تحقیق پیشینه 1 -2( °
° )3 -1 روش کار و تحقیق ……………………………………………………………… 5
فصل دوم : اصول و مبانی پدافند غیر عامل
° 1 -2 ( مفهوم پدافند غیرعامل………………………………………………………. .. 7
° )2 -2 ضرورت وجود پدافند غیر عامل………………………………………………… 7
° 3 -2 ( قابلیت های پدافند غیر عامل ………………………………………………….. 8
° )4 -2 اصول پدافند غیرعامل ………………………………………………………. … 8
9 …………………………………………………………………….کلان اهداف ) 2 -5 °
9 ……………………………………………………………………….. راهبردها 2 -6 ( °
فصل سوم : شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر عامل
جهت پیشگیری و کاهش نفوذ به محیطهای IT
° )1 -3 سه استرانژی مهم برای ایمن سازی فضای IT ……………………………….. 12
° 2 -3 ( ضرورت تامین پدافند غیر عامل در محیطهای IT .. …………………………..12
° 3 -3 ( تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT ……………………. 13
14 …………………………………………………………………فیزیکی تدابیر ) 3 -4 °
14 …………………………………………….IT محیطهای فیزیکی امنیت ) 3 -4-1 °
° 1-1-4 -3 ( مکان و مشخصات ساختمانی محیط………………………………… 15
16 …………………………………………….الکتریسیته و تغذیه منبع ) 3 -4-1-2 °
17 ……………………………………………………………… دیوارها ) 3 -4-1-3 °
° ) 4-1-4 -3 خنک سازی ،تهویه هوا و رطوبت……………………………………. 17
° 5-1-4 -3 ( کنترل،تشخیص و پیشگیری از حریق……………………………….. 17
18 ……………………………………….نظارتی سیستمهای از استفاده 3 -4-1-6 ( °
18 ……………………………………………………… کاذب کف قاب ) 3 -4-1-7 °
و
فهرست مطالب
عنوان مطالب شماره صفحه
° 8-1-4 -3 ( استفاده از امنیت فیزیکی لایه ای …………………………………… 18
° 9-1-4 -3 ( نگهداری نسخههای پشتیبان در مکانی امن…………………………. 19
19 ………………………………………….. فیزیکی دسترسی کنترل) 10 3 -4-1- °
° )2-4 -3 ارائه یک مدل از طراحی شبکه ارتباطی امن ………………………….. … 19
19 … ………………………….. CISCO شرکت SAFE معماری معرفی ) 3 -4-2-1 °
21 ………………………………………..SAFE معماری های ویژگی 3 -4-2-2( °
° 3-4 -3 ( نحوه چیدمان پیشگیرانه پدافند غیر عامل……………………………….. 22
° 5 -3 ( تدابیر منطقی پدافند غیر عامل ………………………………………………. 22
° ) 6 -3 دستورالعملهای امنیتی یا روشهای انجام کار …………………………………. 24
° 1-6 -3 ( انواع آسیب پذیریها و تهدیدات موجود در محیط IT …………………… 26
29 ………………………………………………………. نفوذ کلی سناریوی 3 -6-2 ( °
° )3-6 -3 دستورالعملهای پیشگیرانه و کاهنده پدافند غیرعامل جهت تامین امنیت … 31
° 1-3-6 -3 ( ایمن نمودن سیستم های عامل و برنامه های کاربردی ……………… 31
° ) 2-3-6 -3 حذف سرویس های غیر ضروری…………………………………….. 31
31 ……………………………………………………………..عبور رمز ) 3 -6-3-3 °
° 4-3-6 -3 ( عدم اجرای برنامه هایی که منابع آنها تایید شده نیست(سیاست PKI (33
33 ………………………. E-mail ضمائم از برخی در محدودیت ایجاد ) 3 -6-3-5 °
° ) 6-3-6 -3 اعطای حداقل امتیاز به کاربران……………………………………… 34
35 …………………………………(Log Files ) رخداد ثبت فایلهای ) 3 -6-3-7 °
38 .. ………………………………………………………. شبکه چاپگر 3 -6-3-8 ( °
38 …………………………………………………….SNMP پروتکل 3 -6-3-9 ( °
38 ………………………………………………… شبکه امنیت تست) 10 3 -6-3- °
38 ………………………………………………نفوذ کاهش دستورالعملهای 3 -6-4 ( °
° )1-4-6 -3 آشنایی با Netstat و سوئیچ های آن ………………………………… 39
° 5-6 -3 ( ویژگیهای یک سیاست امنیتی خوب…………………………………….. 40
° ) 6-6 -3 راهکارهای کلی پیشگیری از حملات…………………………………….. 41
° 7-6 -3 ( اقدامات مؤثر برای به حداقل رساندن زمان برگشت به حالت اولیه……….. 42
ز
فهرست مطالب
عنوان مطالب شماره صفحه
° 8-6 -3 ( عوامل مؤثر در هزینه احیای سیستم ها پس از یک حمله ……………….. 43
° فصل چهارم:ارائه مدل شناسایی و ایمن سازی پدافند غیرعامل در محیطهای مبتنی بر IT
° )1 -4 اهداف ایجاد امنیت…………………………………………………………… 46
° )2 -4 انواع سیکل های امنیتی……………………………………………………… 46
° )3 -4 مفاهیم پایه در مدیریت و شناسایی خطر…………………………………….. 48
° )4 -4 سیکل بهینه پیشنهادی متناسب با پدافند غیرعامل………………………….. 49
51 ……………………………………………………………خطر شناسایی 4 -4-1( °
° )1-1-4 -4 انواع حملات در محیطهای کامپیوتری………………………………. 52
° )2-1-4 -4 تجزیه و تحلیل خطر در مورد سیستم عاملها………………………… 54
° )2-4 -4 شناسایی عوامل ایجاد خطر ……………………………………………… 55
° )3-4 -4 شناسایی عواقب ایجاد خطر……………………………………………… 56
57 … ………………………………………………………. خسارات ارزیابی 4 -4-4( °
59 ……………………………………………………….خطر سطوح تعیین 4 -4-5( °
° )6-4 -4 شناسایی راه حل های مختلف……………………………………………. 60
° )7-4 -4 انتخاب بهترین گزینه ها …………………………………………………. 61
62 .. ………………………………………………………. کنترل و بازنگری 4 -4-8( °
فصل پنجم : نتیجهگیری و پیشنهادات
نتیجهگیری و پیشنهادات…………………………………………………………… 64
منابع فارسی……………………………………………………………………….. 65
منابع انگلیسی………………………………………………………………………. 66
سایتهای علمی و اطلاعاتی………………………………………………………. … 67
چکیده انگلیسی…………………………………………………………………….. 68
ح
فهرست جداول
عنوان شماره صفحه
جدول : 1-3 تدابیر امنیت فیزیکی محیطهای IT ……………………………………. 14
جدول : 2-3 انواع سرورهای موجود در شبکه ……………………………………….. 24
° جدول : 3-3 نمونه پیکر بندی یک روتر نمونه مطابق استانداردهای Cisco …………24
°جدول : 4-3 آسیب پذیری های مهم برای سیستم های موجود در شبکه…………… 28
°جدول : 5-3 آسیب پذیری های مهم برای

یک سیستم واحد……………………….. 29
°جدول : 6-3 ایجاد محدودیت در برخی از ضمائم Mail-E ………………………….33
°جدول : 7-3 طبقه بندی انواع داده برای ثبت و بازبینی………………………….. … 37
°جدول : 8-3 اقداماتی در لازم سازمانها و بخشهای دولتی ………………………….. . 41
°جدول : 9-3 اقداماتی در لازم زیر ساختهای فناوری اطلاعات و بخشهای خصوصی …. 42
°جدول -3: 10 عوامل مؤثر در هزینه احیای سیستم ها پس از یک حمله……………. 43
°جدول : 1-4 اهداف نفوذگران………………………………………………………. . 52
°جدول : 2-4 انواع حملات…………………………………………………………… 52
°جدول : 3-4 مرحله شنایایی خطر در مورد سیستم عامل ویندوز……………………. 54
° : 4 -4 جدول جدول شناسایی خطرات ………………………………………………. 59
° : 5 -4 جدول ماتریس احتمال وقوع خطر به شدت عواقب ………………………….. . 60
° جدول : 6-4 بررسی راه حل های مختلف ………………………………………….. 62
ط
فهرست شکل ها
عنوان شماره صفحه
° شکل : 1 -3 کاربرد تدابیر پدافندی در زمینه IT ……………………………………. 13
° شکل : 2 -3 تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT ……………….13
° شکل : 3 -3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی ……………. 20
° شکل : 4 -3 بلوک دیاگرام معماری SAFE ………………………………………….21
° شکل : 5 -3 دیوارهای آتش مورد نیاز برای ایجاد پدافند غیر عامل در شبکه ………… 22
° شکل : 6 -3 سناریوی به روز رسانی سیستم عامل یک روتر نمونه …………………… 25
° شکل : 7 -3 گامهای مربوط به سناریوی ارائه شده………………………………….. 25
° شکل : 1 -4 اولین سیکل امنیتی…………………………………………………….. 47
° شکل : 2 -4 دومین سیکل امنیتی…………………………………………………… 48
° شکل : 3 -4 سیکل امنیتی پیشنهادی……………………………………………….. 50
° شکل : 4 -4 شکل کلی درخت تحلیل خطا ………………………………………….. 55
° شکل : 5 -4 درخت تحلیل خطا برای IE …………………………………………… 56
°
١
چکیده
فضای سایبر شامل اینترنت و دیگر شبکه های مبتنی بر کامپیوتر در حال تبدیل شدن به یکی از
مهمترین تاسیسات زیربنایی است که اجتماعات مدرن را توصیف می نماید. در میان این شبکه ها،
سیستم هایی وجود دارد که کنترل و مدیریت سایر تاسیسات زیربنایی مانند بانکها، سرویسهای حیاتی و
اورژانس، انتقال انرژی و خیلی از سیستم های نظامی را بر عهده دارند و خیلی از مراکز اقتصادی و ثبات
سیاسی و اجتماعی نیز ممکن است به این شبکه ها وابسته باشند. از طرفی اینترنت به عنوان دنیایی که
نسخه دیجیتال شده دنیای واقعی است، محیطی را ایجاد کرده است که در آن می توان انواع و اقسام
جرایم را شاهد بود. البته محصور بودن دنیای واقعی سبب می شود فرآیند کنترل در آن امکان پذیر باشد
ولی از آنجایی که محیط مجازی هیچ مرزی ندارد، مشکلات فراوانی پیش روی قانون گذار وجود خواهد
داشت. بنابراین ما نیاز داریم علاوه بر برقرار کردن حفاظتهای تکنیکی در شبکه ، هوشیاری و آگاهی
کامل ی نسبت به همه کاربران و خطرات همراه آنها در استفاده از سیستم های متصل به شبکه داشته
باشیم. نکته حیاتی در استراتژی های دفاعی نظارت مداوم بر شبکه و همچنین نوآوری در ایجاد
تکنیکهای جدید نظارتی بمنظور به حداقل رساندن عوامل ایجاد خطرات می باشد. در هر صورت در هر
استراتژی دفاعی که فی نفسه یک سیستم پیچیده می باشد، باید مراحلی وجود داشته باشد که که باعث
پیشگیری یا کاهش اثرات حملات گردد. این مراحل می تواند شامل مدیریت وقایع موجود در سازمان،
بازسازی مجدد پس از وقوع حمله و بهبود بخشیدن کارایی دفاعی ، بوسیله تحلیل و طراحی مجدد
المانهایی که مورد سوء استفاده جهت ایجاد نفوذ قرار گرفته اند باشد و قبل از وقوع حملات باید پیش
بینی گردند .
٢
مقدمه
در عصر کنونی با گسترش تکنولوژی اطلاعات یا IT ،گردش امور کشور ها از جمله امور اداری، اقتصادی،
آموزشی و سیاست به شبکه های کامپیوتری محول گردیده و البته در برخی از کشورها از جمله ایران
حرکتی برای اجرایی نمودن آن صورت گرفته است. بدلیل ساختار شکننده کنونی اینترنت، که در مقابل
تهدیدات امنیتی به تلنگری فرو می پاشد، لزوم تامین امنیت این شبکه و حفاظت از اطلاعات مبادلاتی بر
روی این بستر آشفته، امروزه بیش از پیش احساس می شود و عدم توجه به آن خسارات غیر قابل جبرانی
به پیکره آن کشور، سازمانهای فعال و تمام افراد درگیر با این شبکه ارتباطی وارد می کند. در ایران علاوه
بر مخاطرات فوق ، عدم وجود ستون فقرات انتقال اطلاعات باعث شده جریان اطلاعاتی کشورمان از
شاهراههای اطلاعاتی مغرب زمین عبور کند! و این موضوع نیز به نوبه خود ابتدای ناامنی محسوب می
شود و از طرفی توسعه دهندگان اینترنت در ایران که بیشتر از صنف تجارند تا متخصصین، به امنیت
اطلاعات کمتر توجه نموده و برای کاهش هزینه ها از کنار آن به سادگی می گذرند ! بحث امنیت در
اینترنت بحث گسترده ای است و امروزه لازم است یک مجموعه از پارامترهای امنیتی در کنار هم قرار
گیرند تا بتوانند امنیت را در حد مطلوب برای یک شبکه و سیستمهای منفرد فعال در این شبکه حفظ
نمایند. امنیت در اینترنت، رهیافتی است برای حفاظت از اطلاعات مبادلاتی و سیستم های مرتبط با آن
در بستر شبکه گسترده ای همچون اینترنت که تهدیدات بسیاری بعلت وجود آسیب پذیریهای شناخته
شده و همچنین ناشناخته در پروتکلهای ارتباطی، پیکربندی نادرست سیستم های امنیتی و سیستم های
درگیر با امنیت و برنامه های مرتبط با آن، سهل انگاری کاربران و …. مطرح می باشد .
نکته ای که همواره باید به آن توجه نمود این است که بحث امنیت یک فراورده نیست، بلکه یک فرایند
است و با استفاده از مجموعه ای از ابزارها و پروتکل های امنیتی و همچنین تکنیک های مرتبط برای
پیکربندی صحیح آنها قابل تامین می باشد. امنیت در شبکه و سیستم های مرتبط با آن همچون فرایندی
است که هرگز نمی توان گفت راهی برای نفوذگران جهت دسترسی غیر مجاز به شبکه و سیستم های
کاربران وجود ندارد، زیرا همیشه شکافی بین امنیت ایدهآل و امنیت واقعی وجود دارد.تنها با به روز نگه
داشتن دانش خود و کاربران خود می توان سطح امنیتی شبکه و سیستم های موجود را درحد مطلوب
نگاه داشت و حفظ نمود .
بنابراین در دنیای دیجیتالی امروز، با توجه بـه ازدیـاد حمـلات اطلاعـاتی، لـزوم بررسـی و تحقیقـات در
روشهای مقابله ، بیش از پیش ضروری است. بهترین راه مقابله با این حملات اطلاعاتی در محـیط سـایبر،
تقویت اقدامات امنیتی در شبکه های رایانه ای و اینترنتی و اجرای دستورالعمل های مبتنـی بـر پدافنـد
غیرعامل است. راهکار مناسب برای مقابله این است که نقشه و روش درستی برای این کار داشته باشیم و
در اولین گام ، اهداف ، روش های عملیاتی و منابع حمله کننده را بشناسیم. بنابراین باید با داشتن روش و
نقشه درست و اجرای قدم به قدم آن، در صورت وقوع بحران ، از گسترش آن جلوگیری شود و تمام نیروها
برای کاهش بحران و کنترل اوضاع آماده و بسیج شوند تا شرایط به وضعیت مطلوب اولیه بازگردد .
٣
فصل اول
کلیات تحقیق
۴
فصل اول: کلیات تحقیق
هدف 1 -1(
از آنجا که اهمیت امنیت تبادل اطلاعات و ایجاد محیطهای امن ارتباطی، اصلی مهم در مدیریت شبکه
های کامپیوتری و مخابراتی می باشد، لذا کنترل سطح امنیت شبکه و اطمینان از سطح امنیت تبادل
اطلاعات، نیاز به واحد پدافند غیر عامل را، به عنوان بخشی از واحد کنترل شبکه ضروری می نماید.
همچنین بدلیل تقسیم محیطهای IT به سه بخش فیزیکی ( شامل تجهیزات و امکانات)، منطقی( شامل
اطلاعات، برنامه ها، نرم افزارها و) دستورالعملها (شامل شیوه ها و دستورالعملهای پیشگیری و کاهش
نفوذ ، ) تدابیر امنیتی پدافند غیر عامل نیز متناسب با هر قسمت پیش بینی گردد. پدافند غیر عامل در
محیط فیزیکی شامل نحوه چیدمان پیشگیرانه و معماری امن محیط می باشد که با پرداختن و بررسی
یک معماری امن مطابق استانداردهای Cisco این بخش بررسی خواهد گردید . پدافند غیر عامل در
محیط منطقی شامل نحوه پیکربندی سیستم عاملها و پرداختن به نحوه تهیه نرم افزارها می باشد و نهایتا
پدافند غیر عامل در قسمت دستورالعملها شامل تدابیر پیشگیرانه و کاهنده در مقابل نفوذ و حملات می
گردد. همچنین سعی میگردد به معرفی آسیب پذیری های موجود در مراکز داده و سایتهای اطلاع رسانی
پرداخته شود و سپس راهکارهای مقابله با این آسیب پذیریها عنوان گردد.همچنین انواع حملات موجود
در یک محیط و IT روشهای مقابله با آنها و همچنین روشهایی که موجب کاهش آسیب پذیری و ایمن
سازی محیطهای IT می گردند بررسی شوند.بدین منظور انواع سیکلهای امنیتی استاندارد موجود معرفی
می گردند و یک سیکل امنیتی بهینه که مطابق با نیازهای پدافند غیر عامل در محیطهای IT باشد ارائه
می گردد بر و مبنای آن فعالیتهای لازم برای رسیدن به امنیت در این محیطها بررسی می گردند .
)2 -1 پیشینه تحقیق
شبکه های ارتباطی زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند. به موازات
رشد وگسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه های کامپیوتری و ارتباطی، بطور چشمگیری
مورد توجه قرار گرفته و همه روزه بر تعداد پژوهشهایی که در زمینه اصول سیستمهای امنیتی می باشند
افزوده می گردد. جایگاه امنیت در شبکه های کامپیوتری و ارتباطی یکی از مسائل مهم در دنیای امروز
می باشد. مدتهاست که استفاده گسترده از کامپیوتر در ارتش و تاسیسات دفاعی، بکارگیری قوانین و
آیین نامه های ویژه ای را برای حفظ امنیت در سیستمهای فضای سایبر ضروری ساخته است .
میتوان ادعا نمود که قدمت پدافند غیر عامل به قدمت تمدن بشری باز میگردد. لیکن این موضوع برای
نسلهای بشر به صورت تلاشهای آنها برای حراست و مراقبت در برابر دشمنان طبیعی و انسانی آنها
نمایان شده است. برج و باروهای حفاظتی شهرها ، قلعهها و حصارها نمونههای بارزی در این خصوص
میباشند .
در عصر جدید با توجه به مقتضیات عالم جدید و ایجاد دولت و ملتها، این موضوع از حیطه شهری به
۵
گستره ملی انتقال پیدا نمود. با بروز جنگ جهانی اول و دوم و کشیده شدن پای جنگ به شهرها این
موضوع اهمیت بیشتری یافت و شکل علنی به خود گرفت. پس از آن جنگ سرد و چالشهای جهانی
مرتبط با سلاحهای کشتار جمعی اهمیت این بحث را بیشتر نمود. در نهایت با وقوع حادثه 11 سپتامبر
این مبحث وارد فاز جدیدی از مطالعات و برنامههای اجرایی شد.امروزه تروریست های فضای IT به جای
استفاده از سلاح های رایج، بمب ها و موشک ها یا سایر ابزارهای معمول از روشهای جدیدی برای پیشبرد
اهداف خود استفاده میکنند . نرم افزارهای مخرب رایانه ای ، ویروس ها، کرم ها، تروجان ها، ایمیل
بمبینگ، گوگل بمبینگ، هک و نفوذ رایانه ای و خرابکاری یا دستکاری های اینترنتی و شبکه ای، بخشی
از ابزارهای تروریست های مجازی به شمار می رود .
امنیت شبکه های سایبری و کلیه سیستم های رایانه ای در هر کشوری از اهمیت زیادی برخوردار
است.تقویت زیرساخت های سایبری همچنین جایگاه ویژه ای در پدافند غیر عامل که به تازگی از سوی
مراجع ذی صلاح در ایران ابلاغ شده است، دارد. اتخاذ تدابیر امنیتی در زمینه فناوری های رایانه ای و
سایبرنتیک مهم ترین اقدام برای پیشگیری از آسیب های احتمالی در برابر هر گونه اقدامات تروریسم
سایبری می باشد . بنابراین برای کاهش تهدیدپذیری ملی در برابر این حملات، در ابتدا باید انواع حملات
احتمالی و روشهای ایجاد این حملات را شناسایی نمود و سپس روشهای مقابله با حملات ، نحوه پاتک
زدن در مقابل آنها و نحوه کنترل این حملات را شناخت و آنها را بکار برد و این میسر نیست جز با
داشتن برنامه جامع و مدون بین تمام سازمانها و نهادها برای پیشگیری و کاهش حملات نفوذگران داخلی
و خارجی. از آنجا که مبحث پدافند غیر عامل به تازگی در ایران مطرح گردیده ، پژوهشهای در این زمینه
هنوز نوپا و در ابتدای راه است. امید که مطالب این مستند در جهت ارتقای سطح علمی و تشویق
دانشجویان پرتلاش، دریچه ای هرچند کوچک را بگشاید .
)3 -1 روش کار و تحقیق
– 1 شناخت اصول و مبانی و تعاریف پدافند غیر عامل
– 2 شناخت تقسیم بندی محیطهای IT و تدابیر امنیتی متناسب با هر قسمت
– 3 شناخت آسیب پذیریهای محیطهای IT
– 4 شناخت چیدمان پیشگیرانه و کاهش نفوذ پدافند غیر عامل
– 5 شناخت انواع سیکلهای امنیتی موجود در استانداردهای ایمن سازی سایتهای کامپیوتری
– 6 ارائه یک سیکل امنیتی بهینه مطابق با نیازهای پدافند غیر عامل در محیطهای IT
۶
فصل دوم
اصول و مبانی پدافند غیر عامل
٧
1 فصل دوم : اصول و مبانی پدافند غیر عامل
)1-2 مفهوم پدافند غیرعامل
پدافند در معنای لغوی مترادف با دفاع است، دفاع نیز بر دو قسم است دفاع عامل و دفاع غیر عامل. دفاع
عامل مبتنی بر فعالیت نیروهای مسلح و متکی بر تسلیحات و تجهیزات نظامی میباشد. [3[
در کنار پدافند عامل، نوع دیگری از دفاع وجود دارد که به آن پدافند غیر عامل میگویند، تعریف این
نوع پدافند در تمام دنیا یکسان است و به دفاعی گفته میشود که متکی به تجهیزات و تسلیحات نظامی
نیست. پدافند غیر عامل مجموعهای از برنامهریزیها، طراحیها و اقدامات است که باعث کاهش آسیب
پذیری در مقابل تهدیدات دشمن میشود. از این مفهوم تحت عنوان بازدارندگی نیز یاد میشود.
سیاستهای اصلی پدافند غیر عامل مبتنی بر بقا و حفظ امنیت میباشد.
به بیان دیگر هر اقدام غیر مسلحانه ای که موجب کاهش آسیب پذیری نیروی انسانی، ساختمان ها،
تاسیسات، تجهیزات، اسناد و شریان های کشور در مقابل عملیـات خصـمانه و مـخرب دشمن گردد،
پدافند غیرعامل خوانده می شود.به بیان سادهتر پدافند غیرعامل، مجموعه اقداماتی است که انجام می
شود تا در صورت بروز جنگ، خسارات احتمالی به حداقل میزان خود برسدو با به کار بردن مجموعه
تمهیدات، روش ها واقداماتی که بدون نیاز به هیچ نوع جنگ افزار نظامی و صرفأ بر مبنای رعایت اصول
طراحی وبرنامه ریزی بتوان آسیب های ناشی از تهاجم دشمن را کاهش داد ویا به را آن حداقل رساند
وموجب بهبود قابلیت های دفاعی و افزایش توان مقاومت گردد .
ـه دف از اجـرای طـ رحهای پدافـند غیرعـامل کاسـتن از آسیبپذیری نیروی انسانی ، تجهیزات حیاتی و
حساس و مهم کشور علیرغـم حـملات خصـمانه و مخرب دشمن و استمرار فعالیتها و خدمات زیر بنایی
و تامین نیازهای حیاتی و تداوم اداره کشور در شرایط بحرانی ناشی از جنگ است. در پدافند عامل تنها
نیروهای نظامی و نیروهای مسلح مسئولیت دارند م ، انند سیستم های ضد هوایی و هواپیماهای رهگیر، در
حالی که در پدافند غیرعامل تمام نهادها، نیروها، سازمان ها، صنایع و حتی مردم عادی می توانند نقش
مؤثری بر عهده گیرند. راهبردها 2-6(
· تعامل گسترده و فراگیر با سازمان ها و ایجاد سازو کارهای مناسب در جهت ایمن سازی و حفاظت
از تاسیسات زیربنایی .
· ساماندهی آمایش سرزمین ملی و آمایش دفاعی از منظر پدافند غیرعامل به منظور استفاده
حداکثری از پهنه جغرافیایی کشور .
· ایفای نقش هدایتی و نظارتی بر سازملن ها و نهادهای کشوری و لشکری در زمینه مطالعات و
طراحی فنی طرح های پدافند غیرعامل .
· بکارگیری و بسیج امکانات در جهت ارزان سازی، تنوع و ابتکار عمل در سامانه ها و شیوه های
پدافند غیرعامل .
١٠
· استفاده حداکثرسازی از پهناوری و عمق سرزمینی و عوارض طبیعی کشور و به کاهش مخاطرات و
خسارات .
· ساماندهی مناسب استفاده از فناوری های نوین به منظور کاهش آسیب پذیری ناشی از وابستگی و
امکان جمع آوری اطلاعات توسط دشمن .
· توسعه و تعامل موثر و سازنده با نهادهای سیاست گذار، قانون گذار و اجرایی کشور .
· توسعه علمی و تولید دانش فنی و ارتقاء فناوری و برنامه جامع آموزشی و همچنین ، بهینه سازی
تولید صنعتی با استفاده از تمامی ظرفیت ها .
· نهادینه نمودن نظام جامع و استفاده از اصول و ضوابط در طرح های توسعه کشور .
· توسعه فرهنگی و ارتقاء باور عمومی و تقویت عزم و اقتدار ملی مسبت به ایمن سازی مراکز حیاتی،
حساس و مهم .
· توسعه فرهنگ و نهادینه سازی باور عمومی نسبت به تاثیر پدافندغیرعامل درکاهش آسیب پذیری ها .
١١
فصل سوم
شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر
عامل جهت پیشگیری و کاهش نفوذ به محیطهای IT
١٢
فصل سوم: شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر عامل جهت پیشگیری و
کاهش نفوذ به محیطهای IT
3( 1 -س ه استراتژی مهم برای ایمن سازی فضای IT
جلوگیری از ایجاد حملات سایبر با ایجاد سد دفاعی در برابر حملات .
کاهش تهدید پذیری ملی در برایر حملات سایبر و پیشگیری از ایجاد حملات سایبر با ارزیابی میزان
آسیب پذیری و کم کردن آسیب پذیری با رفع ضعف های موجود .
به حداقل رساندن زمان برگشت به حالت اولیه و ترمیم خرابیهای ایجاد شده پس از حمله. [1[
3( 2 -ضرورت تامین پدافند غیر عامل در محیطهای IT
منظور از پدافند غیر عامل در محیط های IT ، مجمو عه تمهیدات، اقـدامات و طرحهـایی اسـت کـه بـا
استفاده از ابزار، شرایط و حتی المقدور بدون نیاز به نیروی انسانی، موجب کاهش آسیب پذیری در برابـر
حملات و اعمال برنامه ریزی شده و هدفمند علیه رایانه ها، برنامه ها و اطلاعات ذخیره شده در درون آن
ها می گردد. این حملات میتواند از طریق شبکه های جهانی با اغراض سیاسی یا غیر سیاسی و شخصـی
صورت می گیرد و باعث نابودی یا وارد آوردن آسیب های جدی به رایانه ها و یا زیر ساختهای اطلاعـاتی
کشور گردد .
با این اقدامات پدافندی باید بتوان از یک سو توان دفاعی محیط های IT را در زمان بحران افزایش داد و
از سویی دیگر پیامد های بحران را کا هش و امکان باز سازی آسیبهای وارده را با کمترین هزینـه فـراهم
نمود . در حقیقت باید قبل از شروع تهاجم و پیش آمدن بحران بدنبال تبیین راهکارهـا و ارائـه روشـهای
علمی و عملی بود و با توجه به فرصت هایی که در زمان صلح فراهم می گردد، این تمهیدات می بایست
در متن پروژه های IT لحاظ گردند . به کارگیری این اقـدامات پدافنـدی ، در محـیط هـای IT ، عـلاوه
برکاهش شدید هزینه ها، باعث افزایش قابل ملاحظه کار آیی دفاعی در زمان بحران خواهد شد .
در عصر کنونی با گسترش تکنولوژی اطلاعات یا IT ،گردش امور کشور ها از جمله امور اداری، اقتصـادی،
آموزشی و سیاست به شبکه های کامپیوتری محول گردیده و البته در برخی از کشـورها از جملـه ایـران
حرکتی برای اجرایی نمودن آن صورت گرفته است. بدلیل ساختار شکننده کنونی اینترنت ، که در مقابـل
تهدیدات امنیتی به تلنگری فرو می پاشد، لزوم تامین امنیت این شبکه و حفاظت از اطلاعات مبادلاتی بر
روی این بستر آشفته، امروزه بیش از پیش احساس م ی شود و عدم توجه به آن خسارات غیر قابل جبرانی
به پیکره آ ن کشور، سازمانهای فعال و تمام افراد درگیر با این شبکه ارتباطی وارد می کند . در ایران علاوه
بر مخاطرات فوق ، عدم وجود ستون فقرات انتقال اطلاعـات باعـث شـده جریـان اطلاعـاتی کشـورمان از
شاهراه های اطلاعاتی مغرب زمین عبور کند! و این موضوع نیز به نوبه خود ابتدای نـاامنی محسـوب مـی
شود و از طرفی توسعه دهندگان اینترنت در ایران که بیشتر از صنف تجارند تـا متخصصـین، بـه امنیـت
اطلاعات کمتر توجه نموده و برای کاهش هزینه ها از کنار آن به سادگی می گذرند !
١٣
در عصر کنونی، یعنی عصر اطلاعات، ارائه و استفاده به موقع از اطلاعات شرط اولیه موفقیت افراد و جوامع
بشری محسوب می شود و این میسر نخواهد شد جز با استفاده از ابزارها و تکنیکهـای صـحیح امنیتـی و
تدابیر درست و در ادامه آن دانش به روز شده جهت مقابله با مجموعه تهدیـداتی کـه ایـن بسـتر حیـاتی
ارتباطی را به مخاطره می اندازند. بیشترین نیاز به این ابزارها و تدابیر در محیط سایتهای سخت افزاری و
1 نرم افزاری
قابل مشاهده است. به عبارتی هر جایی که یک شبکه محلی یا اینترانتی متصل بـه اینترنـت
وجود داشته باشد، این تدابیر باید در نظر گرفته شوند. هنگامی که سایتها ساختار منسجم تر و جامعتری
2 به خود می گیرند و تبدیل به مراکز داده
می شوند نیـاز بـه تـدابیر پدافنـدی شـدیدتر مـی گـردد و در
3 بالاترین مرتبه، وجود تدابیر پدافندی در مراکز کنترل شبکه ها
که از اهمیت بالایی برخوردارند، حیـاتی
می باشد. CISCO شرکت SAFE
شرکت CISCO یک نوع معماری امنیتی به نام SAFE طراحی نموده است که یک چارچوب برای طراحی
و پیاده سازی سایتها بصورت امن می باشدو در اصل یک رهیافت امنیتی بـرای طراحـی سـایت شـبکه
ایمن است.این معماری یک برنامه کاری برای ایمن سازی شبکه ها می باشد و فـرض بـر ایـن اسـت کـه
آزمایشگاه تخصصی امنیت شبکه از این معماری اسـتفاده کنـد .ایـن معمـاری بـر حمـلات کـامپیوتری و
روشهای کاهش آنها تاکید دارد. طراحی امن (PRINT BLUE SAFE (سیسکو در واقع رهیافت لایه ای را
١
Secure Architecture For Enterprises (SAFE)
٢٠
برای برقراری امنیت در شبکه ارائه می نماید بطوریکه خرابی یک سیستم منجر به مخـاطره اف تـادن کـل
شبکه نمی شود. این معماری با تجهیزات عملیاتی شبکه های عظیم امروزی رابطه نزدیکـی دارد و نـوعی
معماری امنیتی است که می باید از حملاتی که پارامترهای منابع شبکه را تحت تاثیر قرار می دهد، جلـو
گیری کند. اهداف این معماری به ترتیب اولویت عبارت است از :
– 1 امنیت و کاهش حملات بر اساس سیاستگزاری
– 2 پیادهسازی امنیت در سراسر زیرساخت
– 3 مدیریت و گزارشگیری امن
– 4 احراز هویت و تفویض اختیار به کاربران و مدیران در مورد منابع حیاتی شبکه
– 5 تشخیص نفوذ برای منابع و زیر شبکه های حیاتی
– 6 پشتیبانی از برنامه های کاربردی شبکه ای ایجاد شده
در شکل 3-3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی نشان داده شده است.همانگونه
که در شکل مشخص گردیده، این شبکه از سه بخش تشکیل گردیده است که عبارتند از :
– بخشی که در درون خود سازمان یا شرکت قرار داشته و فقط با قسمتهای داخلـی شـرکت در ارتبـاط
است و با Campus Enterprise نشان داده شده است.
– بخشی که ارتباط شرکت با خارج از آن را برقرار می کند و Edge Enterprise نامیده می شود.
– فراهم کنندگان خدمات ارتباطی که سازمان از طریق آنها با خارج از موسسه، بـه ویـژه اینترنـت
ارتباط برقرار می کند و اصطلاحĤ به آن Edge SP گفته می شود.
شکل : 3 -3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی
معماری SAFE از یک راهکار ماجولار برای ایمنسازی یک سایت بهره میگیرد.این راهکار دو مزیت دارد :
– 1 به معماری اجازه آدرسدهی رابطهای ایمن بین بلوکهای مشغول به کار را میدهد.به عبـارتی اجـازه
می دهد که این معماری، ارتباط امنیتی بین اجزای کارکردی شبکه را نشان دهد .
– 2 امکان ارزیابی و پیادهسازی امنیت به صورت ماجول به ماجول را به طراحان میدهد.
بلوک دیاگرام این معماری در شکل 4-3 نشان داده شده است.
٢١
شکل : 4 -3 بلوک دیاگرام معماری SAFE
شکل فوق شمایی از ماجولها در هر محیط مشغول به کار را نمایش می دهد. هر یک از ماجولهای
وظایف مشخصی را در سایت اجرا می کنند ونیازهای امنیتی خاصی دارند که عبارتند از:
ماجول management : هدف اصلی این ماژول تسهیل مدیریت امنیت همهی device ها و host ها
در سایت می باشد .
ماجول core : این ماجول ترافیک شبکه را کنترل می .کند
ماجول building : SAFE این ماجول را به عنوان بخش وسیعی از سایت که شامل ایسـتگاههای کـاری
کاربران نهایی است، تعریف میکند. هدف این بخش فراهم کردن سرویس برای کاربران نهایی میباشد .
ماجول server : این ماجول به سرویسدهندگان و کاربران سرویسدهی می .کند
ماجول distribution Edge : هدف این ماجول اتصال بخشهای مختلف در سایت است .
ماجول internet corporate : این ماجول اتصال کاربران داخلی را به سرویسهای اینترنت ودسترسـی
کاربران را به اطلاعات سرورها فراهم میکند .
SAFE معماری های ویژگی- 2-2( -4 3
-معماری SAFE نوعی معماری امنیتی است که باید از بیشتر حملاتی که بر منابع با ارزش شـبکه تـاثیر
گذارند جلوگیری کند. بنابراین حملاتی که از اولین خط دفاعی عبور کرده یا از داخل شبکه سرچشـمه
می گیرند باید به دقت شناسایی و سریعĤ جلوی آنها گرفته شود تا تĤثیر آنها بر بقیه شـبکه بـه حـداقل
برسد، ضمن اینکه شبکه باید به ارائه خدمات حیاتی مورد انتظار کاربران ادامه دهد .
1معماری SAFE قابل ارتجاع
است و این خاصیت ارتجاعی شامل افزونگـی فیزیکـی اسـت تـا در برابـر
2 خرابی یک دستگاه، چه از طریق پیکربندی اشتباه
، اشکال فیزیکی یا حمله به شبکه محافظت نماید .
-معماری SAFE مقیاس پذیر است، بدین معنا که با رشد ابعاد شبکه خود را وفق می دهد.
١
Resilient
٢
Misconfiguration
یک برنامه کاری برای داشتن یک امنیت مناسب برای شبکه اسـت، در عـین حـال کـه
انتخاب بین دو مورد زیر یک انتخاب حیاتی به شمار می رود :
استفاده از یک وسیله تخصصی که فقط همان کارکرد که در داخل دستگاه قرار داشته باشد .
استفاده از یک وسیله تخصصی که فقط همان کارکرد خاص را داشته باشد .
در مـوارد حیـاتی معمـولآ از یـک دسـتگاه
به عنوان مثال می توان در یک روتر از یک IOS استفاده کرد کـه نـرم افـزار
ولی اگر حیاتی باشد، بهتر است از یک دیواره آتش در کنار یک روتر ساده
پدافند غیر عامل ، نحوه چیدمان ساختار شبکه می باشـد بـه گونـه ای ه کـ
کمترین آسیب پذیری را از ناحیه حملات کامپیوتری، هکر ها و دسترسی های غیر مجـاز داشـته باشـد .
ایت بایـد محـدودیتهایی در سـطوح مختلـف، اعـم از
بدین منظور باید از دیوارهای آتش با چیدمان و ترتیبـی کـه در
تدبیر دیگری که به عنوان تدبیر سخت افزاری مـی تـوان
ر سلسله مراتبی برای برقراری ارتباط در شبکه ها می باشد. مزیت استفاده از
[1
دیوارهای آتش مورد نیاز برای ایجاد پدافند غیر عامل در شبکه
١
Tier zero
٢
Backbone
٢٢
SAFE یک برنامه کاری برای داشتن یک امنیت مناسب برای شبکه اسـت، در عـین حـال کـه
شبکه باید عملکرد خوبی از خود نشان دهد.
در اعمال کارکردهای امنیتی برای شبکه، انتخاب بین دو مورد زیر یک انتخاب حیاتی به شمار می رود
استفاده از یک وسیله تخصصی که فقط همان کارکرد که در داخل دستگاه قرار داشته باشد
استفاده از یک وسیله تخصصی که فقط همان کارکرد خاص را داشته باشد
این انتخاب بستگی به عمق مورد انتظـار از آن کـارکرد دا . رد در مـوارد حیـاتی معمـولآ از یـک دسـتگاه
جداگانه استفاده می شود. به عنوان مثال می توان در یک روتر از یک
دیوار آتش را هم با خود دارد. ولی اگر حیاتی باشد، بهتر است از یک دیواره آتش در کنار یک روتر ساده
استفاده نمود .
نحوه چیدمان پیشگیرانه پدافند غیر عامل
چیدمان پیشگیرانه پدافند غیر عامل ، نحوه چیدمان ساختار شبکه می باشـد بـه گونـه ای
کمترین آسیب پذیری را از ناحیه حملات کامپیوتری، هکر ها و دسترسی های غیر مجـاز داشـته باشـد
جهت تعریف مراحل دسترسی به قابلیتهای یک سـ ایت بایـد محـدودیتهایی در سـطوح مختلـف، اعـم از