امنیت شبکه چیست؟

متاسفانه عبارت امنیت شبکه با امنیت اطلاعات در بسیاری از مواقع اشتباه تفسیر و تعریف می شود که همین موضوع خود می تواند زمینه ی نفوذ به شبکه و سرقت اطلاعات را بیش از پیش فراهم سازد و به همین جهت در امنیت شبکه هرگونه اخلال به وجود آمده در ارتباطات شبکه ای چه از داخل و چه از خارج به شبکه ی سازمان در حیطه ی  امنیت شبکه مورد بررسی قرار می گیرد و این در حالی است که امنیت اطلاعات همان حفاظت اطلاعات است که در بسیاری از مواقع به کاربران رایانه ای در سطوح مختلف اداری و سازمانی مرتیط است. به عبارت ساده تر اگر هر چقدر هم برای امنیت شبکه هزینه و طراحی مناسب با پیشرفته ترین تجهیزات امنیتی صورت گیرد ولی کاربران رایانه ای آن سازمان در شبکه به اصول اولیه و استانداردهای امنیتی فناوری اطلاعات پایبند نباشند (ISMS) قطعا بایستی منتظر نفوذ و از دست دادن اطلاعات حساس سازمان باشیم و در این وضعیت عمده ی تهدیدات بیشتر از آنکه از بیرون شبکه ما را تهدید کند عمدتا از طرف کاربران داخل شبکه خواهد بود که می توانند خرابی های جبران ناپذیری به سازمان وارد سازند.

حال که با مفهوم امنیت شبکه آشنا شدیم بایستی بدانیم که هر نیازی در حوزه ی زیرساخت شبکه های رایانه ای نمی تواند فارق از تجهیزات و ابزار متناسب به آن طراحی و پیاده سازی شود و ایجاد امنیت در شبکه نیز از این موضوع مستثنی نیست و تجهیزات و نرم افزارهای بسیار متنوعی در این عرصه خودنمایی می کنند.

بایستی این موضوع را نیز در نظر داشته باشیم که تجهیزات امنیتی شبکه ای از قیمت بسیار بالایی برخوردارند که صرف تهیه و قرار دادن آنها در شبکه نمی تواند امنیت شبکه را فراهم کند و خرید این تجهیزات بایستی با دقت فراوان بر اساس نیازمندی های سازمان و یک طراحی دقیق و منسجم صورت گیرد زیر از زمانی که این گونه تجهیزات در شبکه قرار می گیرند دیگر عملا قلب شبکه محسوب می شوند و در صورت خوب کار نکردن و یا خراب شدن شان کل شبکه دچار اختلال جدی شده و دیگر شبکه ی ما غیر قابل استفاده می شود.

راهکارها

فارغ از آموزش کاربران در چگونگی استفاده از رایانه های سازمان با رعایت استانداردهای امنیتی شبکه ۳ راهکار کلی در برقراری امنیت هر شبکه ای وجود دارد که به شرح ذیل است:

·        ایمن سازی سیستم عامل ها و تجهیزات شبکه ای (Hardening)

در این راهکار سیستم عامل های کاربران و سرورها بروز رسانی شده و آخرین Update ها و Patchهای امنیتی بر روی آنها نصب می شود تا در مقابل انواع تهدیدات خرابکارانه مقاوم گردند و در ادامه تجهیزات سخت افزاری موجود در شبکه همچون سوئیچ ها، روترها و … نیز به آخرین سیستم عامل های مربوطه به روز رسانی شده و در صورت نیاز در همین لایه برخی تنظیمات امنیتی نیز بر روی آنها صورت می گیرد.(فیبرنوری ، کابل کشی)

·        نصب فایروال های نرم افزاری

در این راهکار فایروال های نرم افزاری و آنتی ویروس های تحت شبکه برای کاربران و سرورها نصب، فعال و پیکر بندی می شود و در صورتی که سازمان از لحاظ هزینه کرد و بودجه امکان خرید تجهیزات فایروال سخت افزاری را ندارد با نصب فایروال های حرفه ای در لایه لبه ی شبکه، امنیت شبکه ی سازمان را که مابین شبکه ی خارج (اینترنت و اینترانت) با شبکه ی داخل است را  فراهم می نماید.

·        نصب فایروال های سخت افزاری  و تجهیزات امنیتی                               

عموما این راهکار در سازمان های متوسط به بالا با بودجه ی مناسب در حوزه ی فناوری اطلاعات  قابل اجراست ولی در همین راهکار نیز می توان  با مشاوره، کارشناسی و طراحی مناسب در چگونگی استفاده از اینگونه تجهیزات  هزینه های خرید و نگهداری (تمدید سالیانه ی لایسنس) آنها را تا ۵۰ درصد بدون آسیب زدن به کیفیت خدمات کاهش داد. یکی از تجهیزاتی که در این راهکار مورد استفاده قرار می گیرد فایروال های سخت افزاری و به اصطلاح UTM است که از تنوع بسیار زیادی در سطح جهان برخوردارند.

آشنایی با UTM

اولین ویرایش‌های سیستم مدیریت یکپارچه تهدیدات با نام UTM، از اوایل سال ۲۰۰۳ ایجاد شده است. از آن زمان تاکنون شرکتهای بسیاری وارد این عرصه شده‌اند که بعضا محصول خود را به صورت نرم افزاری و بعضا همراه با سخت افزار ارائه می‌نمایند

راهکار استفاده از UTMدر مواجهه با حملات روز افزون علیه سیستم‌های اطلاعاتی سازمان‌ها از طریق هک، ویروس‌ها، کرم امنیتی (ترکیبی از حملات و تحدیدهای خارجی و داخلی) ضروری به نظر می‌رسد. به علاوه تکنیک‌هایی که کاربران سازمان‌ها را به عنوان لینک‌های ارتباطی ضعیف مورد هدف قرار می‌دهند، عواقبی فراتر از حد تصور در پی دارند. در حال حاضر امنیت داده‌ها و دسترسی غیر مجاز کارمندان به عمده‌ترین نگرانی شرکت‌ها تبدیل شده‌است. به این دلیل هدف‌های مخرب و از دست رفتن اطلاعات منجر به ضررهای زیاد مالی برای شرکت‌ها شده‌است. اصولا این دستگاه‌ها از فناوری ASIC سخت افزاری استفاده می‌کنند تا بالاترین performance را داشته باشند.

Unified Threat Management یا سیستم مدیریت یکپارچه تهدیدات که به اختصار UTM گفته می شودشامل راهکارهای امنیتی خوبی است

• قابلیت اتصال به دیوار آتش یاFirewall
• قابلیت نصب و اجرای virtual private Network
• قابلیت اجرا و نصبAnti-VirusوAnti-Spam
• سیستم تشخیص نفوذ یا (Intrusion Detection and Prevention)
• قابلیت فیلتر کردن محتوا یا همانContent Filtering
• قابلیت مدیریت پهنای باند یا Bandwidth management

در این پروژه ما به بررسی قابلیت ها و آشنایی با برخی تنظیمات ، دو نمونه از UTM های معروف و بسیار کارآمد موجود در بازار ایران می پردازیم

شرکت سوفوس در سال ۱۹۸۵ با تولید محصولات آنتی ویروس و رمزنگاری شروع به کار نمود و در حال حاضر ۱۰۰ میلیون کاربر در بیش از ۱۵۰ کشور دارد و بیش از ۱۰۰ هزار کسب و کار از محصولات این شرکت استفاده می‌کنند. رویکرد امنیتی این شرکت روی ساده سازی و یکپارچه سازی راه کارهای امنیت شبکه متمرکز است و از راه کارهای آن می‌توان جهت امن سازی تمام نقاط شبکه از نقاط پایانی (شامل لپ تاپ‌ها تا دسکتاپ و سرورهای مجازی) تا ترافیک‌های وب و ایمیل و همچنین دستگاه‌های سیار استفاده نمود. شرکت SOPHOS که یکی از برندهای مطرح در زمینه محصولات و خدمات مرتبط با امنیت شبکه و داده‌ها می‌باشد با سرمایه گذاری گسترده در زمینه UTM ها و به مالکیت در آوردن دو برند مشهور Astaro و Cyberoam ( و در نتیجه استفاده از فن آوری های این دو شرکت) ، UTM های SOPHOS را طیف گسترده‌ای از توانایی‌های فنی و امکانات متنوع به عنوان یکی از قابل اطمینان ترین برندهای این حوزه در سطح جهانی عرضه نموده است. UTM های SOPHOS در سالیان گذشته هموار در رتبه بندی معتبر Gartner در رده Leaders جای گرفته و ضمن قرارگیری در کنار برندهای مطرح UTM ، امکانات متنوع و متعددی نظیر امنیت درگاه اینترنت، پست الکترونیک، نرم افزارهای کاربردی تحت وب و گزارش دهی را در قالب تنها یک راه حل و بدون نیاز به استفاده از زیرساخت‌های متعدد و هزینه‌های اضافه گزاف در اختیار کاربران قرار داده است. همچنین، با ارائه نسل جدید این تجهیزات ، سری SG ، علاوه بر افزایش چشمگیر سرعت و توان سیستم، امکانات امنیتی متنوع و متعددی نیز به کاربران عرضه شده است.

سوفوس اولین و تنها فایروالی است که از تکنولوژی ابداعی خود با نام Heartbeat برای یکپارچه سازی و هماهنگی امنیت نقاط پایانی با فایروال بهره می‌گیرد . با این قابلیت فایروال در کوتاه‌ترین زمان از تهدیدات و حملات پیچیده‌ای که روی سیستم کاربران شناسایی می‌شود آگاه شده و به صورت خودکار اقدام دفاعی لازم را انجام می‌دهد.

Sophos UTM  دو مقام بزرگ کسب کرد

محصولات امنیتی Sophos UTM مدل های (SG-Series) موفق به کسب مقام بهترین UTM” و برنده نشان SC Awards Europe 2015 از طرف نشریه معتبر SC Magazine شد. همچنین نشریه PC Pro Magazine محصولات Sophos UTM را لایق دریافت بالاترین نشان ۵ ستاره” دانست و درجه A-List را به این محصولات اعطا کرد. دریافت دو رتبه بطور همزمان نشان دهنده جایگاه ویژه محصولات Sophos UTM در بازار محصولات امنیتی فایروال و UTM است.

محصولات امنیتی Sophos SG-Series در رقابت با محصولاتی نظیر Check Point ،Fortinet و Barracuda برنده شد و موفق به دریافت نشان SC Awards Europe 2015 گردید. به گفته داوران که نشان SC Awards را به مدیران شرکت Sophos اعطا می کردند، محصولات SG-Series دارای قابلیت های امنیتی متنوعی هستند که می توانند شبکه های سازمانی را در هر اندازه ای که باشند، امن و ایمن سازند.

درجه A-List نیز از سوی نشریه انگلیسی PC Pro Magazine پس از شش ماه آزمونهای موفق، به مدل Sophos SG-115 اعطا شد. داوران نشریه، این محصول Sophos را دارای قابلیت های متنوع، کارکرد آسان و قیمت مناسب دانسته و نشان پنج ستاره” را به آن دادند.

 شعار تجهیزات شرکت sophos ساده سازی امنیت (security made simple) است به این معنی این که پیچیده ترین تنظیمات و سخت ترین راهکارهای امنیتی را با  این سخت افزار و سیستم عامل مخصوص خود در کنسول محیط وب به سادگی در اختیار خواهید داشت که انصافا می توان سادگی را همزمان با قدرت قابل توجه اش تجربه کرد.

ارزیابی توان و عملکرد

دستگاه های مدیریت تهدید یکپارچه Sophos  به نحوی مهندسی شده اند که کارایی را به نحو مطلوب ارائه دهند. این دستگاه ها با بهره گیری از فناوری چندهسته ای Intel، درایوهای SSD و با پایش درون حافظه ای محتوا ساخته شده اند. در یک کلام، تاثیر، قدرت و سرعت را با تجهیزات سوفوس احساس خواهید کرد.

نتایج بررسی آزمون موسسه ارزیابی Miercom

اغلب سازندگان تجهیزات امنیتی، اعداد و ارقام بالایی را درباره عملکرد و توان تجهیزات خود اعلام میکنند. اما آزمون یک موسسه ارزیابی معتبر و بیطرف میتواند آنچه را که این سازندگان مدعی هستند، تایید یا رد کند.

موسسه ارزیابی  Miercomبا  26سال سابقه در آزمون و ارزیابی تجهیزات شبکه های کامپیوتری و مخابراتی، یکی از پیشگامان و موسسات مستقل در این حوزه می باشد. موسسه ارزیابی  Miercomمجموعه گسترده ای از آزمون ها را برای ارزیابی و مقایسه تجهیزات امنیت شبکه شرکت های  WatchGuard ،Fortinetو  Dell SonicWALL با محصولات جدید  Sophos SG‐Series انجام داده که نتایج آنها را در این جزوه می توانید مطالعه کنید. در آزمونهای  Miercomمحصولات چهار شرکت سازنده تجهیزات امنیت شبکه با ظـرفیت مناسب بـرای شبـکه های ۵۰تا  100کاربر انتخاب شده اند.

Sophos SG‐۲۱۰ & SG‐۲۳۰

Fortinet FortiGate 100D

WatchGuard XTM‐۵۲۵

DELL SonicWALL NSA‐۲۶۰۰

تمام آزمون ها در آزمایشگاه های موسسه  Miercomو با جدیدترین ابزارهای آزمون و ارزیابی ساخت شرکتهای Ixia و Spirentانجام شدهاند. مواقعی که امکانپذیر بوده، مخلوطی از ترافیک شبکه که شرایط محیط واقعی را شبیه سازی میکند، برای آزمون توان تجهیزات استفاده شده است. به عبارت دیگر، احتمال دارد نتایج به دست آمده از آزمون های Miercomبا اعداد و ارقام درج شده در مستندات شرکت های سازنده که تحت شرایط ایده آل به دست آمده است، مطابقت نداشته باشد. توان و عملکرد تجهیزات در روزمره ترین حالت شبکه های کامپیوتری مورد آزمون قرار گرفته اند. محصولات Sophos SG‐Seriesدر آزمون های زیر بالاترین رتبه را کسب کرده اند.

Firewall

Firewall + Application Control

Firewall + IPS

Connections / second

(Firewall Throughput)

دیواره آتش، اساسی ترین وظیفه یک دستگاه  UTMاست. هرگونه کندی در این قسمت، بر عملکرد کلی دستگاه تاثیر منفی خواهد داشت. بنابراین توان دیواره آتش در حالت ایدهآل، باید برابر توان اتصالات شبکه باشد. در این آزمون، از سه درگاه ۱Gbps دستگاه ها برای بررسی توان آنها استفاده شده است که در تئوری، توان کل دیواره آتش هم باید حداکثر ۳Gbps (ظرفیت مجموع درگاه های شبکه) باشد. در این آزمون، تنها تجهیزات  Sophos SG‐Series توانی برابر با ظرفیت شبکه ارائه دادند.

(Maximum Firewall Throughput)

از آنجا که آزمون  ،۳Gbps قادر به نمایش حداکثر توان و عملکرد دیواره آتش محصولات  Sophosنبود، آزمون دیگری برای کشف حداکثر توان این تجهیزات انجام شد. در آزمون دوم، از تعداد درگاه های بیشتری به صورت دو طرفه برای ارسال ترافیک به دستگاه، استفاده شد. در این آزمون، هر دو محصول  Sophos SG‐۲۱۰و