tablighat1


محافظت از شبکه توسط مسیریاب ها


مسیر یاب علاوه بر قابلیت های اتصال شبکه های مختلف به یکدیگر، در زمینه  امنیتی نیز می تواند مورد استفاده قرار گیرد. در این بخش نحوه برقراری امنیت در لبه شبکه توسط مسیریاب را بررسی می کنیم.

شکل زیر نمونه ای از ارتباط یک شبکه امن شده با اینترنت می باشد:

router11

علاوه بر آن مسیر یاب میتواند به صورت یکی از عناصر(لایه محافظتی) در روش دفاع در عمق بوده و از ابتدای ارتباط شبکه با دنیای خارج کار محافظت را انجام دهد.

مطابق شکل زیر، مسیریابی که در لبه شبکه قرار گرفته و به عنوان اولین نقطه کنترلی می باشد، به Screen Router معروف است. این مسیر یاب دارای مسیر های ثابتی است(Static route) که شبکه داخلی را به فایروال ارتباط می دهد. فایروال موجود نیز کنترل های بیشتری را روی ارتباطات انجام میدهد. علاوه بر این میتواند کار تصدیق هویت کاربران را نیز انجام دهد. بدلیل اینکه مسیر یاب دارای روش های امنیتی بیشتری برای این کار می باشد پیشنهاد میشود که این کار توسط مسیر یاب انجام گردد.

router21

روش دیگر استفاده از یک مسیریاب بین فایروال و شبکه داخلی، و مسیر یاب دوم بین فایروال و اینترنت می باشد. این راه قابلیت اعمال کنترل ها را  در دو نقطه میسر می سازد علاوه بر این در این طرح میتوان یک شبکه بین دو مسیر یاب داشت که به ناحیه غیر نظامی (de-militarized zone) معروف است. اغلب این  ناحیه برای سرور هایی که باید از اینترنت در دسترس باشند، استفاده میگردد.

router31

 بعد از اینکه ارتباطات و طراحی امن شبکه صورت گرفت، پیاده سازی رویه و روال های کنترلی روی ارتباطات (Packet filtering)انجام خواهد شد.

کنترل بسته های  TCP/IP:

فیلترینگ بسته های TCP/IP امکان کنترل اطلاعات منتقل شده بین شبکه ها  را بر اساس آدرس و پروتکل های ارتباطی میسر میسازد.

مسیریاب ها روشهای مختلفی را جهت کنترل دارند. بعضی از آنها فیلترهایی دارند که روی سرویس های شبکه در هر دو مسیر ورودی و خروجی اعمال میکند ولی انواع دیگر آنها تنها در یک جهت کنترل را اعمال می کنند.( سرویس های زیادی  دو سوی می باشند. به طور مثال کاربر از کامپیوتر A به کامپیوتر B ، Telnet کرده و کامپیوتر B اطلاعاتی را به کامپیوتر A می فرستد به همین دلیل مسیر یاب ها برای کنترل این گونه ارتباطات نیاز به کنترل دو سوی دارد). بیشتر مسیر یاب ها میتوانند بسته ها را  بر اساس:

-          آدرس مبدا

-          آدرس مقصد

-          پورت مورد استفاده مبدا و مقصد

-          نوع پروتکل مورد استفاده کنترل کنند.

از قابلیت های دیگر روتر، فیلتر بر اساس وضعیت مختلف بیت های آدرس می باشد. اگر چه روترها نسبت به محتویات بسته ها(Data) کنترلی نخواهند داشت.

فیلترینگ بسته ها، از مزایای بسیار مهم مسیر یاب هایی است که بین شبکه های امن و دیگرشبکه ها قرار میگیرد. در این توپولوژی، مسیریاب میتواند سیاست امنیتی را اعمال کند یا پروتکل ها را Reject نماید و  یا اینکه پورت ها را مطابق سیاست نامه امنیتی بسته نگه دارد. 

فیلترها از نظر اعمال محدودیت روی آدرس اهمیت فراوان دارند. به طور مثال در شکل زیر، مسیر یاب می بایست مشخص کند، بسته های اطلاعاتی را که از  فایروال به خارج شبکه فرستاده می شوند، باید دامنه خاصی از آدرس را داشته باشند. این محدودیت بنام کنترل خروجی یا Egress filtering معروف است.

همین روش برای ارتباطات ورودی نیز صحیح است و به نام کنترل ورودی یا Ingress filter مشخص میشوند.

 router41

حذف پروتکل هایی که دارای ریسک بالایی هستند، از دیگر از مواردی است که می توان روی مسیریاب انجام داد. جدول زیر نشان دهنده سرویس ها و پورت های آنها می باشد که باید روی مسیر یاب غیر فعال گردند. 

router5
router6 

و جدول زیر شامل سرویس ها یا پورت هایی هستند که می بایست در برابر  دسترسی کابران خارجی،  روی خود مسیر یاب غیر فعال شوند تا از دسترسی غیر مجاز به مسیر یاب و اطلاعات شبکه جلوگیری کند:

router7

معمولا سازمان ها یا شرکت ها  بسته به نوع استفاده از اینترنت، دارای  لیست  استانداردی از پورتهای مورد نیاز می باشند که باز بوده و پورت های غیر از این لیست غیر فعال میشوند. در بیشتر موارد، فیلترینگ باید روی ترافیک خروجی و ورودی اعمال شود تا بتوان از حمله های احتمالی به شبکه جلوگیری به عمل آورد. در قسمت بعد به بررسی سیاست نامه امنیتی مسیر یاب و چک لیست امنیتی آن خواهیم پرداخت.

منبع: همکاران سیستم


برچسب ها:, ,
ارسال شده در ترفند و آموزش امنيت شبكه | ۲ نظر »


۲ پاسخ به “محافظت از شبکه توسط مسیریاب ها”

  1. توسط kasra در تیر ۳۰, ۱۳۸۸ | پاسخ

    man kamtar siti didam ke matalebe takhasosi be in khoobi bezaran ta mitooni az in maghalat bezar mamnoon misham.

    پاسخ سريع

    مدیر سایت

    ممنون از لطف شما. حتما همینطور خواهد شد.

    پاسخ سريع

نظر بدهید

به صورت خودکار کلمات فینگلیش را به فارسی تبدیل کن. در صورتی که می خواهید انگلیسی تایپ کنید Ctrl+g را فشار دهید.