ایتا دانشگاه     آی گپ دانشگاه     روبیکا دانشگاه
مرکز آموزشی،پژوهشی و درمانی روانپزشکی ابن سینا و دکتر حجازی

اداره فناوری اطلاعات

بازدید: 2452
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

امنيت شبکه هاي کامپيوتري

امنيت شبکه هاي کامپيوتري از مهمترين مسائل مبتلا به شبکه هاي کامپيوتري است. مهمترين رکن برپائي يک شبکه پس از پيکربندي صحيح سخت افزاري مساله تضمين امنيت شبکه است. اين مساله در محورهاي زير بررسي شده است:
کليات امنيت شبکه کامپيوتري
امنيت شبکه هاي بدون سيم
آشنائي با FireWall

حفاظت، پشتيباني و نگهداري از داده‌هاي رايانه‌اي، اطلاعات مهم، برنامه‌هاي حساس، نرم‌افزارهاي مورد نياز و يا هر آنچه كه در حافظه جانبي رايانه مورد توجه بوده و با اهميت مي‌باشد، امنيت رايانه‌اي ناميده مي‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند.

این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.

Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.


Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد: - تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد. - تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد. - یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.


Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.

امنيت در يك شبكه به 2 روش صورت مي پذيرد.
- برنامه هاي نر‌م‌افزاري
- قطعه‌هاي سخت‌افزاري
در بهترين حالت از برنامه هاي نرم افزاري و قطعات سخت افزاري بطور همزمان استفاده مي گردد. عموماً برنامه‌هاي نرم‌افزاري شامل برنامه‌هاي ضدمخرب (مخرب‌ها شامل ويروس، كرم‌هاي مهاجم، اسب‌هاي تراوا، مخفي‌شده‌ها و .... ) و دیوار آتش مي‌باشد. قطعات سخت‌افزاري نيز عموماً شامل دیوار آتش مي‌شود. اين قطعه‌ها موجب كنترل درگاه‌هاي ورودي و خروجي به رايانه و شناخت كامل از حمله‌كننده‌ها بخصوص نشانه‌هاي خاص مهاجم را ايجاد مي نمايد.


در اولين مرحله امن سازي يك شبكه ابتدا بايد سازمان را به يك برنامه ضدمخرب قوي مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابليت بروزآوري مجهز نمود، تا بتواند در مقابل حمله برنامه هاي مخرب واكنش مناسبي ارائه نمايد.
در مرحله دوم امن سازي يك شبكه بايد از دستگاه تقسيم‌كننده استفاده نمود.
در مرحله سوم امن سازي، نياز به خريد برنامه نرم افزاري و يا قطعه سخت‌ افزاري دیوار آتش احساس مي شود.

در مرحله چهارم امن سازي نياز به وجود قطعه سخت‌افزاري ديگري به نام مسيرياب براي شبكه داخلي مي‌باشد كه ضمن قابليت پيكربندي، براي نشان دادن مسير ورودي ها و خروجي ها، اشتراك اينترنت، تنظيم ورودي ها و خروجي هاي ديوار آتشين، و همچنين خروج اطلاعات به شكل اينترنتي از سازمان به رايانه هاي شهري و يا بين شهري از طريق خطوط تلفن و ... استفاده نمود


در مرحله بعدي امن سازي يك سازمان نياز به وجود دستگاه هاي تنظيم جريان برق و دستگاه هاي پشتيبان جريان برق اضطراري براي ارائه خدمات به صورت تمام وقت، بدون قطعي و تنظيم جريان برق، تمامي قطعه‌هاي سخت افزاري راهبر يك شبكه شامل تقسيم‌كنند‌ه‌ها، مسيرياب ها ، سرويس‌دهند‌ه‌هامي باشد. اين سيستم به دليل ايجاد خطرات احتمالي ناشي از قطع جريان برق نظير از بين رفتن اطلاعات در حال ثبت بر روي سرويس‌دهنده ها، تقسيم كننده ها، مسيرياب ها مي‌باشد.


به عنوان آخرين مرحله امن سازي، تهيه از اطلاعات و فايلهاي مورد نياز به صورت پشتيبان از برنامه‌هاي اصلي نرم‌‌افزاري بر روي يك سرويس‌دهنده پشتيبان ، آخرين لايه امن سازي درون سازماني را تكميل مي نمايد.


- بررسی میزان امنیت مورد نیاز کامپیوترها با توجه به اطلاعات ذخیره شده روی آنها، محیطی که در آن قرار گرفته اند، موارد و روشهای استفاده از آنها
بررسی تنظیمات موجود روی کامپیوترها و تشخیص آسیب پذیریها و سوراخهای امنیتی با استفاده از برنامه های جدید و حرفه ای
انجام تنظیمات و نصب برنامه های لازم جهت ارتقای امنیت منطقی کامپیوترها پیاده سازی امنیت برای فایلها
- کنترل میزان دسترسی کاربران به فایلها بر اساس موارد زیر: الف- فقط خواندن ب- خواندن و ویرایش ج- خواندن، ویرایش و حذف  د- خواندن، ویرایش، حذف و کنترل دسترسی دیگران
ثبت دسترسی کاربران مورد نظر به فایلهای تعیین شده (برای مثال جهت تشخیص کاربری که فایلهای خاصی را ویرایش می کند) - پیاده سازی رمزگذاری فایلها (Encrypting File System ) جهت جلوگیری از دسترسی کاربران دیگر (حتی مدیر شبکه) به آنها

 

دیواره آتش برای جدا کردن شبکه ها از همدیگر به کار می رود با استفاده از یک Firewall مناسب اهداف زیر محقق می گردد.
1- می توان سیاستها و سرویسهای ارائه شده در شبکه ها را از همدیگر بصورت مجزا نگهداری ، مدیریت و کنترل نمود.
2-انتخاب سرویس های داخلی ارائه شوند به بیرون از شبکه و یا بالعکس
3 -کنترل امنیت و مدیریت دسترسی های کاربران
4- حفاظت از اطلاعات درمقابل کسانی که قصد نفوذ به شبکه داخلی را دارند.


ديوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه جهانی قرار می‌‌گیرد و ضمن نظارت بردسترسی‌ها در تمام سطوح ورود و خروج اطلاعات راتحت نظر دارد. در این ساختار هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات را کنترل‌کند موظف است تمام ارتباطات مستقیم شبکه داخلی خود را با دنیای خارج قطع کرده و هرگونه ارتباط خارجی از طریق یک دروازه که دیوارآتش یا فیلتر نام دارد انجام‌شود. بسته‌های TCP وIP قبل از ورود به شبکه یا خروج ازآن ابتدا وارد دیواره آتش می‌شوند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند

شبکه های با قابلیت بالا جهت ارتباط با اینترنت از سخت افزاری های تخصصی استفاده می نمایند ولی نرم افزارهایی هم به همین منظور تولید شده و روی دستگاه های PC نصب می شود برای اتصال مناسب و امن به اینترنت استفاده از نرم افزار firewall ضروری می باشد. ناگفته نماند که ویندوز XP در نسخه SP2 خود این قابلیت را دارا می باشد و دارای امنیت بسیار بالائی جهت اتصال به شبکه می باشد . علاوه بر این توصیه می شود که جهت اتصال به شبکه اینترنت علاوه بر استفاده از Firewall ، از نرم افزارهای مناسب ویروس کش و AntiSpy نیز استفاده شود .
 


يکی از اهداف اوليه و مهم دربرپاسازی شبکه های کامپيوتری ،اشتراک منابع است . منابع موجود در کامپيوتر به دو گروه عمده منابع فيزيکی ( چاپگر) و منابع منطقی ( فايل ها ) تقسيم می گردند.
پس از ايجاد يک شبکه می توان با توجه به بستر ايجاد شده عمليات متفاوتی را انجام داد : 1)اشتراک يک چاپگر بمنظور استفاده توسط کامپيوترهای موجود در شبکه 2)استفاده از يک خط ارتباطی اينترنت توسط کامپيوترهای موجود در شبکه 3)اشتراک فايل ها ی اطلاعاتی با محتويات متفاوت 4)استفاده از بازيهای کامپيوتری که چندين کاربر بصورت همزمان می توانند از آن استفاده نمايند. 5)ارسال خروجی دستگاههائی نظير دوربين های وب برای ساير

کامپيوترهای موجود درشبکه بمنظور بر پا سازی يک شبکه کامپيوتری کوچک، می بايست مراحل زير را انجام داد :
- انتخاب تکنولوژی مورد نظر جهت استفاده در شبکه . اینترنت بعنوان مهمترين تکنولوژی در اين راستا مطرح است . - تهيه و نصب سخت افزارهای مربوطه. هر يک از کامپيوترهای موجود در شبکه می بايست دارای يک کارت شبکه باشند.در صورت استفاده از توپولوژی ستاره ( در حال حاضر متداولترين نوع توپولوژی است ) می بايست از يک دستگاه هاب و در موارد حرفه ای تر از يک دستگاه سوئيچ استفاده کرد . پس از نصب و پيکربندی هر يک از کارت های شبکه در کامپيوترهای مورد نظر ، با استفاده از کابل های مربوطه ( عموما" از کابل بهم تابيده Cat5 استفاده می گردد ) هر يک از کامپيوترها به هاب و يا سوئيچ متصل می گردند

 

با توجه به رشد شبکه ها ی کوچک ، شرکت مايکروسافت از نسخه ويندوز 98CE به بعد امکانی با نام ICS)Internet Connection Sharing) را اضافه نموده است .
با استفاده از ICS می توان يک کامپيوتر را که با استفاده از يکی از روش های رايج نظير : مودم ، DSL ، ISDN و يا کابل به اينترنت متصل است ، به اشتراک گذاشت . ويندوز 98CE و ساير نسخه های ويندوز دارای يک ويزارد بمنظور فعال کردن امکان فوق می باشند.
عناصر نرم افزاری مورد نياز ICS بصورت پيش فرض بر روی کامپيوتر نصب نمی گردند. توجه داشته باشيد که امکان فوق صرفا" می بايست بر روی کامپيوتری که به اينترنت متصل است ، فعال گردد. برای فعال نمودن امکان فوق( بر روی کامپيوترهائی که از نسخه ويندوز 98CE استفاده می نمايند) می بايست مراحل زير را دنبال کرد :

 

مرحله اول : از طريق Control Panel ، گزينهAdd/Remove Programs را انتخاب نمائيد.
مرحله دوم : گزينه windows setup را انتخاب و در ادامه آيتم Internet Tools را انتخاب نمائيد.
مرحله سوم : عنصر Internet Connection Sharing را انتخاب نمائيد. در ادامه کليد Next را فعال نمائيد. در صورتيکه ICS پيکربندی نشده باشد ، برنامه کمکی ( ويزارد) مربوط به ICS فعال و در ادامه می توان عمليات پيکربندی لازم را انجام داد.
مرحله چهارم : پس از اخذ اطلاعات ضروری در رابطه با کامپيوتری که ICS بر روی آن فعال شده است ، ويزارد مربوطه نياز به يک عدد ديسکت خواهد داشت . از اطلاعات ذخيره شده بر روی ديسکت فوق بمنظور پيکربندی ساير کامپيوترهای موجود در شبکه که تمايل به استفاده از سرويس ICS را داشته باشند استفاده می گردد.


مراحل فعال نمودن سرويس ICS در کامپيوترهائی که از ويندوز 2000 و يا XP استفاده می نمايند بمراتب راحت تر از مراحل گفته شده فوق است .در اين راستا پس از ايجاد يک Dial-up ، با انتخاب آن و فعال کردن کليد سمت راست ، گزينه Properties را انتخاب نمائيد. در ادامه پنجره Dial-up Connection properties نمايش داده می شود.

 

برای اشتراک خطی ارتباط گزينه "Sharing" را انتخاب نمائيد.

در ادامه گزينه "Enable internet connection sharing for this connection" را انتخاب و ساير موارد و عمليات مورد نياز بصورت اتوماتيک انجام خواهد شد.


برای به اشتراک گذاری و اتصال پرینتر به شبکه ابتدا آن را روشن کرده و به کامپیوتر متصل نمایید. اگر کامپیوتر دارای پورت شبکه است میتوانید کابل شبکه را به آن اتصال دهید. سپس file and printer sharing را روشن کنید. در ویندوز ۷ داریم:
ابتدا به Control PanelNetwork and Sharing CenterAdvanced sharing settings بروید.
برروی فلش کوچک کنار current profile کلیک کنید تا تنظیمات باز شود.
file and printer sharing را پیدا کنید و آن را برروی حالت Turn on file and printer sharing قرار داده و در انتها تغییرات را ذخیره کنید.

 
اشتراک گذاری پرینتر
به منوی استارت بروید و برروی Devices and Printers کلیک کنید.

 برروی پرینتری که می‌خواهید در شبکه به اشتراک گذاشته شود راست کلیک کرده و Printer properties را انتخاب کنید.
به سربرگ Sharing بروید و Share this printer را انتخاب کنید.


اضافه کردن پرینتر تحت شبکه
به منوی استارت بروید و Devices and Printers را انتخاب کنید.
برروی Add a printer کلیک کنید.
برروی Add a network, wireless, or Bluetooth printer کلیک و shared printer را انتخاب کنید.