احراز هویت

امروزه دغدغه اصلی مدیران موفق در سازمان‌ها و شرکت‌ها مسئله امنیت ارتباطات در شبکه می‌باشد و با توجه با اینکه درصد بالایی از تهدیدات و حملات (خواسته و یا نا خواسته) توسط کاربران داخل شبکه صورت می‌پذیرد ، ارائه راهکارهای مناسب این بخش از نیازهای اصلی هر شبکه ای می‌باشد.

بر اساس آمار مطابق شکل ذیل درصد بالایی از تهدیدات شبکه‌ای توسط کاربرانی ایجاد می‌شود که بعنوان میهمان وارد مجموعه می‌شوند.(حدود (58% همچنین کاربرانی که از راه دور به منابع شبکه دسترسی پیدا می‌کنند در رتبه بعدی تهدید ها (57%)به حساب می‌آیند.از طرف دیگر نزدیک به 50 درصد تهدیدات شبکه‌ای نیز توسط کاربران بی سیم ایجاد می‌شوند.

از طرفی با توجه به همگانی شدن شبکه جهانی اینترنت و تلاش سازمان‌ها به ارائه سرویس‌های تحت اینترنت، نگرانی بسیاری را نیز در خصوص امنیت این ارتباطات بوجود می‌آورد.

در این خصوص شرکت شبکه امن با ارائه راهکارهای مناسب احراز هویت در شبکه ، این امکان را فراهم می‌سازد تا سازمانها و شرکتها به سادگی هر چه بیشتر به درصد بالایی از امنیت در شبکه دست یافته و تا حد بالایی از میزان تهدیدات شبکه‌ای بکاهند.

با توجه به موارد فوق راهکارهای مناسب امنیت شبکه بر مبنای نیاز سازمان ارائه می‌گردد :

نیاز 1 : کنترل استفاده از UserName  و Password   کاربران شبکه:

 با استفاده از Active Directory میتوان سطح دسترسی کاربران را تعیین نمود. در واقع درشبکه‌های امروزی می‌توان گروه‌های کاری مختلف با حق دسترسی مشخص ایجاد کرد. در شبکه‌هایی که بر مبنای Active Directory پایه گذاری می­شوند، UserName  و Password از اهمیت بسیار بالایی برخوردار خواهند بود. به عنوان مثال در صورتی‌که UserName و Password کاربری که حق دسترسی بالایی دارد به دست فرد یا افراد غیر مجاز بیفتد، آن شخص قادر به اعمال تغییرات و تاثیرات بسیار در اطلاعات و داده‌های سازمان خواهد بود.

چه راه حلی جهت کنترل UserName و Password   کاربران موجود در شبکه وجود دارد به نحوی که کاربران امکان استفاده از نام کاربری یکدیگر را بدون اطلاع هم نداشته باشند ؟

راهکار 1 :

در شبکه‌های مبتنی برActive Directory ، بهترین روش جهت کنترل هویت کاربران استفاده از مکانیزم "احراز هویت دو وجهی" یا Two-Factor Authentication می‌باشد .اساس کار این سیستم بر دو محور است :

1 چیزی که دارید (OTP)

2 چیزی که می‌دانید

در اینصورت جهت حداکثر امنیت در حوزه احراز هویت (Authentication) به هر کاربر شبکه یک عدد OTP داده خواهد شد و کاربران در کنار UserName و Password خود می‌بایست کد تولید شده توسط OTP را نیز جهت Login به شبکه وارد نمایند .

OTP(One-Time Password) ها سخت افزار هایی هستند (مطابق شکل ذیل) که با فشار دادن کلید روی آن یک کد 6 رقمی تولید خواهد شد که فقط در همان زمان و یا در همان یک ارتباط معتبر هستند و کاربر امکان خواهد داشت تا با استفاده ار UserName و Password مربوط به Active Directory به همراه این کد به شبکه وارد شده و از منابع آن استفاده نماید.

با استفاده از این مکانیزم حتی اگر UserName و Password یک کاربر دزدیده شود امکان Login به شبکه را نخواهد داشت به این دلیل که جهت Login به شبکه علاوه بر دانستن UserName و Password می‌بایست OTP متناظر آن Username را نیز دارا بود.

نیاز 2 : کنترل دسترسی و مدیریت تجهیزات شبکه

در هر سازمان و مجموعه‌ای استفاده از انواع switch ها، روترها، firewallها، access pointها و IPS/IDSها بدیهی می‌باشد و جهت پیکربندی و مدیریت این تجهیزات می‌توان با ابزار هایی نظیر  Telnet ، SSH ، WebUI و …… به آنها متصل شده و تغییرات مورد نیاز را اعمال نمود. مدیران شبکه برای کنترل این منابع،گروه‌های کاری مختلف با حق دسترسی متفاوت ایجاد  می‌کنند.

کاربران این گروه ها را می‌توان به صورت locally و یا از کاربران Active directory  انتخاب نمود. کاربرانی که حق دسترسی به این منابع در شبکه را دارند معمولا از مدیران و یا کاربرانی با سطح دسترسی بالا در شبکه می­باشند که لو رفتن نام کاربری و کلمه عبور آنها تهدیدی جدی برای شبکه و سازمان بشمار می‌رود، به این دلیل که در صورت دارا بودن حق  دسترسی ( UserName & Password )به تجهیزاتی نظیر سوییچ ،روتر و یا فایروال شبکه، می‌توان با اعمال تغییرات و یا پاک کردن بخشی از پیکربندی‌ها مشکلات بسیاری را ایجاد نمود. لذا حفاظت و مدیریت دسترسی ها به تجهیزات شبکه نظیر سوييچ ها ، روتر ها و … از اهمیت بسیار بالایی برخوردار می‌باشد.

چگونه میتوان نحوه دسترسی به این تجهیزات (Switch,Router,Firewall,…) را به حداکثر رساند به گونه‌ای که فقط و فقط کاربران مجاز قادر به برقراری ارتباط با آن باشند و حتی در صورت دزدیده شدن UserName و Password امکان Login کردن به آن تجهیزات وجود نداشته باشد؟

راهکار 2 :

از آنجا که دسترسی به سوییچها ، روتر ها و فایروال‌های یک سازمان، می‌تواند به منزله دسترسی به کلیه اطلاعات مربوط به آن سازمان باشد، کنترل این دسترسی‌ها و اینکه چه کسی حق دسترسی به آنها را داشته باشد از مهمترین بخشهای امنیت آن سازمان خواهد بود. بعنوان مثال در صورتی‌که فردی با استفاده از اطلاعات Login  مسئول این تجهیزات وارد آنها شده و با استفاده از چند دستور ساده این امکان را فراهم آورد که یک کپی از اطلاعات یک سرور خاص و یا یک Vlan خاص را در کامپیوتر خود ذخیره نماید ، می‌تواند مخاطرات بسیاری را برای آن مجموعه فراهم آورد

.

بهترین راهکار جهت حل این مسئله استفاده از مکانیزم " احراز هویت چند وجهی " می‌باشد.در این راهکار شما می‌توانید کاربران خود را مجاب به استفاده از OTP برای Login به سخت افزارهای شبکه و کنترل آنها کرده و کاربران در کنار UserName و Password خود می‌بایست کد تولید شده توسط OTP را نیز جهت Login به این دستگاه ها وارد نمایند. در این حالت تنها کاربرانی امکان Login  کردن به این تجهیزات را خواهند داشت که علاوه بر دانستن UserName و Password ، OTP متناظر آن Username را نیز دارا بوده و با استفاده از آن به این تجهیزات متصل شوند .

نیاز 3 :امنیت اتصال به شبکه داخلی سازمان از طریق اینترنت

اینترنت بعنوان یک بستر عمومی و ارزان امکانات بسیاری را برای شرکت‌ها و سازمان‌ها فراهم می‌آورد. سرویس دهی از راه دور یکی از این امکانات می‌باشد.سرویس دهی از راه دور به سازمانها این امکان را می‌دهد که بتوانند از راه دور به سرویس‌های داخلی سازمان نظیر پورتال داخلی، اتوماسیون اداری، ایمیل اختصاصی، سرور ها و سخت افزارهای موجود در شبکه داخلی وصل شده و به کارهای روزمره خود بپردازند.

مسئله اصلی در خصوص اتصال به شبکه داخلی سازمان از طریق بسترهای عمومی نظیر اینترنت، امنیت این ارتباطات خواهد بود .

راهکار 3 :

 در سازمان‌هایی که شبکه آنها به شبکه‌های خارجی دیگر نظیر اینترنت، MPLS ، Wireless و …. متصل میشوند ، از سه ناحیه قابل بررسی خواهند بود :

    Untrust Networks به هرگونه شبکه‌ای که کنترل آن به عهده سازمان نباشد اطلاق می‌شوند. شبکه‌هایی نظیر اینترنت ، MPLS  و … از نوع شبکه‌های Untrust  بوده و می‌بایست در نقطه ورودی این شبکه ها به سازمان حداکثر امنیت را در نظر گرفت.

    Semi-Untrust Networks به بخشی از شبکه سازمان گفته می‌شود که به کاربران خارج از سازمان سرویس دهی می‌کنند. بعنوان مثال می‌توان به بخش DMZ یک سازمان اشاره کرد که وظیفه آن ارائه سرویس هایی نظیر Mail و Web به کاربران خارجی می‌باشد.

    Trust Networkبخشی از شبکه سازمان خواهد بود که هیچگونه ورودی از شبکه های بیرونی نظیر اینترنت و … به آن وجود نداشته و تنها در صورت نیاز می‌توانند از سرویس‌های بیرون از سازمان استفاده کنند.

در حالت عادی اتصال از شبکه Untrust به شبکه Trust بدون در نظر گرفتن Authentication  و Encryption بسیار پرمخاطره بوده و می‌تواند عامل بروز انواع تهدیدات گردد. لذا در صورت نیاز به اتصال به سرویس‌هایی نظیر Portal داخلی ، Email server  داخلی، اتوماسیون و … می‌بایست از VPN استفاده نمود.

VPN در واقع ایجاد یک شبکه اختصاصی در داخل یک شبکه عمومی می‌باشد که بسته به نیاز سازمان‌ها می‌توان از IPSEC-VPN و یا SSL-VPN استفاده نمود

نیاز 4 :ارتباط از راه دور با شبکه داخلی از طریق VPN:

امروزه استفاده از VPN در خصوص سازمان‌هایی با مشخصات ذیل الزامیست :

سازمانهایی که مدیران و کارشناسان آن مجبور به مسافرت های متعدد می‌باشند (Mobile User) و لذا لازم است تا جهت بررسی و پاسخگویی به نامه‌های داخلی سازمان به شبکه داخلی متصل شوند.

پشتیبانی از راه دور نرم افزار‌های سازمان توسط شرکت تهیه کننده آن

اتصال کارشناسان شبکه جهت رفع اشکالات سیستم عامل‌ها و یا تجهیزات از راه دور

و موارد مشابه

در اینصورت استفاده از کدام VPN توصیه میگردد؟ SSL-VPN و یا IPSEC-VPN ؟

راهکار 4 :

در ارتباط Site-2-Site یعنی حالتی که کاربران دو یا چند ساختمان با استفاده از بستر شبکه عمومی نظیر اینترنت ، MPLS  و… به یکدیگر متصل می‌شوند ، استفاده از IPSEC-VPN پیشنهاد می‌گردد ولی در غیر از این پیشنهاد می‌شود تا از ارتباطات SSL-VPN جهت این امر استفاده شود.

برخی از مزایای استفاده از SSL-VPN به شرح ذیل می‌باشد :

کاهش هزینه های نگهداری و پیکربندی در صورت استفاده از SSL-VPN. استفاده از IPSEC-VPN بر روی کامپیوتر کاربران مستلزم نصب نرم افزار VPN-Client می‌باشد. نیاز به نصب نرم افزار اضافی بیانگر پیکربندی پیچیده نرم افزار و در نهایت افزایش هزینه نگهداری میباشد.در صورت استفاده از SSL-VPN  کاربر تنها با استفاده از Browser و با استفاده از پروتکل SSL می‌تواند ارتباط امن را برقرار سازد.

افزایش کارایی و مدیریت دسترسی کاربران با ایجاد حق دسترسی‌ها و گروه‌های کاری، به این صورت کاربران بر مبنای سطح دسترسی خود امکان استفاده از سرویس‌های سازمان را خواهند داشت.

کاهش محدودیت در نوع سخت افزار‌ها و سیستم عامل‌های کاربران به این مفهوم که چون تنها نیاز کاربران جهت اتصال به شبکه سازمان، استفاده از  WEB-Browser می‌باشد لذا کاربران از هر نقطه‌ای و هر سخت افزاری که امکانWeb-Browsing را بدهد ( نظیر Mobile ها  ،KIOSK ها و (…

عدم انتقال مخاطرات به بخش Server Farm توسط کاربرانی که آلوده به انواع تهدیدات نظیر Worm ، Virus و … هستند. با استفاده از SSL-VPN کاربران تنها با استفاده از پروتکل HTTPS و بوسیله Browser  خود از سرویس‌های ارائه شده استفاده می‌کنند و بر خلاف IPSCE-VPN هیچ‌گونه ارتباط مستقیمی با سرورها نخواهند داشت.

جهت افزایش امنیت می‌توان با استفاده از مکانیزم‌های Multi-Factor Authentication نظیر OTP و TOKEN به کاربران اجازه داد تا پس از احراز هویت از سرویس‌های ارائه شده استفاده نماید. در این حالت در صورت دزدیده شدن Username  و Password هم امکان اتصال به سیستم وجود نخواهد داشت.