Chapter 12 : Conclusions and Outlook
مرور
اگر درست در نظر گرفته ،اجرا ، گسترش و اداره شده باشد،یک سیستم امنیتی قادر به تولید عامل مؤثر دسترسی به کنترل سرویسها برای جمع شدن ناسازگاریهاست. در نتیجه در بیشتر شبکه اداره کننده ی تنظیمات، سیستم های امنیتی چنان است که آنها اول : در مقابل حمله های خارجی ،دفاع کنند. و بعد باعث معرفی و بحث از عقاید و اصول اساسی و پایه از تکنولوژی سیستم های امنیتی می شوند. اجزاء آن: ( بسته های اطلاعات، فیلترها، گذرگاههای مدارات پیچیده و گذرگاه درخواستها) و تعدادی پیکربندی ممکن است.
ما این فصل را تا پایان بخش 2 برای رسیدن به یک تصویر رایج و روشن درباره ی خلاصه ای از دستورالعملها در پیشرفت و توسعه و بازبینی سیستم های امنیتی در آینده و نقش مهم سیستم های امنیتی در آینده ی اطلاعات ادامه می دهیم.
در ابتدا مسئله قابل توجه از موارد امنیت یک صورتی ازوجود مسائل امنیتی در اینترنت است و این احتمال وجود ندارد که آنها در آینده ناپدید شوند. در این صورت تکنولوژی سیستم امنیتی بیشترین توسعه را نسبت به تکنولوژی امنیت در اینترنت داشته است.تعداد زیادی شرکت و سازمان بطور مداوم بازار را مورد بررسی قرار می دهند و نتایج متناظر ( با نیاز بازار) تولید می کنند. دردنیا بین چندین فروشنده ی کامپیوتر اطلاعات متناسب با نیاز، ردوبدل می شود.این موارد تکنولوژی نرم افزار Check Point را هم شامل میشود. پایگاه آزادی برای ایمنی در سال 1997 کشف شد ،ابتکاری مانند OPSEC برای تکمیل تکنولوژی سیستم امنیتی در آینده بسیار مهم است.
با وجود موفقیت تجاری آنها ، تکنولوژی سیستم امنیتی در جامعه ی اینترنت بصورت یک موضوع حساس و هیجان انگیز باقی مانده بود. ما بطورمختصر آرگومانهای بزرگتری را بیان کردیم.
• سیستم امنیتی رسیدگی به سیستم دفاعی همچون پیش بینی های امنیتی مهم و حفاظت دوبل است زیرا آن توابع امنیتی در یک محل و موقعیت واحد جمع شده اند و به طور ساده ای نسب، پیکربندی و مدیریت می شوند. تعداد زیادی شرکت و سازمان، سیستم های امنیتی را همچون مأموران متحد برای Download کردن و نرم افزار تصحیح برنامه و ...استفاده می کنند.
برای یک تولید کننده، تکنولوژی سیستمهای امنیتی را جالب توجه است زیرا قوانین رمزگذاری برای آنها استفاده نشده بود، ولی قابل صدور و رمزگذاری بود، ضمن اینکه استفاده از تکنولوژی اینترنت برای هرکدام ازپروتکل های TCP/IP محدود شده و خیلی تکنیک مشابه می تواند در هر بسته ی کلید شده ی داده ی شبکه همچون شبکه ی داده ی X.25 استفاده شود.
• منتقدان سیستمهای امنیتی معمولا نگران اجرای درست دستگاه،اداره و استفاده از سیستمها هستند، بعلاوه اینکه مداخله ی آنها با قابلیت استفاده و اینترنتِ قدرتی کاملا درست است. آنها درخواست کردن که سیستمهای امنیتی طوری پردازش شوند که رمز اشتباه را دریافت کنند وآن را درمحدوده ی سیستمهای امنیتی راهنمایی کنند.
منتهی سیستم امنیتی پشتیبانی می کند و منتقدان نیز موافق هستند که سیستم های امنیتی ابزاری قدرتمند برای امنیت شبکه هستند.اما آنها یک وسیله ی رفع مشکل یا یک نشانه ی جادویی برای همه ی شبکه ها و مسائل امنیتی مربوط به اینترنت نیستند در نتیجه آنها نباید جانشین برنامه ریزی امنیتی درون یک محیط متحد شوند. همچنین یک سیستم امنیتی اگر تنها برای عبور همه ی داده از اینترنت پیکربندی شده باشد مفید است . این حالت همیشگی نیست،همچنین پایگاه های زیادی که اجازه دسترسی به مودمها را می دهند، طوری تنظیم شده اند که به سراسر نقاط مختلف نفوذ کنند. این یک انرژی نهفته است و می توانست مانع محافظتهای آماده شده بوسیله سیستم امنیتی باشد. یک روش بهتر برای بررسی مودم ها ترکیب آنها در یک دسته است. در حقیقت یک دسته مودم مرکب از چندین مودم متصل به پایانه سرورتشکیل شده است. یک شماره ورودی اتصال کاربر، به پایانه سروروسپس از آنجا به سیستم های داخلی متصل می شود.تعدادی پایانه ی سرور خصوصیات امنیتی را آماده می کنند که بتوانند اتصال به سیستم ویژه را محدود کنند یا به درخواست کاربر آنها را تصدیق کنند. بدیهی است RADIUS یاTACACS باضافه ی توانایی ارتباطات ایمن بین سرور و یک سرور امنیتی مرکزی استفاده کرد. بعضی وقتهاکاربر مجاز به دسترسی ، تنها شماره ی خروجی را می خواهد. این کاربرها احتیاج به شناسایی قابلیتهای آسیب پذیری دارند ، اگر آنها بی دقتی کنند ممکن است برای ایجاد شماره ی خروجی از مودم استفاده کنند. ورود به یک شماره خروجی آسان است. اگرپیش بینیهای مناسب پذیرفته شود یک شماره خروجی قابل قبول به آسانی یک شماره ورودی قابل اجرا می شود.
در کل، شماره ی ورودی و خروجی قابل اجرا باید در طرحی از سیستم امنیتی مطرح شوند و در درون آن متحد شوند. کاربران خروجی مجبورند که از میان سیستم امنیتی شناسایی عبورکنند.
در مجموع مودمهای مجاز، دو نوع از مسائل امنیتی که سیستم های امنیتی نمی تواند آدرس دهی کنند وجود دارد:
• سیستم های امنیتی دربرابرحمله های داخلی چنانکه ذکر شده به کار می افتد و این حمله ها نباید اصلا از سیستم امنیتی عبورکند. در نتیجه سیستم امنیتی اطلاعی ازهرچیزی که در داخل اتفاق می افتد ،درباره ی حفاظت، ندارد. محافظت در برابر حمله های داخلی می تواند تنهابوسیله طراحی، اجرا وگسترش دادن مختصات کدهای بیان تصدیق، اجازه عبور و کنترل موفق قطعات درون سیستم امنیتی باشد.بعلاوه داخل سیستمهای امنیتی می تواند از مقادیر محدود در برابر حمله های داخلی استفاده شود.
• به همین نحو سیستم های امنیتی در حالت کلی نمی توانند در برابر حمله های رکوردهای شخصی که ذخیره شدند محافظت شوند.همچنین آنها بوسیله نرم افزار کاربر آلوده به ویروس از بایگانی یا انتقال مشابه، ویروسی میشوند.فایلهای برنامه در حالت MIME ضمیمه به پیغامهای ایمیلی است. زیرا ممکن است این فایلهای برنامه، رمزگذاری شده، فشرده شده وبصورت متن رمزگذاری شود.درهریک ازاین راهها، یک سیستم امنیتی همیشه نمی تواند آنها را برای بررسی ودانستن کد مخصوص ویروس ، وارد کند.برای ویروس های بزرگ که ممکن است شامل فایل داده ی بی ضررباشند( مانند: یادداشتهای Word و جملات PowerPoint ) درست مشابه است. این ممکن و خیلی شبیه است که این مسائل در آینده بیشتر جدا شوند،همینطور چون بیشتر عبور و مرور داده ها در یک پایانه رمزگذاری شده، در حالت کلی زیاد امکان ندارد اما برای یک سیستم متوسط ( مانند: یک سیستم امنیتی یانماینده ی سرور) با آشکار ساختن عبورومرور داده به ساخت پایگاه باهوش ، درباره تشخیص کد اشتباه است.محافظت در برابر حمله رکوردهای شخصی می تواند تنها بوسیله ی داشتن راه درمان در شرایطی از پذیرفتن نرم افزارقبول شود، نصب و زمان اجرای آن بهتر از داشتن و استفاده ی نرم افزارجدید آنها از تولیدات نرم افزار ضد ویروس است.
راجع به ویروس کامپیوتر و حمله های داده های شخصی به این نکته توجه کنید که استفاده و گسترش عرض قابل اجرا و کد همراه، برای مثال بوسیله ی برنامه های کوچک کاربردی Java و برنامه های کاربردی کنترل افزایش داده مسائل امنیتیت
-3] [1 مهیج و جالب توجه است.[2] اگر برای مثال یک کاربر یک برنامه کاربردی کنترل یا برنامه ی کاربردی کوچک را به یک گره ( یا ترمینال) که پیکربندی شده است انتقال دهد محافظت آن بوسیله ی پیش فرض برنامه کاربردی کنترل یا برنامه ی کاربردی کوچک اتوماتیک بدون اینکه از کاربر برای اجازه ی بیشتر سؤال کند اجرا میشود.
همینطور برنامه های کوچک کاربردی یا برنامه های کاربردی کنترل ممکن است با هم برای امنیت سیستم مصالحه ی پنهانی و غیر قابل دید داشته باشند.[3] این وضعیت واقعا خطرناک است، چون کاربر، یک برنامه که بطور کامل اجرا شود را بدون فهمیدن درست اینکه برنامه کامل است یادرحقیقت توابع اجرایی دارد را وارد می کند. تصور این است که این محل مربوط به بعضی چیزها مثل کانال کنترل داده از فراخوانی پردازه ی دور دست است.
بیشترتوضیح در فصل 9 و 11 از[3]است، تنها تکنولوژی کمی که بتوان در شرح مسائل امنیتی نقل شده به ظرفیت و گنجایش قابل اجرا و کد همراه استفاده کرد، وجود دارد.برای مثال Java در طراحی سیستم امنیت از مفهوم جعبه ی شنی استفاده می کند که می تواند به سنگینی و یا به سختی اجازه دستیابی به محیط، در زمان اجرا و اجازه دستیابی به منابع مشترک از یک برنامه کاربردی کوچک باشد. به همین نحو اعتبار کلمه ی رمز یا کد مخصوص در حال استفاده از یک برنامه ی کاربردی کنترل، بررسی می شود. با جدایی آن از یک مفهوم مشابه جعبه ی شنی Java ، برنامه کاربردی قصد جداکردن بیشتر روش بررسی خطابرای اعداد زوج را از مسائل امنیتی مطرح کند. برای مثال : کلوپ کامپیوتری Chaos آلمانی نشان داد به خطر افتادن استفاده برنامه کاربردی هنگامی که آنها می نوشتند و به Web می افزودند در برنامه کاربردی کنترلی مانند یک اسب تروایی واقعی بود. این زمینه برنامه کاربردی کنترل آماده دریافت یک سکه و انتقال آن طبق دستوربرای برنامه ی کوئین شرکت Microsoft و قرار دادن آن در انتهای صف پرداخت متناظر.
بنابراین کاربردرمرحله ی بعد دستور انتقال پولش را به کوئین میدهد.وانمود شده طبق دستور انتقال پول بوسیله ی اسب تروایی تولید شده و باید فقط منتقل می شود. اگر مجموعه ی ایجاد شده از پول، خیلی بزرگ نباشد اتفاقی است که کاربر شبکه متوجه نمی شود.
بعلاوه این ارزش اشاره کردن دارد که برای سیستمهای امنیتی محافظت محکم عرضه شود، اما کانالها می توانند همیشه در گیر انداختن و گذشتن آنها استفاده شوند. در حقیقت کار انداختن کانال به روش قرار دادن واحد داده در محفظه از یک قرارداد یا پروتکل و استفاده از امکانات پروتکل دوم در به گردش انداختن قسمتی از شبکه است.در نقطه مقصد کپسول (کپسول داده ها) باز می شود و واحد داده ی اصلی وارد شبکه ی محلی می شود.
استفاده ی زیادی برای کانال وجود دارد و در بیشتر حالتها یک پروتکل ممکن است در داخل خودش کپسول شود. برای مثال: کانال IP در باز کردن و ارسال داده ها به گره های دوردست و در هر دو حالت شبکه چرخشی سریع ( که شبکه های کوچکتر را به هم وصل می کند) و IPV6 (M Bone ) و (6 Bone ) استفاده می شود.
• درباره ی ( M Bone) و بسته های چند کاره IP : با بسته های IP بدون طرح تونل شدند. با صراحت بیشتر، بسته های IP چندکاره با آدرس مقصد بسته های IP بدون طرح وآدرس مقصد کپسول شده هستند و تونل در میان اینترنت ساخته شده است. تنها در مقصدهای قابل دسترسی عبور بسته ها به صورت کپسول شده نیست و در نهایت آنها درون شبکه های محلی هستند.
• همانطور که اشاره شد IPV6 در انتقال از کانال IP برای ارسال بسته های IPV6 در IPV4 مستقر موجود در اینترنت استفاده می شود. در این حالت بسته های IPV6 کانال استفاده بسته های IPV4 هستند. صراحتا بسته های IPV6 در بسته های IPV4 کپسول شده هستند و در میان کانال موجود اینترنت وجود دارند.تنها مقصد های قابل دسترسی، بسته های IPV6 را باز می کنند (از کپسول خارج می کنند) ،بسته های IPV6 عبور و در نهایت درون شبکه های محلی قرار می گیرند، بعد هنگامیکه IPV6 وارد می شود، بیشترین عرض گسترش می یابد، این ممکن و خیلی جالب است که IPV6 مستقر در اینترنت از میان کانال IPV4 عبور خواهد کرد.
متأسفانه، کانال IP همچنین می تواند با گیرانداختن و گذشتن سیستمهای امنیتی بصورت بدی بکار رود. ما فرض می کنیم که اجازه یک نوع عبور و مرورداده شود این عبور و مرور دو طرفه است. در این حالت یک شخص داخلی و یا یک شخص خارجی که سیستم امنیتی را دوست ندارد و گذرگاه یا مسیر جنبی عبور می خواهد، می تواند کانالی بین یک سیستم داخلی و یک سیستم خارجی بسازد، آنها در نقطه ی شروع بررسی شده اند.بسته IP دلخواه در بسته ی IP درست یا بعضی پیغامهای لایه بالاتر که اجازه ی عبور از میان سیستم امنیتی داده شده کپسول می شوند. همچنین بسته ی IP درست یا بعضی پیامهای لایه بالاتربه سیستم مقصد انتقال داده می شوند. درجایی که آنها هستند کپسول باز می شود، بسته ی IP اصلی بازیابی می شود.در نتیجه دو هم مقصد تونل پذیرفتند که جریان آزادی درمیان بسته های IP در سیستم امنیتی برقرار باشد. بواسطه ی یک نقطه امنیتی از نمایش یک تونل غیرمجاز یک اتصال ساده از دوردست بعد از اتصالات وارد شده به درون سیستم که معمولا عبورازمیان تونل است مانند : یک جریان مجاز باشد.
تونل غیر مجاز درتحلیلهای نهایی مسئله مدیریتی بدون تکنیک است. اگر مشترکان داخلی احتیاج به اطلاعات را بطور کلی نپذیرند سیستم های امنیتی دستگاهها و دیگر قطعات کنترل دسترسی همیشه بیهوده خواهند بود.ثابت شدن یک تونل غیر مجاز واقعا یک مسئله ورود کارمند داخلی است.
همچون درخواست درست انتخاب از یک کاربر داخلی اول باید شناخته شود که تونلهای وسط سیستم های امنیتی فقط طرف خوب آنهاست.هنگامی که درست پیکربندی واستفاده شود آنها می توانند در گذرگاه محدود، از یک مدیریت سیستم امنیتی ویژه استفاده کنند. برای مثال یک تونل باید بطور طبیعی در اتصال دو سایت جدا از هم استفاده شود. سیستم های امنیتی در هر کجا که هستند، تا زمانیکه اتصال تونلها برقرارباشد باید ازخارج محافظت کنند. اگر تونل کاملا رمزگذاری شود خطر چنین پیکربندی ای کمترو مزایای بیشتری دارد.
بعضی از مردم تصور می کردند که یک سیستم امنیتی مشکوک است، آنها درباره ی اینکه در بیشتر موقعیتها شبکه کاملا منبع خطر نیست، بحث و گفتگو کردند، بیشتر نقاط شبکه خبری است. هدف از مهاجم، میزبان در شبکه است، آیا آنها نباید به طورمناسب در برابر کل حملات سازماندهی و محافظت شوند؟ پاسخ این است که آنها باید چنین باشند، اما شاید نمی توانند. مشکلاتی ازقبیل: یکی از دو شکل زیر وجود خواهد داشت:
1- در مسائل شبکه
2- در مدیریت سیستمها
در نتیجه سیستمهای امنیتی مجبور به ایجاد بوده و به طور عملی به دلایلی چون وجود شرکتهای علاقه مند در سطح بالایی از امنیت که ممکن بود بدون آنها مطابق Steven Bellovin ، سیستمهای امنیتی پاسخی به مسائل امنیتی شبکه نباشد، استفاده میشوند. اما بیشتر شبکه جوابگوی یک گروه مسئله امنیتی است.[4]. صراحتا آنها پاسخگوی وضعیت پریشان کننده ای از مهندسی نرم افزار هستند. تماما پذیرفته است که صنعت تولید نرم افزاری که ایمن و صحیح و آسان اداره شود ریسک بزرگی است.
سرویسهای کنترل دسترسی سیستمهای امنیتی اصلی برای Intranet کامل شده اما سیستمهای امنیتی قصد حل کردن همه ی مسائل امنیتی را ندارد.توجه به مقایسه ی تاریخی می تواند ما را در بهتر فهمیدن نقش تکنولوژی سیستم امنیتی برای اینترنت رایج و در آینده یاری کند.
• گذشتگان ما در غارهای سنگی زندگی می کردند، هر جایی آباد می شد بوسیله یک خانواده ای بود که اعضای آن هر یک خوب می فهمیدند.آنها باید با استفاده از این دانش همدیگر را می شناختند و مورد اعتماد قرارمی داند. یک شخصی که می خواست وارد غار بشود باید یک عضوی از خانواده را که مورد اعتماد دیگران بود معرفی می کرد.انسان های ماقبل تاریخ نشان دادند که این امنیت همچنین نمونه ای از کار در مقیاس بزرگ است.
همچنین خانواده هادر مقیاس بزرگی رشد کرده بودندو شروع به اثر گذاری با همدیگر بودند( روابط متقابل )، این برای همه ی اعضای خانواده که دیگر اعضای جامعه ی خود را بشناسند یا همه اشخاص قابل اعتماد که به آنها معرفی شده بودند را به خاطر بیاورند ممکن نبود.
• در این دوره اجداد ما در قلعه ها و دهکده هایی که بوسیله دیوار دور شهر احاطه می شد، زندگی می کردند، ساکنان با یکدیگر آشنا بودند، اما این طرز آشنایی قابل اعتماد نبود. در عوض شناسایی، تصدیق، اجازه و کنترل دسترسی بطور مرکزی در دروازه ی ورودی بود. هر کس که می خواست وارد قلعه یا دهکده شود باید از دروازه عبور می کرد و کاملا در آنجا بررسی می شد.آنهایی که دروازه را اداره می کردند کاملا مورد اعتماد ساکنان بودند، اما آنها نشان دادند که این مدل امنیت برار همه کس نیست. برای مثال دیوارهای شهر در برابر حمله ی دشمنان داخلی محافظت نمی کردند، دیوارهای شهر و دروازه های ورودی مقیاس خوبی نبود. از قرون وسطی گواهی بر احتیاج به مقیاس پذیری وجود داشت.
فرمت این مقاله به صورت Word و با قابلیت ویرایش میباشد
تعداد صفحات این مقاله 27 صفحه
پس از پرداخت ، میتوانید مقاله را به صورت انلاین دانلود کنید
دانلودمقاله امنیت لایه دسترسی شبکه
