امنيت تجهيزات شبكه
براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش.

اهميت امنيت تجهيزات به دو علت اهميت ويژه‌اي مي‌يابد :
الف – عدم وجود امنيت تجهيزات در شبكه به نفوذگران به شبكه اجازه مي‌دهد كه‌ با دستيابي به تجهيزات امكان پيكربندي آنها را به گونه‌اي كه تمايل دارند آن سخت‌افزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكان‌پذير خواهد شد.
ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهزات بر روي شبكه الزامي است. توسط اين حمله‌ها نفوذگران مي‌توانند سرويس‌هايي را در شبكه از كار بياندازند كه از اين طريق در برخي موارد امكان دسترسي به اطلاعات با دور زدن هر يك از فرايندهاي AAA فراهم مي‌شود.

در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار مي‌گيرد. عناوين برخي از اين موضوعات به شرح زير هستند :
– امنيت فيزيكي و تأثير آن بر امنيت كلي شبكه
– امنيت تجهيزات شبكه در سطوح منطقي

– بالابردن امنيت تجهيزات توسط افزونگي در سرويس‌ها و سخت‌افزارها
موضوعات فوق در قالب دو جنبه اصلي امنيت تجهيزات مورد بررسي قرار مي‌گيرند

– امنيت فيزيكي
– امنيت منطقي
۱ – امنيت فيزيكي
امنيت فيزيكي بازه‌ وسيعي از تدابير را در بر مي‌گيرد كه استقرار تجهيزات در مكان‌هاي امن و به دور از خطر حملات نفوذگران و استفاده از افزونگي در سيستم از آن جمله‌اند. با استفاده از افزونگي، اطمينان از صحت عملكرد سيستم در صورت ايجاد و رخداد نقص در يكي از تجهيزات (كه توسط عملكرد مشابه سخت‌افزار و يا سرويس‌دهنده مشابه جايگزين مي‌شود) بدست مي‌آيد.

در بررسي امنيت فيزيكي و اعمال آن،‌ ابتدا بايد به خطر‌هايي كه از اين طريق تجهزات شبكه را تهديد مي‌كنند نگاهي داشته باشيم. پس از شناخت نسبتاً كامل اين خطرها و حمله‌ها مي‌توان به راه‌حل‌ها و ترفند‌هاي دفاعي در برار اين‌گونه حملات پرداخت.
۱-۱ – افزونگي در محل استقرار شبكه

يكي از راه‌كارها در قالب ايجاد افزونگي در شبكه‌هاي كامپيوتري، ايجاد سيستمي كامل،‌ مشابه شبكه‌ي اوليه‌ي در حال كار است. در اين راستا، شبكه‌ي ثانويه‌ي، كاملاً مشابه شبكه‌ي اوليه، چه از بعد تجهيزات و چه از بعد كاركرد،‌ در محلي كه مي‌تواند از نظر جغرافيايي با شبكه‌ي اول فاصله‌اي نه چندان كوتاه نيز داشته باشد برقرار مي‌شود. با استفاده از اين دو سيستم مشابه، علاوه بر آنكه در صورت رخداد وقايعي كه كاركرد هريك از اين دو شبكه را به طور كامل مختل مي‌كند (مانند زلزله) مي‌توان از شبكه‌ي ديگر به طور كاملاً جايگزين استفاده كرد، در استفاده‌هاي روزمره نيز در صورت ايجاد ترافيك سنگين بر روي شبكه، حجم ترافيك و پردازش بر روي دو شبكه‌ي مشابه پخش مي‌شود تا زمان پاسخ به حداقل ممكن برسد.

با وجود آنكه استفاده از اين روش در شبكه‌هاي معمول كه حجم جنداني ندارند، به دليل هزينه‌هاي تحميلي بالا، امكان‌پذير و اقتصادي به نظر نمي‌رسد، ولي در شبكه‌هاي با حجم بالا كه قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب مي‌آيند از الزامات است.
۱-۲ – توپولوژي شبكه

طراحي توپولوژيكي شبكه،‌ يكي از عوامل اصلي است كه در زمان رخداد حملات فيزيكي مي‌تواند از خطاي كلي شبكه جلوگيري كند.
در اين مقوله،‌ سه طراحي كه معمول هستند مورد بررسي قرار مي‌گيرند :

الف – طراحي سري : در اين طراحي با قطع خط تماس ميان دو نقطه در شبكه، كليه سيستم به دو تكه منفصل تبديل شده و امكان سرويس دهي از هريك از اين دو ناحيه به ناحيه ديگر امكان پذير نخواهد بود.

ب – طراحي ستاره‌اي : در اين طراحي، در صورت رخداد حمله فيزيكي و قطع اتصال يك نقطه از خادم اصلي، سرويس‌دهي به ديگر نقاط دچار اختلال نمي‌گردد. با اين وجود از آنجاييكه خادم اصلي در اين ميان نقش محوري دارد، در صورت اختلال در كارايي اين نقطه مركزي،‌ كه مي‌تواند بر اثر حمله فيزيكي به آن رخ دهد، ارتباط كل شبكه دچار اختلال مي‌شود، هرچند كه با درنظر گرفتن افزونگي براي خادم اصلي از احتمال چنين حالتي كاسته مي‌شود.

ج – طراحي مش : در اين طراحي كه تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيكي در سطوح دسترسي منجر به اختلال عملكرد شبكه نخواهد شد،‌ با وجود آنكه زمان‌بندي سرويس‌دهي را دچار اختلال خواهد كرد. پياده‌سازي چنين روش با وجود امنيت بالا، به دليل محدوديت‌هاي اقتصادي،‌ تنها در موارد خاص و بحراني انجام مي‌گيرد.

۱-۳ – محل‌هاي امن براي تجهيزات
در تعيين يك محل امن براي تجهيزات دو نكته مورد توجه قرار مي‌گيرد :
– يافتن مكاني كه به اندازه كافي از ديگر نقاط مجموعه متمايز باشد، به گونه‌اي كه هرگونه نفوذ در محل آشكار باشد.
– در نظر داشتن محلي كه در داخل ساختمان يا مجموعه‌اي بزرگتر قرار گرفته است تا تدابير امنيتي بكارگرفته شده براي امن سازي مجموعه‌ي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به كار گرفت.

با اين وجود، در انتخاب محل، ميان محلي كه كاملاً جدا باشد (كه نسبتاً پرهزينه خواهد بود) و مكاني كه درون محلي نسبتاً عمومي قرار دارد و از مكان‌هاي بلااستفاده سود برده است (‌كه باعث ايجاد خطرهاي امنيتي مي‌گردد)،‌ مي‌توان اعتدالي منطقي را در نظر داشت.
در مجموع مي‌توان اصول زير را براي تضمين نسبي امنيت فيزيكي تجهيزات در نظر داشت :

– محدود سازي دسترسي به تجهيزات شبكه با استفاده از قفل‌ها و مكانيزم‌هاي دسترسي ديجيتالي به همراه ثبت زمان‌ها، مكان‌ها و كدهاي كاربري دسترسي‌هاي انجام شده.

– استفاده از دوربين‌هاي پايش در ورودي محل‌هاي استقرار تجهيزات شبكه و اتاق‌هاي اتصالات و مراكز پايگاه‌هاي داده.
– اعمال ترفند‌هايي براي اطمينان از رعايت اصول امنيتي.

۱-۴ – انتخاب لايه كانال ارتباطي امن
با وجود آنكه زمان حمله‌ي فيزيكي به شبكه‌هاي كامپيوتري، آنگونه كه در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن كنترل يكي از خادم‌ها و سرويس‌دهنده‌هاي مورد اطمينان شبكه معطوف شده است،‌ ولي گونه‌اي از حمله‌ي فيزيكي كماكان داراي خطري بحراني است.
عمل شنود بر روي سيم‌هاي مسي،‌ چه در انواع Coax و چه در زوج‌هاي تابيده، هم‌اكنون نيز از راه‌هاي نفوذ به شمار مي‌آيند. با استفاده از شنود مي‌توان اطلاعات بدست آمده از تلاش‌هاي ديگر براي نفوذ در سيستم‌هاي كامپيوتري را گسترش داد و به جمع‌بندي مناسبي براي حمله رسيد. هرچند كه مي‌توان

سيم‌ها را نيز به گونه‌اي مورد محافظت قرار داد تا كمترين احتمال براي شنود و يا حتي تخريب فيزيكي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايه‌ي فيزيكي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنال‌هاي الكتريكي، هيچگونه تشعشعي از نوع الكترومغناطيسي وجود ندارد، لذا امكان استفاده از روش‌هاي معمول شنود به پايين‌ترين حد خود نسبت به استفاده از سيم در ارتباطات مي‌شود.

۱-۵ – منابع تغذيه
از آنجاكه داده‌هاي شناور در شبكه به منزله‌ي خون در رگهاي ارتباطي شبكه هستند و جريان آنها بدون وجود منابع تغذيه، كه با فعال نگاه‌داشتن نقاط شبكه موجب برقراري اين جريان هستند، غير ممكن است، لذا چگونگي چينش و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي مي‌كنند. در اين مقوله توجه به دو نكته زير از بالاترين اهميت برخوردار است :

– طراحي صحيح منابع تغذيه در شبكه بر اساس محل استقرار تجهيزات شبكه‌. اين طراحي بايد به گونه‌اي باشد كه تمامي تجهيزات فعال شبكه، برق مورد نياز خود را بدون آنكه به شبكه‌ي تامين فشار بيش‌اندازه‌اي (كه باعث ايجاد اختلال در عملكرد منابع تغذيه شود) وارد شود، بدست آورند.
– وجود منبع يا منابع تغذيه پشتيبان به گونه‌اي كه تعداد و يا نيروي پشتيباني آنها به نحوي باشد كه نه تنها براي تغذيه كل شبكه در مواقع نياز به منابع تغذيه پشتيبان كفايت كند، بلكه امكان تامين افزونگي مورد نياز براي تعدادي از تجهيزات بحراني درون شبكه را به صورت منفرد فراهم كند.
۱-۶ – عوامل محيطي

يكي از نكات بسيار مهم در امن سازي فيزيكي تجهيزات و منابع شبكه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملكرد شبكه مي‌شوند. از مهمترين عواملي در هنگام بررسي امنيتي يك شبكه رايانه‌اي بايد در نظر گرفت مي‌توان به دو عامل زير اشاره كرد :

– احتمال حريق (كه عموماً غير طبيعي است و منشآ انساني دارد)
– زلزله، طوفان و ديگر بلاياي طبيعي
با وجود آنكه احتمال رخداد برخي از اين عوامل، مانند حريق، را مي‌توان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي،‌ با هدف جلوگيري در اختلال كلي در عملكرد شبكه، وجود يك سيستم كامل پشتيبان براي كل شبكه است. تنها با استفاده از چنين سيستم پشتيباني است كه مي‌توان از عدم اختلال در شبكه در صورت بروز چنين وقعايعي اطمينان حاصل كرد.
۲ – امنيت منطقي
امنيت منطقي به معناي

استفاده از روش‌هايي براي پايين آوردن خطرات حملات منطقي و نرم‌افزاري بر ضد تجهيزات شبكه است. براي مثال حمله به مسيرياب‌ها و سوئيچ‌هاي شبكه بخش مهمي از اين گونه حملات را تشكيل مي‌‌دهند. در اين بخش به عوامل و مواردي كه در اينگونه حملات و ضد حملات مورد نظر قرار مي‌گيرند مي‌پردازيم.
۲-۱ – امنيت مسيرياب‌ها

حملات ضد امنيتي منطقي براي مسيرياب‌ها و ديگر تجهيزات فعال شبكه، مانند سوئيچ‌ها، را مي‌توان به سه دسته‌ي اصلي تقسيم نمود :
– حمله براي غيرفعال سازي كامل
– حمله به قصد دستيابي به سطح كنترل

– حمله براي ايجاد نقص در سرويس‌دهي
طبيعي است كه راه‌ها و نكاتي كه در اين زمينه ذكر مي‌

شوند مستقيماً به امنيت اين عناصر به تنهايي مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفك هستند. لذا تأمين امنيت تجهيزات فعال شبكه به معناي تآمين قطعي امنيت كلي شبكه نيست، هرچند كه عملاً مهمترين جنبه‌ي آنرا تشكيل مي‌دهد.
۲-۲ – مديريت پيكربندي
يكي از مهمترين نكات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پرونده‌ها مختص پيكربندي است. از اين پرونده‌ها كه در حافظه‌هاي گوناگون اين تجهيزات نگاهداري مي‌شوند،‌ مي‌توان در فواصل زماني مرتب يا تصادفي، و يا زماني كه پيكربندي تجهيزات تغيير مي‌يابند، نسخه پشتيبان تهيه كرد.
با وجود نسخ پشتيبان،‌ منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در كارايي تجهزات، كه مي‌تواند منجر به ايجاد اختلال در كل شبكه شود، در كوتاه‌ترين زمان ممكن مي‌توان با جايگزيني آخرين پيكربندي، وضعيت فعال شبكه را به آخرين حالت بي‌نقص پيش از اختلال بازگرداند. طبيعي است كه در صورت بروز حملات عليه بيش از يك سخت‌افزار، بايد پيكربندي تمامي تجهيزات تغييريافته را بازيابي نمود.
نرم‌افزارهاي خاصي براي هر دسته از