بخشی از مقاله
مدیریت یکپارچه تهدیدات الکترونیکی توسط محصول UTM
چکیده
از آنجا که اداره جوامع کنونی بدون استفاده از راهحلهاي مبتنیبر فنآوري اطلاعاتتقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداري الکترونیکی جزء راهبردهاي اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.
بهطور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراري امنیت شبکههاي کامپیوتري است. به همین دلیل تکنولوژي فایروالهاي در طول عمر این محصول تغییرات زیادي داشته است. این تغییرات بیشتر به دلیل تولد ایدههاي جدید در تهدیدات شبکهاي بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژي در تولید فایروال معرفی شود. این تکنولوژي که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکهاي را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهاي امروزي شود.
کلمات کلیدي: امنیت شبکه، فایروال، امنیت محتواي ترافیک، UTM
1 مقدمه
گسترش استفاده از فضاي تبادل اطلاعات در کشور طی سالهاي گذشته و برقراري ارتباط از طریق وب، موجب افزایش بکارگیري فنآوري اطلاعات و وابستگی نهادهاي مختلف اجتماعی به این پدیده گردیده است.
از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوري اطلاعات جهت جلوگیري از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههاي مختلف تلاشهاي ارزشمندي را ساماندهی نمودند تا فضاي اعتماد به تبادلات الکترونیکی دچار آسیب کمتري شود.
تولید محصولات مختلف امنیتی اعم از تجهیزات سختافزاري و نرم افزارها در حوزه هاي گوناگون ICT، ارائه راهکارها و تدوین سیاستهاي خرد و کلان جهت صیانت از فضاي تبادل اطلاعات، تربیت نیروهاي مختصص به منظور حفاطت از شبکههاي تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیاي دیجیتال نمود بیشتري پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیريها در سیستمهاي رایانهاي، تکنولوژي در راستاي محافظت از این سیستمهاي نیز ارتقاء یافتهاند.
رویکرد جدید تهدیدات الکترونیکیعموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههاي بالا،مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژي تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژي UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژي به عنوان نسل جدید از محصولات فایروال منظور می شود و پیشبینی می شود که در آینده نزدیک، محصول UTM بهعنوان محصول امنیتی ضروري در سازمانها جایگزین فایروال شود ]1
و .2[
در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمنديهاي امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژي بررسی میشود. در بخش 3 معماري و مکانیسمهاي امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیري و جمعبندي ارائه میشود.
2 تکنولوژي فایروال و نیازمنديهاي جدید
1-2 تهدیدات محتمل سیستمهاي رایانه اي
به منظور مقابله با تهدیداتی که حوزههاي مختلف فنآوري اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروري به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهاي پیشنهادي را ارائه نماید.
انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندي نمود:
· حملات تخریب سرویس
· حمله از طریق برنامه مخرب
· حمله انسانی و فیزیکی
در هر یک از دسته حملات فوق، فعالیتهاي متفاوتی از سوي مخربین قابل انجام است. در این بخش فهرستی از این فعالیتها بیان میشوند.
1-1-2 حملات تخریب سرویس
در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. براي دستیابی به این هدف، چنانچه منابع مشترك سیستم به گونهاي توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند،عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهاي این نوع تهدید بصورت زیر قابل بیان است.
· تخریب، پر کردن و خذف فایلهاي اساسی دیسک
· تولید پردازش و اشغال پهناي باند پردازنده
· تخریب و کنترال سرویسهاي شبکه توسط مهاجم
· ذخیره پیامهاي پخش شده، ارسال پیام و درخواست پاسخ از رایانههاي شبکه
· استفاده از اتصالهاي غیر باز
2-1-2 حمله از طریق برنامه مخرب
در این نوع حملات، برنامهها بهگونهاي نوشته می شوند که رفتاري مخرب و غیر عادي داشته باشندمعمولاً. این برنامهها از طرق مختلف براي کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجراي آن اقدام مینماید. شیوههاي مختلف تخریب این برنامهها بصورت زیر میباشد.
· حمله به برنامههاي سرویسدهنده شبکه
· تخریب نرمافزارها از طریق ارسال پست الکترونیکی
· ارسال هرزنامهها
· استفاده از دربهاي مخفی جهت دسترسی غیرمجاز
· اسبهاي تراوا و کرمها
3-1-2 حمله انسانی و فیزیکی
چنانچه بر اساس ضعفهاي موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.
بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهاي زیر توسط مخاجم قابل انجام میباشد:
· سرقت رمز عبور
· نفوذ از طریق برقراري روابط اجتماعی
· تخریب فیزیکی منابع رایانهاي و شبکهاي
2-2 نقش ابزارهاي کنترل ترافیک
امروزه فایروالهاي حالتمند1، IDSها، و آنتی ویروسهاي مبتنی بر میزبان2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تا ثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن-آوري اطلاعات حملات و سرایتهاي موفق متعددي را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.
1-2-2 نقش سیستمهاي فایروال سنتی و کمبودهاي آنها
فایروال هاي حالتمند در ابتدا براي امن سازي ارتباط با اینترنت بوسیله یک واس ط امن بین شبکههاي قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهاي از خطمشیهاي فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهاي متعددي را براي گذشتن از خطمشیهاي فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:
· پویش پورتهاي باز روي فایروال و یا سیستمهاي موجود در ناحیه قابل اعتماد
· نرمافزارهاي مخرب نظیر تروژانهایی که روي سیستمهاي موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
· عدم توانایی فایروالهاي نسل قدیمی در بازرسی بخش دادهاي بسته جهت شناسایی انواع کدهاي مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ براي حمله مورد استفاده قرار گیرد.
· بسیاري از فایروالهاي جدید که قابلیت بازرسی عمیق3 را پشتیبانی میکنند، در مقابل بستههاي تکهتکه شده آسیبپذیر هستند.
· کاربران با استفاده از سیستمهاي قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهاي مخرب و آلوده از بیرون به داخل سازمان شوند.
در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.
2-2-2 نقش سیستمهاي IDS سنتی و کمبودهاي آنها
همانند فایروالهاي سنتی، IDSهاي سنتی با آمدن تهدیدات مدرن و پیچیده جاي خود را به فنآوريهاي جدیدتر میدهند. حمله کنندگان ضعف هاي سیستمهاي IDS را شناخته و متدهاي جدیدي براي گذشتن از این سیستمهاي نظارتی پیادهسازي کردهاند. مثالهایی از ضعف سیستمهاي IDS عبارتند از:
· محصولات IDSمعمولاً در نقاط لبهاي شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
· سیستمهاي IDSمعمولاً به عنوان ابزارهاي نظارتی کاربري دارند و قابلیت ممانعت از ترافیک مشکوك در این سیستمهاي وجود ندارد.
· بهدلیل نحوه بازرسی در سیستمهاي IDS، این سیستمهامعمولاً در مقابل حجم بالاي ترافیک آسیبپذیر می شوند.
· اغلب سیستمهاي IDS حجم زیادي false positive تولید میکنند که براي جلوگیري از این امر نیاز به نظارت مداوم بر کار IDS میباشد.
براي حل مشکلات فوق، بسیاري از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدي از این محصولات به نام IPS روي آوردهاند. سیستمهاي IPS میتوانند به صورت Inline در توپولوژي شبکه قرار گیرند و کنشهاي مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهاي تشخیص Anomaly بهرهمند شوند.
3-2-2 آنتی ویروسهاي مبتنی بر میزبان و کمبودهاي آنها
یکی از پر کاربردترین نرمافزارهاي امنیتی، سیستمهاي آنتی ویروس مبتنی بر میزبان است. این نرمافزارهاي آنتی ویروس بهعنوان یکی از معمولترین راهحلهاي امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهاي از سال 1980 میلادي و بهدلیل حضور فایل هاي ویروسی میباشد. گرچه حضور نرمافزارهاي آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهاي تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی می شوند.
§ فرآیند نصب، نگهداري و ارتقاي الگوهاي ویروسی براي این نرمافزارهاي پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهاي موجود در سازمان نصب شوند.
§ کاربران بهصورت عمدي و یا غیرعمدي میتوانند آنتی ویروس خود را غیرفعال نمایند.
§ اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهاي ویروس براي نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
§ برخی از تروژانهاي پیشرفته قادرند قبل از فعال شدن آنتی ویروس روي میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیري میکنند.
بدیهی است سازمانهایی که از نرمافزارهاي آنتی ویروس مبتنی بر میزبان استفاده می کنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردي از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی براي سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاري از کدهاي مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهاي مخرب را قبل از رسیدن به میزبانهاي تشخیص داده و بلاك نماید.
3-2 تعریف UTM
نام UTM4 یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که براي اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئ ول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهاي جلوگیري و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیري، و مدیریت یکپارچه میباشد.
از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههاي امنیتی نام برد که سعی در ارائه سرویسهاي امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهاي قدیمی براي بدست آوردن تک تک این سرویسهاي امنیتی ابزارهاي مجزا به همراه پیچیدگیهاي نصب، بهروز سازي، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازي و مدیریت متمرکز، تمامی نیازمنديهاي امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.
4-2 نیاز به محصول UTM
1-4-2 روشهاي سنتی (امنیت لایهاي بهصورت چند نقطهاي)
امروزه بسیاري از سازمانها سعی در پیادهسازي سیستمهاي امنیتی با ترکیب راهحلهاي مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداري، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاري نامناسب بین سیستمهاي امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث
