ضرورت توجه به امنيت اطلاعات ( بخش هفتم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :

• بخش چهارم  : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter

در اين بخش به بررسی لايه  شبكه داخلی خواهيم پرداخت .

بررسی  لايه  شبكه داخلی

•  لايه شبكه داخلی ، شامل اينترانت يك سازمان است كه تحت كنترل و مديريت پرسنل شاغل در دپارتمان IT است و ممكن است از يك و يا چندين نوع شبكه  زير تشكيل شده باشد  :
  -  LAN
  - WAN
  - MAN
  - شبكه های بدون كابل
   

• منبع بروز حملات صرفا" منابع خارجی نبوده و ممكن است يك شبكه از درون نيز مورد تهاجم قرار گيرد . صرفنظر از منبع بروز حملات ، سيستم ها و سرويس های متعددی در معرض تهديد و آسيب قرار می گيرند.
   

• امنيت داخلی شبكه می بايست بگونه ای پياده سازی گردد تا علاوه بر توقف تهديدات مخرب بتواند با تهديدات غيرمترقبه هم برخورد نمايد . بخش بندی ( Segmentation ) شبكه ، اقدامی مناسب در جهت افزايش امنيت يك شبكه داخلی است كه عملا" يك لايه اضافه حفاظتی در فريمورك امنيتی "دفاع در عمق " را  ايجاد می نمايد . با استفاده از رويكرد فوق ، حملات زودتر تشخيص داده شده و از  كنترل منابع موجود در هسته يك شبكه داخلی توسط مهاجمان ممانعت به عمل می آيد .

تهديدات  لايه  شبكه داخلی   

• در صورتی كه مهاجمان بتوانند به سيستم های داخلی و منابع موجود بر روی يك شبكه دستيابی داشته باشند ، می توانند از اطلاعات يك سازمان با سهولت بيشتری استفاده نمايند .
   

• مهاجمان پس از دستيابی به زيرساخت يك شبكه، می توانند  شبكه را مانيتور و ترافيك آن را به دقت بررسی و آناليز نمايند . در چنين مواردی ، آنان می توانند با استفاده از يك network sniffer و آناليز ترافيك شبكه به اطلاعات حساس و مهمی كه در طول شبكه مبادله می گردد ، دستيابی داشته باشند .
   

• شبكه های بدون كابل مستعد استراق سمع می باشند ، چراكه مهاجمان می توانند بدون اين كه لازم باشد بطور فيزيكی در محل شبكه حضور داشته باشند ، قادر به دستيابی شبكه و استفاده از اطلاعات حساس می باشند . 
   

• سيستم های عامل شبكه ای ، سرويس های متعددی را نصب می نمايند . برخی از سرويس شبكه ممكن است پتانسيل لازم برای برخی از حملات را ايجاد كه توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از يك سرويس آسيب پذير می توانند كنترل يك كامپيوتر را به دست گرفته و در ادامه از آن برای برنامه ريزی حملات خود در آينده استفاده نمايند . 

حفاظت لايه شبكه داخلی  

• تائيد دوگانه : به منظور كمك در جهت افزايش ايمنی محيط يك شبكه داخلی ، در ابتدا می بايست هويت كاربران توسط يك كنترل كننده domain تائيد و در ادامه و با توجه به مجوزهای تعريف شده امكان استفاده از منابع موجود در شبكه در اختيار آنان گذاشته شود . بدين تريتب، علاوه بر اين كه سرويس دهنده هويت كاربران را تائيد می نمايد ، كاربران نيز با مشخص كردن domain  آگاهانه به يك سرويس دهنده شناخته شده  log on می نمايند.
   

• بخش بندی شبكه : سوئيچ ها بطور فيزيكی يك شبكه را به بخش های متفاوتی تقسيم می نمايند و تمام شبكه از يك نقطه قابل دسترس نخواهد بود . برای پارتيشن كردن يك شبكه می توان از سوئيچ و يا روتر استفاده نمود . ايجاد شبكه های محلی مجازی ( VLAN ) بر روی يك سوئيچ فيزيكی ، گزينه ای ديگر در اين زمينه است .
   

• رمزنگاری داده مبادله شده در شبكه : برای پيكربندی دستگاه های شبكه ای نظير سوئيچ ممكن است از برنامه Telnet استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text ارسال می نمايد . اين بدان معنی است كه دستيابی به نام و رمز عبور كاربر برای هر شخصی كه قادر به شنود شبكه باشد ، امكان پذير است . موضوع فوق ، می تواند مشكلات متعدد امنيتی را ايجاد نمايد . در چنين مواردی ، می بايست از يك روش ايمن و رمز شده ( نظير SSH برگرفته از Secure Shell ) و يا دستيابی مستقيم از طريق پورت سريال استفاده نمود . 
   

• محدد كردن ترافيك حتی در مواردی كه شبكه پارتيشن شده باشد : برای شبكه های محلی و بدون كابل می توان  از استاندارد  802.1X  به منظور دستيابی رمز شده و تائيد شده استفاده نمود . در چنين مواردی ، می توان از رمزهای عبور اكتيو دايركتوری و يا گواهينامه های ديجيتالی برای تائيد كاربران استفاده كرد. در صورت استفاده از گواهينامه های ديجيتالی به يك  PKI ( برگرفته از public key infrastructure ) بر روی Windows Certificate Services  نيز نياز می باشد . برای رمزهای عبور و گواهينامه های ديجيتال به يك سرويس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service )  نياز می باشد ( ايجاد شده بر روی سرويس IAS ، برگرفته از Internet Authentication Service ).   هم Certificate Services و هم IAS در Windows Server 2003 موجود می باشند .سازمان های كوچك می توانند از سيستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمايند . سيستم فوق اين امكان را فراهم می نمايد تا بتوان ترافيك موجود در ارتباطات بدون كابل را رمز نمود. در چنين مواردی ، كليدهای رمزنگاری به صورت اتوماتيك و پس از  يك مدت زمان مشخص و يا ارسال تعداد مشخصی Packet تغيير می يابند .  WPA به يك زيرساخت پيچيده نظير 802.1x نياز نداشته و  يك سطح امنيتی پائين تر را ارائه می نمايد . 
   

• تائيد بسته های اطلاعاتی شبكه : از فن آوری های رمزنگاری و تائيد نظير IPSec و يا  SMB ( برگرفته از  Server Message Block ) استفاده گردد. بدين تريتب ، مهاجمان نمی توانند داده مبادله شده در شبكه را شنود و از آنان استفاده مجدد نمايند .  
   

• پياده سازی فيلترينگ پورت IPSec به منظور اعمال محدوديت ترافيك به سرويس دهنده : به منظور كاهش ترافيك سرويس دهنده ، تمام پورت های غيرضروری بلاك و صرفا" پورت هائی فعال گردند كه به وجود آنان نياز می باشد .