یکی از سئوالاتی که دائما با آن مواجه هستند این است که چگونه می توانیم یک کارشناس امنیت اطلاعات و ارتباطات شویم و یا اینکه چگونه یک هکر شویم و سئوالاتی از این قبیل که در نهایت یک مفهوم از همگی آنها برداشت می شود ، است. در این مقاله بنده به عنوان شخصی که چندین سال در زمینه امنیت اطلاعات و ارتباطات فعالیت داشته ام سعی می کنم تجارب خودم در این زمینه را با دوستان به اشتراک بگذارم و نظر آنها را نیز در این خصوص جویا بشوم .
البته دنیای امنیت دنیای بزرگی است و زمانیکه صحبت از امنیت می شود تقریبا همه چیز را می توان در آن درگیر کرد. در ابتدا امر باید به این موضوع اشاره کنیم که ما در خصوص کارشناس امنیت شبکه ، کارشناس امنیت اطلاعات ، کارشناس امنیت برنامه نویسی ، کارشناس امنیت وب ، کارشناس امنیت فیزیک و ... نمی خواهیم صحبت کنیم ، می خواهیم در خصوص کارشناس امنیت اطلاعات و ارتباطات صحبت کنیم که خواسته یا ناخواسته همگی این موارد را در بر می گیرد.
چگونه کارشناس امنیت شبکه بشویم ؟
همانطور که احتمالا متوجه شدید واژه امنیت اطلاعات و ارتباطات بسیار گسترده است و هیچ شخصی نمی تواند ادعا کند که در همگی حوزه های امنیت اطلاعات و ارتباطات حرفه ای است و همه چیز را می داند ، همانطور که امنیت نسبی است ، دانش امنیت اطلاعات و ارتباطات نیز یک دانش نسبی است . هر کسی که در حوزه امنیت اطلاعات و ارتباطات فعالیت می کند در حوزه تخصصی بصورت ویژه کار کرده است و در کنار آن با فناوری های امنیتی دیگر نیز آشنایی نسبی دارد ، امروز می خواهیم یک کارشناس جامع در حوزه امنیت اطلاعات و ارتباطات را با هم تحلیل کنیم که باید در چه حوزه هایی تخصص داشته باشد چه بصورت نسبی و چه بصورت عمقی ، بهترین راهکار برای تحلیل این موضوع از نظر من بررسی کردن تخصصی های یک کارشناس امنیت اطلاعات و ارتباطات توسط لایه های هفت گانه مدل مرجع OSI است که براحتی امکان تحلیل این مسئله را به ما می دهد ، بنابراین تا انتهای مطلب با ما باشید :
لایه Physical
اگر در درک لایه های شبکه مشکل دارید حتما دوره آموزشی نتورک پلاس را یاد بگیرید. شما هر چقدر هم که سیستم امنی از نظر خودتان داشته باشید ، برای آن فایروال قوی نصب کنید ، آنتی ویروس اصلی نصب کنید و هر روی آن را بروز کنید ، آخرین بسته های امنیتی را بر روی سیستم نصب کنید و از الگوریتم های رمزنگاری بسیار قوی هم استفاده کرده باشید تا به شما نفوذ نشود فقط یک کار ساده می تواند باعث هک شدن شما شود !! کامپیوتر شما بصورت فیزیکی سرقت شود !! اولین مرحله از امنیت لایه بندی شده امنیتی فیزیکی است که در وهله اول قرار می گیرد. قرار دادن دستگاه های سخت افزاری در محیط های امن از نظر فیزیکی ، داشتن نگهبان ، دوربین های مدار بسته ، سیستم های تهویه هوا و کنترل رطوبت ، سیستم های اطفاء و اعلام حریق ئ و ... از عوامل مهم در امنیت اطلاعات هستند.
یک ضرب المثل ساده است که می گوید When I Can Touch Your Computer ; It Is Hacked !! به معنی اینکه اگر من بتوانم بصورت فیزیکی به کامپیوتر شما نزدیک شوم کامپیوتر خود را هک شده بدانید. به عنوان یک کارشناس امنیت شما بهتر است از انواع و اقسام تکنیک های امنیت فیزیکی اعم از انواع نگهبان ، درب های ضد سرقت ، دوربین های مدار بسته ، سگ های نگهبان ، فنس های فلزی ، کپسول های آتش نشانی و سیستم های احراز هویت فیزیکی و اطلاع داشته باشید تا در صورت نیاز به عنوان یک کارشناس از این موارد دید داشته باشید .
حتی بعضا انواع کابل مورد استفاده و رسانه های مورد استفاده در این حوزه در قالب امنیتی فیزیکی یا امنیت لایه یکی باید در نظر گرفته شوند ، تا اینجای کار اگر هکر بتواند شما را دور بزند و بخواهد به شبکه شما ورود کند کار سختی را از نظر فیزیکی خواهد داشت ، اما فرض را بر این می گذاریم که هکر ما توانسته است از لایه های امنیتی فیزیکی لایه اول عبور کند و به لایه بعدی می رسد. حالا من در زیر خلاصه ای از مشکلاتی که از نظر امنیتی در لایه فیزیکی داریم رو با ذکر راهکار عنوان می کنم :
- از بین رفتن منبع انرژی ( برق ، گاز و ... )
- از بین رفتن کنترل های حفاظت فیزیکی محیط ( دوربین ، درب و پنجره و ... )
- سرقت فیزیکی اطلاعات و سخت افزارها
- تخریب فیزیکی اطلاعات و سخت افزارها
- تغییرات غیرمجاز در محیط عملیاتی ( لینک های ارتباطی ، وسایل ذخیره سازی قابل حمل و ... )
- قطع کردن و تخریب لینک های ارتباطی فیزیکی
- استفاده از ابزارهای لاگ برداری فیزیکی
اما راهکارها یا بهتر بگیم کنترل های امنیتی که برای مقابله با مشکلات امنیتی لایه فیزیکی یک کارشناس امنیت باید بدونه :
- ایجاد محیط فیزیکی محصور شده و مطمئن
- استفاده از مکانیزم های لاگ برداری و ضبط تصاویر و صدا در مکانهای مناسب
- استفاده از قفل های فیزیکی رمزدار و PIN دار
- استفاده از مکانیزمهای احراز هویت فیزیکی بیومتریک
- استفاده از انواع حفاظ های فیزیکی محیطی و ...
لایه Data Link
شما به عنوان کارشناس یک کارشناس امنیت اطلاعات و ارتباطات باید در لایه دوم مدل OSI نیز تبهر داشته باشید ، این لایه در واقع جایی است که آدرس MAC و دستگاه هایی که با این آدرس کار می کنند وجود دارند که مهمترین دستگاه شناخته شده در این زمینه سویچ شبکه است. شما باید بدانید که چه نوع حملاتی می تواند در لایه دوم به سویچ های لایه شبکه انجام شود ، شما باید به خوبی درک کنید که ساختار کاری یک سویچ به چه شکل است ، پروتکل هایی که در یک سویچ کار می کنند چه هستند و نقاط ضعف امنیتی آنها چیست .
در نهایت باید با توجه به دانشی که دارید در این لایه از مکانیزم های امنیتی استفاده کنید ، برای مثال در سویچ های شرکت سیسکو شما می توانید از مکانیزمهای امنیتی مثل Port Security برای جلوگیری از دسترسی پیدا کردن کامپیوترهای غیرمجاز به شبکه استفاده کنید و یا از ساختار VLAN برای تفکیک کردن کامپیوترهای مختلف در شبکه استفاده کنید و ... اینجاست که برای مثال دوره هایی مثل دوره Switching از سری دوره های شرکت سیسکو می تواند به شدت برای شما مفید باشد ، البته این فقط در بستر کابلی نیست و همین مکانیزم ها بعضا در بسترهای بیسیم یا وایرلس نیست وجود دارد ، بد نیست نگاهی به انواع تهدیدات و روش های مقابله با آنها به عنوان یک کارشناس امنیت در لایه دوم از مدل OSI داشته باشیم :
- جعل کردن آدرس MAC یا Mac Spoofing
- مسموم کردن آدرس کش شده Mac یا ARP Cache Poisoning ( به ترجمش گیر ندید خودم میدونم )
- دور زدن پروتکل Spanning Tree و بروز خطا در این پروتکل
- Flood کردن یا اشباع کردن آدرس Mac Table سویچ ها
- الگوریتم های رمزنگاری ضعیف در اتصال به وایرلس
اما راهکارها یا بهتر بگیم کنترل های امنیتی که برای مقابله با مشکلات لایه پیوند داده یک کارشناس امنیت باید بدونه :
- استفاده از مکانیزمهای فیلترینگ آدرس Mac
- ایزوله کردن شبکه ها و طراحی ساختار VLAN و ...
لایه Network
لایه شبکه یا Network همان لایه ای است که آدرس دهی منطقی یا Logical Addressing ما را با آدرس IP انجام می دهد و از طرفی وظیفه مسیریابی در شبکه های مختلف و وصل کردن شبکه های مختلف به همدیگر نیز یکی دیگر از وظایف مهم این لایه است ، حالا فرض کنید که شخصی بتواند آدرس IP خودش را به جای آدرس IP یک نفر دیگر جا بزند و یا در بسته اطلاعاتی ارسالی مسیر مبدا و مقصد اطلاعات را تغییر دهد .
همه اینها از مواردی است که در لایه سوم مدل OSI ممکن است پیش بیاید و به عنوان یک کارشناس امنیت اطلاعات و ارتباطات شما باید با نحوه عملکرد پروتکل های این لایه به خوبی آشنایی پیدا کنید و برای هر کدام از این مشکلات راهکار ارائه کنید ، یکی از مهمترین و بهترین دوره های آموزشی که ویژه لایه سوم مدل OSI طراحی شده است دوره Routing از سری دوره های شرکت سیسکو می باشد ، بصورت کلی تهدیدات لایه سوم را به همراه راهکارهای امنیتی آن می توانید در ادامه مشاهده کنید :
- جعل کردن آدرس IP یا IP Spoofing
- جعل کردن مسیر یا Route Spoofing
- تغییر و جعل محتوای بسته اطلاعاتی
اما راهکارهایی نیز برای امن کردن اطلاعات در لایه سوم وجود دارند که به عنوان کارشناس امنیت اطلاعات بایستی با آنها آشنا باشید :
- استفاده از Route Policy Control برای جلوگیری از Spoofing
- استفاده از فایروال با قابلیت فیلترینگ IP و عدم امکان جعل آدرس
- استفاده از نرم افزارهای مانیتورینگ
لایه Transport
مهمترین وظیفه لایه چهارم از مدل OSI که به عنوان لایه انتقال یا Transport معروف است تعریف کردن پروتکل های ارتباطی بین طرفیت است . تعیین کردن اتصال گرا بودن یا Connection Oriented بودن و یا عدم اتصالگر بودن یا ConnectionLess بودن مهمترین وظیفه این لایه است. یکی از مهمترین مباحث در امنیت اطلاعات integrity یا صحت و تمامیت داده های انتقالی است که با استفاده از پروتکل های Connection Oriented می توانیم تا حدود زیادی از درست و سلامت بودن داده های انتقالی خود با توجه به دریافت شدن بسته اطلاعاتی Acknowledge برای تایید دریافت شدن بسته های اطلاعاتی اطمینان حاصل کنیم ، اما بصورت کلی شما باید به عنوان کارشناس امنیت اطلاعات و ارتباطات در سطح این لایه نیز تهدیدها و راهکارهای امنیتی را بشناسید که از مهمترین های آنها می توانیم به موارد زیر اشاره کنیم :
- افشا شدن اطلاعات و انجام عملیات Fingerprinting توسط مهاجمین
- Overload شدن مکانیزم های انتقال
- جعل شدن بسته های اطلاعات و شنود اطلاعات
اما راهکارهایی نیز برای امن کردن اطلاعات در لایه چهارم وجود دارند که شما به عنوان کارشناس امنیت اطلاعات بایستی به آنها آشنا باشید:
- تعریف کردن Rule های دقیق و محدود کننده توسط فایروال به ویژه تعریف کردن پروتکل از نوع UDP یا TCP
- استفاده از فایروال های Stateful برای شناسایی ترافیک های غیرعادی شبکه
- استفاده از مکانیزم های جلوگیری از افشا و لو رفتن و جعل کردن Session ارتباطی
لایه Session
وظیفه اصلی لایه نشست یا Session ایجاد کردن ، نگهداری کردن و پایان بخشیدن به یک Session ارتباطی است اما در همه موارد از جمله ایجاد کردن ، مدیریت کردن و اتمام یک Session اطلاعاتی امکان شنود ، جعل و ... وجود دارد .اگر از مکانیزم های احراز هویت ضعیفی در این لایه استفاده شود امکان شنود شدن و بدست آوردن اطلاعات هویتی طرفیت بسیار ممکن است ، تصور کنید که نام کاربری و رمز عبور شما در هنگام برقراری ارتباط با یک وب سرور بصورت رمزنگاری نشده یا Clear Text رد و بدل شود و همین امر ممکن است کل Session شما را تحت تاثیر قرار دهد. حملات Brute Force و MITM از جمله دیگر حملاتی هستند که در این لایه انجام می شود ، از جمله تهدیدات و راهکارهای مقابله ای که در حوزه امنیت اطلاعات می توان در این لایه متصور بود می توانیم به موارد زیر اشاره کنیم :
- استفاده از مکانیزم های احراز هویت ضعیف یا عدم استفاده از مکانیزم های احراز هویت
- ارسال اطلاعات هویتی بصورت رمزنگاری نشده یا Clear Text
- شناسایی شدن Session ارتباطی و Hijack شدن Session
- امکان بروز حملات Brute Force و MITM
اما شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات بایستی موارد زیر را برای جلوگیری از بروز چنین حملاتی در نظر داشته باشید :
- استفاده و ذخیره سازی رمزنگاری شده رمزهای عبور
- استفاده از ساختار Ticketing و زمانبندی برای منقضی شدن Session ها
- محدود کردن زمان و تعداد Session و رمزنگاری Session ارتباطی
لایه Presentation
وظیفه اصلی لایه نمایش یا Presentation قالب بندی داده ها است . قالب بندی همان تعریف کردن روش رمزنگاری و فشرده سازی اطلاعات می باشد. شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات بایستی با الگوریتم های مختلف رمزنگاری آشنایی داشته باشید. باید نقاط ضعف هر الگوریتم و محل استفاده هر یک از الگوریتم ها را به خوبی بشناسید تا بتوانید در مقابل حملاتی که در این لایه انجام می شود مقابله کنید. در این لایه است که معمولا کارشناسانی که بصورت آکادمیک فعالیت کرده اند بیشتر احساس راحتی می کنند زیرا همه چیز در خصوص رمزنگاری و ریاضیات است و این دقیقا چیزی است که در رشته امنیت اطلاعات در دانشگاه ها تدریس می شود . هر چند دانستن این الگوریتم ها خوب است اما باید بدانید که چگونه و در کجا از آنها استفاده کنید.
لایه Application
لایه هفتم که لایه کاربردی یا Application نام دارد از نظر من و بسیاری دیگر از کارشناسان امنیت اطلاعات و ارتباطات سخت ترین لایه برای بحث امنیت اطلاعات است. این لایه وظیفه ارتباط با کاربران را بر عهده دارد و تقریبا همه نرم افزارهایی که کاربران قادر به مشاهده آن هستند در این لایه قرار می گیرند. برنامه نویس ها معمولا در این لایه بهترین کارشناسان امنیت می شوند زیرا دیدگاه آنها نرم افزار است و این لایه نیز در خصوص نرم افزارها صحبت می کند. معمولا بیشترین نقاط ضعف امنیتی که در دنیا وجود دارد در این لایه استقرار پیدا کرده است .
انواع و اقسام نرم افزارها و تنوع زیاد آنها و بعضا سهل انگاری هایی که در تولید و پشتیبانی آنها می شود باعث می شود که سخت ترین لایه برای کارشناسان امنیت لایه هفتم باشد. شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات باید تا حدودی با ساختار برنامه نویسی ، نقاط ضعف یک نرم افزار که می تواند باعث نفوذ به نرم افزار شود ، الگوریتم ها و روش های مختلف و استاندارد برنامه نویسی امن و ... آشنایی داشته باشید. این حداقل کاری است که شما می توانید در این لایه به عنوان یک کارشناس امنیت اطلاعات و ارتباطات انجام دهید. اگر درک درستی از آموزش شبکه داشته باشید ، قطعا در تبدیل شدن به یک متخصص امنیت شبکه موفق تر خواهید بود. امیدوارم مورد توجه شما قرار گرفته باشد امیدوارم بتوانم در ادامه از تجربیات شما دوستان نیز استفاده کنم.
