جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

دفاع در عمق چیست؟ بررسی مفهوم Defense in Depth به زبان ساده

داشتن تنها یک نقطه برای کنترل امنیتی کل شبکه ، کار عاقلانه نیست اگر این نقطه دارای تنظیم اشتباه باشد یا نتواند سیاست ها را اجرا کند شبکه شما بر روی تمام تاثیرات منفی که فایروال باید جلوی آن را بگیرد باز خواهد بود. یه راه حل که در واقع یک ایده است تا راه حل ، استفاده از defense-in-depth یا امنیت لایه به لایه است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

یه مثال برای defense-in-depth برای سازمانی است که دارای یک وب سرور است که به صورت عمومی در دسترسی است. ما به عنوان یک کاربر نهایی از طریق شبکه اینترنت با باز کردن مرورگر خود و وارد کردن آدرس سایت این سازمان به آن دسترسی پیدا می کنیم. در پشت صحنه ، یک درخواست DNS از دستگاه ما برای پیدا کردن IP آدرس وب سرور آن سازمان ارسال می شود. زمانی که IP آدرس سرور سازمان را پیدا کردیم ما یک ارتباط (Transfer Control Protocol (TCP را با سرور برقرار می کنیم.

بسته های ما از طریق اینترنت به سمت آن سازمان ارسال می شوند. روتر سازمان که این بسته ها را دریافت ی کند به عنوان اولین خط دفاعی محسوب می شود و این روتر باید IP آدرس مبدا بسته ها را چک کند تا از جعل نشدن IP مطمئن شود (مانند IP آدرس های استفاده شده در شبکه داخلی سازمان). همچنین در این روتر با استفاده از ACL می توان محدودیت هایی را اعمال کرد. سپس در صورت سالم بودن بسته ها آنها را به سمت شبکه داخلی و فایروال ارسال می کند که به عنوان خط دوم دفاعی محسوب می شود.

فایروال می تواند کارهای زیادی را قبل از ارسال بسته ها به سمت سرور انجام دهد. فایروال می تواند خودش را به عنوان سرور به ما معرفی کند و three-way handshake را با ما انجام دهد تا مطمئن شود که ما قصد حمله SYN flood را نداریم. فایروال می تواند قبل از ارسال ترافیک ما به سمت سرور از ما بخواهد که احراز هویت را انجام دهیم و بسیاری کارهای دیگر که می توان با استفاده از فایروال انجام داد. بعد از اینکه تمام قوانین و شرایط فایروال توسط بسته های ما رعایت شد بسته های ما به سمت سرور ارسال خواهند شد.

ارتباط بین فایروال و سرور از طریق یک سوئیچ انجام می شود و در اینجا می توانیم از ویژگی های امنیتی لایه دو سوئیچ به عنوان یک خط دفاعی بهره ببریم. بسته ها در نهایت به دست سرور می رسند و فایروال های نرم افزاری به عنوان اخرین خط دفاعی ما محسوب می شود.

براساس این مثال درک این موضوع که چگونه می توانیم از defense-in-depth یا امنیت لایه ای برای محافظت از شبکه استفاده کنیم بسیار مهم است. این نکته را در نظر داشته باشید یک دستگاه به تنهایی نمی تواند از کل شبکه شما محافظت کند و به یک کار تیمی توسط دستگاه ها نیاز است.

دلیل دیگر برای استفاده از defense-in-depth این است که تمام حملات و ترافیک های مخرب از طریق شبکه خارجی صورت نمی گیرد و بسیاری از آنها از طریق دستگاه های شبکه داخلی انجام می شود مانند دستگاه های کاربران نهایی

هدف فایروال کاهش ریسک است. فایروال به عنوان بخشی از استراتژی امنیتی برای محافظت از شبکه است تا شبکه قابل اطمینان و در دسترس باشد. فایروال نمی تواند جایگزین سایر سیستم ها مانند برنامه backup گیری و ... شود و هر کدام از این بخش ها برای عملکرد شبکه مورد نیاز است.

مفهوم Defense in Depth چیست؟



جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات