بالا بردن امنیت و بهینه سازی ترافیک یک ISP و یک شبکه Enterprise
[right][font=Tahoma]خوب سلام دوست عزیز ، با این توضیحات سعی کردم یه آنالیز[/font][font=Tahoma] کوتاه برای بالا بردن امنیت [/font][font=Tahoma]ISP[/font][font=Tahoma] ها و استفاده از پهنای باند به صورت بهین بدم. [/font][/right]
[font=Tahoma]یکی از دوستان نوشته بودند که [/font][font=Tahoma]firewall[/font][font=Tahoma] داره [/font][font=Tahoma]packet[/font][font=Tahoma] ها رو [/font][font=Tahoma]drop[/font][font=Tahoma] میکنه. این خودش از یه مبحث جدیکه که شاید به امنیت برگرده. این سوال دو جور جواب داره. در نگاه اول این جوری میگم که اگر که [/font][font=Tahoma]firewall[/font][font=Tahoma] شما سخت افزاری باشه ، حتما یه [/font][font=Tahoma]buffer[/font][font=Tahoma] داره و این [/font][font=Tahoma]buffer[/font][font=Tahoma] یه ظرفیت محدود داره. زمانی که ترافیک می ره بالا ( حالا مفید یا غیر مفید) [/font][font=Tahoma]buffer[/font][font=Tahoma] این [/font][font=Tahoma]firewall[/font][font=Tahoma] پر میشه و در این جور موارد که [/font][font=Tahoma]buffer[/font][font=Tahoma] یا به بیانی [/font][font=Tahoma]queue[/font][font=Tahoma] پر میشود شروع به [/font][font=Tahoma]drop[/font][font=Tahoma] میکنه تا فضاش خالی شه.[/font]
[font=Tahoma]در مورد دوم اینکه میشه اینجور جواب داد که یک سری [/font][font=Tahoma]signature[/font][font=Tahoma] وجود داره که توی سیستم های [/font][font=Tahoma]firewall[/font][font=Tahoma] به عنوان حملات معروف شبکه و روش های نفوذپذیری([/font][font=Tahoma]Intrusion[/font][font=Tahoma]) تعریف می شود. مثلا حملاتی مثل [/font][font=Tahoma]tear drop attack[/font][font=Tahoma] و یا روش هایی مثل [/font][font=Tahoma]SYN Scan [/font][font=Tahoma] و یا [/font][font=Tahoma]Ping of Death[/font][font=Tahoma] و یا [/font][font=Tahoma]DOS Attack[/font][font=Tahoma] اشاره کرد. زمانی که [/font][font=Tahoma]packet[/font][font=Tahoma] با علائم اینا حملات فرستاده بشه ، بعد از شناسایی سیستم [/font][font=Tahoma]packet[/font][font=Tahoma] های اوناره [/font][font=Tahoma]drop[/font][font=Tahoma] میکنه. به این سیستم در اصطلاح [/font][font=Tahoma]IDS/IPS [/font][font=Tahoma] ([/font][font=Tahoma]Intrusion Detection System / Intrusion Prevention System[/font][font=Tahoma]) معروف هستند.[/font]
[font=Tahoma]حالا می رسیم سر اینکه ترافیک بالای شبکه چه دلایلی می تونه داشتنه باشه.[/font]
[font=Tahoma]اصولا [/font][font=Tahoma]send[/font][font=Tahoma] دیتا الکی زیر سر [/font][font=Tahoma]Trojan[/font][font=Tahoma] و [/font][font=Tahoma]Virus[/font][font=Tahoma] و امثلاهم است. حالا اینا هم با توجه به نوع تهدیدی که میکنند دو جور [/font][font=Tahoma]packet[/font][font=Tahoma] را توی شبکه می فرستند. [/font][font=Tahoma]Packet[/font][font=Tahoma] ها یا [/font][font=Tahoma]broadcast[/font][font=Tahoma] هستند یا [/font][font=Tahoma]unicast[/font][font=Tahoma] که این خودش معلوم میکنه روی نوع ترافیک چه جوری اثر میذاره. [/font]
[font=Tahoma]اصولا [/font][font=Tahoma]packet[/font][font=Tahoma] های [/font][font=Tahoma]broadcast[/font][font=Tahoma] زمانی ترافیک رو با می بره که نوع حمله همگانی است و شامل یه [/font][font=Tahoma]client[/font][font=Tahoma] خاص نمیشود. مثلا فرض کنید که روی یه سیستم یه کد مخرب برای [/font][font=Tahoma](Malicious Code)[/font][font=Tahoma] روی یه سیستم وجود داره که مثلا داره داره از یه [/font][font=Tahoma]bug [/font][font=Tahoma] روی سیستم ویندوز یا [/font][font=Tahoma]RPC[/font][font=Tahoma] استفاده می کند. اونوقت این کد شروع میکنه این کد رو [/font][font=Tahoma]broadcast[/font][font=Tahoma] کردن که اونوقت تمام [/font][font=Tahoma]client[/font][font=Tahoma] های متصل به شبکه رو تهدید میکنه ولی بگم که از [/font][font=Tahoma]Router[/font][font=Tahoma] رد نمیشه ولی همه [/font][font=Tahoma]client[/font][font=Tahoma] های روی همون [/font][font=Tahoma]LAN[/font][font=Tahoma]رو تهدید می کنه که این خودش میزانی از پهنای باند رو روی شبکه اشغال می کنه و در این رمان ترافیک روی [/font][font=Tahoma]Gateway[/font][font=Tahoma] و میزان [/font][font=Tahoma]send [/font][font=Tahoma]و [/font][font=Tahoma]receive[/font][font=Tahoma] به و از اینترنت کمه.. یکی از راه حل های این کار اینه که شما تمام [/font][font=Tahoma]log [/font][font=Tahoma] های [/font][font=Tahoma]firewall[/font][font=Tahoma] چک کنی، یه [/font][font=Tahoma]Network Sniffer [/font][font=Tahoma] نصب کنی و یا حتی از یه سیستم [/font][font=Tahoma]Network Traffic Monitoring[/font][font=Tahoma] استفاده کنی .[/font][font=Tahoma]حتی این [/font][font=Tahoma]Network Optimizer[/font][font=Tahoma] هم بد نیستند چونکه به شما [/font][font=Tahoma]Monitoring[/font][font=Tahoma] بر اساس میزان سرویس استفاده شده( [/font][font=Tahoma]HTTP , FTP [/font][font=Tahoma]و [/font][font=Tahoma]…[/font][font=Tahoma]) ارائه میدهد که اگه اشتباه نکنم هم [/font][font=Tahoma]ISA[/font][font=Tahoma]و هم [/font][font=Tahoma]SurfControl[/font][font=Tahoma] در بستر نرم افزاری و هم [/font][font=Tahoma]Exinda[/font][font=Tahoma] در قالب سخت افزاری این قابلیت رو دارن.[/font]
[font=Tahoma]زمانی که سیستم [/font][font=Tahoma]Packet [/font][font=Tahoma] ها [/font][font=Tahoma]unicast[/font][font=Tahoma] هست یا تهدید از طرف شبکه [/font][font=Tahoma]LAN[/font][font=Tahoma] پشت روتر است یا به اینترنت ختم میشود. در مورد شبکه داخلی میشه این مثالو زد. فرض کنید که شما سیستم یه فایل مخرب داره. این فایل شروع می کنه به [/font][font=Tahoma]Port Scan[/font][font=Tahoma] تا یه [/font][font=Tahoma]bug[/font][font=Tahoma] ، یه [/font][font=Tahoma] exploit [/font][font=Tahoma]، [/font][font=Tahoma]Backdoor[/font][font=Tahoma] و حتی [/font][font=Tahoma]Virus[/font][font=Tahoma] روی سیستم ها پیدا کنه و شروع میکنه به پیدا کردن یه قربانی.[/font][font=Tahoma]packet[/font][font=Tahoma] های [/font][font=Tahoma]ICMP[/font][font=Tahoma] و [/font][font=Tahoma]ARP[/font][font=Tahoma] ارسالای خودش کلی پهنای باند رو می گیره. حالت دوم زمانی است که شما روی دستگاه [/font][font=Tahoma]Trojan [/font][font=Tahoma] و یا [/font][font=Tahoma]Spyware[/font][font=Tahoma]داری و دیگه تمام پهنای بادند بخاطر [/font][font=Tahoma]Upload [/font][font=Tahoma] های زیاده اونا تمام پهنای باند شما اشغال می شه. اینجا بستگی داره هم استفاده از [/font][font=Tahoma]Gate defender[/font][font=Tahoma] ها و برقراری امنیت [/font][font=Tahoma]Local[/font][font=Tahoma] و روی خود [/font][font=Tahoma]PC[/font][font=Tahoma] اهمیت پیدا میکنه.[/font]
[font=Tahoma]و حالا راه حل ، [/font]
[font=Tahoma]راه اول اینه که تمامی [/font][font=Tahoma]user[/font][font=Tahoma] ها ، روی دستگاهشون یه [/font][font=Tahoma]Internet Security Suite[/font][font=Tahoma] نصب کنند که هم نقش [/font][font=Tahoma]firewall[/font][font=Tahoma] رو داشته باشه و هم این که سیستم رو ویروش یابی کنه و [/font][font=Tahoma]Anti Trojan[/font][font=Tahoma] ، [/font][font=Tahoma]Anti Spyware[/font][font=Tahoma] و ... هم باشه. که اکثر شرکت ها این ور دارند.[/font][font=Tahoma] من شخصا [/font][font=Tahoma]Bit defender[/font][font=Tahoma] و [/font][font=Tahoma]Kaspersky[/font][font=Tahoma] رو خیلی قبول دارم. [/font]
[font=Tahoma]راه دوم هم استفاده از یک سیستم [/font][font=Tahoma]IDS / IPS[/font][font=Tahoma] هم برای ایمن کردن ارتباطات [/font][font=Tahoma]Gateway[/font][font=Tahoma] باشه که اینکار از حملات اینترنتی به داخل شبکه و حتی در بعضی موارد حتی خود [/font][font=Tahoma]LAN[/font][font=Tahoma] کمک میکنه. [/font][font=Tahoma]IDS/IPS[/font][font=Tahoma] هم سخت سخت افزاری داریم هم نرم افزاری. برای نرم افزار می شه به [/font][font=Tahoma]Nessus[/font][font=Tahoma] و [/font][font=Tahoma]Snort[/font][font=Tahoma] و برای سخت افزار هم همانطور که قبلا گفتم محصول[/font][font=Tahoma] Fortigate [/font][font=Tahoma]از شرکت [/font][font=Tahoma]fortinet[/font][font=Tahoma] گزینه خوبیه. منتها دو موضوع اینه حتما سیستمی رو انتخاب کنید که [/font][font=Tahoma]Engine[/font][font=Tahoma] اون تا حدودی هوشمند باشه و هم اینکه [/font][font=Tahoma]Signature[/font][font=Tahoma] های اون [/font][font=Tahoma]update[/font][font=Tahoma] بشه. اگه دستگاهی که شما به عنوان [/font][font=Tahoma]Gateway[/font][font=Tahoma] استفاده می کنید [/font][font=Tahoma]Antivirus [/font][font=Tahoma]، ... هم باشه ، یه مزیت بزرگ داره و اون اینه که اجازه ورود این کد های مخرب رو به داخل شبکه از اینتر نت نمیده و به جلوگیری از مسموم شدن شبکه داخلی از اینترنت کمک بزرگی میکنه. خوب برای محصولات سخت افزاری که فقط [/font][font=Tahoma]AntiVirus[/font][font=Tahoma] هستند می شود به [/font][font=Tahoma]Panda Gate Defender[/font][font=Tahoma] و [/font][font=Tahoma]Symantec Gateway[/font][font=Tahoma] اشاره کرد. البته این دستگاه های [/font][font=Tahoma]ASIC-Based[/font][font=Tahoma] نبوده و یک [/font][font=Tahoma]PC [/font][font=Tahoma] کاملا [/font][font=Tahoma]Enterprise[/font][font=Tahoma] و [/font][font=Tahoma]Customized[/font][font=Tahoma] با [/font][font=Tahoma]CPU[/font][font=Tahoma] و [/font][font=Tahoma]RAM[/font][font=Tahoma] و .. با کمک یه [/font][font=Tahoma]OS[/font][font=Tahoma] که اکثرا داری سیستم عامل های [/font][font=Tahoma]Linux-Based[/font][font=Tahoma] هستند .[/font][font=Tahoma](Recompiled Linux Kernel)[/font]
[font=Tahoma]یه توضیح دیگه ای که جا داره بگم در مورد یک پارامتر دیگه انتخاب بهترین راه است ، البته این انتخاب با توجه به وضعیت شبکه کاملا متفاوت است. [/font][font=Tahoma]Nessus[/font][font=Tahoma] و [/font][font=Tahoma]Snort[/font][font=Tahoma] کاملا نرم افزاری هستند و صرفا [/font][font=Tahoma]IDS/IPS[/font][font=Tahoma] ولی [/font][font=Tahoma]Fortigate[/font][font=Tahoma] می تونه تمامی نقش های [/font][font=Tahoma]Firewall [/font][font=Tahoma]، [/font][font=Tahoma]Antivirus[/font][font=Tahoma] ، [/font][font=Tahoma]Anti Spyware[/font][font=Tahoma] ، [/font][font=Tahoma]IPS / IDS[/font][font=Tahoma] و حتی[/font][font=Tahoma] Bandwidth Manager[/font][font=Tahoma] و [/font][font=Tahoma]Traffic Shaper[/font][font=Tahoma] رو برای شما بازی کنه. به علاوه چون که سخت افزاری و بر اساس تکنولوژی [/font][font=Tahoma]ASIC[/font][font=Tahoma] ساخته شده سرعت بالاتری نسبت به نرم افزار و حتی محصولات سخت افزاری مشابه داره . [/font]