خوب سلام دوست عزیز ، با این توضیحات سعی کردم یه آنالیز کوتاه برای بالا بردن امنیت ISP ها و استفاده از پهنای باند به صورت بهین بدم.
یکی از دوستان نوشته بودند که firewall داره packet ها رو drop میکنه. این خودش از یه مبحث جدیکه که شاید به امنیت برگرده. این سوال دو جور جواب داره. در نگاه اول این جوری میگم که اگر که firewall شما سخت افزاری باشه ، حتما یه buffer داره و این buffer یه ظرفیت محدود داره. زمانی که ترافیک می ره بالا ( حالا مفید یا غیر مفید) buffer این firewall پر میشه و در این جور موارد که buffer یا به بیانی queue پر میشود شروع به drop میکنه تا فضاش خالی شه.
در مورد دوم اینکه میشه اینجور جواب داد که یک سری signature وجود داره که توی سیستم های firewall به عنوان حملات معروف شبکه و روش های نفوذپذیری(Intrusion) تعریف می شود. مثلا حملاتی مثل tear drop attack و یا روش هایی مثل SYN Scan و یا Ping of Death و یا DOS Attack اشاره کرد. زمانی که packet با علائم اینا حملات فرستاده بشه ، بعد از شناسایی سیستم packet های اوناره drop میکنه. به این سیستم در اصطلاح IDS/IPS (Intrusion Detection System / Intrusion Prevention System) معروف هستند.
حالا می رسیم سر اینکه ترافیک بالای شبکه چه دلایلی می تونه داشتنه باشه.
اصولا send دیتا الکی زیر سر Trojan و Virus و امثلاهم است. حالا اینا هم با توجه به نوع تهدیدی که میکنند دو جور packet را توی شبکه می فرستند. Packet ها یا broadcast هستند یا unicast که این خودش معلوم میکنه روی نوع ترافیک چه جوری اثر میذاره.
اصولا packet های broadcast زمانی ترافیک رو با می بره که نوع حمله همگانی است و شامل یه client خاص نمیشود. مثلا فرض کنید که روی یه سیستم یه کد مخرب برای (Malicious Code) روی یه سیستم وجود داره که مثلا داره داره از یه bug روی سیستم ویندوز یا RPC استفاده می کند. اونوقت این کد شروع میکنه این کد رو broadcast کردن که اونوقت تمام client های متصل به شبکه رو تهدید میکنه ولی بگم که از Router رد نمیشه ولی همه client های روی همون LANرو تهدید می کنه که این خودش میزانی از پهنای باند رو روی شبکه اشغال می کنه و در این رمان ترافیک روی Gateway و میزان send و receive به و از اینترنت کمه.. یکی از راه حل های این کار اینه که شما تمام log های firewall چک کنی، یه Network Sniffer نصب کنی و یا حتی از یه سیستم Network Traffic Monitoring استفاده کنی .حتی این Network Optimizer هم بد نیستند چونکه به شما Monitoring بر اساس میزان سرویس استفاده شده( HTTP , FTP و …) ارائه میدهد که اگه اشتباه نکنم هم ISAو هم SurfControl در بستر نرم افزاری و هم Exinda در قالب سخت افزاری این قابلیت رو دارن.
زمانی که سیستم Packet ها unicast هست یا تهدید از طرف شبکه LAN پشت روتر است یا به اینترنت ختم میشود. در مورد شبکه داخلی میشه این مثالو زد. فرض کنید که شما سیستم یه فایل مخرب داره. این فایل شروع می کنه به Port Scan تا یه bug ، یه exploit ، Backdoor و حتی Virus روی سیستم ها پیدا کنه و شروع میکنه به پیدا کردن یه قربانی.packet های ICMP و ARP ارسالای خودش کلی پهنای باند رو می گیره. حالت دوم زمانی است که شما روی دستگاه Trojan و یا Spywareداری و دیگه تمام پهنای بادند بخاطر Upload های زیاده اونا تمام پهنای باند شما اشغال می شه. اینجا بستگی داره هم استفاده از Gate defender ها و برقراری امنیت Local و روی خود PC اهمیت پیدا میکنه.
و حالا راه حل ،
راه اول اینه که تمامی user ها ، روی دستگاهشون یه Internet Security Suite نصب کنند که هم نقش firewall رو داشته باشه و هم این که سیستم رو ویروش یابی کنه و Anti Trojan ، Anti Spyware و ... هم باشه. که اکثر شرکت ها این ور دارند. من شخصا Bit defender و Kaspersky رو خیلی قبول دارم.
راه دوم هم استفاده از یک سیستم IDS / IPS هم برای ایمن کردن ارتباطات Gateway باشه که اینکار از حملات اینترنتی به داخل شبکه و حتی در بعضی موارد حتی خود LAN کمک میکنه. IDS/IPS هم سخت سخت افزاری داریم هم نرم افزاری. برای نرم افزار می شه به Nessus و Snort و برای سخت افزار هم همانطور که قبلا گفتم محصول Fortigate از شرکت fortinet گزینه خوبیه. منتها دو موضوع اینه حتما سیستمی رو انتخاب کنید که Engine اون تا حدودی هوشمند باشه و هم اینکه Signature های اون update بشه. اگه دستگاهی که شما به عنوان Gateway استفاده می کنید Antivirus ، ... هم باشه ، یه مزیت بزرگ داره و اون اینه که اجازه ورود این کد های مخرب رو به داخل شبکه از اینتر نت نمیده و به جلوگیری از مسموم شدن شبکه داخلی از اینترنت کمک بزرگی میکنه. خوب برای محصولات سخت افزاری که فقط AntiVirus هستند می شود به Panda Gate Defender و Symantec Gateway اشاره کرد. البته این دستگاه های ASIC-Based نبوده و یک PC کاملا Enterprise و Customized با CPU و RAM و .. با کمک یه OS که اکثرا داری سیستم عامل های Linux-Based هستند .(Recompiled Linux Kernel)
یه توضیح دیگه ای که جا داره بگم در مورد یک پارامتر دیگه انتخاب بهترین راه است ، البته این انتخاب با توجه به وضعیت شبکه کاملا متفاوت است. Nessus و Snort کاملا نرم افزاری هستند و صرفا IDS/IPS ولی Fortigate می تونه تمامی نقش های Firewall ، Antivirus ، Anti Spyware ، IPS / IDS و حتی Bandwidth Manager و Traffic Shaper رو برای شما بازی کنه. به علاوه چون که سخت افزاری و بر اساس تکنولوژی ASIC ساخته شده سرعت بالاتری نسبت به نرم افزار و حتی محصولات سخت افزاری مشابه داره .
موضوعات مشابه:
- راه اندازی یک اینترنت شیرینگ با قابلیت مدیریت در workgroup
- راه اندازی سایت جدید
- راه اندازی سایت داخلی