مفاهیم امنیت شبکه

[bel-lzad]

دفاع عليه حملات DNS

دفاع از سرور اصلي (root server)

پايگاه داده سرور اصلي کوچک است و بندرت تغيير مي کند. يک کپي کامل از پايگاه داده اصلي تهيه کنيد، روزي يک بار آپديت ها را چک کنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از سرورهاي اصلي با استفاده از آدرس هاي anycast استفاده کنيد (اين عمل باعث مي شود که سيستم ها در شبکه هاي با موقعيت هاي مختلف بعنوان يک سرور بنظر برسند.)

دفاع از سازمان تان

اگر سازمان شما يک اينترانت دارد، بايد دسترسي هاي جداگانه اي از DNS براي کاربران داخلي و مشتريان خارجي خود فراهم کنيد. اين عمل DNS داخلي را از حملات خارجي در امان نگاه مي دارد. ناحيه اصلي را کپي کنيد تا سازمان خود را از حملات DDoS آتي روي قسمت هاي اصلي محفوظ نگه داريد. همچنين به کپي کردن نواحي DNS از شرکاي تجاري خود که در خارج از شبکه شما قرار دارند، توجه کنيد. هنگامي که بروز رسان هاي DNS به روي اينترنت مي روند، مي توانند در هنگام انتقال مورد ربايش و دستکاري قرار گيرند. از TSIG ها (transaction signature) يا امضاهاي معاملاتي براي امضاي آن ها يا ارسال بروز رسان ها روي v p n (شبکه هاي خصوصي مجازي) يا ساير کانال ها استفاده کنيد.

مقابله با حملات DDoS

چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف کامپيوترهاي آلوده موجود در اينترنت مراقبت کنيد تا شبکه شرکت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:

سياه چاله

اين روش تمام ترافيک را مسدود مي کند و به سمت سياه چاله! يعني جايي که بسته ها دور ريخته مي شود هدايت مي کند. اشکال در اين است که تمام ترافيک – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبکه مورد نظر صورت يک سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به کاربران قانوني نيز داده نمي شود.

مسيرياب ها و فايروال ها

روتر ها مي توانند طوري پيکربندي شوند که از حملات ساده ping با فيلترکردن پروتکل هاي غيرضروري جلوگيري کنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف کنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند

سيستم هاي کشف نفوذ

روش هاي سيستم هاي کشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي کند که باعث تشخيص استفاده از پروتکل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافيک را مسدود کنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.

سرورها

پيکربندي مناسب application هاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS تأثير بسيار مهمي دارند. يک سرپرست شبکه مي تواند بوضوح مشخص کند که يک application از چه منابعي مي تواند استفاده کند و چگونه به تقاضاهاي کلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در ترکيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي که مورد حمله DDoS قرار مي گيرند، داشته باشند.

ابزار تخفيف DDoS

چندين شرکت ابزارهايي توليد مي کنند که براي ضدعفوني ! کردن ترافيک يا تخفيف حملات DDoS استفاده مي شوند که اين ابزار قبلاً بيشتر براي متعادل کردن بار شبکه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچکدام کامل نيستند. بعضي ترافيک قانوني را نيز متوقف مي کنند و بعضي ترافيک غيرقانوني نيز اجازه ورود به سرور پيدا مي کنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيک درست از نادرست بهتر عمل کند.

پهناي باند زياد

خريد يا تهيه پهناي باند زياد يا شبکه هاي افزونه براي سروکار داشتن با مواقعي که ترافيک شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشد
عموماً، شرکت ها از قبل نمي دانند که يک حمله DDoS بوقوع خواهد پيوست. طبيعت يک حمله گاهي در ميان کار تغيير مي کند و به اين نياز دارد که شرکت بسرعت و بطور پيوسته در طي چند ساعت يا روز، واکنش نشان دهد. از آنجا که تأثير اوليه بيشتر حملات، مصرف کردن پهناي باند شبکه شماست، يک ارائه کننده سرويس هاي ميزبان روي اينترنت که بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يک حمله را تخفيف دهد.