idehnetiqon

جداسازی اینترنت از اینترانت

جداسازی اینترنت از اینترانت

موضوع جدا سازی شبکه اینترنت از شبکه داخلی (اینترانت) از جمله موضوعات امنیت اطلاعات می باشد که در دهه
های اخیر مورد توجه سازمان ها با ریسک امنیت بالا قرار گرفته است.
پس از حمله ویروس STUXNET به صنایع و مراکز کنترلی به ویژه نیروگاه ها، ضرورت ایزوله کردن رایانه ها از
فضای عمومی اینترنت بیش از پیش در دستور کار سازمان ها و در رأس آنها مدیران فناوری اطلاعات قرار گرفت. لیکن
به دلایلی مانند عدم وجود یک استراتژی واحد و همچنین هزینه های مضاعف راه اندازی و پشتیبانی شبکه های ایزوله
موازی، دستیابی به این مهم محقق نگردید تا اینکه کشف ویروس (بد افزار)FLAME پس از دو سال فعالیت پنهان در
شبکه عملیاتی وزارت نفت هشداری جدی محسوب شد و نمایانگر وجود ضعف در تأمین امنیت فضای سایبری کشور بود.
ویروس STUXNET اولین بار در تاریخ 13 ژوئبه سال 2010 منتشر گردید. این ویروس با استفاده از نقص امنیتی
موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به
نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند. طبق
مطالعات درباره گسترش STUXNET که توسط سیمانتک انجام گرفته است، ایران اصلی ترین شرکت آسیب دیده در
روزهای اولیه انتشار این ویروس می باشد.
ویروس FLAME قطعه پیچیده‌ای از یک بدافزار کامپیوتر است که رایانه‌های با سیستم‌عامل ویندوز را مورد حمله قرار
می‌دهد، مانند استاکس‌نت و دوکو. این بدافزار بصورت هدفمند ساخته شده و می‌تواند از طریق قابلیت روت‌کیت‌ها از
نرم‌افزارهای امنیتی فعلی فرار کند. هنگامی که یک سیستم آلوده می‌شود، بدافزار Flame می‌تواند بر روی شبکه محلی
یا از طریق فلش دیسک به سیستم‌های دیگر پخش شود و می‌تواند صدا، فعالیت‌های کی‌برد و ترافیک شبکه را ضبط
کند. همچنین می تواند مکالمات اسکایپ را نیز ضبط نماید و در نهایت سیستم آلوده را به Bluetooth Beacons تبدیل
کند که تلاش می‌کند اطلاعات تماس را از بلوتوث اطراف جمع‌آوری کند. این داده‌ها همراه با اسناد محلی به سرور
فرماندهی و کنترل ارسال می‌شود. طبق بررسی های اولیه بیشترین آلودگی ها مربوط به رایانه های ایران )حدود 59%(
می باشد.
با کشف حملات جاسوسی پس از دو سال فعالیت خاموش در چند سال اخیر و همزمان با رشد فضای سایبری کشور،
اجرای آیین نامه ها و دستورالعمل ها در خصوص قطع دسترسی به اطلاعات ملی و محرمانه سازمانها از طریق اینترنت
امری اجتناب ناپذیر گردید.
با عملیاتی شدن طرح اینترنت ملی بخشی از نیازهای کشور مرتفع می گردد ولی دسترسی به اینترنت همچنان یکی از
نیاز های روزمره مراکز، شرکت ها و سازمان ها می باشد.

جداسازی اینترنت از اینترانت را با نام‌های مختلفی می‌شناسیم:

  • جداسازی اینترنت از شبکه داخلی
  • جداسازی اینترنت
  • جداسازی شبکه از اینترنت
  •  …

تمام این واژگان دلالت بر اهمیت اینترنت، شبکه داخلی و مباحث امنیتی مرتبط با آن دارد.
مدیریت ترافیک اینترنت در اینترانت (شبکه داخلی) از راه های واجب و ضروری جهت تامین امنیت زیرساخت شبکه سازمانها است. با توجه به گسترش تهدیدات سایبری و باج/ بد افزارها، به کارگیری روشی کارا و سودمند در مدیریت ترافیک اینترنت می‌تواند اطمینان خاطر بیشتری از باب تحمل پذیری شبکه سازمان ایجاد کند.
در این مستند سعی داریم روش‌های گوناگون مدیریت اینترنت در شبکه داخلی را، با در نظر گرفتن مزایا و معایب مورد بررسی قرار دهیم.
مدیریت ترافیک به دو شکل در زیرساخت سازمان امکان پذیر است:

⦁ کنترل دسترسی سیستم کاربر به اینترنت
⦁ جداسازی ترافیک اینترنت از اینترانت

کنترل دسترسی سیستم کاربر به اینترنت

در روش کنترل دسترسی، سیستم‌های سازمان به صورت پیش فرض به اینترنت دسترسی ندارند و جهت کار با اینترنت لازم است کاربر یک اتصال VPN به سرور اینترنت برقرار کند. با طی کردن این فرآیند سیستم کاربر به اینترنت دسترسی خواهد داشت.
در این روش اگر چه دسترسی به اینترنت به صورت دائمی نیست، اما سیستم کاربر به صورت دو منظوره مورد استفاده قرار می‌گیرد:

  •  شبکه اینترانت (داخلی)
  •  شبکه اینترنت

استفاده دو منظوره از سیستم کاری، مخاطرات زیادی به همراه دارد چرا که در صورت آلوده شدن ایستگاه کاری به واسطه فعالیت در اینترنت، علی رغم قطع اینترنت توسط کاربر، آلودگی به راحتی می‌تواند در شبکه سازمان گسترش یافته و آسیب‌های خود را وارد کند.
در این روش ترافیک اینترنت در اینترانت جریان دارد که این می‌تواند مخاطرات زیادی به همراه داشته باشد. بنابراین کنترل دسترسی از طریق VPN و یا هر ابزار دیگری بر بستر شبکه داخلی روشی امن برای مدیریت اینترنت به حساب نمی آید.

جداسازی ترافیک اینترنت از اینترانت

در روش جداسازی اینترنت، ترافیک اینترنت به صورت کامل از سطح سازمان جمع آوری شده و در یک محدوده کنترل شده و مشخص قرار می‌گیرد. کاربران با دسترسی به این محدوده امکان کار با اینترنت را خواهند داشت.
در این روش از یک سیستم به صورت دو منظوره استفاده نمی‌شود که این موضوع به خودی خود می‌تواند سطح امنیت را تا حد قابل توجهی افزایش دهد. با انجام فرآیند جداسازی، چالش اصلی انتقال امن و کنترل شده‌ی فایل از اینترنت به داخل و از داخل به اینترنت است.

جداسازی اینترنت از اینترانت به دو دسته اصلی تقسیم می‌شود:

  • جداسازی فیزیکی
  • جداسازی منطقی

جداسازی فیزیکی اینترنت از اینترانت

در این روش شبکه فیزیکی کاملا مجزایی از شبکه اینترانت برای دسترسی به اینترنت ایجاد می‌شود. کاربران قادر
خواهند بود از ایستگاه‌های کاری مجزایی که برای هر کاربر در نظر گرفته شده و متصل به شبکه فیزیکی اینترنت است
اقدام به کار با اینترنت نمایند.
یکی از مزیت‌های اصلی این شیوه تفکیک کامل ترافیک اینترنت است، به طوری که ایستگاه‌های اینترنت دسترسی به
ایستگاه‌های کاری داخل ندارند.
در کنار این مزیت این روش چند اشکال اساسی نیز دارد:

⦁ این روش هزینه هنگفتی برای سازمان جهت برپاسازی و پشتیبانی شبکه مجزا ایجاد می‌شود و در نگاه کلان به دلیل واردات سخت افزار، بار ارزی زیادی برای کشور به دنبال دارد.
⦁ جهت جابجایی فایل معمولا از USB Flashها استفاده می‌شود که باید گفت به صورت معمول در حملات سایبری همواره پای یک USB Flash در میان است.
⦁ به دلیل عدم کنترل پذیری جابجایی USB Flash مخاطرات زیادی از این منظر متوجه سازمان است.
⦁ به دلیل محدودیت مکانی در کار با اینترنت، در فعالیت‌های جاری سازمان وقفه ایجاد می‌شود.

جداسازی منطقی اینترنت از شبکه داخلی

در این روش توسعه فیزیکی مجزایی برای ترافیک اینترنت انجام نمی‌شود، بلکه بر بستر شبکه داخلی و به صورت منطقی، اینترنت در یک محدوده قرار می‌گیرد و کاربر با استفاده از ابزارهایی در این محیط اقدام به فعالیت با اینترنت می‌کند.
فهرستی از روشها، ابزارها و محصولات گوناگون جهت جداسازی اینترنت به شرح زیر است، ترتیب با توجه به افزایش سطح امنیت از اول لیست (امنیت پایینتر) به انتهای لیست (امنیت بالاتر) انتخاب شده است:

⦁ جداسازی با استفاده از VLAN
⦁ جداسازی با استفاده از Virtual App
⦁ جداسازی با استفاده از Terminal Service
⦁ جداسازی با استفاده از Container
⦁ جداسازی با استفاده از Horizon VDI
⦁ جداسازی با استفاده از سامانه «ایناد»
⦁ جداسازی با استفاده از VLAN

در روش جداسازی با VLAN از قابلیت سوئیچ‌ های لایه 2 در ایجاد و مدیریت VLAN استفاده می‌شود. به عبارتی با طراحی VLANهای مختلف در شبکه داخلی، ترافیک اینترنت در شبکه‌های مجازی مشخصی جریان می‌یابد.
مزیت این روش سادگی و سرعت در تفکیک منطقی ترافیک اینترنت است. با این وجود، این روش مخاطراتی هم به همراه دارد:

⦁ در این روش کماکان ترافیک اینترنت در سطح شبکه سازمان جریان دارد.
⦁ از سوئیچ‌های داخلی سازمان به صورت دو منظوره (شبکه اینترانت و شبکه اینترنت) استفاده می‌شود. این موضوع نیز جای بحث و تبادل نظر دارد چرا که سوئیچ به صورت منطقی ترافیک‌ها را تفکیک می‌کند و بروز آسیب‌پذیری در سطح سوئیچ کل شبکه سازمان را دچار مخاطره می‌کند.

جداسازی با استفاده از Virtual App

Virtual App یکی از انواع روش‌های مجازی است. در این نوع مجازی سازی کاربران برنامه هایی را اجرا می‌کنند که مکان اجرای آنها بر روی سیستم دیگری قرار دارد و به صورت مجازی تعاملات گرافیکی کاربر با برنامه بر روی سیستم کاربر انجام می‌شود.
در روش جداسازی با Virtual App کاربران دسترسی به Browserهایی همچون Firefox/Chrome به صورت Virtual App خواهند داشت. به عبارتی اینترنت بر روی سیستم شخص وجود ندارد اما با برنامه هایی کار خواهد کرد(Browserها) که بر روی سیستمی که اینترنت دارد اجرا می‌شوند.
مزیت این روش منابع کمی است که جهت پیاده سازی نیاز است. با این وجود این روش مخاطراتی را با خود به همراه دارد که قابل چشم پوشی نیست:

  • از منظر مباحث شبکه، دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (میزبان Virtual Appها) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبانِ Appها، امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
  • فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر به صورت مستقیم تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار می‌گیرند.

جداسازی با استفاده از Terminal Service

RDP یا Terminal Service راهکار مایکروسافت جهت دسترسی اشتراکی به یک سیستم ویندوزی است. از نظر عملکردی این شیوه شباهت‌های زیادی به Virtual App دارد با این تفاوت که کاربر یک دسکتاپ کامل در فضای اینترنت را در اختیار دارد.
این شیوه بعد از Virtual App منابع کمی را به خود اختصاص می‌دهد با این وجود مخاطرات آن کمتر از Virtual App نیست:

  • دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (سرور Terminal Service) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبان اینترنت، امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
  • فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار می‌گیرند.

به صورت کلی RDP به عنوان یک پروتکل امن شناخته نمی‌شود و خود عامل گسترش باج افزارها در سطح سازمان است و چنانچه سیاست‌های امنیتی به درستی اعمال نگردد امکان جابجایی مستندات بدون کنترل را در سطح شبکه اینترنت و اینترانت فراهم می‌کند.

جداسازی با استفاده از Container

این روش که در برخی موارد از آن با عنوان Browser Isolation نام برده می‌شود از روش مجازی سازی OS-Level در سطح سیستم عامل لینوکس برای ایجاد محیط‌های نسبتا ایزوله برای اجرای Browser استفاده می‌کند. به این شکل با دسترسی محیط ایزوله یا container به اینترنت و دسترسی کاربر به کنسول آن، امکان کار با اینترنت برای کاربر فراهم می‌گردد.
Container یا OS Level Virtualization یکی از انواع روش‌های مجازی سازی است که هسته سیستم عامل لینوکس را به صورت منطقی به قسمت‌هایی تقسیم می‌کند که می‌تواند به عنوان یک سیستم عامل مستقل اجرا شود.
این شیوه در بحث جداسازی منطقی حرکت خوبی است. اما چالش‌های اساسی با خود به همراه دارد:
Containerها از بعد امنیت همواره مورد بحث و چالش بوده‌اند:

⦁ از نظر تاثیرات جانبی Containerها بر روی یکدیگر
⦁ نفوذ به سیستم اصلی (میزبان Containerها)

برای افزایش امنیت Containerها، توسعه دهندگان اقدام به اجرای آنها در محیط‌های Full Virtualization، به عنوان مثال اجرا بر بستر KVM، نموده‌اند.
بستر Containerها سیستم عامل لینوکس است، به عبارتی امکان اجرای برنامه‌های ویندوز پایه و یا استفاده از افزونه‌های خاص Browser ها که مخصوص ویندوز هستند وجود ندارد.

جداسازی با استفاده از Horizon VDI

در این شیوه به هر کاربر یک میزکار مجازی اختصاص داده می‌شود که کاربر از طریق اتصال به آن امکان فعالیت در اینترنت را خواهد داشت. و همزمان از سیستم محلی خود برای فعالیت‌های کاری استفاده می‌کند.
روش Horizon VDI اگر چه از بعد امنیت از مزیت‌های Full Virtualization بهره می‌برد، با این وجود چالش امنیتی ویژه‌ای دارد:
جهت اتصال به محیط گرافیکی میزکار مجازی، لازم است ارتباط شبکه‌ای بین سیستم کاربر و میزکار مجازی که به اینترنت متصل است، وجود داشته باشد. به عبارتی به دلیل وجود این مسیر شبکه در صورت بروز آلودگی برای میزکار مجازی، امکان انتشار آلودگی در سطح سازمان وجود دارد.