معرفی تکنولوژی های مدرن امنیتی

در بخش سوم از این سری از مطالب به معرفی تکنولوژی های مدرن امنیتی-فایروال پرداختیم. در این قسمت نیز قصد داریم به معرفی تکنولوژی های مدرن امنیتی – قابلیت های فایروال سیسکو اشاره کنیم.

قابلیت تشخیص SYN Attack و Scanning Attack  

یکی از روش هاي موثر جهت کنترل Flooding Attack و یا DoS Attack ها، استفاده از مکانیزم Rate-limit می باشد. با استفاده از این مکانیزم حجم ترافیک ارسالی براي سرورهاي مختلف، توسط فایروال محدود خواهد شد. فایروال سیسکو این قابلیت را با استفاده از Modular Policy Framework فراهم می آورد. از دیگر قابلیت هایی که به صورت Built-in در فایروال قرار داده شده است، تشخیص scanning Attack ها می باشد و فایروال در صورتیکه Scanning Attack را در مجموعه تشخیص دهد، می تواند از این نوع حملات جلوگیري نماید.

قابلیت  Botnet Traffic Filtering

با فعال سازي این قابلیت در حقیقت شبکه خود را در مقابل یکی از جدیدترین و خطرناك ترین حملاتی که امروزه بسیار شایع میباشد، ایمن ساخته اید. از آنجایی که تشخیص این حملات  که BOTNET نامیده میشوند بسیار مشکل بوده و از طرفی به سادگی قابل رشد و انتشار در داخل شبکه هستند مشکل بزرگی براي امنیت شبکه ها محسوب می شوند.

طبق آمار گزارش شده از طرف FBI، فقط در آمریکا از هر 5 میلیون کاربر، یک میلیون آنها تحت کنترل BOTNET ها قرار دارند و ضرر و زیان بالایی براي شبکه ها به ارمغان می آورند که این خود نمایانگر نیاز شدید براي مقابله با این حملات است. حملات مبتنی بر BOTNET تا حدي فراگیر گشته اند که روزانه شاهد اخبار بسیاري در رابطه با شبکه هایی که به نوعی درگیر این حملات گشته اند و ضرر و زیان هایی که با این حملات به دنبال داشته اند هستیم.

حملات BOTNET چیست؟

حملات BOTNET از یک Bot-Master و تعدادي BOT) Zombie)، که میتوانند سیستم هاي معمولی یک شبکه باشند، تشکیل شده است. در این روشAttacker  یا همان Bot-Master، ابتدا با استفاده از Malware و یا Spyware به سیستم های کاربران نفوذ کرده و آن ها را آلوده و اقدام به کنترل کردن آنها میکند. حملات BOTNET می توانند در قالب هاي زیر علیه شبکه ها اجرا شوند:

• Identity Theft
• SPAM Email
• DoS
• DDOS

به منظور مقابله با این گونه حملات لازم است سیستم همواره از شرایط ترافیکی آلوده جاري برروي شبکه جهانی مطلع باشد و این عمل تنها با متصل شدن به سرورهای Cisco TALOS امکان پذیر می باشد. این سرویس یکی از بزرگترین قابلیت هایی است که سیسکو در زمینه امنیت دارا می باشد و همین امر سیسکو را از سایر رقیا متمایز میکند.

سرویس امنیتی سیسکو TALOS چیست؟

سیسکو داراي مراکز امنیتی فراوانی در سراسر دنیا می باشد که همکاري کلیه این مراکز با یکدیگر سرویس TALOS را تشکیل می دهد. در هرلحظه ترافیک Email و وب مربوط به بزرگترین Internet Service Provider ها و گزارش های مربوط به تجهیزات سیسکو در سراسر دنیا توسط این مراکز بررسی و مانیتور می شود و کلیه تهدیدات توسط ابزارها و متخصصین آنالیز و تحلیل شده، و راه حل هایی براي مقابله با این تهدیدات ایجاد می شود.

در نهایت دستگاه هاي امنیتی سیسکو مانند WSA ،IPS ،ESA و فایرپاورهای این شرکت می توانند از اطلاعات این مرکز براي ارتقاي سطح امنیت بصورت لحظه ای استفاده نمایند. با فعال کردن قابلیت Botnet روي فایروال، این دستگاه از امکانات TALOS می تواند استفاده نماید. در حال حاضر تنها فایروال هاي سیسکو هستند که داراي تکنولوژي تشخیص و جلوگیري از Botnet Attack میباشند. در حالی که در گذشته لایسنس ASA BOTNET برای فعال سازی این قابلیت مورد نیاز بود، اما در سری جدید فایرپاورهای سیسکو لایسنس URL Filtering قابلیت مقابله با BOTNET ها را مهیا کرده است.

لزوم استفاده از IPS

علاوه بر فایروال، براي محافظت از شبکه استفاده از سیستم هاي تشخیص نفوذ نیز ضروري می باشد. در فایروال هاي نسل جدید سیسکو، سیستم تشخیص نفوذ به صورت built-in در فایروال قرار داده شده است. سیستم تشخیص نفوذ سیسکو به صورت Blended عمل می کند. این بدین معنی است که این سیستم می تواند از Application ها و سیستم عامل هاي مختلف Update هاي امنیتی را دریافت کند، سپس اگر سرور داراي ضعف امنیتی در سیستم عامل و یا برنامه هایش داشته باشد ، این ضعف می تواند توسط IPS پوشش داده شود.

در تصویر زیر صفحه اي از signature هاي موجود روي cisco IPS نمایش داده شده است. در این تصویر کاملا مشخص می باشد که این دستگاه می تواند از سایر محصولات مانند مایکروسافت، java و غیره، بسته هاي امنیتی دریافت نماید.

Cisco IPS Blended Signature

IPS، روي کلیه ترافیکی که به آن ارسال میشود، بررسی هاي بسیار دقیقی انجام میدهد. پروسه بررسی دقیق و Inspection ترافیک به شدت CPU Intensive میباشد. پس شدیداً پیشنهاد می شود که براي استفاده بهینه از IPS تا جایی که میتوان ضعف امنیتی را برروي خود سرورها مرتفع کرد، تا بتوان حجم پردازش کمتري و تنها ترافیکی که نیازمند بررسی هاي دقیقتري هستند، براي IPS  ارسال نمود.

با توجه به اینکه پردازش‌هایی که توسط IPS صورت میگیرد بسیار CPU Intensive میباشد، پس براي اینکه این دستگاه بتواند بهتر و کاراتر عمل نماید بهتر است عملیات مسدود کردن ترافیک نفوذي هکرها، توسط دستگاه دیگري صورت گیرد. قابلیت Remote-Access Blocking به IPS این امکان را می دهد که دستورات و ACLهایی را براي سایر دستگاه هاي شبکه از جمله روتر لبه شبکه اعمال نماید.

همچنین با فعال کردن Dynamic Reputation Filter، دستگاه IPS به سرویس TALOS متصل شده و دیتابیسی از Bad IP address ها را دریافت می کند. حال کلیه ترافیکی که توسط IPS بررسی می شوند، ابتدا با این دیتابیس چک خواهند شد و در صورتی که IP ها به عنوان Bad Address تشخیص داده شوند، توسط  IPS مسدود خواهند شد.

یکی از بزرگترین مزایاي این قابلیت، افزایش Performance دستگاه می باشد. چون اگر Bad Address در همان ابتدا شناحته شود دیگر Engine هاي دیگر IPS درگیر نخواهند شد. فعال کردن و راه اندازي این قابلیت یکی از موارد ضروري می باشد، چون این قابلیت می تواند تا حد زیادي کارایی دستگاه IPS را افزایش دهد.

در آخر با استفاده از این قابلیت protocol inspection   میتوان Deep Packet Inspection بر روي پروتکل ها انجام داد. بطور مثال با فعال کردن این قابلیت بر روي پروتکل http می توان فعالیت IM ها و دیگر Application هایی که روي این پورت tunnel میزنند را شناسایی و مسدود کرد.