فهرست عناوین
جداسازی اینترنت از اینترانت
جداسازی اینترنت از اینترانت را با نامهای مختلفی میشناسیم:
- جداسازی اینترنت از شبکه داخلی
- جداسازی اینترنت
- جداسازی شبکه از اینترنت
- …
تمام این واژگان دلالت بر اهمیت اینترنت، شبکه داخلی و مباحث امنیتی مرتبط با آن دارد.
مدیریت ترافیک اینترنت در اینترانت(شبکه داخلی) از راههای واجب و ضروری جهت تامین امنیت زیرساخت شبکه سازمانها است. با توجه به گسترش تهدیدات سایبری و باج/بد افزارها، به کارگیری روش کارا و سودمند در مدیریت ترافیک اینترنت میتواند اطمینان خاطر بیشتری از باب تحمل پذیری شبکه سازمان ایجاد کند.
در این مستند سعی داریم روشهای گوناگون مدیریت اینترنت در شبکه داخلی را، با در نظر گرفتن مزایا و معایب، مورد بررسی قرار دهیم.
مدیریت ترافیک به دو شکل در زیرساخت سازمان امکان پذیر است:
- کنترل دسترسی سیستم کاربر به اینترنت
- جداسازی ترافیک اینترنت از اینترانت
کنترل دسترسی سیستم کاربر به اینترنت
در روش کنترل دسترسی، سیستمهای سازمان به صورت پیش فرض به اینترنت دسترسی ندارند و جهت کار با اینترنت لازم است کاربر یک اتصال VPN به سرور اینترنت برقرار کند. با طی کردن این فرآیند سیستم کاربر به اینترنت دسترسی خواهد داشت.
در این روش اگر چه دسترسی به اینترنت به صورت دائمی نیست، اما سیستم کاربر به صورت دو منظوره مورد استفاده قرار میگیرد: 1- شبکه اینترانت (داخلی) 2- شبکه اینترنت.
استفاده دو منظوره از سیستم کاری، مخاطرات زیادی به همراه دارد چرا که در صورت آلوده شدن ایستگاه کاری به واسطه فعالیت در اینترنت، علی رغم قطع اینترنت توسط کاربر، آلودگی به راحتی میتواند در شبکه سازمان گسترش یافته و آسیبهای خود را وارد کند.
در این روش ترافیک اینترنت در اینترانت جریان دارد که این میتواند مخاطرات زیادی به همراه داشته باشد. بنابراین کنترل دسترسی از طریق VPN و یا هر ابزار دیگری بر بستر شبکه داخلی روشی امن برای مدیریت اینترنت به حساب نمی آید.
جداسازی ترافیک اینترنت از اینترانت
در روش جداسازی اینترنت، ترافیک اینترنت به صورت کامل از سطح سازمان جمع آوری شده و در یک محدوده کنترل شده و مشخص قرار میگیرد. کاربران با دسترسی به این محدوده امکان کار با اینترنت را خواهند داشت.
در روش جداسازی از یک سیستم به صورت دو منظوره استفاده نمیشود که این موضوع به خودی خود میتواند سطح امنیت را تا حد قابل توجهی افزایش دهد. با انجام فرآیند جداسازی چالش اصلی انتقال امن و کنترل شدهی فایل از اینترنت به داخل و از داخل به اینترنت است.
جداسازی اینترنت از اینترانت به دو دسته اصلی تقسیم میشود:
- جداسازی فیزیکی
- جداسازی منطقی
جداسازی فیزیکی اینترنت از اینترانت
در این روش شبکه فیزکی کاملا مجزایی از شبکه اینترانت برای دسترسی به اینترنت ایجاد میشود. کاربران قادر خواهند بود از ایستگاههای کاری مجزایی که برای هر کاربر و یا به صورت کافینتی در نظر گرفته شده و متصل به شبکه فیزیکی اینترنت است اقدام به کار با اینترنت نمایند.
یکی از مزیتهای اصلی این شیوه تفکیک کامل ترافیک اینترنت است، به طوری که ایستگاههای اینترنت دسترسی به ایستگاههای کاری داخل ندارند.
در کنار این مزیت این روش چند اشکال اساسی دارد:
- این روش هزینه هنگفتی به سازمان جهت برپاسازی و پشتیبانی شبکه مجزا ایجاد میکند و در نگاه کلان به دلیل واردات سخت افزار، بار ارزی زیادی برای کشور به دنبال دارد.
- جهت جابجایی فایل معمولا از USB Flashها استفاده میشود که باید گفت به صورت معمول در حملات سایبری همواره پای یک USB Flash در میان بوده است.
به دلیل عدم کنترل پذیری جابجایی USB Flash مخاطرات زیادی از این منظر متوجه سازمان است.
- به دلیل محدودیت مکانی در کار با اینترنت، در فعالیتهای جاری سازمان وقفه ایجاد میشود.
جداسازی منطقی اینترنت از شبکه داخلی
در این روش توسعه فیزیکی مجزایی برای ترافیک اینترنت انجام نمیشود، بلکه بر بستر شبکه داخلی و به صورت منطقی، اینترنت در یک محدوده قرار میگیرد و کاربر با استفاده از ابزارهایی در این محیط اقدام به فعالیت با اینترنت میکند.
لیست کاملی از روشها، ابزارها و محصولات گوناگون جهت جداسازی اینترنت به شرح زیر است، ترتیب با توجه به افزایش سطح امنیت از اول لیست (امنیت پایینتر) به انتهای لیست (امنیت بالاتر) انتخاب شده است:
- جداسازی با استفاده از VLAN
- جداسازی با استفاده از Virtual App
- جداسازی با استفاده از Terminal Service
- جداسازی با استفاده از Container
- جداسازی با استفاده از Horizon VDI
- جداسازی با استفاده از سامانه «ایناد»
جداسازی با استفاده از VLAN
در روش جداسازی با VLAN از قابلیت سوئیچهای لایه 2 در ایجاد و مدیریت VLAN استفاده میشود. به عبارتی با طراحی VLANهای مختلف در شبکه داخلی ترافیک اینترنت در شبکههای مجازی مشخصی جریان مییابد.
مزیت این روش سادگی و سرعت در تفکیک منطقی ترافیک اینترنت است. با این وجود، این روش مخاطراتی به همراه دارد:
- در این روش کماکان ترافیک اینترنت در سطح شبکه سازمان جریان دارد. به عبارتی VLAN اینترنت به نقاط مختلف سازمان به منظور امکان دسترسی راه پیدا میکند.
- از سوئیچهای داخلی سازمان به صورت دو منظوره (شبکه اینترانت و شبکه اینترنت) استفاده میشود. این موضوع نیز جایگاه بحث و تبادل نظر دارد چرا که سوئیچ به صورت منطقی ترافیکها را تفکیک میکند و بروز آسیبپذیری در سطح سوئیچ کل شبکه سازمان را دچار مخاطره میکند.
جداسازی با استفاده از Virtual App
Virtual App یکی از انواع روشهای مجازی است. در این نوع مجازی سازی کاربران برنامه ها (APPها)یی را اجرا میکنند که مکان اجرای آنها بر روی سیستم دیگری قرار دارد و به صورت مجازی تعاملات گرافیکی کاربر با برنامه بر روی سیستم کاربر انجام میشود.
در روش جداسازی با Virtual App کاربران دسترسی به Browserهایی همچون Firefox/Chrome به صورت Virtual App خواهند داشت. به عبارتی اینترنت بر روی سیستم شخص وجود ندارد اما با برنامه هایی کار خواهد کرد(Browserها) که بر روی سیستمی که اینترنت دارد اجرا میشوند.
مزیت این روش منابع کمی است که جهت پیاده سازی نیاز است. با این وجود این روش مخاطراتی را با خود به همراه دارد که قابل چشم پوشی نیست:
- از منظر مباحث شبکه، دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (میزبان Virtual Appها) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبانِ Appها، امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
- فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر به صورت مستقیم تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار میگیرند.
جداسازی با استفاده از Terminal Service
RDP یا Terminal Service راهکار مایکروسافت جهت دسترسی اشتراکی به یک سیستم ویندوزی است. از نظر عملکردی این شیوه شباهتهای زیادی به Virtual App دارد با این تفاوت که کاربر یک دسکتاپ کامل در فضای اینترنت را در اختیار دارد.
این شیوه بعد از Virtual App منابع کمی را به خود اختصاص میدهد با این وجود مخاطرات آن کمتر از Virtual App نیست:
- دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (سرور Terminal Service) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبان اینترنت امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
- فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار میگیرند.
- به صورت کلی RDP به عنوان یک پروتکل امن شناخته نمیشود و خود عامل گسترش باج افزارها در سطح سازمان است و چنانچه سیاستهای امنیتی به درستی اعمال نگردد امکان جابجایی مستندات بدون کنترل را در سطح شبکه اینترنت و اینترانت فراهم میکند.
جداسازی با استفاده از Container
این روش که در برخی موارد از آن با عنوان Browser Isolation نام برده میشود از روش مجازی سازی OS-Level در سطح سیستم عامل لینوکس برای ایجاد محیطهای نسبتا ایزوله برای اجرای Browser استفاده میکند. به این شکل با دسترسی محیط ایزوله یا container به اینترنت و دسترسی کاربر به کنسول آن، امکان کار با اینترنت برای کاربر فراهم میگردد.
Container یا OS Level Virtualization یکی از انواع روشهای مجازی سازی است که هسته سیستم عامل لینوکس را به صورت منطقی به قسمتهایی تقسیم میکند که میتواند به عنوان یک سیستم عامل مستقل اجرا شود.
این شیوه در بحث جداسازی منطقی حرکت خوبی است. اما چالشهای اساسی با خود به همراه دارد:
- Containerها از بعد امنیت همواره مورد بحث و چالش بودهاند: از منظر تاثیرات جانبی Containerها به روی یکدیگر و همچنین نفوذ به سیستم اصلی(میزبان Containerها).
برای افزایش امنیت Containerهای توسعه دهندگان اقدام به اجرای آنها در محیطهای Full Virtualization، به عنوان مثال اجرا بر بستر KVM نمودهاند. نمونههایی از این موضوع را میتوانید در مستند «هر آنچه لازم است در مورد ابزارهای سطح کاربر KVM بدانید» مطالعه کنید.
- بستر Containerها سیستم عامل لینوکس است، به عبارتی امکان اجرای برنامههای ویندوز پایه و یا استفاده از افزونههای خاص Browserها که مخصوص ویندوز هستند وجود ندارد.
جداسازی با استفاده از Horizon VDI
از این مرحله به بعد (این روش و رویش ایناد) وارد راهکارهای Full Virtualization میشویم که نسبت به راهکاری قبلی از بعد امنیت و ایزوله سازی توانایی بیشتری دارند.
در این شیوه به هر کاربر یک میزکار مجازی اختصاص داده میشود که کاربر از طریق اتصال به آن امکان فعالیت در اینترنت را خواهد داشت. و همزمان از سیستم محلی خود برای فعالیتهای کاری استفاده میکند.
روش Horizon VDI اگر چه از بعد امنیت از مزیتهای Full Virtualization بهره میبرد، با این وجود چالش امنیتی ویژهای دارد:
- جهت اتصال به محیط گرافیکی میزکار مجازی، لازم است ارتباط شبکهای بین سیستم کاربر و میزکار مجازی که به اینترنت متصل است، وجود داشته باشد. به عبارتی به دلیل وجود این مسیر شبکه در صورت بروز آلودگی برای میزکار مجازی، امکان انتشار آلودگی در سطح سازمان وجود دارد.
جداسازی با استفاده از سامانه «ایناد»
سامانه ایناد، محصول جداسازی منطقی اینترنت از شبکه داخلی شرکت آوید است که بر پایه ی سامانه مجازی سازی PVM (دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان) توسعه یافته است.
این سامانه همانطور که قبلا اشاره شد از تکنولوژی Full Virtualization جهت ایجاد محیط ایزوله استفاده میکند که از این منظر از مزایای امنیتی مجازی سازی کامل به خوبی بهره میبرد.
نکته ای که در سامانه ایناد نسبت به سایر راهکارهایی که از زیرساخت Full Virtualization استفاده میکنند قابل توجه است اتصال به کنسول میزکار مجازی در سطح VM-Bus است. به عبارت دقیقتر هیچگونه اتصال شبکه بین سیستم کاربر و میزکار مجازی که دارای اینترنت است وجود نداشته و مخاطرات فضای اینترنت به هیچ عنوان امکان ورود به شبکه داخلی را نخواهد داشت.
در «ایناد» به دو صورت امکان ایجاد فضای کاری در اینترنت وجود دارد:
- میزکار مجازی: در این روش یک میزکار مجازی کامل با تمامی امکانات در اختیار کاربر قرار میگیرد.
- یک برنامه خاص (App Isolation): یک برنامه خاص مانند Firefox/Chrome جهت فعالیت در فضای اینترنت در اختیار کاربر قرار میگیرد.
هر دو روش فوق از زیرساخت میزکار مجازی PVM و روش Full Virtualization بهره میبرند. با این تفاوت که در روش App Isolation صرفا یک برنامه در اختیار کاربر قرار میگیرد و در نتیجه نسبت به شیوهی میزکار مجازی منابع بسیار کمتری نیاز دارد.
یکی از مزیتهای سیستم ایناد بهرهگیری از زیرساخت تبادل امن فایل VFlash است که به صورت یک Data Diode یا یکسو کننده جریان اطلاعات عمل میکند. با استفاده از VFlash و با بهره گیری از امکانات خاص هایپروایزور PVM، بدون اتصال شبکه بین اینترنت و اینترانت، امکان جابجایی فایل فراهم شده است.
همچنین محتوای جابجا شده با استفاده از فرآیند Sandbox توسط آنتی ویروسهای متعدد بررسی و اطلاعات تمیز در اختیار کاربران قرار میگیرد.
از سایر مزایای ایناد میتوان به پشتیبانی از USB Tokenها و همچنین تبادل صدا و امکان شرکت در جلسات مجازی اشاره کرد.
در روش ایناد محیطهای کاری به صورت Freeze در اختیار کاربر قرار میگیرد: فضای کاربری با خاموش شدن به وضعیت اولیه برمیگردد.
برای آشنایی بیشتر و نحوه کار با سامانه ایناد به صفحه این محصول مراجعه فرمایید.
نتیجه گیری
به صورت خلاصه شیوه ی Full Virtualization امنترین روش جداسازی منطقی و ایجاد محیط ایزوله به منظور جداسازی منطقی اینترنت از شبکه داخلی است.
سامانه ایناد علاوه بر بهره گیری از تکنولوژی Full Virtualization بر بستر سامانه مجازی سازی بومی PVM(دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان نوع 1)، بهرهگیری از این فضا را بدون اتصال مستقیم شبکه بین سیستم کاربر و محیط اینترنت فراهم میکند. لازم به ذکر است که ایناد زیرساخت تبادل امن فایل را به عنوان یکی از ابزارهای لازم و ضروری جهت جداسازی منطقی در اختیار شما قرار میدهد.