جداسازی اینترنت از اینترانت را با نام‌های مختلفی می‌شناسیم:

  • جداسازی اینترنت از شبکه داخلی
  • جداسازی اینترنت
  • جداسازی شبکه از اینترنت

تمام این واژگان دلالت بر اهمیت اینترنت، شبکه داخلی و مباحث امنیتی مرتبط با آن دارد.

مدیریت ترافیک اینترنت در اینترانت(شبکه داخلی) از راههای واجب و ضروری جهت تامین امنیت زیرساخت شبکه سازمانها است. با توجه به گسترش تهدیدات سایبری و باج/بد افزارها، به کارگیری روش کارا و سودمند در مدیریت ترافیک اینترنت می‌تواند اطمینان خاطر بیشتری از باب تحمل پذیری شبکه سازمان ایجاد کند.

در این مستند سعی داریم روش‌های گوناگون مدیریت اینترنت در شبکه داخلی را، با در نظر گرفتن مزایا و معایب، مورد بررسی قرار دهیم.

مدیریت ترافیک به دو شکل در زیرساخت سازمان امکان پذیر است:

  • کنترل دسترسی سیستم کاربر به اینترنت
  • جداسازی ترافیک اینترنت از اینترانت
جداسازی اینترنت از اینترانت

کنترل دسترسی سیستم کاربر به اینترنت

در روش کنترل دسترسی، سیستم‌های سازمان به صورت پیش فرض به اینترنت دسترسی ندارند و جهت کار با اینترنت لازم است کاربر یک اتصال VPN به سرور اینترنت برقرار کند. با طی کردن این فرآیند سیستم کاربر به اینترنت دسترسی خواهد داشت.

در این روش اگر چه دسترسی به اینترنت به صورت دائمی نیست، اما سیستم کاربر به صورت دو منظوره مورد استفاده قرار می‌گیرد: 1- شبکه اینترانت (داخلی)  2- شبکه اینترنت.

استفاده دو منظوره از سیستم کاری، مخاطرات زیادی به همراه دارد چرا که در صورت آلوده شدن ایستگاه کاری به واسطه فعالیت در اینترنت، علی رغم قطع اینترنت توسط کاربر، آلودگی به راحتی می‌تواند در شبکه سازمان گسترش یافته و آسیب‌های خود را وارد کند.

در این روش ترافیک اینترنت در اینترانت جریان دارد که این می‌تواند مخاطرات زیادی به همراه داشته باشد. بنابراین کنترل دسترسی از طریق VPN و یا هر ابزار دیگری بر بستر شبکه داخلی روشی امن برای مدیریت اینترنت به حساب نمی آید.

جداسازی ترافیک اینترنت از اینترانت

در روش جداسازی اینترنت، ترافیک اینترنت به صورت کامل از سطح سازمان جمع آوری شده و در یک محدوده کنترل شده و مشخص قرار می‌گیرد. کاربران با دسترسی به این محدوده امکان کار با اینترنت را خواهند داشت.

در روش جداسازی از یک سیستم به صورت دو منظوره استفاده نمی‌شود که این موضوع به خودی خود می‌تواند سطح امنیت را تا حد قابل توجهی افزایش دهد. با انجام فرآیند جداسازی چالش اصلی انتقال امن و کنترل شده‌ی فایل از اینترنت به داخل و از داخل به اینترنت است.

جداسازی اینترنت از اینترانت به دو دسته اصلی تقسیم می‌شود:

  • جداسازی فیزیکی
  • جداسازی منطقی

جداسازی فیزیکی اینترنت از اینترانت

در این روش شبکه فیزکی کاملا مجزایی از شبکه اینترانت برای دسترسی به اینترنت ایجاد می‌شود. کاربران قادر خواهند بود از ایستگاه‌های کاری مجزایی که برای هر کاربر و یا به صورت کافی‌نتی در نظر گرفته شده و متصل به شبکه فیزیکی اینترنت است اقدام به کار با اینترنت نمایند.

یکی از مزیت‌های اصلی این شیوه تفکیک کامل ترافیک اینترنت است، به طوری که ایستگاه‌های اینترنت دسترسی به ایستگاه‌های کاری داخل ندارند.

در کنار این مزیت این روش چند اشکال اساسی دارد:

  • این روش هزینه هنگفتی به سازمان جهت برپاسازی و پشتیبانی شبکه مجزا ایجاد می‌کند و در نگاه کلان به دلیل واردات سخت افزار، بار ارزی زیادی برای کشور به دنبال دارد.
  • جهت جابجایی فایل معمولا از USB Flashها استفاده می‌شود که باید گفت به صورت معمول در حملات سایبری همواره پای یک USB Flash در میان بوده است.

به دلیل عدم کنترل پذیری جابجایی USB Flash مخاطرات زیادی از این منظر متوجه سازمان است.

  • به دلیل محدودیت مکانی در کار با اینترنت، در فعالیت‌های جاری سازمان وقفه ایجاد می‌شود.

جداسازی منطقی اینترنت از شبکه داخلی

در این روش توسعه فیزیکی مجزایی برای ترافیک اینترنت انجام نمی‌شود، بلکه بر بستر شبکه داخلی و به صورت منطقی، اینترنت در یک محدوده قرار می‌گیرد و کاربر با استفاده از ابزارهایی در این محیط اقدام به فعالیت با اینترنت می‌کند.

لیست کاملی از روشها، ابزارها و محصولات گوناگون جهت جداسازی اینترنت به شرح زیر است، ترتیب با توجه به افزایش سطح امنیت از اول لیست (امنیت پایینتر) به انتهای لیست (امنیت بالاتر) انتخاب شده است:

  • جداسازی با استفاده از VLAN
  • جداسازی با استفاده از Virtual App
  • جداسازی با استفاده از Terminal Service
  • جداسازی با استفاده از Container
  • جداسازی با استفاده از Horizon VDI
  • جداسازی با استفاده از سامانه «ایناد»

جداسازی با استفاده از VLAN

در روش جداسازی با VLAN از قابلیت سوئیچ‌های لایه 2 در ایجاد و مدیریت VLAN استفاده می‌شود. به عبارتی با طراحی VLANهای مختلف در شبکه داخلی ترافیک اینترنت در شبکه‌های مجازی مشخصی جریان می‌یابد.

مزیت این روش سادگی و سرعت در تفکیک منطقی ترافیک اینترنت است. با این وجود، این روش مخاطراتی به همراه دارد:

  • در این روش کماکان ترافیک اینترنت در سطح شبکه سازمان جریان دارد. به عبارتی VLAN اینترنت به نقاط مختلف سازمان به منظور امکان دسترسی راه پیدا می‌کند.
  • از سوئیچ‌های داخلی سازمان به صورت دو منظوره (شبکه اینترانت و شبکه اینترنت) استفاده می‌شود. این موضوع نیز جایگاه بحث و تبادل نظر دارد چرا که سوئیچ به صورت منطقی ترافیک‌ها را تفکیک می‌کند و بروز آسیب‌پذیری در سطح سوئیچ کل شبکه سازمان را دچار مخاطره می‌کند.

جداسازی با استفاده از Virtual App

Virtual App یکی از انواع روش‌های مجازی است. در این نوع مجازی سازی کاربران برنامه ها (APPها)یی را اجرا می‌کنند که مکان اجرای آنها بر روی سیستم دیگری قرار دارد و به صورت مجازی تعاملات گرافیکی کاربر با برنامه بر روی سیستم کاربر انجام می‌شود.

در روش جداسازی با Virtual App کاربران دسترسی به Browserهایی همچون Firefox/Chrome به صورت Virtual App خواهند داشت. به عبارتی اینترنت بر روی سیستم شخص وجود ندارد اما با برنامه هایی کار خواهد کرد(Browserها) که بر روی سیستمی که اینترنت دارد اجرا می‌شوند.

مزیت این روش منابع کمی است که جهت پیاده سازی نیاز است. با این وجود این روش مخاطراتی را با خود به همراه دارد که قابل چشم پوشی نیست:

  • از منظر مباحث شبکه، دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (میزبان Virtual Appها) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبانِ Appها، امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
  • فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر به صورت مستقیم تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار می‌گیرند.

جداسازی با استفاده از Terminal Service

RDP یا Terminal Service راهکار مایکروسافت جهت دسترسی اشتراکی به یک سیستم ویندوزی است. از نظر عملکردی این شیوه شباهت‌های زیادی به Virtual App دارد با این تفاوت که کاربر یک دسکتاپ کامل در فضای اینترنت را در اختیار دارد.

این شیوه بعد از Virtual App منابع کمی را به خود اختصاص می‌دهد با این وجود مخاطرات آن کمتر از Virtual App نیست:

  • دسترسی شبکه از سیستم کاربران به سیستمی که اینترنت دارد (سرور Terminal Service) وجود دارد. به عبارتی در صورت آلوده شدن سیستم میزبان اینترنت امکان نفوذ آلودگی به شبکه داخلی سازمان وجود دارد.
  • فضای کاری کاربران کاملا اشتراکی است به عبارتی رفتار کاربران بر روی یکدیگر تاثیر گذار است و چنانچه رفتار نادرست کاربری منجر به ایجاد آلودگی شود، فضای کاری تمامی کاربران آلوده شده و همگی در معرض خطر قرار می‌گیرند.
  • به صورت کلی RDP به عنوان یک پروتکل امن شناخته نمی‌شود و خود عامل گسترش باج افزارها در سطح سازمان است و چنانچه سیاست‌های امنیتی به درستی اعمال نگردد امکان جابجایی مستندات بدون کنترل را در سطح شبکه اینترنت و اینترانت فراهم می‌کند.

جداسازی با استفاده از Container

این روش که در برخی موارد از آن با عنوان Browser Isolation نام برده می‌شود از روش مجازی سازی OS-Level در سطح سیستم عامل لینوکس برای ایجاد محیط‌های نسبتا ایزوله برای اجرای Browser استفاده می‌کند. به این شکل با دسترسی محیط ایزوله یا container به اینترنت و دسترسی کاربر به کنسول آن، امکان کار با اینترنت برای کاربر فراهم می‌گردد.

Container یا OS Level Virtualization یکی از انواع روش‌های مجازی سازی است که هسته سیستم عامل لینوکس را به صورت منطقی به قسمت‌هایی تقسیم می‌کند که می‌تواند به عنوان یک سیستم عامل مستقل اجرا شود.

این شیوه در بحث جداسازی منطقی حرکت خوبی است. اما چالش‌های اساسی با خود به همراه دارد:

  • Containerها از بعد امنیت همواره مورد بحث و چالش بوده‌اند: از منظر تاثیرات جانبی Containerها به روی یکدیگر و همچنین نفوذ به سیستم اصلی(میزبان Containerها).

برای افزایش امنیت Containerهای توسعه دهندگان اقدام به اجرای آنها در محیط‌های Full Virtualization، به عنوان مثال اجرا بر بستر KVM نموده‌اند. نمونه‌هایی از این موضوع را می‌توانید در مستند «هر آنچه لازم است در مورد ابزارهای سطح کاربر KVM بدانید» مطالعه کنید.

  • بستر Containerها سیستم عامل لینوکس است، به عبارتی امکان اجرای برنامه‌های ویندوز پایه و یا استفاده از افزونه‌های خاص Browserها که مخصوص ویندوز هستند وجود ندارد.

جداسازی با استفاده از Horizon VDI

از این مرحله به بعد (این روش و رویش ایناد) وارد راهکارهای Full Virtualization می‌شویم که نسبت به راهکاری قبلی از بعد امنیت و ایزوله سازی حرف‌های زیادی برای گفتن دارند.

در این شیوه به هر کاربر یک میزکار مجازی اختصاص داده می‌شود که کاربر از طریق اتصال به آن امکان فعالیت در اینترنت را خواهد داشت. و همزمان از سیستم محلی خود برای فعالیت‌های کاری استفاده می‌کند.

روش Horizon VDI اگر چه از بعد امنیت از مزیت‌های Full Virtualization بهره می‌برد، با این وجود چالش امنیتی ویژه‌ای دارد:

  • جهت اتصال به محیط گرافیکی میزکار مجازی، لازم است ارتباط شبکه‌ای بین سیستم کاربر و میزکار مجازی که به اینترنت متصل است، وجود داشته باشد. به عبارتی به دلیل وجود این مسیر شبکه در صورت بروز آلودگی برای میزکار مجازی، امکان انتشار آلودگی در سطح سازمان وجود دارد.

جداسازی با استفاده از سامانه «ایناد»

سامانه ایناد، محصول جداسازی منطقی اینترنت از شبکه داخلی شرکت آوید است که بر پایه ی سامانه مجازی سازی PVM (دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان) توسعه یافته است. این سامانه همانطور که قبلا اشاره شد از تکنولوژی Full Virtualization جهت ایجاد محیط ایزوله استفاده می‌کند که از این منظر از مزایای امنیتی مجازی سازی کامل به خوبی بهره می‌برد.

ساختار ایناد

نکته ای که در سامانه ایناد نسبت به سایر راهکارهایی که از زیرساخت Full Virtualization استفاده می‌کنند قابل توجه است اتصال به کنسول میزکار مجازی در سطح VM-Bus است. به عبارت دقیق‌تر هیچگونه اتصال شبکه بین سیستم کاربر و میزکار مجازی که دارای اینترنت است وجود نداشته و مخاطرات فضای اینترنت به هیچ عنوان امکان ورود به شبکه داخلی را نخواهد داشت.

در «ایناد» به دو صورت امکان ایجاد فضای کاری در اینترنت وجود دارد:

  • میزکار مجازی: در این روش یک میزکار مجازی کامل با تمامی امکانات در اختیار کاربر قرار می‌گیرد.
  • یک برنامه خاص (App Isolation): یک برنامه خاص مانند Firefox/Chrome جهت فعالیت در فضای اینترنت در اختیار کاربر قرار می‌گیرد.

هر دو روش فوق از زیرساخت میزکار مجازی PVM و روش Full Virtualization بهره می‌برند. با این تفاوت که در روش App Isolation صرفا یک برنامه در اختیار کاربر قرار می‌گیرد و در نتیجه نسبت به شیوه‌ی میزکار مجازی منابع بسیار کمتری نیاز دارد.

یکی از مزیت‌های سیستم ایناد بهره‌گیری از زیرساخت تبادل امن فایل VFlash است که به صورت یک Data Diode یا یکسو کننده جریان اطلاعات عمل می‌کند. با استفاده از VFlash و با بهره گیری از امکانات خاص هایپروایزور PVM، بدون اتصال شبکه بین اینترنت و اینترانت، امکان جابجایی فایل فراهم شده است.

همچنین محتوای جابجا شده با استفاده از فرآیند Sandbox توسط آنتی ویروس‌های متعدد بررسی و اطلاعات تمیز در اختیار کاربران قرار می‌گیرد.

از سایر مزایای ایناد می‌توان به پشتیبانی از USB Tokenها و همچنین تبادل صدا و امکان شرکت در جلسات مجازی اشاره کرد.

در روش ایناد محیط‌های کاری به صورت Freeze در اختیار کاربر قرار می‌گیرد: فضای کاربری با خاموش شدن به وضعیت اولیه برمی‌گردد.

نتیجه گیری

به صورت خلاصه شیوه ی Full Virtualization امن‌ترین روش جداسازی منطقی و ایجاد محیط ایزوله به منظور جداسازی منطقی اینترنت از شبکه داخلی است.

سامانه ایناد علاوه بر بهره گیری از تکنولوژی Full Virtualization بر بستر سامانه مجازی سازی بومی PVM(دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان نوع 1)، بهره‌گیری از این فضا را بدون اتصال مستقیم شبکه بین سیستم کاربر و محیط اینترنت فراهم می‌کند. لازم به ذکر است که ایناد زیرساخت تبادل امن فایل را به عنوان یکی از ابزارهای لازم و ضروری جهت جداسازی منطقی در اختیار شما قرار می‌دهد.

به اشتراک بگذارید.