ITanalyze

علی کیائی فر× - موضوع امنیت اطلاعات از جمله موضوعاتی است که تا قبل از حمله ویروس Stuxnet ، در سازمانها و صنایع کشور بیشتر جنبه تشریفاتی داشته و کمتر به آن بصورت جدی پرداخته شده بود. ورود ویروس Stuxnet به مراکز کنترل صنایع مختلف بویژه نیروگاه ها حداقل این مزیت را داشت که سازمانها و در رأس آن مدیران به ضرورت پرداختن به مسائل امنیتی در خصوص اطلاعات و شبکه های خود واقف شده و نسبت به مقاوم سازی دیوارهای دفاعی در شبکه های خود اقداماتی را در دستور کار خود قرار دهند.

کشف ویروس Flame آن هم بعد از حدود دو سال فعالیت خاموش در شبکه وزارت نفت این زنگ خطر را بصدا درآورد که اقدامات امنیتی انجام شده چندان مؤثر نبوده است و نفوذگران با هزینه فراوان توانستند از لایه های دفاعی تعیین شده عبور کنند و به اهداف خود دست یابند.

پس از کشف ویروس Flame ، جداسازی شبکه اینترنت از شبکه داخلی سازمانها بصورت نسخه ای واحد و در قالب بخشنامه به عنوان تنها راه حل ممکن برای جلوگیری از حملات نفوذگران به بسیاری از سازمانها و صنایع ابلاغ گردید.
×× عوارض جداسازی فیزیکی اینترنت از شبکه داخلی

جداسازی فیزیکی شبکه اینترنت از LAN هم هزینه های زیادی را به سازمانها تحمیل می کند و هم محدودیتهای زیادی را به همراه دارد. جداسازی فیزیکی به نوعی پاک کردن صورت مسأله است نه یک راه حل امنیتی!

امروزه انجام بسیاری از کارهای علمی، پژوهشی، تحقیقاتی، بازاریابی، فروش، مدیریت مشتریان، ارتباطات و ... بدون استفاده از اینترنت غیرممکن است. اولین عارضه جداسازی شبکه اینترنت از شبکه داخلی حذف قابلیت ساده اما مهم Copy/Paste است. شما در هر حوزه ای فعالیت علمی یا اقتصادی داشته باشید بی تردید اینترنت به عنوان قوی ترین ابزار جهت رشد و تعالی اهداف شماست.

استفاده از راهکار جداسازی فیزیکی شبکه اینترنت از شبکه LAN شاید در مراکزی که فعالیتهای خاص و استراتژیک دارند (مانند اتاقهای کنترل مراکز صنعتی) اجتناب ناپذیر باشد و محدودیت های آزار دهنده آن قابل تحمل باشد اما تحمیل روش جداسازی فیزیکی اینترنت از شبکه داخلی به همه دستگاهها و سازمانها باعث اختلال جدی در کارکرد مؤثر آنان می شود و به نوعی ریختن آب به آسیاب نفوذگران و بدخواهان است.

امروزه اینترنت آنقدر در بالندگی و رشد علمی، اقتصادی، فرهنگی و ... جوامع نقش تعیین کننده دارد که حذف و یا محدودسازی استفاده از آن منجر به عقب افتادگی در عرصه علمی بین المللی خواهد شد.

کسانی که با هزینه های نجومی و با تولید ویروسهای Stuxnet و Flamer به دنبال جاسوسی و ضربه زدن به صنعت کشور بودند بسیار خوشحال خواهند شد اگر دسترسی به اینترنت در ایران محدود شود و محققان و کارشناسان برای دسترسی به منابع اینترنتی با سدهایی خودساخته روبرو باشند. اگر مهاجمان می خواستند ابزاری بسازند که اینترنت را در شبکه های ما قطع کنند قطعا هر بدافزاری می ساختند کارایی لازم را نداشت و سازمانها می توانستند آنرا نابود کنند. اما آنان با تهدیدهایی مانند Stuxnet و Flame توانسته اند استفاده مفید از اینترنت در جهت پیشرفت در حوزه های تخصصی و علمی را آنهم بدست خودمان از ما بگیرند و استفاده از اینترنت را صرفاً محدود به کافی نت های سازمانی کنند. به همین دلیل جداسازی فیزیکی شبکه اینترنت از شبکه داخلی به نوعی بازی کردن در زمین دشمن است.

نکته قابل تأمل نیز این است که انتشار ویروسهای Stuxnet و Flame از طریق Cooldiskها صورت گرفته است. بنابراین جداسازی فیزیکی اینترنت از شبکه داخلی راهکار مطمئنی برای دفع خطر ویروسهای مشابه نیست.

پس از کشف ویروس Flamer در شبکه وزارت نفت، گویا مدیران تصمیم گیرنده به این نتیجه رسیده اند که دیگر امکان دفاع دربرابر حملات سایبری در کشور وجود ندارد. لذا به همه سازمانهای تابعه بخشنامه کرده اند که اینترنت را از شبکه داخلی بصورت فیزیکی جدا کنند. یعنی سازمانها به موازات شبکه فعلی خود یک شبکه دیگر ایجاد کنند که فقط به اینترنت دسترسی داشته باشد و این دو شبکه هیج ارتباطی با هم نداشته باشند.

مهمترین عوارضی که ضمن جداسازی فیزیکی اینترنت از شبکه داخلی دامن گیر سازمانها می شود عبارتند از:

1- هزینه زیاد به منظور ایجاد یک شبکه موازی با شبکه فعلی

2- هزینه پشتیبانی مضاعف

3- هزینه نگهداری مضاعف

4- مصرف انرژی مضاعف

5- تعداد کاربران مضاعف

6- نیاز به نیروهای IT مضاعف

7- مدیریت مشکل شبکه های جدا شده از نظر Switching (یک اشتباه کوچک می تواند منجد به اتصال دو شبکه گردد!)

8- افزایش حجم درخواستهای پشتیبانی به منظور انتقال فایلهای Download شده از اینترنت به واحدهای IT

9- اختلال شدید در کسب و کار سازمان (بویژه سازمانهایی که نقش پژوهش و تحقیقات و ارتباطات در آنها پر رنگ است.)

10- محدودسازی شدید اینترنت ( یکی از اهداف پنهان Flame و Stuxnet)

همه این عوامل و عوامل دیگر باعث شده است که کارشناسان IT با درک عواقب آن عموماً با جداسازی فیزیکی موافق نباشند.
××‌ جداسازی مجازی بجای جداسازی فیزیکی

صدور یک نسخه سراسری و واحد (جداسازی فیزیکی اینترنت) برای همه سازمانها، شرکت ها و ادارات بدون درنظر گرفتن تفاوتهای بنیادی آنها با یکدیگر منطقی به نظر نمی رسد. با این وجود برای سازمانهایی که نمی توانند ریسک امنیتی استفاده همزمان از شبکه داخلی و اینترنت را تحمل کنند برای جداسازی اینترنت نزدیک به 10 روش مختلف وجود دارد که جداسازی فیزیکی سخت ترین، پرهزینه ترین و غیر منطقی ترین آنهاست

مطالعه بر روی نزدیک به ده روش جداسازی شبکه اینترنت از اینترانت نشان می دهد استفاده از Cloud خصوصی و جداسازی مجازی شبکه اینترنت از شبکه داخلی، مؤثرترین و درعین حال کم عارضه ترین روش جداسازی است.

در این روش هیچ کامپیوتری در داخل LAN هیچگونه دسترسی به اینترنت چه با روش Nat و چه از طریق Proxy یا هر روش دیگری ندارد. در خارج از شبکه LAN، یک یا چند Server قرار دارند که به اینترنت دسترسی دارند. این Serverها در Internet Zone قرار دارند. Internet Zone هیچگونه ارتباط IP با شبکه LAN ندارد.
× مدیر تحقیق و توسعه شرکت آینده نگاران (آیکو)