+Layer 2

یک گام جلوتر

این روز ها نیاز به ایمن سازی لایه دسترسی شبکه (Physical Layer) تا این حد با اهمیت نبوده است،  چراکه در محیط های کاری امروزی، ممکن است پرسنل،  مشاوران، پیمان کاران، مهمانان و ... تجهیزات خود که معمولا قابل کنترل و مدیریت نیستند را به شبکه شما متصل کنند. در نتیجه می تواند نگرانی های جدی نسبت به نفوذ و دسترسی به اطلاعات محرمانه شرکت بدون قابلیت رهگیری را برای شما ایجاد نماید. لذا نیاز است تا راهی پیدا شود تا حداکثر امنیت را بتواند در لایه 2 شبکه تامین نماید.

تکنولوژی +Layer2 به شما کمک می کند تا بتوانید از این پس در لایه 2 شبکه نیز کنترل های مدیریتی و امنیتی قدرتمندی را در اختیار داشته باشد.

همانطور که می دانید، در لایه 2 شبکه (OSI Model)  اتصال فیزیکی ( بی سیم یا با سیم )تجهیزات ( نظیر کامپیوتر، تلفن های IP، دوربین های مداربسته، و ... ) به شبکه انجام می شود. که معمولا از هیچ حفاظت فنی برخوردار نیستند،

این تکنولوژی بر روی بستر های زیر ایفای نقش می نماید:

وظیفه اصلی Layer2+  احراز هویت بلوغ یافته فرد یا device قبل از اتصال به شبکه است. به عبارت دیگر در صورتیکه احراز هویت کاربر با خطا مواجه شود، سیستم کاربر بصورت فیزیکی به شبکه متصل نخواهد شد و حتی IP Address دریافت نخواهد کرد. ضمن آنکه با پیاده سازی Policy های مختلف امکان اتصال محدود به افراد در صورتیکه شرایط امنیتی شبکه را رعایت ننمایند را فراهم نمود.

 

حالا وقت استفاده از یک چیز قوی تر است

تکنولوژی +Layer2 برای اولین بار در ایران و مبتنی بر نیاز های بومی توسط آتی نگر طراحی و پیاده سازی شده است. این تکنولوژی بخشی از قابلیت های Soren UTM و سامانه درگاه امن آتی نگر ASG می باشد. که با یکپارچه سازی با دیگر ابزار های امنیتی تعبیه شده  توانسته است گستره وسیعتری از مخاطرات امنیتی را تحت کنترل خود درآورد.

نحوه عملکرد +Layer2 در شبکه های Wired
آشنایی بیشتر با نحوه عملکرد سیستم +Layer2

به نظر شما چه اقداماتی می تواند به ایمن شدن شبکه LAN شما کمک می کند.؟

  • UTM
  • آنتی ویروس
  • WAF
  • آموزش پرسنل
  • رمزنگاری
  • و ...

بله تمامی موارد فوق به عنوان عناصر و اجزای یک فرایند ایمن سازی مطابق با استاندارد ها و دستورالعمل های مدیریت امنیت اطلاعات می تواند نقش بسیار مهمی در افزایش سطح امنیتی و کاهش ریسک های آن داشته باشد.

اما آیا امنیت شبکه ما در وضعیت مطلوب قرار گرفته؟

پاسخ به این سوال بسیار مشکل است. لیکن یکی از مهمترین بخش هایی که معمولا در سطح شبکه مورد توجه قرار نمی گیرد. نحوه مدیریت اتصال تجهیزات کاربران به شبکه است. معمولا کاربران از طریق سیستم های کامپیوتری خود در محل کار به شبکه داخلی متصل می شوند. در بهترین وضعیت اگر در نظر بگیریم که هیچ بستر Wifi در شبکه محلی وجود ندارد،

  • ایا می توان مطمئن شد که کاربر سخت افزار دیگری را به غیر از سخت افزار خودش به شبکه متصل نکرده است؟
  • چگونه می توانیم محدودیت های لازم را قبل از Logon to network برای سیستم ها در نظر بگیرم، و ریسک اتصال تجهیزات غیر را به حداقل برسانیم؟

پاسخ سوال اینجاست:

می توانیم از سرویس های NAC موجود در تجهیزات Cisco استفاده کنیم. لیست کلیه MAC Address های مجاز را درآورده و تک به تک بر روی پورت های سویچ ها وارد کنیم. به عنوان مثال اگر 100 دستگاه داشته باشیم باید تک تک اطلاعات را در تک تک سویچ ها و پورت ها ثبت کنیم. ، اگر 500 دستگاه داشته باشیم چطور؟ تغییرات و جابجایی ها را جطور مدیریت کنیم؟ اگر یک کاربر MAC spoofing کرد چه کنیم ؟

تمامی این موارد مشکلاتی است که معمولا مدیران شبکه را قانع می کند تا ریسک اتصال یک دستگاه خارج از شبکه را بجان بخرند و این تنظیمات طاقت فرسا را انجام ندهند. از سوی دیگر راه کاری های Microsoft و Cisco ISE نیز هست. لیکن به دلیل، نصب و راه اندازی پیچیده، عدم ارائه گزارش های مناسب و قابلیت های مورد نیاز بومی عملا مورد توجه قرار نگرفته اند. آتی نگر با هدف کاهش این ریسک بزرگ و بومی سازی تکنولوژی های احراز هویت، اقدام به طراحی و تولید سامانه +Layer2 نموده است. این سامانه در لایه 2 شبکه فعال است و عملا هر یک از تجهیزات سخت افزاری را قبل از فعال شدن پورت سویچ ابتدا احراز هویت می کند. سپس در صورتیکه مبتنی بر سیاست ها و Policy های تعیین شده مجاز به اتصال بود به VLAN مورد نظر منتقل می نماید.

این تکنولوژی با پشتیبانی از تمامی استاندارد های موردنیاز، سطح امنیتی سازمان را افزایش داده و ضمن آنکه از اتصال تجهیزات غیر مجاز جلوگیری می کند. کنترل اتصال تجهیزات مجاز به منابع شبکه از طریق یک کنسول مرکزی را به عهده می گیرد، از جمله مزایای این تکنولوژی عبارت است از:

  • کاهش چشمگیر هزینه ها نسبت به راهکارهای مشابه
  • با امکان تعریف سیاست های مختلف و مدیریت زمانبندی اتصال کاربران از اتصال های غیر مجاز جلوگیری می نماید.
  • امکان گزارشگیری دقیق از اخرین اتصال های موفق و نا موفق که نقش بسیار کلیدی در شناسایی حملات و کاهش ریسک های امنیتی دارد را فراهم نموده است.
  • ارائه مفهوم جدیدی در راه کار  LAN Accounting سازمانی ( برای اولین بار)
نحوه عملکرد +Layer2 در شبکه های Wireless – Wifi

در مورد شبکه های WiFi و اهمیت وجودی آن در زندگی روزمره جای هیچ بحث و گفتگویی نیست، بطوریکه در بسیاری از شرکت ها و سازمان ها به عنوان بستر اصلی یا مکمل جهت اتصال کاربران و تحهیزات مورد استفاده قرار می گیرد، مهم نیست که کاربر در این شبکه مهمان است یا پرسنل شرکت، مساله اصلی این است که در وضعیت جاری در صورتیکه تمیهدات امنیتی در بستر های Wifi پیاده سازی نشود، عملا این بستر تبدیل به یک نقطه نفوذ فوق العاده قوی و خرناک برای شبکه شرکت و یا سازمان بدل می شود.

بله به واقع درشرایط موجد قطعا هیچ یک از شبکه های Wifi امن نیستند.، مهم نیست که از چه برند و تجهیزاتی استفاده می کنیم، مهم آن است که تکنولوژی های احراز هویت و اتصال معمول بر روی Access Point ها قادر به تامین امنیت لازم نیستند. قطعا همه ما تجربه استفاده از شبکه های Wifi را داریم، در هر شبکه ای که وارد می شویم درخواست رمز Wifi آن شبکه از مسئول ان می کنیم، و در نهایت با وارد کردن رمز (PresharedKey) به شبکه بصورت دائمی متصل می شویم.

روش های مختلفی هم برای بهبود این موضوع استفاده شده است. ازجمله محدود سازی از طریق MAC Address که این هم عملا برای یک جای متوسط با رفت آمد کاربران جدید در آن به یک معضل بزرگ برای مدیر سایت تبدیل می شود. هرچند که در صورتیکه تمامی این مسائل را اگر به جان بخریم، نوبت به هکر ها و افراد نفوذگران می رسد. می توان به جرات گفت آنقدر روش های Hack کردن یک شبکه Wifi ، ساده و نرم افزار برای انجام آن فراوان است، که دیگر به کسی که اینکار را انجام می دهد نمی توان گفت Hacker.

از سوی دیگر نمی توان صورت مساله را پاک کرد، و شبکه Wifi را قطع کرد. رشد و توسعه عرضه تحهیزات جدید مبتنی بر بستر Wifi هر روز به طرز چشمیگیری در حال افزایش است. و عملا به سمتی حرکت می کنیم که به سادگی نمی توانیم نقش وجودی یک شبکه Wifi را نادیده بگیریم.

راه حل چیست؟

http://atinegar.net/wp-content/uploads/2017/09/connexin-business-by-product-bespoke-solution-icon-250x250-150x150.pngجهت بهبود وضعیت امنیتی در شبکه Wifi لازم است تا مکانیزم احراز هویت بر روی Access point تغییر نماید. با این کار می توان انتظار داشت که تا ریسک حملات احتمالی از سوی Hacker ها تا 90% کاهش خواهد یافت. در روش جدید با استفاده از یک سرور احراز هویت ایمن (بلوغ یافته) کلیه عملیات مدیریت اتصال کاربران از روی access point برداشته می شود و بهصورت مرکزی توسط این سرور مدیریت می شود.

در این وضعیت به جای استفاده از Presharedkey به هر کاربری نام کاربری و کلمه عبور داده خواهد شد. بنابراین از این به بعد در تمامی Device هایی که می خواهند به access point متصل شوند به جای ظاهر شدن Prompt برای وارد کردن Presharedkey ، گزینه وارد کردن نام کاربری و کلمه عبور ظاهر خواهد شد. که پس از احراز هویت صحیح اتصال کاربر امن خواهد شد.

قابلیت های این سرویس عبارت است از:

  • از این پس می تواند در هر Accesspoint چندین شبکه مختلف مجزا مبتنی بر VLAN داشته باشید، بدون آنکه نگران سوء استفاده کاربرانتان باشد. به عنوان مثال ، مهمانان به VLAN مهمانان و فقط از ساعت 8 تا 5 بعداز ظهر می توانند وصل شوند.

[ پیمانکاران در شبکه خاص خود ]  [ پرسنل اداری در شبکه خود ]

  • جدا سازی ترافیک عبوری هر کاربر: در سرویس های wifi که با Presharedkey احراز هویت می شوند عملیات رمزنگاری بین Device کاربر تا accesspoint به ازای تمامی کاربران با یک کلید عمومی و مشترک انجام می شود. در نتیجه عملا کلیه کاربران در یک Switch مشترک خواهند بود پس هر کاربری که به accesspoint متصل شده باشد می تواند کلیه داده های در حال تبادل دیگر کاربران را بشنود.

اینجاست که میزان ریسک بسیار بالا در شبکه های OPEN خودش را نشان می دهد. هرچند که ما با سرویس های Hotspot کاربران را نسبت به دسترسی منابع شبکه داخلی شبکه منع می کنیم لیکن تمامی داده های درحال تبادل کاربران فعال را می توان شنود کرد. به عبارت دیگر اینگونه شبکه ها اصلا امنیت ندارند.

در سیستم Layer2+ عملیات احراز هویت بر اساس نام کاربری و یا کلمه عبور انجام می شود. بنابراین کلیه عملیات رمزنگاری بین کاربر و Accesspoint بر اساس یک کلید یگانه انجام خواهد شد. پس داده های تبادل شده کاربر به هیچ عنوان توسط کاربران دیگر قابل شنود نیست.

  • VLAN Management : از دیگر قابلیت های این سیستم امکان کنترل VLAN کاربران است که عملا در حالت Presharedkey وجود ندارد. درصورتیکه با استفاده از Layer2+ می توان دسترسی یک کاربر را نسبت به VLAN خاصی مدیریت کرد.

از آنجائیکه بستر های Open  در Wifi خود به یک مشکل بزرگ امنیتی مبدل شده، و متاسفانه در سطح کشور تمامی سرویس های Hotpsot بر روی این سیستم فعال هستند. شرکت آتی نگر با طراحی و پیاده سازی یک سامانه Accounting پیشرفته و اختصاصی امکان احراز هویت بلوغ یافته + یک Captive Portal یکپارچه شده طراحی و پیاده سازی کرده است.

بنابراین شما می توانید:

کاربرانتان فقط برای اولین بار اتصال به wifi Network نام کاربری و کلمه عبور وارد نمایند. و در صورتیکه مجاز به مصرف اینترنت بودند بدون وارد کردن نام کاربری و کلمه عبور از سرویس اینترنت استفاده کنند. (اتصال خودکار و 100% ایمن بدون نیاز به وارد کردن کلمه عبور)
از یک سرویس Accounting قدرتمند با تمامی امکانات پیشرفته و محدود کننده جهت بهینه سازی مصرف کاربرانتان استفاده کنید
گزارشات سایت های بازدید شده با قابلیت شناسایی بیش از 1200 سامانه Web App
یکپارچه سازی تمامی این سرویس ها با دیگر قابلیت های درگاه امن آتی نگر و یا سورن UTM

به عبارت دیگر می توانید این قابلیت پیشرفته و منحصر به فرد را برای اولین بار در ایران بر روی یک UTM تجربه کنید. و عملا سطح امنیتی سرویس های خود را به دلیل کنترل به لایه دسترسی در بالاترین سطح ممکن افزایش دهید.