دریافت مقالات

امنیت

بررسی ابعاد امنیت شبکه در برقراری امنیت سازمانی از دیدگاه Citrix

117 مشاهده ۲۱ مرداد, ۱۳۹۶ 3

اهمیت دسترسی در برقراری امنیت سازمانی از دیدگاه Citrix

امروزه با توجه به نقش روزافزون Mobility در سازمان‌ها، ایجاد دسترسی Remote به عنوان یکی از کارکردهای اصلی IT و مسیر اولیه برای ورود مهاجمان به شبکه‌ی سازمان‌ها مطرح می‌گردد. بدیهی است که یک نقض امنیتی حتی کوچک ممکن است عواقب ویرانگری به دنبال داشته باشد. در صورتی که شبکه‌ی یکی از شرکای سازمان در معرض تهدید قرار گیرد، امکان حمله مستقیم به سازمان اصلی نیز وجود دارد، بدین ترتیب که یک لینک ضعیف به عنوان Gateway شبکه برای Exploit نمودن در اختیار مهاجمان قرار می‌گیرد. مهاجم پس از ورود به دنبال گسترش دسترسی بوده و در مرحله‌ بعد به سمت اجزای اصلی مانند Domain Controllerها حرکت می‌کند. در یکی از موارد رایج نقض امنیتی، مهاجمان ‌توانستند مستقیما از تجهیزات موجود در شبکه فروشگاه مانند پایانه‌های فروش به شبکه اصلی‌ متصل گردند. در این شرایط، یک Remote Access Trojan یا به اختصار RAT و یا Backdoor Access معمولا با برقراری تماس خروجی با یک سیستم خارجی می‌تواند به راحتی به سرور Command and Control متصل ‌گردد.

Stressor Network و ابزارهای DDoS در دسترس عموم قرار داشته و در بات‌نت‌ها همراه با ابزارهای Command and Control مانند Low Orbit Ion Cannon، قابل پیکربندی و کنترل می‌باشند. به علاوه اینکه می‌توان از انواع “‌Internet Cannon” به عنوان ابزارهای پیشرفته‌ای نام برد که از سوی دولت پشتیبانی شده و ترافیک کاربری معتبرِ اینترنت را با نوشتن مجدد درخواست‌های HTTP برای وب‌سایت‌های هدف آماده نمایند.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

دسترسی Remote و لزوم دسترسی ایمن برای کارفرمایان

با قابلیت‌های دسترسی Remote این امکان برای کاربران فراهم می‌شود تا در خارج از شبکه سازمان به برنامه‌های کاربردی، دسکتاپ‌ و داده‌ها دسترسی داشته باشند. ایجاد این دسترسی و کنترل و تامین امنیت برای آن از جمله وظایف NetScaler Unified Gateway به شمار می‌آید که اقدامات زیر را انجام می‌دهد:

  • گسترش دسترسی Remote و SSO به تمامی برنامه‌های کاربردی سازمانی و مبتنی بر Cloud
  • تجمیع زیرساخت‌ها و کاستن تعدد روش‌های دسترسی
  • ممانعت از ورود ترافیک به شکل Reverse-Proxy Gateway پیش از ارسال آن به برنامه‌های کاربردی موجود در Backend
  • ارائه یک URL واحد برای تجمیع راهکارهای مختلف از طریق ادغام قابلیت‌های مورد نیاز برای پشتیبانی از تمام سناریوهای دسترسی از جمله دسترسی سیار

این نوع سناریو یک SSL VPN کامل محسوب می‌شود که اتصال مستقیم با دیتاسنتر را در سطح شبکه فراهم می‌نماید. برای اکثر کاربرانی که به VPN کامل نیاز ندارند، NetScaler یک پروکسی ICA برای XenApp ارائه می‌کند که دسکتاپ‌ها و برنامه‌های کاربردی Host‌شده را به Citrix Receiver متصل می‌نماید. در این روش نیز همانند SSL VPN، تمام داده‌های انتقال یافته بین Client و دیتاسنتر رمزگذاری‌ می‌شوند. این نوع پیکربندی برای محیط‌هایی با امنیت بالا از قبیل PCI DSS توصیه می‌شود. هر URL می‌تواند موقعیت ساده‌ای را برای کاربران نهایی جهت دسترسی Remote به وب، SaaS و برنامه‌های کاربردی Citrix فراهم نماید، ضمن اینکه قابلیت احراز هویت دو مرحله‌ای، SSO و Federation را نیز برای آنها میسر می‌نماید.

NetScaler با ارائه یک نقطه واحد برای پیکربندی و پیاده‌سازی موجب تسهیل روند کنترل دسترسی و تمرکز بر آن می‌شود. SmartControl نیز به عنوان یک فایروال ICA عمل می‌کند که کنترل دسترسی به صورت منطقی را جهت مدیریت سطوح دسترسی بر اساس پارامترهایی همچون سیستم‌عامل دستگاه Client و مقادیر Patch و همچنین نصب، اجرا و به‌روزرسانی آنتی‌ویروس متمرکز می‌کند. این ویژگی‌ها ممکن است بر اساس IP سرور و Client، پورت و همچنین کاربران و یا گروه‌ها مسدود شوند. دسترسی به کانال‌های مجازی از جمله Cut-and-Paste، Map نمودن درایو‌های کاربران و یا پرینت‌ را می‌توان برای هر برنامه کاربردی راه‌اندازی نمود تا سطح مناسبی از دسترسی را فراهم نماید.

بخش‌بندی: ایجاد Zone‌های امنیتی شبکه

در فرآیند بخش‌بندی (Segmentation)، ایجاد قواعد مربوط به کمترین حق دسترسی در سطح شبکه و Host‌ها از طریق تعریف Zone‌های امنیتی توسعه می‌یابد که دسترسی ناخواسته به داده‌ها و برنامه‌های کاربردی حساس را به حداقل می‌رسانند. فایروال‌ها و Gateway‌ها می‌توانند جریان ترافیک را به این Zone‌های مشخص محدود نموده و به این ترتیب حرکات بعدی و نقاط آسیب‌پذیری به نقاطی محدود می‌شود که بیشترین نقض امنیتی در آن رخ می‌دهد.

اقدامات مرتبط با بخش‌بندی که از سوی NetScaler پشتیبانی می‌گردد، عبارتند از:

  • احراز هویت و پروکسی نمودن اتصالات Client در DMZ جهت مسدود کردن Packet‌های تغییر شکل‌یافته و درخواست‌های مخرب ایجاد شده در این مرحله
  • بهینه‌سازی، Mulitiplexing و محدود نمودن اتصال‌ به سرورهای Backend جهت محافظت از منابع آن
  • معماری مبتنی بر نرم‌افزار که برای بخش‌بندی ایمن پلتفرم‌ سخت‌افزار به Instance‌های مجزا و منحصر‌به‌فرد از مجازی‌سازی استفاده می‌کند؛ ضمن اینکه هریک از آنها دارای SLA‌ و حافظه‌ی اختصاصی، SSL، CPU و NIC‌های مجازی به صورت اشتراکی یا اختصاصی می‌باشند.

علاوه بر این موارد، بخش‌بندی به عنوان اصل اساسی در طراحی و معماری NetScaler محسوب شده و موارد زیر را دربر می‌گیرد:

  • ترافیک‌های مربوط به Domain: ترافیک برنامه‌های کاربردی و Tenant‌های مختلف را در یک فضای کاملا مجزا از شبکه در یک دستگاه واحد بخش‌‌بندی می‌نماید.
  • جداسازی ادمین‌ها: تجهیزات مجزای NetScaler به منابع مجزا همراه با مدیریت اختصاصی و واسط کاربری جداگانه برایLogin ، قابلیت‌ دید، فایل‌های پیکربندی و Logging بخش‌بندی می‌شود. برای مثال از بخش‌های مختص برنامه‌های کاربردی برای Citrix، شبکه و تیم‌های برنامه‌های کاربردی مایکروسافت استفاده می‌شود.

دسترس‌پذیری: استفاده از قابلیت Load Balancing هوشمند و محافظت چندلایه‌ی در برابر حملات DoS

فراهم نمودن قابلیت دسترس‌پذیری در سیستم‌ها هر روزه با چالش‌هایی همچون خرابی‌ سخت‌افزار و نرم‌افزار و همچنین حملات DDoS روبرو است؛ در ضمن این خرابی‌ها و حملات با اشغال نمودن پهنای باند و منابع محاسبات و حافظه موجب بروز اختلال در سرویس می‌گردند.

Load Balancing به عنوان کارکرد اصلی NetScaler، می‌تواند درخواست ورودی Clientها را در چندین سرور توزیع نماید که محتوا و برنامه‌های کاربردی تحت وب را Host‌ می‌کند. بنابراین این مکانیسم مانع از آن می‌شود که هر سرور به یک SPOF تبدیل شود و علاوه بر این با استفاده از روش‌های بهینه‌سازی کاربرد مانند Least Connection یا شاخص‌های مبتنی بر SNMP موجب بهبود کلی قابلیت دسترس‌پذیری برنامه کاربردی و پاسخگویی می‌شود. Global Server Load Balancing یا به اختصار GSLB، به ارائه یک لایه محافظ بیشتر، Failover و بهینه‌سازی برای سازمان‌ها به همراه وبسایت‌های متعدد و سرویس‌های‌ توزیع‌شده به لحاظ جغرافیایی می‌پردازد. NetScaler به عنوان بخشی از یک رویکرد چندلایه‌ای شامل موارد زیر می‌گردد:

  • محافظت در برابر DDoS: NetScaler به بررسی پارامترهای درخواست و اتصال Client می‌پردازد تا مانع از حملات Flood مانند SYN، UDP، ICMP، Smurf و Fraggle شود که تا زمان ارائه درخواست برای برنامه‌های کاربردی معتبر به پروکسی نمودن اتصال ادامه می‌دهد.
  • Offload نمودن SSL/TLS: NetScaler با پروکسی نمودن، تایید اعتبار و در صورت لزوم محدود نمودن سرعت اتصالات به محافظت از سرویس‌های وب در برابر حملاتی مانند HeartBleed، Shellshock و Poodle می‌پردازد که آسیب‌پذیری‌های SSL/TLS را هدف قرار می‌دهد.
  • محافظت در برابر Surge و ترتیب اولویت‌بندی: NetScaler مانع افزایش ترافیک شده و می‌تواند سرورهای Backend را از طریق Cache نمودن و اولویت‌بندی اتصال‌ها، Overload نماید؛ سپس همزمان با کاهش بار سرور به ارائه سرویس در آن‌ها می‌پردازد تا تمامی موارد را پوشش دهد. به علاوه، NetScaler می‌تواند امکان محافظت از DNS را برای تمامی سرورهای DNS ایجاد نموده و از DNSSEC برای محافظت در برابر انتشار رکوردهای Host جعلی و مخرب پشتیبانی می‌کند.

مطلب مفید بود؟


?