سیر تا پیاز جداسازی شبکه اینترنت از شبکه داخلی و نحوه تبادل اطلاعات بین آن‌ها

جدا سازی شبکه اینترنت از شبکه داخلی چیست و چرا باید این کار انجام شود؟

منازل مسکونی در قدیم، به جهت حفظ بیشتر حریم خصوصی، دو بخش اندرونی و بیرونی داشتند، و صرفا محارم اجازه ورود به بخش اندرونی منزل را داشتند. به همین ترتیب، امروزه نیز برای افزایش امنیت اطلاعات در سازمان ها و مجموعه ها، و جلوگیری از انواع تهدیدات امنیتی که ممکن است از طریق اینترنت در قالب هک، باج‌افزار، ویروس، تروجان و یا هر گونه نفوذ و تهدید امنیتی اتفاق بیافتد، متخصصان امنیت موکدا توصیه می‌کنند، که کل شبکه داخلی یک سازمان (اندرونی) ایزوله باشد. و کاربرانی که نیاز به اینترنت دارند، اینترنت خود را بر روی یک شبکه کاملا مستقل استفاده کنند، تا سازمان از این‌گونه تهدیدات امنیتی مصون باشد.

در ادامه تمامی هشت روش جدا سازی شبکه اینترنت از شبکه داخلی را تشریح و مزایا و معایب آن‌ها را بررسی و پیش نیازهای لازم برای بهره مندی از هر یک را توضیح خواهیم داد، و پس از آن به چگونگی برقراری ارتباط بین این دو شبکه خواهیم پرداخت.

 انواع روش های جداسازی شبکه اینترنت از شبکه داخلی :

1- اختصاص 2 رایانه به هر کاربر

2-استفاده از کارت ایزولاتور برای رایانه های کاربران

3-اختصاص یک زیرو کلاینت + یک رایانه به هر کاربر

4-اختصاص دو زیرو کلاینت به هر کاربر

5-اختصاص یک دستگاه Scatin به هر کاربر

6-اختصاص یک دستگاه DTC به هر کاربر

7-اختصاص دو رایادو به هر دو کاربر

8-اختصاص دسترسی مجازی به اینترنت – VDI

۱ـ KVM Switch:

یک دستگاه کوچک (اندازه یک گوشی موبایل) و ارزان قیمت است ( ۵ الی ۱۰ دلار) که از طریق آن می‌توان چند رایانه را با یک دست موس و کیبرد کنترل کرد و تصویر آن‌ها را روی یک مانیتور مشاهده کرد. این دستگاه به این صورت عمل می‌کند که با فشردن کلیدی روی کیبرد و یا کلید روی خود KVM بین دو رایانه سوئیچ می‌کند

۲ـ رایانه:

یک رایانه می‌تواند در انواع Fat Client یا همان رایانه‌های معمولی چاق روی میزی و Thin Client یا همان رایانه‌های لاغر باشد، پس دقت داشته باشید که منظور از رایانه تمامی دستگاه‌هایی است که به صورت مستقیم روی آن‌ها سیستم عامل (مثلا ویندوز) نصب می‌شود مانند کیس، تین کلاینت، لپ تاپ، مینی کامپیوتر.

۳ـ زیروکلاینت:

متاسفانه بسیاری زیروکلاینت ها را با تین کلاینت ها اشتباه می‌گرند، و این در حالی است که تین کلاینت در دسته رایانه های مستقل قرار می‌گیرند ( که در بالا توضیح داده شد)، اما زیروکلاینت ها دستگاه‌هایی هستند که برای این‌که بتوانند به کاربر خود سرویس دهند، حتما بایستی به یک سرور متصل شوند، و در واقع به تنهایی و مستقل نمی‌توانند به کاربر خود هیچ سرویسی بدهند و از خود چیزی ندارند (زیرو = صفر).

چگونگی برقراری ارتباط بین دو شبکه ایزوله (بهترین روش مناسب تمامی روش ها)

اکنون فرض بر این است که شما با یکی از روش‌های ۸ گانه موفق به (ایزوله کردن) جدا سازی شبکه اینترنت از شبکه داخلی شده اید.

اما بسیاری از مجموعه ها با این نیاز روبرو می‌شوند، که کاربران نیاز دارند فایل و اطلاعاتی را از اینترنت به رایانه های شبکه داخلی انتقال دهند و یا بالعکس، یعنی بتوانند فایل و یا اطلاعاتی را از شبکه داخلی به اینترنت منتقل کنند، و این دقیقا همان کابوس کارشناسان امنیت اطلاعات است.

برای حل این ماجرا صرفا دو روش وجود دارد، روش ممیزی انسانی، و روش ممیزی اتوماتیک که اساسا تفاوت چندانی در زیر ساخت ندارند، سعی بر آن شده است که حق مطلب این موضوع در دو شکل زیر توضیح داده شود.

(جهت توضیحات در خصوص سناریو ها با کارشناس پشتیبانی خود تماس بگیرید تا با کارشناس امنیت شرکت کنفرانس تلفنی داشته باشید)

جداسازی اینترنت از اینترانت از طریق vlan چگونه انجام می شود؟

چرا جداسازی اینترنت از اینترانت از طریق vlan باید انجام شود؟یکی از اصولی ترین مبانی امنیت اطلاعات محافظت از محیط سرویس دهی در فضای سایبر می باشد.
از همین رو یکی از مهم ترین دغدغه های سازمان ها، شرکتها و مراکز دولتی در حال حاضر جداسازی اینترنت از اینترانت از طریق vlan سازمانی می باشد. مسلما به واسطه این جداسازی به میزان قابل توجهی، از تهدیدات امنیتی کاسته شده و از وقوع مشکلات بسیاری جلوگیری به عمل خواهد آمد.
از سوی دیگر استفاده ازاینترنت به عنوان یک منبع اطلاعاتی وارتباطی بسیار ضروری بوده وغیرقابل چشم پوشی است. بنابراین حفظ و پایداری شبکه های داخلی و امنیت آن از اهمیت بسیار بالایی برخوردار است.

چه راهکارهایی برای جداسازی اینترنت از اینترانت از طریق vlan وجود دارد؟بهره وری و سازگار بودن شبکه و کاربر از اهداف رشد کسب و کار می باشد.
یکی از روش های بهبود و ارتقاء در شبکه جداسازی اینترنت از اینترانت از طریق vlan می باشد.
استفاده از این تکنولوژی باعث افزایش امنیت و کارآیی شبکه بدون استفاده از تجهیزات گرانقیمت شده است.
به منظور استفاده و اجرای VLAN در شبکه خود ، شما نیاز به یک سوئیچ لایه ۲ خواهید داشت. که قابلیت مدیریت را داشته باشد یعنی Manageable باشد.
باید توجه داشت که هر VLAN که بر روی سوئیچ ایجاد می شود ، به منزله یک شبکه جداگانه خواهد بود و این شبکه ها هیچگونه ارتباطی با یکدیگر نخواهند داشت.

یکی از مهمترین ویژگی هایی که باعث استفاده از شبکه VLANشده است ، Broadcast نشدن پیام ها در سراسر شبکه می باشد.
VLAN ها در شبکه و بر روی سوئیچ این اجازه را می دهند که شبکه هایی با آدرس های IP متعدد و زیر شبکه های متعدد وجود داشته ، بدون اینکه با یکدگیر در ارتباط باشند.

مزایای اصلی جداسازی اینترنت از اینترانت از طریق vlan چیست؟امنیت
کاهش هزینه
افزایش بازدهی و کارآیی
کاهش و جلوگیری از Broadcast
سادگی اجرا و مدیریت آساندر این پروژه ۴ vlan داریم.
۱۰۱
۱۰۲
۱۰۳
۱۰۴
که هرکدام برای قسمت خاصی می باشد.
قسمت های این شرکت شامل it ,sales , support, server room می باشد که همه قسمت ها بجز قسمت sales دارای اینترنت هستند.
در قسمت sales دونفر که مدیر و معاون فروش هستند دارای اینترنت می باشند.
برای دسترسی دادن به ip ها در روتر مربوطه که از سمت دیگری به اینترنت وصل است باید acl بنویسیم.

طرح اجرایی شرکت اجرای vlan بر روی سوییچ های سیسکو می باشد.اجرای این طرح بسیار کم هزینه بوده و مورد پسند مشتری قرار گرفته است.
که پس از بازدید و بررسی های اولیه و تعیین دسترسی ها اینکه هر کاربر دسترسی به اینترنت داشته باشد یا نه مورد بررسی قرار می گیرد.
و اینکه در کدام vlan باشد کار را آغاز می کند. در این میان، روی هر vlan لیست دسترسی یا همان acl مربوطه نوشته می شود.

Cisco Access List به چه معناست؟در ترجمه لغوی به معنای لیست دسترسی سیسکو می باشد که زیاد هم از معنای واقعی خود دور نیست.
همانطور که از اسم آن بر می آید به وسیله این ابزار میتوانیم بر روی سخت افزارهای سیسکو فایروال ایجاد کنیم.
از آنجا که بحث فایروال بسیار گسترده است و تنها به یک access list منتهی نمیشود به این نوع فایروال packet filter گفته میشود.

حتما خوانندگان عزیز سیسکو را شناخته و از کارایی آن خبر دارند. از آنجا که ورودی اینترنت ۸۰ درصد شبکه هایی که ما با آنها کار می کنیم.
Cisco هست میتوانیم با بکار گیری Access list در آنها امنیت زیادی را برای خود به ارمغان بیاوریم.
نا گفته نماند که مهمترین گزینه در Packet filter ها کانفیگ خوب آنهاست نه Brand یا مدل دستگاه!
شما اگر با اصول Packet Filtering آشنایی داشته باشید. بر روی هر سیستم عامل یا سخت افزاری تنها با آموختن Syntax آن میتوانید یک فایروال ایجاد کنید.

من در اینجا به توضیح قوائد آن در سیسکو می پردازم.

برای ایجاد access list شما نیاز به IOS های بالاتر از ورژن ۸.۳ دارید.
دو مرحله برای ایجاد یک access list داریم. اول میبایست ACL مربوطه را نوشته و دوم آن را به یک اینترفیس اعمال کنیم.
بدیهی است در صورت عدم اعمال ACL به یک اینترفیس ACL مذکور بلا استفاده می ماند.
پر کاربردترین ACL ها IP Access list است. زیرا اکثر ترافیکها بر روی پروتکل IP انتقال می یابد.

خود IP access list دو نوع است: Standard و Extended Standard تنها بر اساس SOURCE IP address می تواند کنترل کند.
Extended بر حسب SOURCE and DESTINATION IP address و SOURCE and DESTINATION Port می تواند محدودیت ایجاد کند.
معمولا برای نام گذاری access list ها از اعداد استفاده میشود. که از شماره ۱ تا ۹۹ برای Standard و ۱۰۰ تا ۱۹۹ برای Extended استفاده می‌شود.
البته اعداد ۱۳۰۰ تا ۱۹۹۹ برای Standard و ۲۰۰۰ تا ۲۶۹۹ برای Extended رزرو شده اند. 

port 0/1 access-list
Router(config)#access-list 1 permit 192.168.1.2
Router(config-if)#ip access-group 1 out
SW1(config)#vlan access-map NOT-TO-SERVER 10
SW1(config-access-map)#match ip address 100
SW1(config-access-map)#action drop
SW1(config-access-map)#vlan access-map NOT-TO-SERVER 20
SW1(config-access-map)#action forward

حرف آخر!پس از کشف ویروس Flame،  جدا سازی اینترنت از اینترانت از طریق vlan سازمان ها بصورت نسخه ای واحد
و در قالب بخشنامه به عنوان تنها راه حل ممکن برای جلوگیری از حملات نفوذگران به بسیاری از سازمانها و صنایع ابلاغ گردید.

آنه فرانک «من به بدبختی‌ها و چیزهای بد فکر نمی‌کنم؛ تنها چیزی که به یاد می‌آورم زیبایی‌هایی است که باقی می‌مانند.»