مدل سازی تهدید استراید (STRIDE) چیست ؟
19 بهمن 1400مدیریت یکپارچه تهدیدات (UTM) چیست ؟
19 بهمن 1400در دنیای پیشرفته امروزی می توان گفت که اکثریت کسب و کارهای بزرگ و کوچک به نوعی با شبکه های کامپیوتری کار می کنند. بیشتر ارتباطات، گزارش ها و پروژه ها با کمک شبکۀ مذکور انجام می شود. یکی از ابزارهایی که مزایای بی شماری را برای هر سازمانی فراهم می کند، شبکۀ محلی مجازی (VLAN) است. یک VLAN میتواند امنیت، عملکرد و مدیریت شبکه را افزایش داده و در عین حال هزینه های فناوری اطلاعات را کاهش دهد. در این مقاله تعریفی از VLAN ارائه نموده و بررسی خواهیم کرد که مزایا و ویژگی های VLAN چیست. قبل از بررسی مفهوم VLAN، ممکن است ابتدا درک یک شبکه محلی (LAN) مفید باشد. LAN اساساً مجموعه ای از رایانه ها در یک منطقۀ جغرافیایی خاص مانند یک دفتر است که همه به هم متصل هستند. یک VLAN ویژگی های مشابهی با یک LAN دارد، اما یک VLAN به رایانه ها و دستگاه های مختلف اجازه می دهد تا به صورت مجازی به یکدیگر متصل شوند. به نوعی، یک VLAN شبکه های مجزای کوچک را در داخل یک LAN مدیریت می کند. یک VLAN عمدتاً برای استفاده سازمانی مفید است، زیرا می توان از آن برای تقسیم یک شبکۀ بزرگتر به بخش های کوچکتر استفاده نموده.
کاربردهای VLAN
یکی از نکاتی که می بایست به آن توجه نمود این نکته است که تقسیم بندی یک شبکه به افزایش امنیت، قابلیت اطمینان و کارایی یک شبکه کمک می کند. راه های مختلفی وجود دارد که می توان از یک VLAN متناسب با نیازهای سازمان استفاده کرد. یکی از کاربردهای رایج VLAN، جداسازی ترافیک مهمان از ترافیک کارکنان از طریق تقسیم بندی شبکه است. این موضوع به کاربران مهمان اجازه می دهد تا بدون حضور در شبکه، مشابه کارکنان به اینترنت دسترسی داشته باشند. همچنین VLANها می توانند برای محدود کردن دسترسی کاربران به بخش های خاص شبکه مورد استفاده قرار گیرند. در این حالت فقط به کاربران مجاز اجازه داده می شود تا به شبکه هایی با اطلاعات بسیار حساس دسترسی داشته باشند. بعنوان مثال می توان به جداسازی کارکنان مالی از کارکنان منابع انسانی اشاره نمود. این تقسیم بندی نه تنها ترافیک کاربران را از هم جدا می کند، بلکه ایمنی و قابلیت استفاده را افزایش می دهد.
در ادامه به بررسی انواع VLAN خواهیم پرداخت.
VLAN لایه 1: عضویت توسط پورت
عضویت در VLAN را می توان بر اساس پورت هایی که به VLAN تعلق دارند تعریف کرد. بعنوان مثال، در یک پل (Bridge) با چهار پورت، پورت های 1، 2 و 4 متعلق به VLAN 1 و پورت 3 متعلق به VLAN 2 است. عیب اصلی این روش این است که امکان تحرک کاربران شبکه را نمی دهد. اگر کاربر به مکان دیگری دور از پل اختصاص داده شده حرکت کند، مدیر شبکه باید VLAN را مجدداً پیکربندی نماید.
VLAN لایه 2: عضویت با آدرس MAC
در این حالت، عضویت در VLAN بر اساس آدرس MAC ایستگاه کاری است. سوئیچ، آدرس های MAC را که به هر VLAN تعلق دارند ردیابی می کند. آدرسهای MAC بخشی از کارت رابط شبکه ایستگاه کاری را تشکیل میدهند. از این رو هنگامی که یک ایستگاه کاری جابهجا میشود، نیازی به پیکربندی مجدد نیست تا ایستگاه کاری در همان VLAN باقی بماند.
VLAN لایه 3: عضویت بر اساس نوع پروتکل
عضویت VLAN برای VLAN های لایه 2 نیز می تواند بر اساس نوع پروتکل موجود در Headerهای لایه 2 باشد.
VLAN لایه 4: عضویت توسط آدرس زیر شبکه IP یا IPSec
عضویت بر اساس هدرهای لایۀ 3 است. آدرس زیر شبکه IP را می توان برای طبقه بندی عضویت در VLAN استفاده نمود.
VLAN لایه های بالاتر
همچنین می توان عضویت VLAN را بر اساس برنامه ها یا سرویس ها یا هر ترکیبی از آنها تعریف کرد. برای مثال، برنامههای پروتکل انتقال فایل (FTP) را می توان روی یک VLAN و برنامههای telnet را روی VLAN دیگر اجرا کرد.
جعل هویت
جعل هویت، تهدیدی است که در آن، یک کاربر هویت کاربر دیگر را می گیرد. بعنوان مثال، یک مهاجم، هویت یک مدیر را به خود می گیرد. هنگام جعل یک نقش، مهاجم با ایجاد یک فایل جعلی دسترسی خود را ایجاد می کند. هنگام جعل یک سیستم نرم افزاری، مهاجمان از جعل ARP، جعل DNS، جعل IP و … استفاده می کنند.
دستکاری
یکی از تهدیداتی که مدل سازی STRIDE آن را شناسایی و رفع می کند، دستکاری اطلاعات است. دستکاری، تهدیدی است که در آن اطلاعات موجود در سیستم توسط یک مهاجم تغییر می کند. بعنوان مثال، یک مهاجم موجودی حساب را تغییر می دهد.
تهدیدات انکار
انکار تهدیدی است که در آن مهاجم، یک تراکنش یا اطلاعات ورود به سیستم را حذف یا تغییر می دهد. این کار با هدف تلاش برای حذف لایه های حفاظتی توسط آنها صورت می گیرد. بعنوان مثال، حذف یک تراکنش خرید.
افشای اطلاعات
این تهدید به معنای افشای اطلاعاتی است که قرار بود پنهان شود. این تهدید که اصل محرمانه بودن را نقض می کند توسط مدل سازی تهدید STRIDE قابل شناسایی است.
انکار سرویس
همه سازمان ها دارای سیستم های اختصاصی هستند که وظایف ویژه ای را انجام می دهند. بعنوان مثال یک پایانه در یک بانک. مهاجمین، از ورود کاربران مجاز، به سیستم جلوگیری می کنند.
بالا بردن سطح دسترسی
هکرها با اجازه دادن به افراد غیرمجاز در داخل یا خارج از شبکه، به یک فایل یا مکان مجازی محدود شده دسترسی پیدا می کنند.
مزایا و ویژگی های VLAN چیست ؟
استفاده از VLAN با جنبه های متعددی می تواند مزایایی را برای صاحبان و مدیران کسب و کارها به همراه داشته باشد که در ادامه به آنها اشاره خواهیم نمود.
هزینه
بیشتر کسب و کارها با هدف کسب سود فعالیت می کنند و به همین دلیل، بیشتر تصمیمات مربوط به کسب و کار تا حدی حول محور هزینه می چرخد. هر سازمان موفقی با کمک بودجه هایی عمل می کند که معمولاً شامل بودجه فناوری اطلاعات است. استفاده از پیکربندی های VLAN می تواند با کاهش نیاز به ارتقاء شبکه، به صرفه جویی در هزینه سازمان ها کمک کند.
امنیت
یکی از جنبه های مثبت استفاده از VLAN مزایای امنیتی آن است. وقتی در جست و جوی پاسخ این سؤال هستیم که مزایای شبکه های VLAN چیست، با مسألۀ بسیار مهم امنیت شبکه مواجه می شویم. جداسازی ترافیک در یک شبکه از تردد کاربران و دستگاه های ناخواسته و غیرمجاز در یک شبکۀ خاص جلوگیری می کند. همچنین تهدیدات و خطرات را کاهش داده و از داده های حساس محافظت می کند. نرم افزارهای امنیتی و فایروال های مختلفی را می توان برای هر VLAN در یک شبکه نصب کرد که به جلوگیری از به خطر افتادن کل سیستم در صورت مواجهه با حملات در یک VLAN کمک خواهد کرد.
مدیریت سادۀ فناوری اطلاعات
VLAN ها امکان مدیریت آسان و سادۀ IT سیستم شبکه را فراهم می کنند. اگر VLAN ها بر اساس کاربرانی با نیازهای شبکه یا عملکردهای مشابه تقسیم بندی شوند، این امکان را به IT می دهد تا هر VLAN و گروهی از دستگاه ها را به شیوه ای ساده تر مدیریت کند. بعنوان مثال، مدیریت می تواند کنترل های امنیتی خاصی را بر اساس کاربران در هر VLAN ایجاد کند. همچنین اگر مشکلی با یک VLAN وجود داشته باشد، به دلیل کار کردن کاربران مختلف در VLAN های مختلف، مشکلات عیب یابی بسیار سریعتر حل می شود.
انعطاف پذیری
علاوه بر مدیریت آسان تر شبکه، VLAN ها همچنین برای مدیریت و کاربران، انعطاف پذیری بیشتری را فراهم می کنند. VLAN ها به کاربران و دستگاه های پراکنده جغرافیایی اجازه می دهند تا براحتی با سایر کاربران ارتباط برقرار کنند. برای مثال، حتی اگر کاربر میزهای اداری را جابهجا کند، کاربر میتواند در همان شبکه خود بماند.
استفاده از مطالب با ذکر منبع بلامانع است. (گرد آوری شده توسط تیم IT سامانه فناوری فرتاک)