برای تامین امنیت بر روی یك شبكه، یكی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و كنترل تجهیزات شبكه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :
الف –
عدم وجود امنیت تجهیزات در شبكه به نفوذگران به شبكه اجازه می‌دهد كه‌ با دستیابی به تجهیزات امكان پیكربندی آنها را به گونه‌ای كه تمایل دارند آن سخت‌افزارها عمل كنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبكه، توسط نفوذگر، امكان‌پذیر خواهد شد.
ب –
برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبكه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبكه از كار بیاندازند كه از این طریق در برخی موارد امكان دسترسی به اطلاعات با دور زدن هر یك از فرایندهای AAA فراهم می‌شود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
- امنیت فیزیكی و تأثیر آن بر امنیت كلی شبكه
- امنیت تجهیزات شبكه در سطوح منطقی
- بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :
- امنیت فیزیكی
- امنیت منطقی
1- امنیت فیزیكی
امنیت فیزیكی بازه‌ وسیعی از تدابیر را در بر می‌گیرد كه استقرار تجهیزات در مكان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملكرد سیستم در صورت ایجاد و رخداد نقص در یكی از تجهیزات (كه توسط عملكرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.
در بررسی امنیت فیزیكی و اعمال آن،‌ ابتدا باید به خطر‌هایی كه از این طریق تجهزات شبكه را تهدید می‌كنند نگاهی داشته باشیم. پس از شناخت نسبتاً كامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.
1-1- افزونگی در محل استقرار شبكه
یكی از راه‌كارها در قالب ایجاد افزونگی در شبكه‌های كامپیوتری، ایجاد سیستمی كامل،‌ مشابه شبكه‌ی اولیه‌ی در حال كار است. در این راستا، شبكه‌ی ثانویه‌ی، كاملاً مشابه شبكه‌ی اولیه، چه از بعد تجهیزات و چه از بعد كاركرد،‌ در محلی كه می‌تواند از نظر جغرافیایی با شبكه‌ی اول فاصله‌ای نه چندان كوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنكه در صورت رخداد وقایعی كه كاركرد هریك از این دو شبكه را به طور كامل مختل می‌كند (مانند زلزله) می‌توان از شبكه‌ی دیگر به طور كاملاً جایگزین استفاده كرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیك سنگین بر روی شبكه، حجم ترافیك و پردازش بر روی دو شبكه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممكن برسد.
با وجود آنكه استفاده از این روش در شبكه‌های معمول كه حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امكان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبكه‌های با حجم بالا كه قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.
1-2- توپولوژی شبكه
طراحی توپولوژیكی شبكه،‌ یكی از عوامل اصلی است كه در زمان رخداد حملات فیزیكی می‌تواند از خطای كلی شبكه جلوگیری كند.
در این مقوله،‌ سه طراحی كه معمول هستند مورد بررسی قرار می‌گیرند :
الف – طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبكه، كلیه سیستم به دو تكه منفصل تبدیل شده و امكان سرویس دهی از هریك از این دو ناحیه به ناحیه دیگر امكان پذیر نخواهد بود.
ب – طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیكی و قطع اتصال یك نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییكه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در كارایی این نقطه مركزی،‌ كه می‌تواند بر اثر حمله فیزیكی به آن رخ دهد، ارتباط كل شبكه دچار اختلال می‌شود، هرچند كه با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی كاسته می‌شود.
ج – طراحی مش : در این طراحی كه تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیكی در سطوح دسترسی منجر به اختلال عملكرد شبكه نخواهد شد،‌ با وجود آنكه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد كرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.
1-3- محل‌های امن برای تجهیزات
در تعیین یك محل امن برای تجهیزات دو نكته مورد توجه قرار می‌گیرد :
- یافتن مكانی كه به اندازه كافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای كه هرگونه نفوذ در محل آشكار باشد.
- در نظر داشتن محلی كه در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بكارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به كار گرفت.
با این وجود، در انتخاب محل، میان محلی كه كاملاً جدا باشد (كه نسبتاً پرهزینه خواهد بود) و مكانی كه درون محلی نسبتاً عمومی قرار دارد و از مكان‌های بلااستفاده سود برده است (‌كه باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.
در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیكی تجهیزات در نظر داشت :
- محدود سازی دسترسی به تجهیزات شبكه با استفاده از قفل‌ها و مكانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مكان‌ها و كدهای كاربری دسترسی‌های انجام شده.
- استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبكه و اتاق‌های اتصالات و مراكز پایگاه‌های داده.
- اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.
1-4- انتخاب لایه كانال ارتباطی امن
با وجود آنكه زمان حمله‌ی فیزیكی به شبكه‌های كامپیوتری، آنگونه كه در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن كنترل یكی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبكه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیكی كماكان دارای خطری بحرانی است.
عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اكنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های كامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند كه می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا كمترین احتمال برای شنود و یا حتی تخریب فیزیكی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیكی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الكتریكی، هیچگونه تشعشعی از نوع الكترومغناطیسی وجود ندارد، لذا امكان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود.
1-5- منابع تغذیه
از آنجاكه داده‌های شناور در شبكه به منزله‌ی خون در رگهای ارتباطی شبكه هستند و جریان آنها بدون وجود منابع تغذیه، كه با فعال نگاه‌داشتن نقاط شبكه موجب برقراری این جریان هستند، غیر ممكن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌كنند. در این مقوله توجه به دو نكته زیر از بالاترین اهمیت برخوردار است :
- طراحی صحیح منابع تغذیه در شبكه بر اساس محل استقرار تجهیزات شبكه‌. این طراحی باید به گونه‌ای باشد كه تمامی تجهیزات فعال شبكه، برق مورد نیاز خود را بدون آنكه به شبكه‌ی تامین فشار بیش‌اندازه‌ای (كه باعث ایجاد اختلال در عملكرد منابع تغذیه شود) وارد شود، بدست آورند.
- وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای كه تعداد و یا نیروی پشتیبانی آنها به نحوی باشد كه نه تنها برای تغذیه كل شبكه در مواقع نیاز به منابع تغذیه پشتیبان كفایت كند، بلكه امكان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبكه را به صورت منفرد فراهم كند.
1-6- عوامل محیطی
یكی از نكات بسیار مهم در امن سازی فیزیكی تجهیزات و منابع شبكه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملكرد شبكه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یك شبكه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره كرد :
- احتمال حریق (كه عموماً غیر طبیعی است و منشآ انسانی دارد)
- زلزله، طوفان و دیگر بلایای طبیعی
با وجود آنكه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال كلی در عملكرد شبكه، وجود یك سیستم كامل پشتیبان برای كل شبكه است. تنها با استفاده از چنین سیستم پشتیبانی است كه می‌توان از عدم اختلال در شبكه در صورت بروز چنین وقعایعی اطمینان حاصل كرد.