علی کیائی فر
مدیر تحقیق و توسعه آینده نگاران (آیکو)

امنیت اطلاعات از جمله موضوعاتی است که تا قبل از حمله ویروس استاکس‌نت ، در سازمان‌ها و صنایع کشور بیشتر جنبه تشریفاتی داشته و کمتر به آن به‌صورت جدی پرداخته شده بود. ورود ویروس استاکس‌نت به مراکز کنترل صنایع مختلف به‌ویژه نیروگاه‌ها حداقل این مزیت را داشت که سازمان‌ها و در راس آن مدیران به ضرورت پرداختن به مسائل امنیتی در خصوص اطلاعات و شبکه‌های خود واقف شده و نسبت به مقاوم سازی دیوارهای دفاعی در شبکه های خود اقداماتی را در دستور کار خود قرار دهند.

کشف ویروس Flame آن هم بعد از حدود دو سال فعالیت خاموش در شبکه وزارت نفت این زنگ خطر را به‌صدا درآورد که اقدامات امنیتی انجام شده چندان موثر نبوده است و نفوذگران با هزینه فراوان توانستند از لایه‌های دفاعی تعیین شده عبور کنند و به اهداف خود دست یابند.

پس از کشف ویروس Flame، جداسازی شبکه اینترنت از شبکه داخلی سازمان‌ها به‌صورت نسخه‌ای واحد و در قالب بخشنامه به عنوان تنها راه حل ممکن برای جلوگیری از حملات نفوذگران به بسیاری از سازمان‌ها و صنایع ابلاغ شد.

عوارض جداسازی فیزیکی اینترنت از شبکه داخلی

جداسازی فیزیکی شبکه اینترنت از LAN هم هزینه‌های زیادی را به سازمان‌ها تحمیل می‌کند و هم محدودیت‌های زیادی را به همراه دارد. جداسازی فیزیکی به نوعی پاک کردن صورت مسئله است نه یک راه‌حل امنیتی!

امروزه انجام بسیاری از کارهای علمی، پژوهشی، تحقیقاتی، بازاریابی، فروش، مدیریت مشتریان، ارتباطات و … بدون استفاده از اینترنت غیرممکن است. اولین عارضه جداسازی شبکه اینترنت از شبکه داخلی حذف قابلیت ساده اما مهم Copy/Paste است. شما در هر حوزه‌ای فعالیت علمی یا اقتصادی داشته باشید بی‌تردید اینترنت به عنوان قوی‌ترین ابزار جهت رشد و تعالی اهداف شماست.

استفاده از راهکار جداسازی فیزیکی شبکه اینترنت از شبکه LAN شاید در مراکزی که فعالیت‌های خاص و استراتژیک دارند (مانند اتاق‌های کنترل مراکز صنعتی) اجتناب‌ناپذیر باشد و محدودیت‌های آزاردهنده آن قابل تحمل باشد اما تحمیل روش جداسازی فیزیکی اینترنت از شبکه داخلی به همه دستگاه‌ها و سازمان‌ها باعث اختلال جدی در کارکرد موثر آنان می‌شود و به نوعی ریختن آب به آسیاب نفوذگران و بدخواهان است.

امروزه اینترنت آنقدر در بالندگی و رشد علمی، اقتصادی، فرهنگی و … جوامع نقش تعیین‌کننده دارد که حذف و یا محدودسازی استفاده از آن منجر به عقب افتادگی در عرصه علمی بین‌المللی خواهد شد.

کسانی که با هزینه‌های نجومی و با تولید ویروس‌های استاکس‌نت و Flamer به دنبال جاسوسی و ضربه زدن به صنعت کشور بودند بسیار خوشحال خواهند شد اگر دسترسی به اینترنت در ایران محدود شود و محققان و کارشناسان برای دسترسی به منابع اینترنتی با سدهایی خودساخته روبه‌رو باشند. اگر مهاجمان می‌خواستند ابزاری بسازند که اینترنت را در شبکه‌های ما قطع کنند قطعا هر بدافزاری می‌ساختند کارایی لازم را نداشت و سازمان‌ها می‌توانستند آن‌را نابود کنند. اما آنان با تهدیدهایی مانند استاکس‌نت و Flame توانسته‌اند استفاده مفید از اینترنت در جهت پیشرفت در حوزه‌های تخصصی و علمی را آن‌هم به‌دست خودمان از ما بگیرند و استفاده از اینترنت را صرفا محدود به کافی‌نت‌های سازمانی کنند. به همین دلیل جداسازی فیزیکی شبکه اینترنت از شبکه داخلی به نوعی بازی کردن در زمین دشمن است.

نکته قابل تامل نیز این است که انتشار ویروس‌های استاکس‌نت و Flame از طریق Cooldiskها صورت گرفته است. بنابراین جداسازی فیزیکی اینترنت از شبکه داخلی راهکار مطمئنی برای دفع خطر ویروس‌های مشابه نیست.

پس از کشف ویروس Flame در شبکه وزارت نفت، گویا مدیران تصمیم‌گیرنده به این نتیجه رسیده‌اند که دیگر امکان دفاع در برابر حملات سایبری در کشور وجود ندارد. لذا به همه سازمان‌های تابعه بخشنامه کرده‌اند که اینترنت را از شبکه داخلی به‌صورت فیزیکی جدا کنند. یعنی سازمان‌ها به موازات شبکه فعلی خود یک شبکه دیگر ایجاد کنند که فقط به اینترنت دسترسی داشته باشد و این 2 شبکه هیج ارتباطی با هم نداشته باشند.

مهمترین عوارضی که ضمن جداسازی فیزیکی اینترنت از شبکه داخلی دامن گیر سازمان‌ها می‌شود عبارتند از:

1- هزینه زیاد به منظور ایجاد یک شبکه موازی با شبکه فعلی

2- هزینه پشتیبانی مضاعف

3- هزینه نگهداری مضاعف

4- مصرف انرژی مضاعف

5- تعداد کاربران مضاعف

6- نیاز به نیروهای IT مضاعف

7- مدیریت مشکل شبکه‌های جدا شده از نظر Switching (یک اشتباه کوچک می‌تواند منجر به اتصال 2 شبکه شود!)

8- افزایش حجم درخواست‌های پشتیبانی به منظور انتقال فایل‌های دانلود شده از اینترنت به واحدهای IT

9- اختلال شدید در کسب و کار سازمان (به‌ویژه سازمان‌هایی که نقش پژوهش و تحقیقات و ارتباطات در آنها پررنگ است.)

10- محدودسازی شدید اینترنت (یکی از اهداف پنهان Flame و استاکس‌نت)

همه این عوامل و عوامل دیگر باعث شده است که کارشناسان IT با درک عواقب آن عموما با جداسازی فیزیکی موافق نباشند.

جداسازی مجازی به‌جای جداسازی فیزیکی

صدور یک نسخه سراسری و واحد (جداسازی فیزیکی اینترنت) برای همه سازمان‌ها، شرکت‌ها و ادارات بدون درنظر گرفتن تفاوت‌های بنیادی آنها با یکدیگر منطقی به نظر نمی‌رسد. با این وجود برای سازمان‌هایی که نمی‌توانند ریسک امنیتی استفاده همزمان از شبکه داخلی و اینترنت را تحمل کنند برای جداسازی اینترنت نزدیک به 10 روش مختلف وجود دارد که جداسازی فیزیکی سخت‌ترین، پرهزینه‌ترین و غیرمنطقی‌ترین آنهاست.

مطالعه روی نزدیک به 10 روش جداسازی شبکه اینترنت از اینترانت نشان می‌دهد استفاده از Cloud خصوصی و جداسازی مجازی شبکه اینترنت از شبکه داخلی، موثرترین و درعین حال کم عارضه‌ترین روش جداسازی است.

در این روش هیچ کامپیوتری در داخل LAN هیچگونه دسترسی به اینترنت چه با روش Nat و چه از طریق پروکسی یا هر روش دیگری ندارد. در خارج از شبکه LAN، یک یا چند سرور قرار دارند که به اینترنت دسترسی دارند. این سرورها در Internet Zone قرار دارند. Internet Zone هیچگونه ارتباط IP با شبکه LAN ندارد.

در شکل فوق نرم‌افزار فایرفاکس تنها روی سرور موجود در Internet Zone نصب شده است. این نرم‌افزار توسط یک Virtual Application Server مانند 2X یا Citrix برای کاربران Publish شده است. کاربران روی دسکتاپ خود Shortcut مرورگر فایرفاکس را مشاهده می‌کنند (بدون اینکه فایرفاکس روی سیستم آنها نصب شده باشد!) وقتی که کاربران روی فایرفاکس کلیک می‌کنند سرور مجازی ساز، نرم‌افزار فایرفاکس را با سطح دسترسی کاربر روی سرور موجود در Internet Zone به اجرا درآورده و تصویر آنرا در اختیار کاربر قرار می‌دهد. کاربر بدون اینکه احساس تغییری در این زمینه کند و بدون اینکه حتی متوجه جداسازی شود با مرورگر فایرفاکس کار می‌کند. درحالیکه این سیستم او نیست که به اینترنت متصل است بلکه تصویر مرورگری را می‌بیند که در Internet Zone به اجرا درآمده است.

به این ترتیب شبکه اینترنت از شبکه داخلی به‌صورت مجازی کاملا جدا می‌شود در عین حال کاربران از پای سیستم خود می‌توانند همزمان از شبکه داخلی و اینترنت جداسازی شده استفاده کنند! سیستم کاربر فقط به شبکه داخلی متصل است. سیستم کاربر به هیچ وجه به اینترنت متصل نبوده و هیچ ارتباط اینترنتی نیز وجود ندارد.

باز هم تاکید می‌شود در این شکل کاربران موجود در منطقه Lan با اینترنت هیچگونه ارتباط IP ندارند. برای اطمینان بیشتر حتی رنج IP آنها نیز متفاوت و VLAN آنها نیز جداست. ارتباط کاربران با

Virtual Application Server نیز تنها از طریق یک TCP Port برقرار می‌شود که از آن تنها برای ارسال تصویر (و نه Data) استفاده می‌شود. کاربران با اجرای نسخه Agent نرم‌افزار مجازی‌ساز از طریق همان یک پورت با Virtual Application Server ارتباط برقرار می‌کنند. Virtual Application Server هم از طریق یک TCP Port با Internet Server ارتباط برقرار کرده و فایرفاکس را روی آن به اجرا در آورده و تصویر آن را برای کاربر ارسال می‌کند. به این ترتیب کاربر به راحتی می‌تواند روی سیستم خود از اینترنت استفاده کند بدون اینکه تهدیدی متوجه او باشد. زیرا او فقط تصویر مرورگری را می‌بیند که روی سرور اینترنت به اجرا درآمده است. نه می‌تواند فایلی به آن منتقل کند و نه فایلی را دریافت کند. به این ترتیب جداسازی کامل شبکه اینترنت و شبکه داخلی بدون نیاز به خرید تجهیزات اضافی انجام شده است.