کنترل ارتباطات

اخیرا فرصتی یافتم تا از مرکز نظارت و مراقبت شبکه دانشگاه هاروارد دیدن نمایم. معمولا فرد عادی مفهوم کلمات نظارت و مراقبت از شبکه و دانشگاه را در کنار هم نمی‌داند، چون هر نوع مراقبتی با سنت آزادی علمی فعلی در اکثر دانشگاه‌ها در تضاد است. متاسفانه، بیشتر آموزش‌های در سطح عالی به جنایت‌ها و خلاف‌های کامپیوتری مربوط به اینترنت ختم شده است، چه قربانیان و چه موسسات خانگی مقصر در این زمینه، به همین دلیل دانشگاه‌ها باید روی چند روش نمایش شبکه سرمایه‌گذاری نمایند.
آنچه مراقبت از شبکه هاروارد را مهم جلوه می‌دهد، واقعیت وجود Crimson و کاربرد آن در مراقبت از شبکه نمی باشد بلکه مقیاس‌پذیری و پیچیدگی فنی و تخصصی عملیات قابل رویت، مهم است. هاروارد از اتصال ۶ گیگابیتی بین سرویس‌دهندگان اینترنت ۱ و ۲ برخوردار است. هر روز بین ۱۰ تا ۳۰ ترابایت داده در مرز و محدوده‌هاروارد جابجا می‌شود. علاوه بر این، ترافیک نیز دستخوش مسیریابی‌های نامتقارن می‌شود، یعنی جابجایی و ارسال بسته‌ها بین روترهای چند مرز مختلف بستگی به این دارد که آیا آنها از هاروارد برای همیشه خارج می‌شوند یا دوباره برمی‌گردند، یکی از نتایج ناخوشایند آن hot potato routing به معنای (راه پردردسر) نامیده می‌شود.
علیرغم این پیچیدگی، هاروارد کار دسته‌بندی و ثبت اطلاعات هر بسته در حال عبور از مرز را کنترل و به عهده دارد. جهت اطلاع از نحوه کار سحرآمیز هاروارد، من با جی توماس، مدیر عملیات شبکه هاروارد دیدار کردم. مدت کوتاهی در دفتر جی واقع در University Information Systems (قسمت سیستم‌های اطلاع رسانی دانشگاه) بودم که فقط یک بلوک با دفتر من در دانشکده مهندسی و علوم کاربردی فاصله دارد.
● هیچ بسته‌ای جا نمانده است
اتصال هاروارد به اینترنت ۱ و ۲ در سه مکان واقعی صورت می‌گیرد: دو تای آن در بوستون و دیگری در کمبریج. ولی توماس به جای استفاده از سیستم‌های تشخیص بی نظمی و مزاحمت در مرز، سیستم نمایش دهی مخصوصی را ایجاد کرده است که جلوی تمام ترافیک اصلی را گرفته و یک کپی از هر بسته تهیه نموده و سپس این کپی‌ها را به مرکز مراقبت و نظارت شبکه روی فیبرهای نوری ۱۰ گیگابیتی ارسال می‌نماید. این جریانات و روندها با استفاده از کلیدهای سیسکو تشکیل و بوقوع پیوسته و سپس بر اساس خانواده پروتکل و با استفاده از مجموعه Top Layer ۴۵۰۸ IDS Balancers ذخیره می‌گردند.
این طرح و معماری هم به هاروارد امکان می‌دهد تا باری را که به علت حجم بالای داده برای تنها یک IDS زیاد است، بین چند سیستم تقسیم نماید و دیگر اینکه، به هر IDS امکان می‌دهد تا فقط با یک امضا تایید مورد نیاز پیکربندی شده و هر IDS سریعتر از حد ممکن برای پاسخگویی به چند پروتکل کامل به اجرا در آید.
توماس می‌گوید، سال گذشته با بیش از ده میلیون IDS تداخل داشتیم، ولی هاروارد به جای اعلام و هشدار برای هر گونه برخورد اطلاعات یا جدول‌بندی آنها در چند فایل مثبتی که کسی‌ آنها را نمی‌خواند، یک سیستم واکنشی را ایجاد کرده است که شدت و سختی هر گونه برخورد IDS را ارزیابی و اندازه‌گیری نموده و سپس تعداد مثبت‌های غلط را تخمین زده و به طور خودکار مدیر امنیتی مسئول در این زمینه را آگاه می‌سازد.
Harvard Network Operation Center (مرکز عملیات شبکه هاروارد) از پایگاه داده‌ای برخوردار است که دارای ۱۵۰۰ تا ۲۰۰۰ سیستم ثبت شده و مدیر شبکه می‌باشد. وقتی IDS با یک برخورد مواجه می‌شود، سیستم تلاش می‌کند تا این تداخلات را به یکدیگر ارتباط داده و وصل نماید. اگر آزمایشات به اندازه کافی انجام شده و مورد تایید قرار گیرند، در این صورت سیستم به طور خودکار آن را اعلام کرده و با ارسال پیامی مدیر مسئول را از این بابت آگاه می‌سازد. سال گذشته ۱۰۰۰۰ از اینگونه پیام‌ها ارسال شد.David Laporte که مدیر امنیت شبکه بوده و برای توماس کار می‌کند، می‌گوید: "افراد باید بطور ناخودآگاه و فطری از این علائم هشدار دهنده باخبر شوند".
هشدارهای به موقع بخش مهمی مراقبت از شبکه را تشکیل می‌دهند، ولی کاربرد آن محدود بوده و دیگر قابلیت برگشت به عقب را ندارند. باید سیستم‌هایی را پیدا کرد که با این وضع و شرایط سازگار باشند. وقتی به چنین سیستمی دست یافتید، باید ابتدا میزان خرابی آن را برآورد و ارزیابی نمایید.
توماس می‌گوید: "برای مثال، سیستم IDS هاروارد اخیرا یک کنترل کنده دامین به نام Microsoft Active Directory را کشف کرده که هک شده است. جای تعجب ندارد که هیچکدام از موارد ثبت شده در سیستم فعال نشده‌اند". توماس و گروه وی جهت اطلاع از اتفاقی که برای سیستم افتاده است به QRadar که یک سیستم نمایش امنیت بوده و بوسیله Q۱ Labs فروخته شده است، رو آورده‌اند.
QRadar می‌تواند چند منبع اطلاع‌رسانی از جمله ردیابی بسته، جریانات و روندهای شبکه و ایمنی را به نمایش گذاشته و سپس مدلی از شبکه را بسازد و از اطلاعات واقعی و در دسترس برای روزآمد سازی این مدل استفاده کرده و این اطلاعات را در صورت لزوم جهت امکان بازسازی و تغییر این جریانات در آینده بایگانی نماید.
طبق ارزیابی سیستم‌های IDS از هر بسته‌ای که وارد هاروارد شده یا از آن خارج می‌شود، هر بسته بوسیله QRadar مورد پردازش قرار می‌گیرد. این سیستم، بسته‌ها را مورد بررسی و تجزیه تحلیل قرار داده و سپس رشته‌های TCP و UDP را بازسازی کرده، پروتکل‌ها را رمزگشایی کرده و مشخص می‌کند که آیا این پروتکل‌ها روی پورت درست و مناسب اجرا می‌شوند یا نه و بعد پایگاه داده واقعی را روز آمد می‌سازد. به این سیستم می‌توان برای ضبط قسمتی یا کل بسته‌ای که رویت می‌کند، برنامه داد که البته انجام این کار، به مقدار قابل توجهی حافظه برای شبکه هاروارد نیاز است.
توماس می‌گوید، ما از هر اتصال جداگانه و مجزایی که این سیستم در آن مرز و محدوده ایجاد کرده است، اطلاعات را استخراج کرده و سپس مواردی را که جزو ترافیک برنامه کنترل و فرمان نبوده و برایمان قابل شناسایی نبودند، انتخاب و جدا کردیم. معلوم شد که این سیستم سازگار شده در انتقال فایل ۳۵۰ مگابایتی از یک سیستم کامپیوتری دیگر در دانشگاه دیگر کمک گرفته بود. این یک نگرانی عمده به شمار می‌رفت، لذا هاروارد با دانشگاه دیگری تماس برقرار کرده و سیستم سازگار دیگری را مورد بررسی قرار داد. مدیران آن دانشکده از وجود فایل‌هایی ۳۵۰ مگابایتی موسیقی فرانسوی آگاه شدند. به نظر توماس آنها برای کشف ارزش آنچه انجام می‌دادند مدت کافی وجود نداشتند. در مورد دیگری یک مدیر شبکه در دانشکده پزشکی هاروارد طی تماسی از اینکه شبکه او مورد تهاجم و حمله قرار گرفته بود شکایت کرد. اپراتورهای مرکز عملیات شبکه نیز وارد سیستم QRadar شده و خیلی زود متوجه شدند که دانشکده پزشکی در حال آزمایش روی حمله رد خدمات به نام “Smurf” می‌باشد. سپس این تیم چندین قوانین اضافه برای روترهای هاروارد در نظر گرفتند تا جلوی این حملات را گرفتند.
توماس می‌گوید، تاکنون ابزاری بهتر و سریعتر از QRadar در رویت و بازبینی اطلاعات ندیده‌ام. این سیستم به توماس امکان می‌دهد تا به سرعت همه سطوح ترافیک را رویت و بازدید نموده و براساس مقوله‌های مختلف مثل پروتکل‌ شبکه، کنترل‌های اداری، موقعیت جغرافیایی، زمان یا شدت و استحکام ایمنی، جلوی آنها را بگیرد. سیستم QRadar روی یک سرور مخصوص اجرا کننده لینوکس با پردازنده دوگانه اجرا می‌شود. این بسته‌ها و پایگاه‌های داده روی یک شبکه با حافظه ۶ ترابایتی متصل به کانال فیبری، ذخیره می‌شوند. وقتی با توماس صحبت می‌کردم سیستم در حال ضبط ۶۴ بایت اول هر بسته بود، که ارزش هر داده را برای مدت ۳۰ روز ترجمه و در نظر گرفته بود. ولی ذخیره ۶۴ بایت اول هر بسته چندان مفید نبوده و شما نمی‌توانید تصاویر یا صفحات وب را برای مثال دوباره جمع‌آوری و از نو بسازید. هدف از انجام این کار پیکربندی مجدد سیستم بوده که فقط به نگهداری از متا دیتا (فوق داده) با هر اتصال به شبکه، کمک می‌کند ولی هر بسته را حذف و کنار می‌گذارد. با این تغییر، سیستم باید بتواند ارزش اطلاعات را برای مدت ۶ ماه حفظ نماید.
QRadar همچون سایر دستگاه‌های پیشرفته امنیتی می‌تواند با استفاده از یک اپلت جاوا که درون یک مرورگر وب اجرا می‌شود، روی اینترنت در دسترس باشد. سیستم هاروارد طوری تنظیم شده که مدیران شبکه می‌توانند اطلاعات مربوط به شبکه‌های اختصاصی خود را مشاهده نمایند. مدیران همچنین می‌توانند بدینوسیله مشکلات خود را بدون زحمت دادن به گروه مرکز عملیات شبکه، حل نمایند. یعنی QRadar می‌تواند علاوه بر اینکه برای کنترل امنیت استفاده شود جهت رفع اشکال شبکه و تغییر عملکرد آن نیز مفید و مثمرثمر باشد.
● بهینه سازی الزامی
سیستم QRadar با تمام این مزایا و قدرت از ۲ مشکل برخوردار است که طی دوره ماموریت خود به آن پی بردم، یکی محدودیت سیستم است که همچنان ادامه دارد و دیگری فعلا موجود نمی‌باشد.
محدودیت ناخوشایند و آزاردهنده QRadar این است که سیستم واقعا نمی‌تواند از نحوه ارسال بسته‌ها روی اینترنت مطلع شود و همینطور با نگاه کردن به روابط و Border Gateway Protocol (BGP) نمی‌تواند از کار سیستم‌های مستقل اینترنتی سر در بیاورد. وقتی QRadar ترافیک خروجی از هاروارد را می‌بیند، شبکه مقصد را می‌شناسد ولی نمی‌داند سازمان مقصد و مورد نظر کجاست. اگر QRadar، BGP را می‌دانست، نقشه‌ای از شبکه‌های مختلف را که بسته‌های ارسالی باید از آن عبور می کرد، تهیه می‌نمود. گروه عملیات شبکه هاروارد می‌خواهند این نقص و عیب را هر چه زودتر و به روش بهتر حل نمایند.
ولی یک مشکل عمده و مهمتر این است که QRadar می‌تواند حتی در نوع نظارت و مراقبتی که در یک دانشگاه واقعا الزامی نیست، قابل استفاده باشد. این سیستم می‌تواند براحتی انواع رفتارهای ناشایست و تهاجمی در هاروارد را به نمایش بگذارد. مثلا، سیستم می‌تواند یک فایل سوابق به همراه آدرس‌های IP کامپیوترها در هاروارد که به سایت‌های خلاف، بوردهای شغلی و ... مراجعه می‌کنند، ایجاد نماید. این اطلاعات می‌توانند در مقابل ثبت تایید اعتبار کاربر یا آدرس‌های کنترل دستیابی رسانه Ethernet (MAC) در ایجاد گزارشات کامل برای هر کاربر در دانشگاه، فهرست‌بندی شوند. سیستم نمی‌تواند به طور همزمان آنچه را درباره کاربران ثبت کرده است، حفظ و نگهداری نماید، بلکه فقط می‌داند چه زمانی آنها وارد سیستم و چه زمانی از سیستم خارج شده‌اند ولی نمی‌تواند گزارش مربوط به شخص در حال جستجوی اطلاعات و نوع اطلاعات را حفظ نماید.
گرچه سازمان‌ها باید توانایی بازسازی آنچه در گذشته اتفاق افتاده است را داشته باشند ولی باید قادر به تشخیص زمانی باشند که از این توانایی نیز سوا استفاده می‌شود. یک روش برای انجام این کار استفاده از سیستم‌های نظارتی و مراقبتی است که به طور خودکار وقایع و گزارشات از استفاده شخصی آنها را ایجاد می‌کند. ما از این روش در سازمان خود استفاده می‌کنیم که در آن درخواست برای نظارت و مراقبت به طور کامل و دقیق مرور می‌شود چه قبل و چه بعد از نظارت. دفتر اجرایی دادگاه‌های آمریکا یک گزارش کنترل تلفن سالانه‌ای را منتشر می‌کند که حاوی اطلاعات مختصر و مفیدی برای هر کنترل به سفارش دادگاه در آمریکا می‌باشد.
سازمان‌هایی که از تجهیزات مراقبتی و نظارتی برخوردار هستند، باید این روش‌های مشابه را به کار گیرند و ابزارهای نظارتی همچون QRadar نیز باید وقایع ثابت را ایجاد و ثبت نموده و نه تنها از زمان ورود و خروج کاربر به سیستم مطلع شوند بلکه باید نوع عملیات آنها و آنچه انجام می‌دهند را ثبت نمایند.