سیر تا پیاز جداسازی شبکه اینترنت از شبکه داخلی و نحوه تبادل اطلاعات بین آن‌ها

سیر تا پیاز جداسازی اینترنت از اینترانت

جداسازی شبکه اینترنت از شبکه داخلی چیست و چرا باید این کار انجام شود؟
منازل مسکونی در قدیم، به جهت حفظ بیشتر حریم خصوصی، دو بخش اندرونی و بیرونی داشتند، و صرفا محارم اجازه ورود به بخش اندرونی منزل را داشتند. به همین ترتیب، امروزه نیز برای افزایش امنیت اطلاعات در سازمان ها و مجموعه ها، و جلوگیری از انواع تهدیدات امنیتی که ممکن است از طریق اینترنت در قالب هک، باج‌افزار، ویروس، تروجان و یا هر گونه نفوذ و تهدید امنیتی اتفاق بیافتد، متخصصان امنیت موکدا توصیه می‌کنند، که کل شبکه داخلی یک سازمان (اندرونی) ایزوله باشد. و کاربرانی که نیاز به اینترنت دارند، اینترنت خود را بر روی یک شبکه کاملا مستقل استفاده کنند، تا سازمان از این‌گونه تهدیدات امنیتی مصون باشد.
در ادامه تمامی هشت روش جداسازی شبکه اینترنت از شبکه داخلی را تشریح و مزایا و معایب آن‌ها را بررسی و پیش نیازهای لازم برای بهره مندی از هر یک را توضیح خواهیم داد، و پس از آن به چگونگی برقراری ارتباط بین این دو شبکه خواهیم پرداخت.

انواع روش های جداسازی شبکه اینترنت از شبکه داخلی

شرح:

در این روش، به هر کاربر ۲ عدد رایانه به همراه یک دستگاه KVM سوئیچ داده می‌شود. تا بتواند بین رایانه اینترنت و رایانه سازمانی خود سوئیچ کند.
و یا این‌که به هر کاربر ۲ عدد رایانه کامل ( ۲ دست موس و کیبرد و مانیتور و رایانه) ارائه می‌شود که هر کدام از این رایانه‌ها به یک شبکه ایزوله متصل است.

جداسازی شبکه اینترنت از شبکه داخلی روش اول

الزامات اجرایی:

– دو بستر شبکه کاملا مستقل و مجزا.
– دو برابر نیروی پشتیبانی IT.
– میزهای بزرگ برای کاربران، به نحوی که ظرفیت دو دستگاه رایانه را داشته باشد.

هزینه:

هزینه تامین یک عدد رایانه به همراه یک دستگاه KVM سوئیچ، بیش از ۲۰۰ دلار خواهد بود.

مزایا:

این روش در مقایسه با دیگر روش‌ها، هیچ مزیتی ندارد.

معایب:

تمام مشکلاتی که تاکنون در بخش IT سازمان خود داشته‌اید، با انتخاب این روش ۲.۵ برابر می‌شود!
چون علاوه بر دو برابر شدن تعداد رایانه ها، رایانه های جدید برای تامین امنیت اطلاعات، به دلیل متصل بودن به اینترنت، پشتیبانی بیشتری نیاز دارند.
و علاوه بر این، مشکلات استفاده کاربران از KVM نیز به ماجرا افزوده می‌شود، از این رو عدد تخمینی ۲.۵ ذکر شد.

مخاطبین این روش چه کسانی هستند؟

الف- مجموعه هایی که به دلایل تعدیل نیرو رایانه مازاد دارند.
ب- مجموعه هایی که با دیگر روش ها آشنا نیستند!

به دلایلی که در بالا به آن اشاره شد، رها نه تنها این روش را توصیه نمی‌کند، بلکه برای اجرای آن نیز هیچگونه خدماتی ارائه نمی‌دهد.

شرح:

در این روش، هارد رایانه ها از روی مادر برد جدا شده، و به همراه یک عدد هارد یا اس اس دی دیگر بر روی یک کارت ایزولاتور متصل می‌شود.
و کارت ایزولاتور است که بر روی مادر برد نصب می‌شود و روی هر کدام از این دو هارد (یا SSD) یک سیستم عامل مجزا نصب می‌شود.
علاوه بر این هر کارت ایزولاتور ۲ عدد کارت شبکه نیز دارد که با هر بار قطع و وصل شدن برق این کارت (ری استارت شدن رایانه)، کامپیوتر با یکی از هاردها و کارت‌های شبکه بوت می‌شود.
در زیر یک نمونه کارت ایزولاتور به همراه اجزای آن را مشاهده می‌کنید:

استفاده از کارت ایزولاتر برای رایانه های کاربران

۱ و ۲: محل اتصال دو SSD برای نصب دو سیستم عامل
۳ و ۴: محل اتصال دو عدد هارد دیسک یا سی دی رام
۵ و ۶: محل اتصال دو عدد کابل شبکه
۷ و ۸: جامپر تغییر مود
۹: رله های قطع اتصال شبکه
۱۰: سوئیچر در گاه‌های SSD
۱۱: سوئیچر درگاه‌های ساتا ۳ و ۴
۱۲: چیپست فرمان سوئیچ به سوئیچرهای شماره ۱۰ و ۱۱ و ۱۳ (با هر بار قطع و وصل برق سوویچرها را عوض می‌کند.)
۱۳: سوئیچر فرمان به رله‌های شبکه

الزامات اجرایی:

دو بستر شبکه کاملا مستقل  مجزا.

هزینه:

هزینه تامین یک عدد کارت به همراه دو عدد SSD با ظرفیت حداقل ۶۴ گیگ برای نصب سیستم عامل حدود ۱۸۰ دلار.

مزایا:

این روش در بین روش‌های جدا سازی فیزیکی (غیر از VDI) ارزان ترین روش است.

معایب:

برای سوئیچ کردن بین دو شبکه باید یکبار سیستم ری استارت شود و حدود ۱۵ ثانیه زمان بر است.
اگر عملکرد هر یک از قطعات شماره ۹ الی ۱۳ با اختلال روبرو شود، امکان اتصال بین دو شبکه وجود دارد، و این یک حفره‌ی امنیتی محسوب می‌شود.
طول عمر متوسط این کارت‌ها دو سال است( به دلیل قطع و وصل و ری استارت بسیار).
نارضایتی بسیار کاربران بخاطر این ری استارت‌های مکرر.

مخاطبین این روش چه کسانی هستند؟

الف- از آنجایی که این روش قدیمی می‌باشد، بیشتر مخاطبین این روش کسانی هستند که در همان ابتدای بخشنامه‌ی امنیتی جداسازی به این روش روی آوردند.
ب- مجموعه‌هایی که با دیگر روش ها آشنا نیستند!

به دلیل عدم اقبال عمومی مشتریان به این محصول از ابتدای سال ۹۸، رها دیگر این محصول را تولید نمی‌کند.

شرح:

در این روش، با فرض این که کاربران مجموعه یک دستگاه رایانه دارند، برای مصرف اینترنت، به آن‌ها یک زیرو کلاینت به همراه یک KVM سوئیچ ارائه می‌دهیم. که زیرو کلاینت از طریق بستر شبکه دوم به سرور اینترنت متصل است و کاربرن می‌تواند از طریق KVM بین رایانه خود و زیروکلاینت به صورت در لحظه سوئیچ کند.

اختصاص یک زیروکلاینت به هرکاربر یکی ازروش های جداسازی اینترنت از شبکه داخلی

الزامات اجرایی:

– دو بستر شبکه کاملا مستقل مجزا. (برای شبکه اینترنت میتوان از شبکه وایرلس محدود شده بهره برد)
– سرور برای زیرو کلاینت ها. برای ۱۰۰ کاربر با ضریب همزمانی ۶۰ درصد (یعنی در لحظه ۶۰ درصد از کاربران لود کاری بر روی سرور اعمال می‌کنند. در سازمان های دولتی ضریب همزمانی ۶۰ و در سازمان های خصوصی ۸۰ درصد لحاظ می‌شود).
۳۰ رشته پردازنده و ۱۰۰ گیگابایت رم و استوریج با  ۱۵۰K IOpS و ۲۵۶ گیگا بایت ظرفیت نیاز است. پهنای باند مورد نیاز هر کاربر بین ۳۰ الی ۲۰۰۰ کیلو بایت است (وابسته به نوع پروتکل ارتباطی) برای اطلاعات تخصصی بیشتر به پروپوزال مجازی سازی پیوست رجوع شود.

هزینه:

هزینه یک عدد زیرو کلاینت به همراه یک دستگاه KVM و سرشکن شده هزینه سرور برای هر کاربر تقریبا ۱۹۰ دلار است.

مزایا:

توجه نمایید این مزایا در مقایسه با روش های قبلی بیان شده است.

  • امنیت اطلاعات بالاتر.
  • کاربر میتواند به صورت آنی بین دو شبکه سوئیچ کند.
  • اجرای سریع، و بدون اختلال با زیر ساخت موجود کارفرما، و با بسیاری از آپشن های مدیریتی و نظارتی.

معایب:

جز در مواردی که به دلیل انتخاب نامناسب نوع پلتفرم و پروتکل و عدم اجرای صحیح، موجبات نارضایتی مدیران و کاربران شده است. این روش در نفس خود عیب و مشکلی ندارد، اما روش‌های جدیدتر، بهینه‌تر می‌باشند.

مخاطبین این روش چه کسانی هستند؟

این روش کاملا استاندارد و اصولی است، اما با رشد روش‌های مجازی، جایگاه مقبولیت خود را به روش‌های مجازی داده است، و اکنون در جایگاه شماره ۲ بین روش ها قرار دارد. با توجه به تنوع زیروکلاینت ها ( PC-Sharing , VDI) و انواع پروتکل های ارتباطی، تنوع اجرایی در این روش زیاد است که برای بررسی انواع آن‌ها به پروپوزال مجازی سازی پیوست مراجعه شود.
در انتخاب روش مناسب برای هر سازمان پارامترهای زیادی باید بررسی شود. منجمله زیر ساخت شبکه، تعداد کاربران، نیاز واحد آی تی کارفرما، الزامات امنیتی و مدیریتی و هزینه، لذا توصیه می‌شود ابتدا ضمن مطالعه کامل انواع روش های جدا سازی، چنانچه انتخاب شما این روش بود، حتما نسبت به مطالعه دقیق پروپوزال مجازی سازی پیوست اقدام کنید. و در نظر داشته باشید که کارشناسان رها همواره در کنار شما هستند تا با ارائه مشاوره تخصصی در انتخاب مناسب ترین راهکار خدمت رسانی کنند.

شرح:

این روش یکی از پرکاربرد ترین روش ها است. و به هر کاربر دو عدد زیروکلاینت به همراه یک دستگاه KVM Switch اختصاص داده می‌شود تا در دو محیط ایزوله (اینترانت و اینترنت) فعالیت کند.

اختصاص دو زیروکلاینت به هرکاربر

الزامات اجرایی:

دو بستر شبکه کاملا مستقل  مجزا. (برای شبکه اینترنت می‌توان از شبکه وایرلس محدود شده بهره برد)
سرور برای زیرو کلاینت ها. برای ۱۰۰ کاربر (هر کاربر ۲ زیرو کلاینت) با ضریب همزمانی ۶۰ درصد (یعنی در لحظه ۶۰ درصد از کاربران لود کاری
بر روی سرور اعمال می‌کنند. در سازمان های دولتی ضریب همزمانی ۶۰ و در سازمان های خصوصی ۸۰ درصد لحاظ می‌شود) ۵۰ رشته پردازنده و ۱۶۰ گیگابایت رم و استوریج با  ۲۰۰K IOpS و ۵۰۰ گیگا بایت ظرفیت نیاز است، پهنای باند مورد نیاز هر کاربر بین ۳۰ الی ۲۰۰۰ کیلو بایت است (وابسته به نوع پروتکل ارتباطی) برای اطلاعات تخصصی بیشتر به پروپوزال مجازی سازی پیوست رجوع شود.

هزینه:

هزینه دو عدد زیروکلاینت به همراه یک دستگاه KVM و سرشکن شده هزینه سرور برای هر کاربر تقریبا ۳۲۰ دلار است.

مزایا:

– بالاترین ضریب امنیت اطلاعات.
– کاربر می‌تواند به صورت آنی بین دو شبکه سوئیچ کند.
– اجرای سریع، و بالاترین آپشن های نظارتی و مدیریتی.

معایب:

جز در مواردی که به دلیل انتخاب نامناسب نوع پلتفرم و پروتکل و عدم اجرای صحیح، موجبات نارضایتی مدیران و کاربران را باعث شده است.
این روش در نفس خود عیب و مشکلی ندارد، اما روش‌های جدیدتر، بهینه‌تر می‌باشند.

مخاطبین این روش چه کسانی هستند؟

این روش کاملا استاندارد و اصولی است، اما با رشد روش‌های مجازی، جایگاه مقبولیت خود را به روش‌های مجازی داده است، و اکنون در جایگاه شماره ۲ بین روش ها قرار دارد. با توجه به تنوع زیروکلاینت ها ( PC-Sharing , VDI) و انواع پروتکل های ارتباطی، تنوع اجرایی در این روش زیاد است، که برای بررسی انواع آن‌ها به پروپوزال مجازی سازی پیوست مراجعه شود. در انتخاب روش مناسب برای هر سازمان پارامترهای زیادی باید بررسی شود، منجمله زیر ساخت شبکه، تعداد کاربران، نیاز واحد آی تی کارفرما، الزامات امنیتی و مدیریتی و هزینه، لذا توصیه می‌شود ابتدا ضمن مطالعه کامل انواع روش های جدا سازی، چنانچه انتخاب شما این روش بود، حتما نسبت به مطالعه دقیق پروپوزال مجازی سازی پیوست اقدام کنید.

و در نظر داشته باشید که کارشناسان رها همواره در کنار شما هستند تا با ارائه مشاوره تخصصی در انتخاب مناسب ترین راهکار خدمت رسانی کنند.

شرح:

رایادو (Raya2) در واقع نسل دوم از رایانه ها است که از هر یک دستگاه آن دو نفر همزمان می‌توانند استفاده کنند. و مناسبت آن برای جداسازی شبکه داخلی از اینترنت به این گونه است که به هر دو کاربر، دو عدد از آن را اختصاص می‌دهیم. که مطابق تصویر زیر هر کدام از آن‌ها به یکی از شبکه ها متصل می‌شود و هر دو کاربر به صورت همزمان به هر دوی آن‌ها توسط یک KVM Switch مطابق شکل زیر متصل می‌شود.

اختصاص دو رایادو به هر دو کاربر

الزامات اجرایی:

با توجه به این که در هر مجموعه‌ای برای هر دو کاربر ۲ لینک شبکه وجود دارد، در این روش به هیچ الزامات زیرساختی نیاز نیست.
فقط کافی است سمت رک های توزیع، یکی از کابل‌های شبکه به شبکه داخلی و آن یکی به شبکه اینترنت وصل شود.

هزینه:

طبق سناریو تصویری فوق برای هر دو کاربر نزدیک به هم به دو دستگاه رایادو نیاز است، هزینه هر دستگاه رایادو حدود ۲۰۰ دلار است.

مزایا:

نیاز به ایجاد یک شبکه فیزیکی مستقل نمی‌باشد.

معایب:

در این روش نیز همچنان با مشکلات نگهداری از رایانه ها و تین کلاینت ها روبرو خواهیم بود، و این در صورتی است که در روش‌های مبتنی بر زیروکلاینت، ما به سرویس دهی سمت کاربران و دستگاه‌های آن‌ها نیازی نخواهیم داشت.

مخاطبین این روش چه کسانی هستند؟

این روش برای مجموعه هایی که به هر دلیل قادر به پیاده سازی بستر VDI و یا تامین زیروکلاینت نیستند، مناسب است.

شرح:

این روش محبوب‌ترین و برترین روش جداسازی اینترنت از شبکه داخلی است.به این صورت که کاربران سازمان، در دسکتاپ موجود خود، آیکون هایی از مرورگر اینترنت مشاهده می‌کنند که از طریق VDI از یک سرور ایزوله در اختیار آن‌ها قرار داده شده است، و هیچ گونه تعامل اطلاعاتی بین این مرورگرها با دسکتاپ موجود آن‌ها، وجود ندارد. و در واقع آن‌ها در حال مشاهده تصویر آن صفحات اینترنتی هستند که صرفا بر روی یک پورت مشخص و محدود در قالب بسته هایی که فاقد ارزش اطلاعاتی هستند. (برای کسب اطلاعات بیشتر در این خصوص به پروپوزال مجازی سازی صفحه ۸۸ پیوست رجوع کنید).

اختصاص دسترسی مجازی به اینترنت – VDI

الزامات اجرایی:

توصیه می‌شود که حتی المقدور شبکه مربوط به VDI-Virtual App را از شبکه داخلی جدا کنید. بعنوان مثال از طریق توزیع آن بر بستر وایرلس و اختصاص یک wifi USB Adaptor به هر کاربر و یا حتی یک کارت شبکه دیگر. شبکه مجزای مذکور میتواند کاملا محدود از طریق انواع پروتکل های مختلف باشد به نحوی که هیچ شار اطلاعاتی روی آن شبکه وجود نداشته باشد. و صرفا مختصات پیکسل‌هایی که در حال تغییر هستند برای هر کاربر، رمزنگاری و ارسال شود.
این‌گونه بسته ها حتی در صورت لو رفتن متد رمز نگاری و یا فشرده سازی هیچگونه ارزش اطلاعاتی ندارد و عامل نفوذی حتی نمی‌تواند نظاره‌گر تصویری باشد که هر کاربر در حال مشاهده آن است.
منابع سخت افزاری سمت سرور برای هر ۱۰۰ کاربر اینترنت، با لحاظ ضریب همزمانی ۶۰ درصد، برابر ۶۴ گیگابایت رم و ۳۰ رشته پردازنده و ۱۵۰KIOpS برای استوریج مورد نیاز است.

هزینه:

هزینه تامین منابع سخت افزاری سمت سرور، برای هر کاربر تقریبا برابر ۴۰ دلار است.

مزایا:

– اجرای سریع، و بالاترین آپشن های نظارتی و مدیریتی.
–  هر کاربر در همان دسکتاپ خود به اینترنت یک دسترسی کاملا ایزوله دارد.
– نیاز به تامین هیچگونه سخت افزار سمت کاربران نیست، و تمام سرویس دهی نرم افزاری به آن‌ها نیز اط طریق شبکه انجام می‌شود.

معایب:

بعضا سخت گیری‌هایی وجود دارد که امنیت اطلاعات در این راهکار را نمی‌پذیرند. اما در نظر داشته باشید که دولت های کره جنوبی و آمریکا از این روش بهره می‌برند. و علاوه بر آن تا کنون هیچ گزارش نفوذی از این راهکار در سطح جهان منتشر نشده است. و به لحاظ منطقی نیز، در صورت اجرای صحیح و اصولی، امکان نفوذ وجود ندارد.

مخاطبین این روش چه کسانی هستند؟

تمامی مجموعه هایی که روحیه نوین فناوری اطلاعات بدور از تعصبات در آنها جاری است، مخاطبین علاقه مند این راهکار هستند.
به دلایل امنیتی، موکدا توصیه می‌شود، اجرای این راهکار را به مجموعه هایی بسپارید که علاوه بر دانش مجازی سازی ، در زمینه امنیت نیز متخصص باشند.
و گواهی نامه امنیتی  ممیزی مدیریت امنیت اطلاعات را داشته باشند، و در این گونه پروژه ها، رزومه شایسته ای داشته باشند.

شرح:

این روش دقیقا همان روش اختصاص دو زیرو کلاینت به هر کاربر است با این تفاوت که دو عدد زیروکلاینت به همراه یک دستگاه KVM Switch در یک باکس و در قالب یک محصول به نام SCATIN توسط مجموعه رها تولید و به بازار ارائه شد.

اختصاص یک دستگاه Scatin به هر کاربر

به دلیل تنوع نیازهای سازمان های مختلف در انتخاب نوع زیروکلاینت و همچنین قیمت تمام شده بالای این محصول به دلیل تیراژ پایین، رها دیگر این محصول را تولید نمی‌کند، لذا توصیه می‌شود از دیگر راهکارها استفاده کنید. این دستگاه در ابتدا (سال ۱۳۹۷) به سفارش وزارت کشور و توسط مجموعه رها تولید شد.

شرح:

کلمه DTC مخفف عبارت Duall Thin Client می‌باشد و به این معنی است که در این دستگاه دو عدد تین کلاینت به همراه یک عدد KVM Switch درون یک کیس، قرار داده شده است،
و درواقع همان روش شماره ۱ است با این تفاوت که به جای دو عدد رایانه بزرگ از دو عدد رایانه کوچک در قالب یک کیس استفاده شده است و تمام مزایا و معایب این راهکار همانند راهکار شماره  ۱ است.اختصاص یک دستگاه DTC به هر کاربر

به دلیل عدم اقبال عمومی مشتریان به این محصول از ابتدای سال ۹۹، رها دیگر این محصول را تولید نمی‌کند.

انواع روش های جداسازی شبکه اینترنت از شبکه داخلی
  • ۱ـ KVM Switch:

    یک دستگاه کوچک (اندازه یک گوشی موبایل) و ارزان قیمت است ( ۵ الی ۱۰ دلار) که از طریق آن می‌توان چند رایانه را با یک دست موس و کیبرد کنترل کرد و تصویر آن‌ها را روی یک مانیتور مشاهده کرد. این دستگاه به این صورت عمل می‌کند که با فشردن کلیدی روی کیبرد و یا کلید روی خود KVM بین دو رایانه سوئیچ می‌کند

  • ۲ـ رایانه:

    یک رایانه می‌تواند در انواع Fat Client یا همان رایانه‌های معمولی چاق روی میزی و Thin Client یا همان رایانه‌های لاغر باشد، پس دقت داشته باشید که منظور از رایانه تمامی دستگاه‌هایی است که به صورت مستقیم روی آن‌ها سیستم عامل (مثلا ویندوز) نصب می‌شود مانند کیس، تین کلاینت، لپ تاپ، مینی کامپیوتر.

  • ۳ـ زیروکلاینت:

    متاسفانه بسیاری زیروکلاینت ها را با تین کلاینت ها اشتباه می‌گرند، و این در حالی است که تین کلاینت در دسته رایانه های مستقل قرار می‌گیرند ( که در بالا توضیح داده شد)، اما زیروکلاینت ها دستگاه‌هایی هستند که برای این‌که بتوانند به کاربر خود سرویس دهند، حتما بایستی به یک سرور متصل شوند، و در واقع به تنهایی و مستقل نمی‌توانند به کاربر خود هیچ سرویسی بدهند و از خود چیزی ندارند (زیرو = صفر).

KVM-Switch

چگونگی برقراری ارتباط بین دو شبکه ایزوله (بهترین روش مناسب تمامی روش ها)

اکنون فرض بر این است که شما با یکی از روش‌های ۸ گانه موفق به (ایزوله کردن) جداسازی شبکه اینترنت از شبکه داخلی شده اید.
اما بسیاری از مجموعه ها با این نیاز روبرو می‌شوند، که کاربران نیاز دارند فایل و اطلاعاتی را از اینترنت به رایانه های شبکه داخلی انتقال دهند و یا بالعکس، یعنی بتوانند فایل و یا اطلاعاتی را از شبکه داخلی به اینترنت منتقل کنند، و این دقیقا همان کابوس کارشناسان امنیت اطلاعات است.
برای حل این ماجرا صرفا دو روش وجود دارد، روش ممیزی انسانی، و روش ممیزی اتوماتیک که اساسا تفاوت چندانی در زیر ساخت ندارند، سعی بر آن شده است که حق مطلب این موضوع در دو شکل زیر توضیح داده شود.
(جهت توضیحات در خصوص سناریو ها با کارشناس پشتیبانی خود تماس بگیرید تا با کارشناس امنیت شرکت کنفرانس تلفنی داشته باشید)

روش اول – بدون ممیز انسانی

روش بدون ممیز انسانی برای جدا سازی شبکه اینترنت از شبکه داخلی

روش دوم – با ممیز انسانی

روش با ممیز انسانی