روش‌های آزمون تجهیزات امنیت شبکه


برای آزمون تجهیزات امنیت شبکه تا کنون روش استاندارد و جامعی ارائه نشده است، روش‌هایی مانند RFC 3511 فقط برای ارزیابی کارایی این تجهیزات پیشنهاد شده و سایر ویژگی‌های آنها را مورد آزمون قرار نمی‌دهد، برای آشنایی مختصر با استاندارد معیار مشترک Common Criteria و ویژگی‌ها و مشکلات آن می‌توانید به اینجا مراجع فرمایید.
متدولوژی‌های آزمون مانند ISSAF، OSSTMM و ... با هدف ارزیابی امنیت شبکه یک سازمان شامل وب‌سایت‌ها، سرورها، تجهیزات شبکه و... طراحی شده‌اند که گاهی بخش‌هایی از آنها برای ارزیابی یک دستگاه امنیت شبکه استفاده می‌شود، که به دلیل اینکه هدف اصلی این روش‌ها ارزیابی امنیت شبکه است نه آزمون تجهیزات شبکه استفاده از آنها به عنوان روش اصلی آزمون توصیه نمی‌شود.
در سراسر دنیا آزمایشگاه‌هایی مانند NSS labs, ICSA, Miercom وجود دارند که به صورت تخصصی محصولات سازندگان مختلف را مورد آزمون قرار می‌دهند بیشتر این آزمایشگاه‌ها اقدام به طراحی متدولوژی انحصاری خود برای ارزیابی این محصولات کرده‌اند که در ادامه نگاهی گذرا به روش‌های آزمون آزمایشگاه NSS خواهیم داشت.
آزمایشگاه NSS یکی از آزمایشگاه‌های معتبر آزمون تجهیزات امنیت شبکه  است. این آزمایشگاه‌ روش‌هایی برای آزمون انواع تجهیزات حفظ امنیت معرفی کرده است که در سطح جهانی توسط سازندگان و مدیران شبکه مورد پذیرش قرار دارد.
مواردی که در آزمون‌های آزمایشگاهNSS مورد آزمون قرار می‌گیرند عبارتند از:
اثربخشی امنیتی (Security effectiveness)
کارایی
پیکربندی و مدیریت
در شکل نیز نتایج آزمون پوشش حملات برحسب سال برای Forcepoint Stonesoft Next Generation Firewall 3301  را آورده‌ایم، همانطور که مشخص است این محصول به غیر از سال 2012 بقیه حملات مربوط سال‌های مختلف را به صورت کامل تشخیص می‌دهد. 

 

گزارش کامل را می توان از لینک زیر دریافت نمایید.
ngips_forcepoint-stonesoft-next-generation-firewall-3301.pdf [805.49 Kb] ( تعداد دانلود: 348)
گزارش آزمون Sophos UTM که توسط آزمایشگاه ICSA تست شده است را هم از لینک زیر می توانید دریافت کنید.
sophos_utm_fw_report_20140819.pdf [110.08 Kb] ( تعداد دانلود: 302)
برای آشنایی با روش پیشنهادی آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه صنعتی شریف به پیوند زیر مراجعه فرمایید.
آزمون‌های تجهیزات امنیت شبکه​​​

ادامه مطلب

آشنایی با استاندارد معیار مشترک Common Criteria


هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستم‌ها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائه‌کننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستم‌‌ها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندی‌ها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی می‌شود.
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه می‌کند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندی‌های امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستم‌ها ارائه می‌کند. بخش دوم، مجموعه‌ای از اجزای عملکردی امنیتی را ارائه می‌کند که از آن به عنوان یک روش استاندارد برای بیان نیازمندی‌های امنیتی محصولات و سیستم‌های IT استفاده می‌شود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه می‌کند که می‌تواند به عنوان روش استاندارد بیان نیازمندی‌های اطمینان برای محصولات و سیستم‌های IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندی‌های عملکردی امنیتی و نیازمندی‌های تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندی‌های عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانال‌ها و مسیرهای قابل اعتماد، حفاظت از داده‌های کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیب‌پذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه می‌کند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایین‌ترین سطح تضمین است و از EAL1 تا EAL4 به‌تدریج دقت و جزئیات ارزیابی افزایش می‌یابد.

بیان انتزاعی اصطلاحات و واژه‌های فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندی‌های امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف می‌کند. یکی از مهم‌ترین پیش‌نیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساخت‌یافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشت‌های متفاوت از روند دقیق ارزیابی می‌شود.
نکته دیگر زمان‌بر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند می‌شود.
اشکال دیگری که به‌کارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.

[1] Audit

[2] Operation

[3] Delivery

[4] Evaluation Assurance Level


ادامه مطلب

آشنایی با RFC 3511


RFC 3511 شامل توصیه‌هایی برای ارزیابی کارایی حفاظ که البته قابل تعمیم به سایر ابزارها و تجهیزات امنیت شبکه نیز هست.  علاوه بر تعریف آزمون‌ها، این استاندارد ساختاری برای گزارش نتایج آزمون‌ها نیز ارائه می‌کند. در این استاندارد، چهار جنبه از آزمون کارایی حفاظ پوشش داده شده است: ارسال بسته، نرخ اتصال، تأخیر و فیلترینگ.
ابتدا پیکربندی حفاظ برای آزمون معرفی شده است. در یک پیکربندی، حفاظ از یک طرف به شبکه عمومی مانند اینترنت و از طرف دیگر به شبکه داخلی حفاظت شده متصل است. در پیکربندی دیگر، حفاظ از یک طرف به شبکه عمومی، از طرف دیگر به شبکه داخلی و از طرف سوم به سرورها متصل شده است. در مرحله بعد تمامی جریان‌های ترافیکی ممکن برای هر پیکربندی تعریف شده است. همچنین نحوه آزمون در صورت وجود چندین مشتری/سرویس‌دهنده، مترجم آدرس شبکه (NAT)، نحوه پیاده‌سازی قوانین کنترل دسترسی، حافظه نهان، احراز هویت و ملاحظات پشته TCP تشریح شده است.
این استاندارد شامل 10 آزمون مختلف است که در ادامه لیست آنها را آورده‌ایم و یکی از آنها را شرح خواهیم داد.
ادامه مطلب