جداسازی شبکه از اینترنت | انواع و نقاط ضعف و قوت شبکه Air Gap

بدون شک یکی از مهم‌ترین مسیرهای هکرها برای نفوذ به شبکه سازمان شما، اینترنت است. با این حال، امروزه هر سازمانی برای انجام کارهای خودش به اینترنت وابسته است و نمی‌توان اینترنت را به طور کلی از معادله حذف کرد. بنابراین، روش‌هایی برای جداسازی شبکه از اینترنت توسعه یافته‌ است که در مجموع به این روش‌ها، ایرگپینگ (air-gapping) گفته می‌شود. در این مقاله برای شما توضیح می‌دهیم که شبکه air gap دقیقا چیست و چه روش‌هایی برای ایجاد چنین شبکه‌هایی وجود دارد. با سایبرنو همراه باشید.

عناوینی که در ادامه می‌خوانید:

شبکه Air gap چیست؟

چرا جداسازی شبکه از اینترنت اهمیت دارد؟

روش‌های جداسازی شبکه از اینترنت کدامند؟

چالش‌ها و نقطه ضعف‌های شبکه‌های air gap چیست؟

حفاظت از شبکه Air Gap با کیوسک امن سایبرنو

شبکه Air gap چیست؟

شبکه air gap نوعی شبکه کامپیوتری است که به صورت سخت‌افزاری یا نرم‌افزاری از شبکه‌های ناامن مثل شبکه عمومی اینترنت، جداسازی شده است. بنابراین، هیچ اتصال مستقیمی بین شبکه ایرگپ و شبکه‌های خارجی مثل اینترنت، وجود ندارد.

معمولا، جداسازی شبکه از اینترنت در سازمان‌هایی مثل سازمان‌های نظامی، سیستم‌های مالی، سازمان‌های اطلاعاتی، سیستم‌های کنترل صنعتی (ICS) و زیرساخت‌های حساس مثل نیروگاه‌ها انجام می‌شود که نیازمند بالاترین سطح امنیت شبکه هستند. چنین سازمان‌هایی با جداسازی شبکه داخلی خود از اینترنت، سطح حمله (attack surface) را به طور قابل توجهی کاهش می‌دهند.

چرا جداسازی شبکه از اینترنت اهمیت دارد؟

شبکه air gap نقش بسیار مهمی در حفاظت از شبکه سازمان‌ها در مقابل حملات سایبری دارد. از مهم‌ترین دلایل اهمیت بالای جداسازی شبکه از اینترنت، به ویژه برای سازمان‌ها می‌توان به موارد زیر اشاره کرد:

۱- حفاظت در مقابل حملات از راه دور

از مزایای اصلی جداسازی شبکه از اینترنت می‌توان به امنیت در مقابل حملات از راه دور اشاره کرد. از آن‌جایی که شبکه air gap به اینترنت متصل نیست، در مقابل حملات سایبری مثل حمله دیداس (DDoS)، حملات فیشینگ، اجرای کد از راه دور (remote code execution) و دیگر حملات مبتنی بر اینترنت، امنیت دارد.

۲- حفاظت از زیرساخت‌های حساس

با اینکه اتصال شبکه سازمان‌ها به اینترنت می‌تواند خیلی از کارها مثل بروزرسانی‌های نرم‌افزاری و جا به جایی داده‌ها را بسیار راحت‌تر کند اما شبکه‌های بعضی از زیرساخت‌های حساس مثل نیروگاه‌ها، پالایشگاه‌ها، سامانه‌های کنترل ترافیک جاده‌ای، ریلی و هوایی و ... باید به منظور به حداقل رساندن سطح حمله، به طور کامل از اینترنت جداسازی شود زیرا هر حمله موفقی به این زیرساخت‌ها می‌تواند فاجعه‌بار باشد.

۳- حفاظت از داده‌های حساس

سازمان‌هایی مثل سازمان‌های اطلاعاتی، نظامی، دولتی، مالی و خدماتی که اطلاعات حساس را ذخیره می‌کنند، به شبکه‌های ایرگپ نیاز دارند. هر گونه نقض داده در چنین سازمان‌هایی می‌تواند مشکلاتی در سطح امنیت ملی یا مشکلات اقتصادی متعددی ایجاد کند و بنابراین، ضرورت دارد که چنین سازمان‌هایی نسبت به جداسازی شبکه از اینترنت اقدام کنند.

۴- محدودسازی تهدیدات داخلی

عوامل داخلی سازمان‌ها مثل کارکنان ناراضی می‌توانند از مهم‌ترین تهدیدات علیه حفاظت اطلاعات در سازمان‌ها باشند. همچنین، گاهی اوقات، ضعف در حفاظت فیزیکی می‌تواند راه نفوذ افراد متفرقه به سازمان‌ها را باز کند. یکی از روش‌هایی که تهدیدات داخلی می‌توانند اطلاعات حساس سازمان را به خارج از سازمان منتقل کنند، استفاده از شبکه اینترنت است. در صورتی که سازمان‌ها، جداسازی شبکه از اینترنت را انجام دهند، این مسیر انتقال داده به خارج از سازمان برای تهدیدات داخلی، مسدود می‌شود.

روش‌های جداسازی شبکه از اینترنت کدامند؟

دو روش کلی برای جداسازی شبکه از اینترنت و ایجاد شبکه air gap وجود دارد که به شرح زیر هستند:

۱- جداسازی کاملا فیزیکی شبکه از اینترنت

در این روش، شبکه داخلی سازمان، به طور کامل از شبکه اینترنت جدا می‌شود و هیچ دسترسی مستقیم یا غیر مستقیمی، چه به صورت سیمی و چه به صورت بی‌سیم، به شبکه اینترنت ندارد. در چنین شبکه‌هایی، تنها می‌توان از حافظه‌های قابل حمل مثل دستگاه‌های USB، لوح‌های فشرده و ... برای انتقال داده‌ها به درون این سازمان یا خارج کردن داده‌ها از سازمان استفاده کرد. معمولا، از این روش در سازمان‌هایی مثل سازمان‌های نظامی و اطلاعاتی، که نیازمند بالاترین سطح از امنیت شبکه هستند، استفاده می‌شود.

۲- جداسازی منطقی شبکه از اینترنت

در این روش به جای جداسازی فیزیکی، از روش‌های منطقی و نرم‌افزاری بخش‌بندی شبکه (network segmentation) برای جداسازی شبکه از اینترنت و ایجاد شبکه air gap استفاده می‌شود. این روش در سازمان‌هایی به کار گرفته می‌شود که برای بعضی از کارهای خود، وابستگی شدیدی به اینترنت دارند و باید شبکه آن‌ها تا حدی به اینترنت متصل باشد. برای مثال، شبکه‌های مالی که نیازمند تعامل با کاربران عمومی هستند، یا سازمان‌هایی که کارکنان دورکار دارند، باید از روش‌های منطقی برای جداسازی شبکه از اینترنت استفاده کنند.

چالش‌ها و نقطه ضعف‌های شبکه‌های air gap چیست؟

با اینکه جداسازی شبکه از اینترنت، از سازمان شما در مقابل حملات مبتنی بر اینترنت محافظت می‌کند اما مشکلاتی نیز به همراه دارد و سبب آسیب‌پذیری در مقابل بعضی دیگر از انواع تهدیدات سایبری می‌شود. از مهم‌ترین نقطه ضعف‌های شبکه air gap می‌توان به موارد زیر اشاره کرد:

۱- نیاز به بروزرسانی دستی

سیستم‌های بدون اتصال به اینترنت نمی‌توانند به‌طور خودکار نرم‌افزارها را به‌روزرسانی کنند. ادمین سیستم باید به‌صورت دستی جدیدترین به‌روزرسانی‌ها را دانلود و نصب کنند. این کار نیاز به کار دستی بیشتری دارد و اگر مدیران سیستم در به‌روزرسانی‌ها بی‌توجهی کنند، نرم‌افزارهای سیستم‌های Air gap   به‌روز نمی‌مانند و سیستم در برابر بدافزارهای جدید آسیب‌پذیر خواهد بود.

در بسیاری از موارد، برای بروزرسانی سیستم‌ها، از دستگاه‌های USB استفاده می‌شود که می‌توانند بسیار خطرناک باشند. برای مثال، بسیاری از ادمین‌ها، فایل‌های بروزرسانی را با استفاده از حافظه‌های قابل حمل USB وارد سازمان می‌کنند تا سیستم‌های شبکه air gap را بروزرسانی کنند. این کار سبب آسیب‌پذیری شبکه در مقابل تهدیدات USB می‌شود.

۲- وابستگی به دستگاه‌های USB برای انتقال دیگر داده‌ها

به غیر از فایل‌های بروزرسانی، دیگر داده‌ها نیز برای ورود به شبکه air gap یا خروج از آن، نیازمند انتقال با دستگاه‌های حافظه قابل حمل، مثل دستگاه‌های USB هستند. همانطور که در بالا گفتیم، این دستگاه‌ها می‌توانند تهدیدی جدی برای سازمان شما محسوب شوند.

در واقع، یکی از اقدامات ضروری در امنیت شبکه، بستن پورت USB است. با این حال، در صورت جداسازی شبکه از اینترنت، برای انتقال اطلاعات به درون سازمان یا خروج اطلاعات از سازمان، باید پورت‌های USB را حداقل به صورت موقت باز کنید که می‌تواند منجر به خطاهای انسانی، مثال فراموش کردن بستن مجدد پورت‌ها شود.

در این صورت، پورت‌های باز می‌توانند فرصتی را برای تهدیدات داخلی یا افراد نفوذی به سازمان فراهم کنند تا اقداماتی مثل آلوده‌سازی شبکه با بدافزار یا سرقت اطلاعات حساس را انجام دهند.

۳- آسیب‌پذیری در مقابل شنود امواج الکترومغناطیسی

با اینکه شبکه‌های air gap در مقابل تهدیدات بر بستر اینترنت امن هستند اما مثل هر شبکه دیگری، از مقابل شنود امواج الکترومغناطیسی ساتع‌شونده از CPUها و کابل‌های درون شبکه، آسیب‌پذیر هستند.

حفاظت از شبکه Air Gap با کیوسک امن سایبرنو

همانطور که گفتیم، جداسازی شبکه از اینترنت، سبب آسیب‌پذیری شبکه در مقابل تهدیدات USB و دیگر دستگاه‌های حافظه قابل حمل می‌شود. با این حال، روشی برای محافظت از شبکه air gap در مقابل این نوع تهدیدات وجود دارد که جریان امن اطلاعات به درون شبکه و به خارج از شبکه را تضمین می‌کند.

کیوسک امن سایبرنو مانند نگهبانی سایبری در ورودی‌ها و خروجی‌های سازمان شما نصب می‌شود و با اتصال به شبکه air gap شما، امکان انتقال امن اطلاعات به درون سازمان یا خروج امن اطلاعات از درون سازمان را فراهم می‌آورد.

کیوسک امن سایبرنو پکیجی سخت‌افزاری-نرم‌افزاری است که با مجهز بودن به پویشگر چندموتوره سایبرنو، هر حافظه قابل حمل، شامل USB، لوح فشرده و ... را که به آن متصل شود، با بیش از ۳۰ موتور آنتی ویروس، پویش می‌کند.

برای مثال، اگر نیاز باشد که سیستمی را در شبکه air gap خود بروزرسانی کنید، می‌توانید فایل بروزرسانی را با متصل کردن یک حافظه قابل حمل USB به کیوسک امن سایبرنو، وارد شبکه air gap خود کنید. کیوسک امن سایبرنو، پیش از ورود فایل بروزرسانی، آن را با بیش از ۳۰ موتور آنتی ویروس، اسکن می‌کند تا در صورت تشخیص هر نوع ویژگی مشکوک، جلوی ورود آن را به شبکه سازمان بگیرد.

فایل بروزرسانی، تنها زمانی مجوز ورود به شبکه air gap شما را پیدا می‌کند که سلامت آن توسط تمامی موتورهای آنتی ویروسی کیوسک امن سایبرنو، تأیید شود.

همچنین، اگر بخواهید اطلاعاتی را با استفاده از یک حافظه قابل حمل، از سازمان خارج کنید، کیوسک امن سایبرنو، با اسکن کردن اطلاعات، می‌تواند مانع از خروج هر گونه اطلاعات حساس (که توسط مدیر شبکه مشخص شده‌اند) می‌شود.

با استفاده از کیوسک امن سایبرنو، می‌توانید به راحتی، تمامی پورت‌های USB سیستم‌ها درون شبکه air gap خود را ببندید و هرگز نیازی به باز کردن پورت‌های USB، حتی به صورت موقتی، نخواهید داشت.

بدین ترتیب، با قرار دادن کیوسک امن سایبرنو در ورودی‌ها و خروجی‌های سازمان خود و با متصل کردن آن به شبکه داخلی، می‌توانید بدون نگرانی از مشکلات و تهدیدات ناشی از جداسازی شبکه از اینترنت، یک شبکه air gap بسیار امن داشته باشید.