مرکز دانلود خلاصه کتاب و جزوات دانشگاهی

فهرست مطالب

عنوان صفحه

امنيت در شبكه. 1

مقدمه. 1

مركز عمليات امنيت كجاست؟. 2

نياز به سرويس‌هاي مديريت شده. 4

انواع سرويس هاي مديريت شده در SOC.. 4

• ديواره آتش (Firewall)4
• امكان فيلتر كردن محتوا5
• امكان تشخيص ويروس... 6
• سرويس‌هاي AAA.. 6

پياده سازي امنيت در مركز SOC.. 6

سرويس هاي پيشرفته در مراكز SOC.. 7

امنيت در اينترنت‌8

خطرات ارسال داده‌ها از طريق شبكه اينترنت:8

‌ مقابله با خطرات در حين نقل و انتقال داده‌ها در اينترنت:8

نقش مرورگرها در استفاده ايمن از اينترنت:8

پست الكترونيكي :9

ديوار آتش :9

مديريت ديوار آتش:10

شبكه‌هاي خصوصي مجازي :10

1. تهديدات و ملزومات مربوط به امنيت كار الكترونيكي.. 13

2. ايجاد زيرساختار شبكه. 14

3. تأثير افزايش جابجايي‌پذيري.. 15

4. راه‌حل‌هاي ممكن.. 16

5. كار الكترونيكي امن: يك چشم‌انداز. 17

مفاهيم پايه اي 802.11. 18

امن سازي شبكه هاي بيسيم:19

طراحي شبكه:19

جداسازي توسط مكانيزم هاي جداسازي:19

1- ارائه و مراحل امنيتي.. 20

1 - 1 ) عموم حملات بر عليه امنيت:20

1 - 2 ) راه حل‌هايي براي مشكلات امنيتي در شبكه:21

1 - 3 ) پياده سازي راه حل‌هاي امنيتي:21

1 - 4 ) سياست امنيت شبكه:22

2-پيش‌زمينه‌اي در باره رمزنويسي (Cryptography)22

1 - 1 ) اصطلاحات فني:22

2 - 2 ) كليد متقارن و كليد مخفي:23

2 - 3 ) كليد نامتقارن و الگوريتم كليد عمومي:23

امنيت در شبكه

مقدمه

امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. صادقانه بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ‌، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك ...

بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ،‌هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:

1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟

2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟

3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟

اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آنند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:

1- رمز هاي عبور

2- مديريت اصلاحيه ها

3- آموزش كاركنان و نحوه اجراي برنامه ها

4- نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن

5- ضد ويروس

6- ديواره آتش

7- شناسايي و جلوگيري از نفوذ گران

8- فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي

9- تنظيمات سيستمي و پيكره بندي آنها

در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران را با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.

اشاره :

با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكه‌ها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت مي‌پذيرد. امروزه سرويس‌هاي اينترنتي و تحت‌شبكه، به عنوان قابل‌اعتمادترين، سريع‌ترين و در دسترس‌ترين ابزارهاي ارتباطي به شمار مي‌روند. با توجه به اهميت فوق العاده‌اي كه شركت‌هاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود مي‌دهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت مي‌رسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راه‌حل‌هاي امنيتي، بايد به گونه‌اي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمان‌ها را بدون نياز به تغييرات اساسي در ساختار سيستم‌هاي آن‌ها، پوشش دهند. در شماره‌ قبل به معرفي استاندارد BS7799 اشاره نموديم. در اين شماره قصد داريم به نحوه مديريت يكپارچه امنيت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در يك مركز امنيت شبكه SOC يا Security Operations Center اشاره نماييم.

مركز عمليات امنيت كجاست؟

مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از: سطح يكم، نقطه تماس Clientها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient ‌هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايين‌تري برخوردارند، پاسخ داده مي‌شود.

سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخ‌گويي به مشكلات پيچيده تر در سيستم‌هاي امنيتي شبكه مي‌باشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير مي‌شوند.

سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايين‌تر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستم‌هاي اين سطح، درگير مي‌شوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده مي‌شود.

در طراحي مراكز امنيت شبكه، متدولوژي‌هاي مختلفي مطرح مي‌باشد. با اين حال پايه همه متدولوژي‌ها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي مي‌باشد. اين فرآيندها شامل برنامه‌ريزي، طراحي، پياده‌سازي، عملياتي نمودن و توسعه مركز امنيت شبكه مي‌باشد. لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آن‌ها خدمات ارائه شده ارزيابي مي‌گردند. اين ابزارها و معيارها شامل چشم‌انداز، منابع، زمان، هزينه، ارتباطات و ريسك‌هاي موجود در راه اندازي SOC مي‌باشد.

نكته قابل‌توجه در طراحي يك SOC، انعطاف‌پذيريِ متدولوژي طراحي آن است كه به واسطه آن مي‌توان براي هر يك از مشتريان مطابق سرويس‌هاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.

در هر يك از سطوح مطرح‌شده، ابزاري براي مديريت سيستم‌هاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درون‌سازماني و برون‌سازماني مورد بررسي قرار مي‌دهند. براي اين منظور، هر SOC داراي يك

سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويس‌هايي كه از مراكز SOC ارائه مي‌گردند، مانيتورينگ و مديريت‌شده هستند. ديگر سرويس‌هايي كه از طريق اين مراكز قابل‌ارائه مي‌باشند، سرويس‌هاي پيشرفته‌اي به شرح زير مي‌باشد:

- توسعه سياست‌هاي امنيتي‌

- آموزش مباحث امنيتي‌

- طراحي ديواره‌هاي آتش‌

- پاسخگويي آني‌

- مقابله با خطرات و پياده‌سازي

سرويس‌هايي كه از طريق اين مراكز ارائه مي‌گردند، عبارتند از سرويس‌هاي مديريت شده‌اي كه از تجهيزات و ارتباطات مركز SOC محافظت مي‌نمايند. اين سرويس‌ها از متدولوژي و ابزارهاي نرم‌افزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مي‌نمايند. اجزاي سخت‌افزاري كه در شبكه‌ها توسط سيستم‌هاي مديريت‌شده براي اعمال سياست‌هاي امنيتي مورد استفاده قرار مي‌گيرند، عبارتند از: سيستم‌هاي كشف و رفع حملات (Intrusion Detection System)، سيستم‌هاي‌ فايروال و سيستم‌هاي مديريت امنيت در شبكه‌هاي خصوصي مجازي.

نياز به سرويس‌هاي مديريت شده

حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامه‌هاي كاربردي ارائه شده از طريق آن را تهديد مي‌نمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مي‌نمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد.

براي ايجاد يك سيستم امنيتي با ويژگي‌هاي مناسب براي مديريت يك شبكه با برنامه‌هاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكه‌هاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.

سيستم‌هايي كه در SOC جهت مديريت امنيت شبكه نصب و راه‌اندازي مي‌گردند، داراي مكانيزم‌هاي بررسي تجهيزات شبكه به صورت خودكار مي باشند. تجهيزاتي كه توسط اين سيستم مورد‌بررسي قرار مي‌گيرند، محدود به سيستم‌هاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار مي‌گيرند. اين سيستم در‌حقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيرياب‌ها، فايروال‌ها و سيستم‌هاي امنيتي فيزيكي را مورد بررسي قرار داده و هر‌كدام از آن‌ها كه توان ايجاد يك ريسك امنيتي را دارند مشخص مي‌سازد و راه نفوذ به آن سيستم را مي‌بندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستم‌هاي آناليزكننده مورد بررسي قرار مي‌گيرد و متناسب با نوع خطاي تشخيص داده‌شده، اخطارهاي لا‌زم در شبكه براي هر يك از تجهيزات مربوطه ارسال مي‌گردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستم‌ها در شبكه مانيتور مي‌گردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حمله‌هاي احتمالي تشخيص داده شده و دفع مي‌گردند.

انواع سرويس هاي مديريت شده در SOC

● ديواره آتش (Firewall)

فايروال‌ها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از مارك‌هاي مختلف فايروال‌ها در شبكه استفاده مي‌گردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب مي‌كنند و با استفاده از يك مديريت متمركز، آن‌ها را كنترل مي‌نمايند.

براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:

- بررسي عملكرد Firewallها

- پاسخ به اخطارها پس از اعلام شدن

- بررسي log ‌هاي ثبت شده در فايروال

- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال

 

● سيستم هاي تشخيص حملات (IDS)

سيستم‌هايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته مي‌باشند كه در مواقع لزوم به رخدادها پاسخ مي‌دهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد مي‌كنند و در شبكه امكان پاسخگويي به همه آن‌ها وجود ندارد، لازم است حساسيت IDSها را به گونه‌اي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث مي‌شود تعدادي از حمله‌ها تشخيص داده‌نشود. براي جلوگيري از بروز اشكال، مي‌توان هر يك از IDSها را براي يك Application خاص تخصيص داد.

با استفاده از ويژگي‌هاي مختلف اين سيستم‌ها، مي‌توان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگي‌هاي IDSها نظير كمتر‌نمودن False Positives ، Stateful Signature كه يك فرم پيشرفته تشخيص حمله‌ها با استفاده از Signatureها مي‌باشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، مي‌باشد،Traffic Anomaly Detection جهت مقايسه ترافيك‌هاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده مي‌شود. در مراكزSOC با تركيب‌كردن تكنولوژي‌هاي Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابليت تشخيص حمله‌ها افزايش داده مي‌شود.

● امكان فيلتر كردن محتوا

يكي از اصلي ترين سرويس‌ها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها مي‌باشد. فيلتر كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايت‌هاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايل‌ها و محدود كردن حملات ويروس‌ها، Wormها و Trojanها (بسياري از ويروس‌هاي خطرناك مانند Nimda وCodeRed به عنوان برنامه‌هاي اجرايي با استفاده از HTTP و يا پروتكل‌هاي رايج ديگر كه Firewallها به آن‌ها اجازه ورود مي‌دهند، وارد شبكه مي‌شوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايت‌هاي ايمنDownload مي‌كنند.) صورت مي‌پذيرد.

نرم افزار URL Filtering كليه Page ها را در گروه‌هاي از‌پيش‌تعيين‌شده دسته‌بندي مي‌كند و بر‌طبق آن دسته‌بندي‌ها، دسترسي به يك Page را ممكن و يا غير‌ممكن مي‌سازد. همچنين قادر است ليستي از سايت‌هايي كه كاربران مي‌توانند به آن‌ها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرم‌افزار قادر باشد دسترسي به محتويات دسته‌بندي‌شده را فيلتر كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران‌، موقعيت كاربران، ساعت استفاده و... قائل شود.

نرم افزارهايي كه در اين مراكز براي فيلتر كردن مورد استفاده قرار مي‌گيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليست‌هاي كنترلي برخوردار باشند. همچنين بروزرساني‌ها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرساني‌ها نبايد سيستم‌هاي عملياتي را دچار وقفه سازند.

● امكان تشخيص ويروس

ويروس‌ها بيشتر توسطEmai l و ترافيك اينترنتي منتقل مي‌شوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آن‌ها مي‌باشد. با افزودن قابليت Virus Scanning برروي Cache ها، مي‌توان با اعمال روش‌هاي مختلف ويروس‌يابي، اقدامات مناسبي جهت از بين بردن آن‌ها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروس‌ها را با بهره‌گيري از نرم‌افزارهاي مناسب برعهده دارد.

● سرويس‌هاي AAA

در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويس‌هاي شبكه از AAA استفاده مي‌شود. AAA سرورها در مراكز مختلف و براي سرويس‌هاي گوناگون به كار گرفته مي‌شوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب مي‌كنند. يكي از روش‌هايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياست‌هاي امنيتي به كار مي‌رود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آ‌ن ‌را امضا مي‌نمايند. اين كار صحت اطلاعات موجود در آن‌را اعلام و تأييد مي‌نمايد. گواهي‌نامه‌هاي ديجيتال، فايل‌هايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مي‌نمايند و توسط CAها صادر مي‌شوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد.

با قرار دادن CA در يك مركز SOC، مي‌توان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.

پياده سازي امنيت در مركز SOC

با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار مي‌گيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام مي‌پذيرد، مي‌توان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين رده‌ها فعاليت‌هاي خاصي انجام مي‌گيرد كه به واسطه آن‌ها از نفوذ به داخل شبكه جلوگيري مي‌شود و در صورت ورود نيز از پيشروي آن‌ها جلوگيري به عمل مي‌آيد. در هر يك از اين رده‌ها، تجهيزاتي وجود دارند كه مي‌توانند متناسب با وظايفشان از شبكه محافظت نمايند.

• Vulnerability

تجهيزاتي كه در اين رده مورد استفاده قرار مي‌گيرند، به محض اين‌كه نصب و راه‌اندازي مي‌شوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update مي‌گردند، شامل پيكربندي سرورها، برنامه‌هاي كاربردي، پكيج‌هاي نرم‌افزارهاي امنيتي مرتبط با سيستم‌عامل‌ها مي‌باشند كه با توجه به سرعت رشد راه‌هاي نفوذ، به سرعت از درجه اعتبار ساقط مي‌گردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.

• Visibility

با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروال‌ها مي‌باشند، مي‌توان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات‌ مربوط به ديواره‌هاي آتش Update مي‌شود و پيكربندي آن‌ها متناسب با عملكردشان در شبكه، تغيير مي‌كند. اين تغييرات بدون زمان‌بندي خاص و در ازاي تغيير مكانيزم‌ها و روند حملات به شبكه اعمال مي‌گردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروال‌ها به‌وجود مي‌آيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update مي‌گردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد.

با توجه به حجم و ابعاد شبكه‌ها و پورت‌هايي كه از طريق آدرس‌هاي IP سرويس داده مي‌شوند، تعداد نقاطي كه بايد اسكن گردند مشخص مي‌شود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورت‌ها به گروه‌هاي مختلف دسته‌بندي مي‌گردند. به اين ترتيب پورت‌هايي كه از اهميت بالايي برخوردارند، توسط سيستم‌هاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يك‌بار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد مي‌شود، بايد مكانيزم‌هايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارش‌هاي مورد نياز استخراج شود.

• Verification

اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمت‌هايي است كه كنترل مستقيمي بر آن‌ها وجود ندارد. براي اين منظور بايد ابزاري به‌كار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.

سرويس هاي پيشرفته در مراكز SOC

سرويس‌هاي پيشرفته‌اي كه از طريق اين مراكز قابل‌ارائه مي‌باشد، در‌حقيقت سرويس‌هايي است كه به واسطه آن مي‌توان سياست‌هاي امنيتي را مطابق با نيازها پيش‌بيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساخت‌هاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني مي‌شوند. اين زيرساخت‌ها به طور كلي شامل پرسنل، فرآيندها و روال‌هاي كاري در شبكه مي‌باشند. در استانداردهاي تدوين‌شده براي امنيت نظير استانداردهاي BS9977 نحوه پياده‌سازي روال‌هاي مديريت امنيت در شبكه‌ها مشخص شده است.

در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي مي‌شود تا به‌واسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياست‌گذاري است. پس از تدوين سياست‌ها و تطبيق آن‌ها با استانداردهاي موجود در زمينه امنيت شبكه، روال‌هاي استخراج‌شده جهت پياده‌سازي به مسئولا‌ن تحويل مي‌شوند. نكته ديگري كه در اين زمينه قابل‌بررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سخت‌افزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارت‌هاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارت‌هاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگه‌داشتن اطلاعات پرسنل از كلاس‌هاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آن‌ها استفاده مي‌شود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالا‌يي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهم‌ترين مسئوليت‌هاي صاحبان SOC مي‌باشد.

امنيت در اينترنت‌

يكي از نيازهاي اساسي در بكارگيري اينترنت, رعايت مسائل امنيتي است, زيرا اينترنت ذاتأ محيطي‌ناامن است‌. ميليونها كامپيوتر يك شبكه عمومي را تشكيل مي‌دهند و در حين ارتباطاتي كه فراهم‌مي‌گردد, ممكن است بسياري از اطلاعات ربوده يا دستكاري گردند. داده‌ها براي انتقال از كامپيوتر فرستنده به كامپيوتر گيرنده بايستي چندين و چند اتصال ديگر را نيز بپيمايند. اين كار مسيريابي ناميده‌مي‌شود. در حين مسيريابي كامپيوترهايي بجز كامپيوترهاي فرستنده و گيرنده دخيل هستند و همين كامپيوترهامي‌توانند در بين راه به داده‌ها دسترسي پيدا كنند. حتي كامپيوترهايي كه مستقيمأ در تعيين مسير درگيرنيستند هم مي‌توانند به داده‌ها دست يابند. از اين رو امنيت يك عامل بحراني براي هر كاربرد اينترنتي يا اينترانتي مي‌باشد.

خطرات ارسال داده‌ها از طريق شبكه اينترنت:

داده‌هاي ارسالي از طريق شبكه اينترنت را سه خطر عمده تهديد مي‌نمايد, اين خطرات عبارتند از:

• اســــتراق سمع : شخص ثالثي مي‌‌تواند به اطلاعاتي كه بطور خصوصي بين دو فرد ديگر در حال رد و بدل شدن مي‌باشد، دست يابد.
• دستكاري اطلاعات : اطلاعات در حال تبادل بين دو نفر, مي‌تواند به وسيله فرد ديگري دستكاري و يا تغيير داده شود.
• نــقش بازي كردن : شخص گيرنده يا فرستنده اطلاعات مي‌تواند خود را شخص ديگري وانمود نمايد.

سفارش كالاها از طريق تلفن با موارد فوق قابل قياس است, فرد سفارش دهنده مي‌خواهد مطمئن گرددكه شماره حساب اعتباري او را فرد ديگري نتواند بشنود (استراق سمع‌), هم چنين هيچ كس نتوانداطلاعات اضافي در برگه سفارش بگنجاند يا تغييري در آن اعمال نمايد (دستكاري اطلاعات‌), در ضمن‌اين اطمينان هم بايستي فراهم گردد كه در آن سوي خط واقعأ شركتي اطلاعات را دريافت مي‌كند كه‌مسئول ارسال كالاها است و نه فردي كه قصد سرقت شماره حساب اعتباري او را دارد. (نقش بازي‌كردن)

‌ مقابله با خطرات در حين نقل و انتقال داده‌ها در اينترنت:

برخي قوانين براي مقابله با خطرات فوق بكارگرفته مي‌شوند, به عنوان نمونه SSL 5 يكي از آنهاست‌كه براي ارتقاء سطح امنيت در ارتباط بين كامپيوترها فراهم شده است و موارد زير را در بر دارد:

• رمزنگاري ، كه داده‌ها را مقابل استراق سمع محافظت مي‌نمايد.

• درستي داده ها ، كه داده‌ها را در قبال دستكاري حفاظت مي‌كند.
• تعيين هويت ، كه اعتبار افراد استفاده كننده از اطلاعات را تضمين مي‌نمايد.

بايد يادآور شد كه موارد فوق, فقط نقل و انتقال داده‌ها را تا حدممكن ايمن مي‌سازد و امنيت داده‌ها را قبل و يا بعد ازارسال تضمين نمي‌نمايد.

نقش مرورگرها در استفاده ايمن از اينترنت:

با انتخاب يك مرورگر خوب و تنظيم پارامترهاي ايمني كه در داخل اين گونه نرم افزارها تعبيه ‌مي‌شوند، مي‌توان از بروز برخي خطرات تا حد ممكن جلوگيري نمود. معمولا نسخه‌هاي جديدتر مرورگرها بيشتر به مسائل ايمني توجه نموده‌اند، لذا بهتر است از آخرين نسخه‌هاي آنها استفاده نمود, پس‌از نصب نرم‌افزار بايستي با مرور پارامترهاي درنظر گرفته شده در بخش امنيت, حد و حدود امنيت مورد نياز تعيين گردد و به پيش فرض‌هاي در نظر گرفته شده اكتفا نشود.

پست الكترونيكي :

تاكنون مهمترين سرويس از ميان سرويس‌هاي گوناگون اينترنت, سيستم پست الكترونيكي بوده است‌. بسياري از كاربران اينترنت بيشتر از اين بخش، استفاده مي‌‌نمايند تا ساير امكانات فراهم آمده توسط اين شبكه جهاني.

امروزه، اقتصاد جهاني به پست الكترونيكي متكي شده است, بسياري از پيامهاي رد و بدل شده بين‌كاربران حاوي يادداشتهاي شخصي مي‌باشد. گرچه اغلب پيام‌ها از متن ساده تشكيل شده‌اند اما امكان‌پست الكترونيكي تمام انواع داده‌ها, مثل تصاوير, برنامه‌هاي كامپيوتري, سندهاي صفحه گسترده و... نيز وجود دارد. با توجه به اين سرويس، اينترنت اجازه مي‌دهد كه افرادي كه دور از هم هستند با يكديگر در تعامل و كار باشند و در واقع, فردي با فرد ديگري كه هزاران كيلومتر از او دور است و هيچوقت او را نديده است, مي‌تواند ارتباط داشته باشد. در همين رابطه براي استفاده امن از پست الكترونيكي تذكراتي وجود دارد. درك تفاوت‏هاي پست الكترونيكي با پست عادي و يا گفتگوي تلفني كمي دشوار است ولي بكاربستن برخي نكات ساده‌ مي‌تواند در بالا بردن امنيت هنگام بكارگيري اين سرويس مؤثر باشد از جمله اين موارد مي‌توان از موارد زير را نام برد:

• بايستي همواره تصور شود كه هيچگونه اختفايي وجود ندارد. پيامهايي كه به دلايلي نبايد همه ببينند, نبايد از اين طريق ارسال شود, بنابراين از ارسال نامه‌هاي بسيار خصوصي, سخنراني‌هاي‌ تند, بي‌احترامي‌هاي منظور دار و... بايستي احتراز گردد.

• نبايستي فرض شود كه پيام‏هاي حذف شده قابل بازيابي نيستند. چنانچه پيامي روز سه شنبه‌ حذف گردد، احتمالا در نسخه‌هاي پشتيبان كه شب يا روز قبل تهيه شده است موجود مي‌باشد, در سيستم پستي ابزار مشابه كاغذ خرد كن وجود ندارد.
• در متن‌هاي ارسالي بايستي محتاط بود. اين طبيعت پست الكترونيكي است كه مردم پيامهاي‌دريافتي خود را بيشتر از پيامهاي ارسالي جدي مي‌گيرند. ضمن اينكه ارسال يادداشت سريع به‌هر جايي از جهان بسيار ساده است‌.
• رعايت ادب و خونسردي ضروري است‌.

از آنجاييكه از هر جايي ممكن است پيامي ارسال شود, دريافت پيامهاي نامناسب هم دور از ذهن نيست, در پاسخگويي به اين گونه پيامها نبايد عجله به خرج داد و تندروي نمود, زيرا بازگشت دادن‌ پاسخ‌ها غيرممكن است, ارسال پاسخ به چنين مواردي بهتراست با تأمل و نه چندان سريع صورت پذيردتا فرد دريافت كننده به قضاوت بهتري دست يابد.

• بايد همواره در ذهن داشت كه بسياري از كاربران اينترنت خارجي هستند. هنگام ارسال نامه به ‌ساير كشورها بايستي همواره به ياد داشت كه از استعاره و زبان عاميانه استفاده نشود زيرا فردمخاطب ممكن است گفته‌ها را به اشتباه تفسير نمايد.
• از رؤيت پيامهاي ناشناس و مشكوك بايستي اجتناب گردد بسياري از ويروس‌هاو برنامه‌هاي‌ مخرب ازطريق پست‌الكترونيكي ارسال مي‌گردند، لذا در باز نمودن پيام‌ها بايستي احتياط لازم ‌منظور گردد.

ديوار آتش :

بسياري از سازمانها بدليل استفاده از سرويس‌هاي اينترنت, شبكه محلي خصوصي خود را به‌اينترنت متصل كرده‌اند. از آنجائيكه اينترنت يك شبكه غير مطمئن است اين امر باعث افزايش‌آسيب پذيري و افزايش تعداد مهاجمين خواهد شد. ديوار آتش, محافظي مناسب، براي ارتباط وكنترل دستيابي بين يك شبكه مطمئن و يك شبكه نامطمئن است‌. ديوار آتش فقط يك جزء واحد نيست‌ بلكه يك استراتژي حفاظتي براي اتصال به اينترنت است‌. كار اصلي يك ديوار آتش كنترل دستيابي متمركز است‌. ديوارهاي آتش انواع حفاظت‌‌هاي زير را انجام مي‌دهند:

• آنها مي‌توانند جلوي ترافيك ناخواسته را سد كنند.

• آنها مي‌توانند ترافيك ورودي را به سيستمهاي داخلي امن‌تر هدايت كنند.
• آنها مي‌توانند سيستمهاي آسيب‌پذير را كه به آساني نمي‌توان آنها را امن ساخت, مخفي نمايند.
• آنها مي‌توانند ترافيكهاي ورودي به و خروجي از شبكه خصوصي را ثبت نمايند.
• آنها مي‌توانند اطلاعاتي نظير نام سيستمها, توپولوژي شبكه, انواع تجهيزات شبكه وشناسنامه‌هاي كاربران داخلي را از ديد اينترنت مخفي نگهداري نمايند.
• آنها مي‌توانند شناسايي و تشخيص هويت قوي‌تري از برنامه‌هاي استاندارد معمول داشته باشند.

مديريت ديوار آتش:

يك ديوار آتش, مانند هر دستگاه ديگر شبكه، بايد توسط كسي مديريت شود, سياست حفاظتي‌بايد مشخص نمايد، چه كسي مسئول مديريت ديوار آتش است‌. دو مدير ديوار آتش (اوليه و ثانويه‌)بايد بوسيله مسئول امنيت تعيين شوند. مدير اول مي‌توانند تغييرات احتمالي را روي ديوار آتش پياده‌كند و مدير دوم در غيبت مدير اول وظايف مدير ديوار آتش را بعهده مي‌گيرد. بنابراين در يك لحظه فقط يك مدير ديوار آتش وجود خواهد داشت‌.

شبكه‌هاي خصوصي مجازي :

شبكه‌هاي خصوصي مجازي اجازه مي‌دهد يك شبكه مطمئن با شبكه مطمئن ديگري از طريق‌يك شبكه غير مطمئن، نظير اينترنت ارتباط برقرار نمايد. تعدادي از ديوارهاي آتش اين قابليت رافراهم مي‌آورند.

هر ارتباطي بين ديوارهاي آتش از طريق شبكه‌هاي عمومي بايد رمز شده باشد تا از سلامت وخصوصي بودن داده‌ها مطمئن شد. همه ارتباطات در شبكه‌‌هاي خصوصي مجازي بايد بوسيله مدير سيستمهاي شبكه تأئيد و مديريت شده باشند.

جدول 1- جدول ملاحظات در سطح مديريتي

دليل	پروتكل	چه چيز؟	چرا؟
پست الكترونيكي		كاربران داراي يك نشاني خارجي واحد هستند. اطلاعات تجاري را آشكار نمي‌‌سازد.
	SMTP	يك سرويسگر واحد يا مجموعه‌‌اي از سرويسگرها خدمات پست الكترونيكي را براي سازمان فراهم مي‌‌آورند. پست الكترونيكي متمركز ساده‌‌تر فراهم مي‌‌آيد. سرويسگرهاي SMTP به سختي مي‌‌توانند ايمن گردند.
	POP3	كاربران POP بايستي از شناسايي AUTH استفاده كنند. از برداشت غير مجاز رمز‌‌هاي ورود جلوگيري مي‌‌كند.
	IMAP	گروه‌‌ها تشويق شده‌‌اند كه به IMAP تغيير يابند. پشتيباني بهتر براي پيمايش، رمزنگاري
خبرهاي USENET	NTTP	بلوكه شده در ديوار آتش بدون نياز تجاري
www	HTTP	هدايت شده به www.my.org نگهداري www متمركز ساده‌‌تر است. سرويسگر‌‌هاي www به سختي ايمن مي‌‌گردند.
	ساير	Routed

 

جدول 2 - نمونه خط‌‌مشي‌‌هاي امنيتي در اينترنت

خط‌‌مشي‌‌نمونه
خدمات	داخل به خارج	خارج به داخل	خط‌‌مشي نمونه
	وضعيت	Auth	وضعيت	Auth
FTP	بلي	خير	بلي	بلي	دسترسي بصورت FTP از شبكه داخلي به شبكه‌‌هاي خارجي مجاز خواهد بود. نياز به تعيين هويت قوي براي دسترسي از خارج به داخل مورد نياز مي‌‌باشد.
Telnet	بلي	خير	بلي	بلي	دسترسي به صورت Telnet از شبكه داخلي به شبكه خارجي مجاز خواهد بود براي Telnet نمودن از خارج به شبكه داخلي بايستي نياز به تعيين هويت باشد.
Rlogin	بلي	خير	بلي	بلي	rlogin به ميزبان‌‌هاي سازمان از طريق شبكه خارجي نياز به تأييديه مدير خدمات شبكه و بكارگيري شديد تعيين هويت دارد.
HTTP	بلي	خير	بلي	بلي	تمام سرويسگرهاي www، در نظر گرفته شده براي ارائه خدمات به كاربران خارجي بايستي خارج از ديوار آتش سازمان قرار گيرند. هيچ HTTP داخل ديوار آتش سازمان قابل دسترسي نيست.
SSL	بلي	خير	بلي	بلي	هنگام عبور نشست‌‌هاي SSL از ديوار آتش، گواهي معتبر از طرف مشتري كه در قسمت خود از SSL استفاده مي‌‌كند، مورد نياز است.
POP3	خير	خير	بلي	خير	سرويس POP ، سازمان بايستي درون ديوار آتش آن قرار گيرد. ديوار آتش ترافيك POP را به سرويسگر POP منتقل مي‌‌نمايد استفاده از APOP احتياج است.
NTTP	بلي	خير	خير	خير	هيچ دسترسي خارجي به سرويسگر NITP مجاز نيست.
Real Audio	خير	خير	خير	خير	در حال حاضر، هيچگونه نياز تجاري براي پشتيباني از نشست‌‌هاي صوتي از طريق ديوار آتش وجود ندارد. هر واحد تجاري كه به اين مسأله نياز دارد بايستي با مدير خدمات شبكه مذاكره نمايد.
LP	بلي	خير	خير	خير	خدمات LP دروني بايستي در درون ديوار آتش سازمان غير فعال گردند.
finger	بلي	خير	خير	خير	خدمات finger دروني بايستي در درون ديوار آتش سازمان غير فعال گردند.
gopher	بلي	خير	خير	خير	خدمات gopher دروني بايستي در درون ديوار آتش سازمان غير فعال گردند.
whois	بلي	خير	خير	خير	خدمات whois دروني بايستي در درون ديوار آتش سازمان غير فعال گردند.
RSH	بلي	خير	خير	خير	خدمات RSH دروني بايستي در درون ديوار آتش سازمان غير فعال گردند.
SQL	بلي	خير	خير	خير	اتصالات ميزبانهاي خارجي به بانكهاي اطلاعاتي داخلي بايستي بوسيله مدير خدمات شبكه تأييد گردد و از خدمات SQL Proxy استفاده نمايند.
ساير مثل NFS	خير	خير	خير	خير	هرگونه دستيابي به خدماتي بجز خدمات توضيح داده شده بالا بايستي در دو طرف تطبيق داده شوند به نحوي كه فقط خدمات اينترنت كه به آنها نيازي باشد و درباره آنها آگاهي وجود دارد مجاز باشد و بقيه راكد باقي مي‌‌ماند.

 

 

جدول 3- خلاصه خط‌‌مشي امنيتي

خط‌‌مشي	خدمات FTP غير ناشناس	خدمات FTB ناشناس
قرار دادن سرويسگر خارج از ديوار آتش	خير	بلي
قرار دادن ماشين سرويسگر در شبكه خدماتي	خير	بلي
قرار دادن ماشين سرويسگر در شبكه حفاظت‌‌شده	بلي	خير
قرار دادن ماشين سرويسگر در خود ديوار آتش	خير	خير
سرويسگر توسط هر كسي روي Internet قابل دسترسي خواهد بود.	خير	بلي

 

1. تهديدات و ملزومات مربوط به امنيت كار الكترونيكي

تهديدات موجود در پيش‌روي امنيت سيستم‌هاي اطلاعاتي را مي‌توان به سه دسته‌ي اصلي تقسيم كرد:‌ افشاي اطلاعات محرمانه (تهديد «افشا»)، صدمه به انسجام اطلاعات (تهديد «دستكاري»)، و موجودنبودن اطلاعات (تهديد «تضييق خدمات»). بطور مرسوم، امنيت اطلاعات در وهله‌ي اول با تهديد «افشا» همراه بوده است. در دنياي امروز، وابستگي ما به سيستم‌هاي اطلاعاتي طوري است كه دستكاري غيرمجاز يا فقدان گسترده‌ي اطلاعات، پيامدهاي ناگواري را موجب خواهد شد. در كار الكترونيكي، لازم است كه همه‌ي انواع اطلاعات از طريق شبكه‌، دسترس‌پذير باشند. بنابراين، امنيت اطلاعات شرط ضروري كار الكترونيكي است.

در هنگام كاركردن در يك شبكه‌ي باز، جريان اطلاعات در شبكه در معرض افشا و دستكاري غيرمجاز مي‌باشد. براي حفاظت از محرمانگي و انسجام آن اطلاعات، رمزگذاري قوي ضروري است. كمك غيرمستقيم رمزگذاري به ما اين است كه از وجود شبكه‌هاي اطلاعاتي اطمينان حاصل كنيم. پس از مقابله‌ي مؤثر با تهديدات«دستكاري» و «افشا»، مي‌توان با ايجاد اضافات كافي در شبكه‌هاي اطلاعاتي، دردسترس‌بودن اطلاعات را تحقق بخشيد. فناوري اينترنت در اصل براي به‌وجود‌آوردن همين نوع از اضافات طراحي شد و هنوز هم براي اين منظور مناسب است.

2. ايجاد زيرساختار شبكه

معماري اينترنت، معماري شبكه‌اي غالب در اوايل دهه‌ي 2000 است. اينترنت بر پروتكل اينترنت (آي‌پي) استوار است، كه مي‌توان آن را روي همه‌ي انواع شبكه‌هاي فيزيكي و تحت همه‌ي انواع برنامه‌هاي كاربردي به كار انداخت. استقلال پروتكل اينترنت هم از شبكه‌هاي فيزيكي و هم از برنامه‌هاي كاربردي، نقطه‌ي قوت اصلي آن است. اين پروتكل حتي با فناوري‌هاي شبكه‌اي كاملاً جديد، مثل «شبكه‌ي محلي بيسيم» (دبليولن) يا «سرويس راديويي بسته‌اي عمومي» (جي‌پي‌آراِس) و شبكه‌ي «سامانه‌ي عمومي ارتباطات همراه» (جي‌اِس‌اِم) نيز كار مي‌كند. برنامه‌هاي جديد، مثل وب،‌ «ووآي‌پي»، و بسياري برنامه‌هاي ديگر كه در آينده عرضه مي‌شوند را مي‌توان به راحتي با سرويس استاندارد پروتكل اينترنت اجرا كرد. معماري اينترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات مي‌كند. بنابراين شعار قديمي «آي‌پي وراي همه، همه چيز برروي آي‌پي»‌ امروز بيش از هر زمان ديگري صدق مي‌كند.

عيب‌هاي اصلي «آي‌پي»‌، فضاي ناكافي نشاني، عدم پشتيباني از جايجايي فيزيكي،‌ فقدان كيفيت متمايز سرويس، و فقدان امنيت آن مي‌باشد. «گروه فوق‌العاده‌ي مهندسي اينترنت» هر يك از اين موضوعات را مدنظر قرار داده و راه‌حل‌هاي استانداردي نيز براي هر يك از آن‌ها پيشنهاد شده. در نگارش ششم و جديد «آي‌پي» عملاً تعداد نشاني‌ها نامحدود، و گسترش‌پذيري آن بهتر از نگارش 4 (كنوني) است. «آي‌پي سيار» (اِم‌آي‌پي) براي هر دو نگارش تعريف شده. اين «آي‌پي» براي ميزبان سيار اين امكان را فراهم مي‌آورد كه از يك شبكه به شبكه ديگر جابجا شود، ضمن اين‌كه نشاني‌هاي «آي‌پي» دائمي خود را، كه در همه‌ي ارتباطات با اين ميزبان مورد استفاده قرار مي‌گيرد، حفظ مي‌كند. اين امر منجر به تحرك واقعي، نه صرفاً در چارچوب فناوري يك شبكه (مثل «ج