کیهان 2017-10-31T12:22:28+00:00

سامانه امن‌ساز شبکه

سامانه امن ساز شبکه کیهان

مديران محترم سازمان‌هاي دولتي و خصوصي ايران!

شما در راستاي محرمانه نگه داشتن اطلاعات حياتي سازمان خود چقدر تلاش و هزينه نموده‌ايد؟
آيا تمهيدات لازم براي امن‌سازي حداکثري شبکه‌هاي کاميپوتري خود را انديشيده‌ايد؟
آيا براي دسترسي‌هاي راه دور به سرويس‌دهنده‌هاي داخل سازمان راه‌حل ساده و جامعي‌ پياده‌سازي نموده‌ايد؟

امروزه اطلاعات، دارايي اصلي اشخاص، شرکت‌ها و دولت‌ها به حساب مي‌رود به گونه‌اي که پيش‌بيني مي‌شود در آينده‌اي نزديک قدرت دولت‌ها، بر مبناي ميزان اطلاعات آنها از افراد و سازمان‌ها محاسبه شود. واضح  است که ارزش اطلاعات سازماني از اطلاعات شخصي بسيار بيشتر مي‌باشد. از طرف ديگر موقعيت و ماهيت استراتژيک ايران، همواره مورد توجه بيگانگان بوده است به گونه‌اي که شرکت‌هاي مهم ايراني از جمله شرکت‌هاي نفتي با بيشترين تعداد حملات سايبري (موفق و يا ناموفق) مواجه بوده‌اند. حال سؤال اصلي آن است که در اين شرايط مديران سازمان‌هاي ما، در راستاي محرمانه نگه داشتن اطلاعات حياتي سازمان خود چقدر تلاش و هزينه مي‌کنند؟ آيا تمهيدات لازم براي امن‌سازي حداکثري شبکه‌هاي کاميپوتري خود را انديشيده‌اند؟ آيا استانداردهاي امنيتي نظير ISO 27001 را در سازمان خود پياده‌سازي نموده‌اند؟

خوشبختانه در سال‌هاي اخير مديران سطح بالاي سازمان‌ها نگاه بيشتري به مقوله امن‌سازي سازمان و شبکه‌هاي کامپيوتري خود داشته‌اند، تا آنجا که ارتقاي جدي در سطح امنيت سازمان‌ها قابل احساس است. اما هنوز هم سؤالات بي جواب ديگري نيز وجود دارد. براي مثال آيا سازمان‌هاي ما ديگر در خطر نيستند؟ آيا آمار نفوذ و حملات موفق به شبکه‌هاي کامپيوتري سازمان‌هاي ما در سال‌هاي اخير کاهش يافته است؟ چگونه مي‌توان مطمئن شد که راه‌حل‌هاي استفاده شده جهت ايجاد امنيت از کارايي لازم و کافي برخوردارند؟ آيا محصولات استفاده شده در راستاي تأمين امنيت، داراي حفره و دريچه‌هاي پشتي براي نفوذ و استخراج اطلاعات سازماني ما نيستند؟ و در نهايت آيا اساسا در مقوله امنيت مي‌توان به تأمين‌کنندگان خارجي اعتماد نمود؟

شرکت پيام‌پرداز با بيش از دو دهه سابقه در زمينه امنيت اطلاعات و ارتباطات و سبد محصولات بومي خود، مي‌تواند کمک شاياني در يافتن جواب سئوالات مذکور به شما مدير محترم بنمايد. محصول امن‌ساز شبکه بومي اين شرکت با نام تجاري کيهان، تنها محصول داخلي است که مي‌تواند پياده‌سازي دو بند، از بندهاي استاندارد امنيتي ISO 27001 را در سازمان شما به صورت کاملي پوشش دهد. اين محصول با پروتکل‌ها، الگوريتم‌ها و توکن‌هاي امنيتي سخت‌افزاري بومي خود مي‌تواند سطح امنيت شبکه کامپيوتري سازمان شما را تا حد بسيار زيادي ارتقا دهد و با استفاده مناسب از آن مي‌توان از عدم امکان بهره‌برداري از حفره‌ها و دريچه‌هاي پشتي احتمالي در محصولات خارجي اطمينان نمود.

نقش کمکي محصول کيهان در پياده‌سازي استانداد امنيتي ISO 27001:

  • کنترل دسترسي به شبکه
  • خط مشي استفاده از خدمات شبکه
  • احراز هويت کاربر براي ارتباطات بيروني
  • تفکيک در شبکه‌ها
  • کنترل اتصال به شبکه
  • کنترل دسترسي به سيستم عامل
  • شناسايي کاربر و احراز هويت
  • انقضاي مهلت نشست
  • محدود ساختن زمان ارتباط
  • کنترل دسترسي به اطلاعات
  • جداسازي سيستم‌هاي حساس کار از راه دور
  • پردازش صحيح در برنامه‌هاي کاربردي
  • صحه‌گذاري داده‌هاي ورودي
  • يکپارچگي پيام

امروزه با گسترش فناوري اطلاعات همه سازمان‌هاي کوچک و بزرگ داراي شبكه‌هاي كامپيوتري به صورت محلي (LAN) در يک فضاي محدود و يا به صورت گسترده (WAN) در يک پهنه جغرافيايي وسيع هستند. سرويس‌دهنده‌هاي سازمان معمولاً در مركز شبكه قرار گرفته و برنامه‌هاي كاربردي در كامپيوترهاي كاربران، خدمات مورد نياز را از اين سرويس‌دهنده‌ها دريافت مي‌كنند. از آنجا كه به موازات رشد تكنولوژي، تهديدات و حملات فضاي سايبر گسترش زيادي يافته و امكان حملاتي همچون دسترسي به داده‌ها از روي شبكه و يا سرقت كلمه عبور و ايفاي نقش به سادگي وجود دارد، لذا در حال حاضر تأمين امنيت خدمات الكترونيكي به يكي از مسائل مهم پيش رو براي مديران فناوري اطلاعات سازمان‌ها تبديل شده است. از طرف ديگر حملات خاص منظوره که اخيراً در مورد بخش‌هاي مهم تأسيساتي ايران صورت ‌پذيرفت، توجه مديران فناوري اطلاعات سازمان‌ها را پيش از پيش معطوف به تأمين امنيت سرورها و اطلاعات حساس سازماني خود نموده است.

كيهان سامانه‌اي بومي براي امن‌سازي شبكه است كه سرويس‌هاي امنيتي مختلف از قبيل احراز اصالت دوعاملي كاربران، كنترل دسترسي، محرمانگي و صحت اطلاعات مبادله شده، تحليل ترافيک و قابليت دسترسي بالا را به صورت شفاف ارايه مي‌كند. محصول کيهان با پروتکل‌ها، الگوريتم‌ها و توکن‌هاي امنيتي سخت‌افزاري بومي خود مي‌تواند کمک شاياني به پياده‌سازي استانداردهاي امنيتي مطرح نظير ISO 270011 بنمايد. اين سامانه شامل يك سرویس‌دهنده (براي قرارگيري در سر راه ورودي سرورهاي حساس سازمان)، نرم‌افزار كلاينت‌ (براي کامپيوترهاي کاربران)، نرم‌افزار مديريت و توكن‌هاي امنيتي سخت‌افزاري كاربران (با نام تجاري کيا) مي‌باشد و به سادگي در شبكه سازمان راه‌اندازي شده و بدون نياز به آموزش‌هاي خاص توسط کاربران قابل بهره‌برداري است.

كاربردها

  • امن‌سازي کاربردهاي تحت شبكه سازمان از قبيل اتوماسيون اداري
  • برقراري ارتباط امن بين كامپيوترها در دفاتر نمايندگي يك سازمان و سرورهاي ساختمان مركزي
  • ارتباط امن با سرورهاي سازمان توسط كاربران راه دور (فرايند دوركاري امن)
  • امن‌سازي ارتباط Remote Desktop مشتريان با سرورهاي اختصاصي خود در مراكز داده
  • امكان ايجاد يك شبكه مجازي ايزوله و امن (VLAN) براي بخش‌هاي حساس سازمان مثل حراست
  • امن‌سازي ارتباط بين كامپيوترهاي كاربران با مديريت متمركز و يا با مديريت توزيع شده (توسط خود کاربران)
  • تأمين امنيت بستر شبکه‌هاي بي‌سيم

ويژگي‌هاي امنيتي

  • محرمانگي و صحت داده‌هاي مبادله شده مبتني بر يك پروتكل تونلينگ اختصاصي در لايه شبكه
  • احراز اصالت دوسويه (كاربر براي سرور و سرور براي كاربر) مبتني بر يک پروتكل اختصاصي
  • احراز اصالت دو عاملي كاربر با استفاده از توكن امنيتي بومي كيا (ساخت شرکت پيام‌پرداز)
  • امکان احراز اصالت کاربر مبتني بر بستر PKI
  • كنترل دسترسي كاربران و جلوگيري از نفوذ به شبكه سرورهاي تحت حفاظت به وسيله ديواره آتش اختصاصي
  • امكان تعريف LANهاي مجازي امن به صورت متمركز و توزيع شده
  • امنيت پروتكل‌هاي تونلينگ و احراز اصالت مبتني بر الگوريتم‌هاي رمز متقارن با طول كليد 256 بيت
  • استفاده از الگوريتم‌هاي رمز و صحت استاندارد و بومي (قابل سفارش توسط مشتري)

ويژگي‌هاي شبکه‌اي

  • عملكرد شفاف سيستم از ديد كاربردها و سرويس‌دهنده‌‏ها (عدم نياز به تغيير برنامه‌هاي كاربردي و پيكربندي سرورها در شبكه)
  • پشتيباني از NAT (اتصال كاربر با IP غيرمعتبر) و PAT (قرارگيري سرورها در ناحيه DMZ)
  • امكان ارايه سرويس ورود يك‌باره (SSO) به لايه كاربرد و تقويت مكانيزم احراز اصالت كاربران
  • سربار كم ترافيكي نسبت به ساير پروتكل‌هاي امنيتي مشابه در لايه شبکه (نظير IPsec)
  • قابليت دسترسي بالا و مقاومت در برابر خرابي با امكان توزيع بار بر روي چند سرور كيهان

ويژگي‌هاي مديريتي

  • امكان گروه‌بندي سياست‌هاي امنيتي و كاربران
  • امكان تعريف سياست‌هاي امنيتي و قوانين كنترل دسترسي براي هر يک کاربر و يا گروه‌هاي كاربران به صورت مجزا
  • امکان تعيين زمان کار براي گروه‌هاي کاربران
  • امكان محدود كردن کاربر براي كار بر روي يك كامپيوتر خاص و يا بازه‌اي از IPها
  • رويدادنگاري از ورود و خروج کاربران، تراکنش‌هاي مدير در بانک اطلاعاتي و …
  • امکان ارسال رويدادها به سيستم رويدادنگاري Syslog Server (مبتني بر استاندارد RFC 3164)
  • امکان تعريف مديران مياني با قابليت‌هاي کنترل شده
  • امكان دريافت اطلاعات كاربران از سرويس‌دهنده Active Directory
  • امکان همگام‌سازي خودکار ما بين سرورهاي افزونه کيهان (Redundant servers)

گزارشات تحليلي از دسترسي‌هاي کاربران

  • گزارش از ميزان دسترسي کاربران به سرورهاي تحت حفاظت کيهان با ريزدانگي دقيقه، ساعت و روز با امکان فيلترگذاري بر روي کاربران
  • گزارش از دسترسي به سرورهاي تحت حفاظت کيهان توسط کاربران با ريزدانگي دقيقه، ساعت و روز
  • گزارش از 10 کاربري که بيشترين ترافيک را با سرورهاي تحت حفاظت مبادله کرده‌اند (Top 10 users)
  • گزارش از 10 سروري که بيشترين ترافيک با آنها مبادله شده است (Top 10 servers)
  • گزارش از ميزان کل پهناي باند مصرفي سيستم
  • گزارش از پروتکل‌ها و پورت‌هاي پر استفاده سيستم
  • امکان Export کليه نمودارها و جداول مشاهده شده در نرم‌افزار به فرمت‌هاي excel و pdf
  • امکان Export کليه داده‌هاي بانک اطلاعاتي در قالب csv

سازگاري

  • پشتيباني از سيستم‌هاي عامل ويندوز 2000، XP، Server 2003، Vista، Server 2008، 7، Server 2008 R2، 8 و Server 2012 (کليه نسخه‌هاي 32 و 64 بيتي)

ویژگی­‌های نسخه 4.6 محصول کیهان

جهت افزایش امنیت احراز اصالت کاربران از رمز عبور یک‌بار مصرف به صورت پیامکی بهره گرفته‌شده است که به دو صورت زیر قابل‌استفاده می‌باشد:

  • استفاده از رمز عبور یک‌بار مصرف جهت احراز اصالت کاربران بدون نیاز به توکن
  • احراز اصالت سه عاملی کاربران مبتنی بر استفاده همزمان از توکن و رمز عبور یک‌بار مصرف

 به دنبال گسترش استفاده از سامانه کیهان در سازمان‌های مختلف کشور، نیازمندی‌های زیادی برای افزایش امکانات خطایابی و گزارش‌دهی از ترافیک‌های عبوری کاربران از سامانه کیهان مشاهده گردید. سرویس‌دهنده تحلیل ترافیک، سروری است که امکانات خطایابی و گزارش دهی از ترافیک عبوری کاربران با سرورهای تحت حفاظت کیهان را به صورت همزمان به مدیران شبکه ارائه می‌دهد.

امکان ارائه گزارش‌های متنوع از تنظیمات و اطلاعات سامانه کیهان در قالب‌های زیر:

  • ارائه گزارش‌های متنوع از کاربران و قوانین اعمال شده بر آن‌ها (شامل: سیاست‌های اعمال‌شده، اسکریپت‌ها و قوانین ترجمه نام دامنه)
  • ارائه گزارش از گروه‌های تعریف‌شده و قوانین اعمال‌شده بر آن‌ها (شامل: کاربران عضو گروه و سیاست‌های اعمال‌شده بر روی هر گروه)
  • ارائه گزارش از گروه سیاست‌های تعریف‌شده
  • گزارش از تمامی سیاست‌های اعمال‌شده بر روی کاربران با توجه به اولویت آن‌ها

قابلیت فشرده‌سازی دینامیک ترافیک عبوری کاربران در جهت استفاده بهینه از پهنای باند سازمان و افزایش نرخ گذردهی سامانه در بعضی از راه‌حل‌ها

قابلیت نمایش پهنای باند مصرفی کاربران به‌صورت لحظه‌ای و روزانه با امکان جستجو و مرتب سازی

قابلیت به‌روزرسانی خودکار نرم‌افزار کاربری کیهان در جهت استفاده بهینه کاربران از آخرین نسخه نرم‌افزار کاربری و کاهش هزینه نگهداری سیستم کیهان در سازمان‌ها

 قابلیت تشخیص مشکلات اتصالی کاربران به سامانه کیهان با نمایش کاربران در حین اتصال به سامانه به‌صورت لحظه‌ای در جهت تشخیص سریع‌تر نوع مشکل اتصالی کاربران

افزودن قابلیت‌های جدید در قسمت مدیریت کاربران:

  • ثبت تاریخ ایجاد و آخرین ویرایش کاربر
  • امکان وابسته نمودن کاربر به یک نسخه خاص از نرم‌افزار کاربری
  • امکان تعریف تاریخ انقضا برای حساب کاربری تعریف‌شده
  • امکان قفل نمودن ماژول کاربر در برابر انجام تغییرات توسط آن و منوط نمودن اجازه تغییرات با اجازه مدیر سامانه
  • امکان نمایش سیاست‌های اختصاص‌یافته به کاربر در نرم‌افزار کاربری کیهان با اجازه مدیر در جهت تشخیص مشکلات پیش‌آمده در اختصاص سیاست به کاربران
  • اضافه نمودن دو مشخصه کد ملی و کد پرسنلی به حساب کاربری

افزودن قابلیت‌های جدید در قسمت مدیریت سیاست‌ها:

  • ثبت تاریخ ایجاد و آخرین ویرایش سیاست
  • امکان تعریف تاریخ انقضا برای سیاست تعریف‌شده
  • امکان تعریف سیاست به‌صورت محدوده‌ای از آدرس سرورها (سهولت در سیاست نویسی)
  • امکان فعال/غیرفعال سازی سیاست‌ها
  • امکان کپی‌برداری از سیاست‌ها در جهت سهولت در نوشتن سیاست‌های مشابه

افزودن قابلیت‌های جدید در قسمت نمایش کاربران آنلاین:

  • نمایش پهنای باند مصرفی کاربران به‌صورت لحظه‌ای و روزانه
  • نمایش کاربران بیکار (کاربرانی که با سرورهای تحت حفاظت کیهان کار نمی‌کنند. فقط به سامانه وصل می‌باشند)
  • نمایش نوع سیستم‌عامل کاربر
  • نمایش نوع نسخه کاربری مورداستفاده توسط کاربر (نسخ خاص Any-Reject و …)
  • نمایش تعداد سیاست اختصاص‌یافته به کاربر
  • نمایش اطلاعات شبکه‌ای مسیر ارتباطی کاربر با سامانه کیهان


سایر ویژگی‌ها:

  • قابلیت تعریف سیاست برای طول و پیچیدگی PIN ماژول کاربران
  • افزایش سازگاری سامانه کیهان با سامانه SIEM در شبکه سازمان‌ها
  • پشتیبان گیری خودکار از تنظیمات سرور کیهان جهت احیا سریع سرور در صورت بروز مشکل سخت‌افزاری در آن
  • پشتیبانی از پروتکل NTP جهت همگام‌سازی زمان سرور کیهان با NTP سرور سازمان/اینترنت
  • تغییر ظاهر گرافیکی داشبورد برنامه مدیریت در راستای ارائه وضعیت آنلاین سامانه به‌صورت کاراتر
  • تغییرات گرافیکی مختصر در نرم‌افزار کاربری در راستای استفاده بهینه‌تر کاربران
  • رفع کلیه باگ‌های گزارش‌شده از سمت مشتریان

Application-interface-Keyhan-1

نرم‌افزار کاربری کیهان

Application-interface-Keyhan-2

نرم‌افزار کاربری: پنجره برنامه کلاينت کيهان پس از انجام موفق Login

Application-interface-Keyhan-3

نرم‌افزار کاربری: ابزارهای عیب‌یابی جهت رفع مشکل ارتباطی کاربر با سرور

Application-interface-Keyhan-4

نرم‌افزار کاربری: ابزارهای عیب‌یابی جهت رفع مشکل ارتباطی کاربر با سرور

Application-interface-Keyhan-5

پنجره تغییر PIN ماژول کاربر

Application-interface-Keyhan-6

نمایی از داشبورد نرم‌افزار مدیریت

Application-interface-Keyhan-7

نرم‌افزار مدیریت: تعریف کاربر جدید

Application-interface-Keyhan-8

نرم‌افزار مدیریت: تعریف کاربر جدید

Application-interface-Keyhan-9

نرم‌افزار مدیریت: مدیریت گروه‌های کاربری

Application-interface-Keyhan-10

نرم‌افزار مدیریت: تعریف سیاست جدید جهت دسترسی به سرورهای تحت حفاظت

Application-interface-Keyhan-11

نرم‌افزار مدیریت: تعریف سیاست جدید جهت دسترسی به سرورهای تحت حفاظت

Application-interface-Keyhan-12

نرم‌افزار مدیریت: نمایش کاربران متصل به سامانه

Application-interface-Keyhan-13

نرم‌افزار مدیریت: پنجره تنظیم ویژگی‌های امنیتی سامانه

Application-interface-Keyhan-14

نرم‌افزار مدیریت: پنجره مدیریت سرورها و به‌روزرسانی خودکار نرم‌افزار کاربری

Application-interface-Keyhan-15

نرم‌افزار مدیریت: پنجره تنظیم تاریخ/ساعت سامانه

Application-interface-Keyhan-16

نرم‌افزار مدیریت: پنجره تنظیمات SysLog در سامانه

امروزه از سامانه کيهان به طور گسترده‌اي در سازمان‌های مختلف کشور به منظور امن‌سازي ارائه سرويس‌هاي کاربردي بهره گرفته مي‌شود. در اين سامانه، سرور کيهان به عنوان يک دروازه ورودي، جهت کنترل دسترسي به سرورهاي حياتي سازمان ايفاي نقش مي‌نمايد. از آنجا که کليه بسته‌هاي مبادله شده با سرورهاي تحت حفاظت پس از نظارت سرور کيهان اجازه ورود به شبکه تحت حفاظت را مي‌يابند، اين سرور مي‌تواند نقش نظارتي ويژه‌اي را جهت بررسي فعالیت کاربران کیهان و دسترسی های کاربران در کنار ساير سرويس‌هاي اصلي (شامل محرمانگي، صحت، احراز اصالت دو عاملي و کنترل دسترسي) ايفا نمايد.

سامانه کیهان، تمامی فعالیت‌های این سیستم را در قالبی مناسب به طور کامل گزارش می‌کند. این فعالیت‌ها، شامل وضعیت اتصال کاربران به کیهان و کلیه اعمال تغییر پیکربندی سیستم و یا سیاست‌ها توسط مدیر می‌باشد. با تلاش برای اتصال هر کاربر به سامانه کیهان یا انجام تنظیمات توسط مدیر، جزییات فعالیت انجام گرفته در قالب یک رویداد گزارش می‌شود که وضعیت و نتیجه انجام آن فعالیت را تشریح می‌نماید. نمونه‌ای از این رویدادها شامل موارد زیر است:

  • وضعیت احراز اصالت کاربران(موفق/ناموفق)
  • تلاش برای ورود ناموفق به کیهان
  • خروج غیر معمولی یک کاربر از سرور
  • خروج یک کاربر از سیستم با اجبار مدیر
  • بسته شدن اتصال کاربر
  • تناقض آدرس کاربران با یکدیگر
  • عدم پشتیبانی از نسخه کلاینت کاربر
  • مشاهده کاربر تکراری کیهان
  • اشکالات شبکه ای در ارتباط با سرور کیهان
  • تغییرات تنظیمات و سیاستهای کیهان توسط مدیر

بعد از انجام احراز اصالت برای هر کاربر، اجازه دسترسی به سرورهای تحت حفاظت به آن کاربر داده می‌شود. جهت مشاهده وضعیت ارتباط با سرورها و میزان تبادل داده و موفقیت در برقراری ارتباط، لازم است ترافیک عبوری از سمت کیهان به سرورها پایش شود و این اطلاعات از آنها استخراج گردد.

معماري اجزاي سيستم مدیریت رویداد و تحلیل ترافیک در کنار سامانه کيهان در شکل زیر نشان داده شده است. این سیستم بین سرور کیهان سرورهای تحت حفاظت قرار گرفته و ضمن دریافت و نگهداری رویدادهای کیهان، ترافیک بین سرورهای و کاربران آنها پایش شده و اطلاعات مربوط به دسترسی استخراج شده و نگهداری می‌شود.

استقرار سيستم مدیریت رویداد و تحليل ترافيک در کنار سامانه کيهان

نماي داشبورد سیستم

نمونه داشبورد مربوط به يک کاربر

لیست رویدادهای ذخیره شده

جزئیات رویداد خام و نرمال شده

گزارش اطلاعات جریان‌های شبکه

ليست گزارش‌های نمونه

از روی انواع ورودی‌های مختلف منتقل شده به سیستم می‌توان صدها گزارش تعریف نمود و زمان‌بندی جهت تولید این گزارش‌ها ایجاد کرد. گزارش‌ها به صورت دوره‌ای و در قالب زمان‌بندی ساعتی، روزانه، هفتگی و ماهانه قابل تهیه بوده و نیز پارامترهای مختلفی برای هر گزارش قابل تعریف و سفارشی‌سازی است. بخشی از نمونه انواع گزارش‌ها درصورت دریافت رویدادهای مربوطه شامل موارد زیر می‌باشد:

  • تلاش برای ورود به یک سیستم
  • تلاش برای ورود ناموفق در کل شبکه
  • تلاش برای ورود ناموفق به یک سیستم
  • از کار افتادن سرویس‌های مختلف شبکه
  • تلاش‌های ناموفق برای کسب دسترسی بر روی یک فایل
  • تغییرات در مدیریت کاربران و حذف و اضافه کردن آن‌ها
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی شبکه
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی یک سیستم
  • بیشترین آدرس‌هایی که از آن‌ها رخداد گزارش شده است
  • بیشترین آدرس‌هایی که مقصد حملات مختلف بوده‌اند
  • بیشترین بدافزارهایی که در سازمان گزارش شده‌اند
  • بیشترین نوع بدافزارهایی که در شبکه فعالیت می‌کنند
  • بالاترین انواع حملاتی که به دارایی‌های سازمان انجام شده است
  • بیشترین انواع منابعی از سرویس‌ها و سیستم‌هایی که هدف حمله بوده‌اند
  • بیشترین آثاری که رخدادهای گزارش شده و حملات مشاهده شده بر روی دارایی‌های شبکه داشته‌اند
  • بیشترین تغییرات پیکربندی در سیستم‌های مختلف شبکه
  • گزارش از بالاترین سرورهایي که بيشترين ترافيک با آنها مبادله شده است
  • گزارش از ميزان کل پهناي باند مصرفي سيستم
  • گزارش از پروتکل‌ها(در لایه شبکه و لایه کاربرد) و پورت‌هاي پر استفاده سيستم
  • بالاترین نقاط شبکه که مورد هدف حمله شناسایی قرار گرفته‌اند
  • بالاترین مهاجمینی که حملات منع سرویس علیه دارایی‌های شبکه انجام داده‌اند
  • آلوده‌ترین دارایی‌هایی موجود در شبکه که مبدأ انتشار بدافزارهای مختلف هستند
  • بالاترین نقاطی از شبکه که ارسال کننده هرزنامه به سرویس‌‎دهنده‌های ایمیل هستند
  • بالاترین سیستم‌هایی که دارای سابقه فعالیت در شبکه‌های بات هستند
  • بالاترین سیستم‌هایی که انتقال داده به صورت فایل مشترک بر روی پروتکل‌های مربوطه داشته‌اند
  • بالاترین تغییرات داده‌ای که بر روی سرویس‌دهنده‌های پایگاه داده گزارش شده است
  • بیشترین حملاتی که بر روی یک پورت خاص گزارش شده است
  • بیشترین حملاتی که بر علیه یک سرویس خاص گزارش شده است
  • بیشترین رویدادهای فعالیت استاندارد در شبکه
  • حسگرهایی که بیشترین تعداد رخداد را گزارش کرده‌اند
  • بیشترین پورت‌هایی که بسته‌های ترافیک شبکه بر روی آن‌ها دور ریخته شده است
  • بیشترین پورت‌هایی که جهت انتشار بدافزار از آن‌ها استفاده شده است
  • بیشترین حملاتی که علیه سرویس دهنده وب در سازمان انجام شده است
  • بیشترین دارایی‌هایی که نام دامنه مشکوک به سرویس دهنده نام دامنه پرس و جو کرده‌اند
  • بالاترین آدرس‌هایی که ترافیک ناهنجار از آن‌ها گزارش شده است
  • بالاترین حملاتی که بر علیه پهنای باند شبکه انجام شده‌اند
  • بالاترین پروتکل‌هایی که بر روی آن‌ها انواع ترافیک با کانال پوشیده منتقل شده است

امروزه با گسترش فناوري اطلاعات همه سازمان‌هاي کوچک و بزرگ داراي شبكه‌هاي كامپيوتري به صورت محلي (LAN) در يک فضاي محدود و یا گسترده می­باشند. از آنجا كه به موازات رشد تكنولوژي، تهديدات و حملات فضاي سايبر گسترش زيادي يافته و امكان حملاتي همچون دسترسي به داده‌ها از روي شبكه و نفوذ به سیستم­ها و ايفاي نقش به سادگي وجود دارد لذا در حال حاضر تامين امنیت سیستم های کامپیوتری و غیر کامپیوتری مجهز به پورت شبکه به يكي از مسائل مهم پيش رو براي مديران فناوري اطلاعات سازمان‌ها تبديل شده است.

كيهان نرم افزاری بومي براي امن‌سازي شبكه است كه سرويس‌هاي امنيتي مختلف از قبيل احراز اصالت دوعاملي كاربران، دیواره آتش، محرمانگي و صحت اطلاعات مبادله شده را به صورت شفاف ارايه مي‌كند. اين سيستم شامل يك نرم‌افزار كلاينت‌ (براي کامپيوترهاي کاربران) به علاوه توكن‌هاي امنيتي سخت‌افزاري مي‌باشد و به سادگي در شبكه سازمان راه‌اندازي شده و بدون نياز به آموزش‌هاي خاص توسط کاربران در جهت امن سازی ارتباطات کاربران و کنترل دسترسی سیستم‌های کاربران مطابق با سیاست­‌های مدنظر سازمان و یا مالک سیستم قابل بهره‌برداري می­‌باشد.

کاربردها
  • امن سازی ارتباطات وایرلس و فیبر نوری بین ساختمان‌های یک سازمان. Device-Keyhan-client-400
  • امن سازی ارتباط میان دو زیر شبکه با یکدیگر در سازمان.
  • ایجاد یک شبکه مجازی امن (VLAN) به صورت نرم افزاری میان کاربران یک واحد سازمان.
  • امن سازی ارتباط میان سرورهای حساس سازمانی با یکدیگر (پایگاه داده‌ها).
  • استفاده به‌عنوان یک فایروال شخصی برای کاربران با کنترل و مدیریت مرکزی و منطبق سازی آن با سیاست‌های امنیتی سازمان.
  • ایزوله سازی سیستم کاربران در هنگام کار با سرورهای حساس سازمان (قطع کلیه ارتباطات).
  • امن سازی ارتباط میان کامپیوترها و کلیه تجهیزات غیرکامپیوتری مجهز به پورت شبکه نظیر دوربین، چاپگر و … .
ویژگی‌های امنیتی
  • محرمانگی و صحت داده‌های مبادله شده مبتنی بر يك پروتكل تونلينگ اختصاصي در لايه شبكه.
  • احراز اصالت دو عاملی كاربر با استفاده از توكن امنيتی بومی.
  • كنترل دسترسی كاربران و جلوگيری از نفوذ به شبكه و یا سیستم کاربر به وسيله ديواره آتش اختصاصی.
  • امكان تعريف LANهای مجازی امن به صورت متمركز و توزيع شده.
  • جلوگیری از حملات رایج شبکه‌ای در سازمان‌ها مانند Monitoring، Modification، تکرار و Man in the middle.
ویژگی‌های شبکه‌ای
  • سهولت تعریف سیاست‌های امنیتی سازمان و یا مالک سیستم.
  • تنوع در تعریف سیاست ها با کاربردهای مختلف.
    • سیاست‌های سیستمی: سیاست‌هایی که به ‌محض روشن شدن رایانه بر روی سیستم کاربر اعمال می‌گردد.
    • سیاست‌های ماژولی – حالت سرویسی: سیاست‌هایی که به‌ محض اتصال ماژول به رایانه بر روی سیستم کاربر اعمال می‌گردد.
    • سیاست‌های ماژولی – حالت امن: سیاست‌هایی که به ‌محض ورود به ماژول (Login) بر روی سیستم کاربر اعمال می‌گردد.
    • سیاست‌های برخط: سیاست‌هایی که به ‌محض اتصال نرم‌افزار کاربری به سامانه کیهان بر روی سیستم کاربر اعمال می‌گردد.
  • عملكرد شفاف سيستم از ديد کاربرها (عدم نياز به تغيير برنامه‌های كاربردی).
  • امکان فشرده سازی بسته‌های شبکه به صورت دینامیک.
سازگاری
  • پشتيبانی از سيستم‌عامل ويندوز، نسخه‌های Server 2012 ،Server 2008 R2 ،Server 2008 ،Server 2003 ،10 ،8 ،7 ،XP (کليه نسخه‌های 32 و 64 بيتی)

Infographic-Keyhan-client-400

سناریوهای کاربردی

سناریوی اول

در اين سناريو هدف امن سازي سرورهاي سازمان مي‌­باشد (به طور مثال در اين سناريو، سرور ديتابيس سازمان مد نظر است). در مرحله اول تمامي ارتباطات ورودي و خروجي با ديتابيس شعبه (ديتابيس B) کنترل مي‌­شود. براي اين منظور با استفاده از سياست­‌هاي فايروال، از ورود و برقراري تمامي ارتباطات از سمت شبکه WAN جلوگيري مي­‌شود. همچنين تنها براي کاربران مجاز به استفاده از اين سرور در شبکه LAN ، سياست دسترسي تعريف مي­‌شود و کاربران غيرمجاز نيز اجازه دسترسي از سمت LAN  را نخواهند داشت. اگر سرورها و يا کاربران قرار گرفته در شعب و سرورهاي مرکزي سازمان هم نياز به ارتباط امن داشته باشند، مي­‌توان اين ارتباط را، با استفاده از ايجاد يک بستر مناسب رمز شده و امن در شبکه WAN ايجاد کرد. به طور مثال در اين سناريو با استفاده از ايجاد يک تونل امن بين ديتابيس شعبه و کيهان سرور واقع در سازمان، دسترسي مناسبي براي همگام سازي ديتابيس­‌ها ايجاد مي شود.

ویدئوی نحوه پیاده‌سازی سناریوی اول

سناریوی دوم

بسياري از سازمان‌ها داراي ساختمان­‌هاي مختلفي هستند که ممکن است از نظر جغرافيايي از يکديگر فاصله داشته باشند. بنابراين ارتباطات شبکه‌اي اين سازمان­‌ها از طريق شبکه‌هاي ناامني چون اينترنت، اينترانت، بي سيم و فيبرنوري خواهد بود. براي ايجاد يک بستر امن بين دو شبکه مي‌توان از سرويس تونل Subnet to Subnet کيهان استفاده کرد. با استفاده از اين تونل، بستر امن و رمز شده‌اي بين دو شبکه فراهم مي­‌شود. براي پياده­‌سازي اين سناريو تنها نياز به نصب نرم افزار کيهان کلاينت بر روي دو سيستمي که به عنوان Gateway سازمان تعريف شده­‌اند، مي­‌باشد. با تعريف محدوده آدرس شبکه تحت حفاظت و تعريف دسترسي­‌هاي مد نظر اين ارتباط برقرار مي­گردد.

ویدئوی نحوه پیاده‌سازی سناریوی دوم

سناریوی سوم

در اين سناريو با استفاده از سيستم کيهان، سرورهاي سازمان محافظت مي­‌شوند. کاربران شبکه دسته‌بندي شده و بر اساس نياز، دسترسي امن به سرورهاي حساس سازمان پيدا مي­‌کنند. در اين مثال يک سرور ديتابيس در شبکه وجود دارد که فقط به سرور ديتابيس اصلي براي همگام سازي دسترسي دارد (Tunnel 22). همچنين مي­‌توان بين سيستم کاربران نيز در صورت نياز ارتباط امن ايجاد کرد. در اين مثال کاربران از طريق ارتباط امن (Tunnel 1) با ديتابيس داخلي کار مي­‌کنند.

ویدئوی نحوه پیاده‌سازی سناریوی سوم

سناریوی چهارم

در اين سناریو با استفاده از نرم افزار کيهان کلاينت، ارتباطات يک سيستم با ديگر کاربران را امن مي‌نمائيم. در اين مثال ارتباط کاربر A با تمامي کاربران از طريق بسترهاي رمز شده برقرار است. همچنين مي­‌توان با استفاده از تعريف دسترسي­‌هاي مورد نظر در فايرول اين سيستم، از ورود و يا خروج بسته­‌هاي غيرمجاز نيز جلوگيري نمود.

 ویدئوی نحوه پیاده‌سازی سناریوی چهارم

سناریوی پنجم

در اين سناریو با استفاده از نرم افزار کيهان کلاينت، ارتباطات کليه سيستم‌ها با يکديگر را امن مي‌نمائيم.

 ویدئوی نحوه پیاده‌سازی سناریوی پنجم

فایل‌های نصب

فایل‌های راهنما