امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 4
  • 1
  • 2
  • 3
  • 4
  • 5
هک و امنیت "کمی در باره هک"
#1
آی پی چیست : اعدادی است که شناسه ی کاربری ما تو اینترنت هستش مثل آدرس خونه و ....
ما هر زمان که به اینترنت وصل میشیم باید یه آدرس داشته باشیم که از طریف آن هم اطلاعات به آن آدرس فرستاده شود هم دریافت که, به آن آدرس آی پی می گویند. آی پی یک عدد 32 بیتی(هر 8 بیت = یک بایت) است مثل 000.000.000.000 که هر کدام از قسمت ها می تونه از 0 تا 255 باشد.بجز آی پی سرور هایی که سایت روشون قرار دارد و بعضی از اینترنت ها که آی پی ها متغیر هست.شما هر بار که به اینترنت وصل می شوید با دیال آپ و Adsl آی پی که به شما تعلق میگیرد فقط در آن رنج که در Isp دارد وجود تغیر می کند.
Port چیست: پرت مثل پنجره های یک خونه می مونه که هوا از آن داخل و خارج می شود. پورت رو می توان اینطوری تعریف کرد که داده ها و خروجی ها را وارد و خارج میکیند.Port ها را ما معمولا به عدد میشناسم.
مثل
Port 25 Email
Port 80 Http
Port 22 Ssh
Port 21 Ftp
Port 13 DateTime
و ....
سرور چیست : سرور ها کامپیوتر های معمولا قدرتمند ی هستند که با سرعت بالا به اینترنت وصل هست. هر سرور یک سیستم عامل داره که میتونه Linux یا Windows باشه ویا ... روی هر کدام از این سیستم عامل ها چند تا برنامه سرویس دهنده وصل هست مثل Apache یا Iis.هاست چیست : به فضای روی وب رو میگن هاست حالا این فضا ها از کجا اومده این فضا ها از جایی نیومده بلکه همان هارد دیسک های روی سرور هستند.دامین چیست : دامین رو میشه این جوری تعریف کرد که آدرس روی اینرنت رو دامین میگین.هر دامین یک آی پی هست در اصل که ما وقتی آدرس سایت رو وارد مرورگر میکنیم اون رو تبدیل به آی پی میکنه و ما سایت را میبینیم.لینوکس چیست : لینوکس یه سیستم عامل از خانواده ی یونیکس هست که به خاطر امنیت بالا در بیشتر سرور ها استفاده میشه.باگ چیست : باگ یعنی حفره ی امنیتی یا مشکل امنیتی که از آن طریق میتوان نفوذ کرد اکثر باگ هام توسط اشتباهات در برنامه نویسی رخ میدهد. ما باگ های زیادی در موارد مختلف داریم که مهمترین آنها در وب محدود میشه به :
Xss
Sql Injection
Lfi
Rfi
که به ترتیب نوشتنشون بیشتر دیده میشن
WebAppliction چیست : وب اپلیکیشن به سیستم های مدریت محتوا میگن یعنی مثل Php Nuke و Joomla وVbulletin , ...Remote چیست : به طور کلی میشه دسترسی از راه دور رو ریموت تعریف کرد.Local چیست : لوکال را می توان به دسترسی نزدیک و کامل تر از Remote تعریف کرد.هک کردن روش های مختلفی دارد :1 - sql injection :همان طور که مشاهده کردید sql injection یا تزریق کد یکی از باگ هایی هست که هر سایت ممکنه داشته باشد.
در این حالت هکر با وارد کردن کارکتر های غیر مجاز به دیتابیس باعث به وجود آمدن خطا هایی می شود که هکر با استفاده از این خطا ها می تواند اطلاعات دیتابیس را در آورده و در بعضی مواقع وارد و در بعضی مواقع یک فایل بسازد(Shell). (در زیر شل توضیح داده خواهد شد)
ما چندین نوع دیتابیس داریم که روش Inject کردن هر کدام با دیگری فرق داره
مانند Mysql , Mssql ,Access,Oracle,db2, و غیره.
که هر کدام از این دیتابیس ها خود دارای چندین ورژن مختلف هستن!
برای مثال mysql :
همان طور که در بالا ذکر گردید هکر با وارد کردن بعضی کارکتر های غیر مجاز باعث رخ دادن خطا در دیتابیس می شود و اگر برنامه نویس هنگام فرستادن دستورات کاربر به دیتابیس هیچ کنترلی روی کارکتر های ورودی صورت ندهد دیتابیس خطا میده و هکر با استفاده از این خطا ها بدون دسترسی داشتن اطلاعات رو بیرون می کشد.
همان طوری که دوستان اطلاع دارن اطلاعات سایت که با بانک ارتباطی در ارتباط هست در اطلاعات سایت در دیتابیس ذخیره میشه حالا هکر می تواند این اطلاعات را با استفاده از خطا هایی که به وجود میاره بخواند یا وارد کند.
چند نکته :
1 - هکر با استفاده از کارکتر های غیر مجاز مثل (') باعث به وجو امدن خطا میشیم.
2 - هکر از قسمت های مختلفی می تواند اینجکت کنیم مثل آدرس Url که با بانک اطلاعاتی در ارتباط باشه یا لاگین پیج یا هر جایی که باگ داشته باشه!
3 - هکر برای بدست آوردن اطلاعات داخل دیتابیس یا وارد کردن آن باید نام جداول یا فیلد ها رو بداند بعد اطلاعات را به دست یا وارد کند. اسم تیبل و فیلد را نیاز دارد برای اینکه بتواند اطلاعات اونها رو بخواند مثل این میمونه که ما باید آدرس یه شخصی رو بدونیم که بریم دم خونش !
2 - LFIهمان طور که در بالا توضیح داده شد یکی از باگ ها باگ rfi هست.این باگ با بی احطیاتی برنامه نویس در استفاده از توابع Include و ... به وجود میاد.
در اصل این توابع (include , require ... ) فایل یا صفحه ای رو فراخوانی میکنن که اگر روی این درخواست کنترلی نباشه میتونه منجر به باگ Rfi یا حتی Lfi بشه.
هک Lfi یا Local File Inclusion یک نوع دسترسی لوکال به هکر برای مشاهده ی فایل های سرور مورد نظر میده (یعنی به همه چیز روی سایتتون "نه سرورتون" دسترسی پیدا می کنه!). که همانطور که ذکر شد باگ Lfi بیشتر در اشتباهات برنامه نویس در استفاده از توابعی مثل Include ,require() و غیره رخ میده.
با استفاده از این باگ حرکت های زیادی میشه کرد از جمله
1 - تبدیل آن به اجرای دستورات از راه دور با استفاده از لوگ های Apache
2 - خواندن فایل های مهم سیستمی با فایل های config
و ...........
* Xss چیست : این باگ که یکی از فراون ترین باگ های موجود میباشد که طبق آمار 69 درصد وبسایت ها این باگ را دارن. از نظر امنیتی باگ مهمی به حساب نمیاد با استفاده از این باگ میشه روی سیستم قربانی انواع اقسام نفوذ رو انجام داد.(در قسمتی از سایت که باگ دارد شما قادر به اجرا کردن کد های JavaScript هستید که با استفاده از کد های جاوا اسکریپ کار های زیادی میشه انجام دارد!!!) . در حقیقت این باگ کمک می کنه تا هکر به سیستم نفوذ کند و سپس توسط یکی از همین روش هایی که توضیح داده شد (LFI و sql injection) سایت را هک کند.* استفاده از شل یا c99 :در این روش هکر از یک اسکریپت به نام شل استفاده می کند.ابتدا به مثال زیر جهت درک بهتر قدرت "شل" (shell) توجه نمایید:مثلا شما امنیت سایتتون در حد بینهایت زیاده و هکر کاملا از نفوذ مستقیم به سایت شما نا امید شده.پس تصمیم می گیره که شما رو دور بزنه .به این صورت کار خود را آغاز می کند که با یک جستجوی ساده نام میزبان شما را در می آورد.مثلا میزبان شما شرکت X است.بعد چک می کند و می بیند که میزبان شما علاوه بر سایت شما 100 سایت دیگر را هم میزبانی می کند.خب شروع می کند به جستجو و با کمی جستجو اون 100 سایت را پیدا می کند.حالا نوبت به هک کردن می رسد.منتها این بار نه سایت شما.بلکه سایت همسایه ی شما!اون سایت که احتمالا ادمین آن یادش رفته اصلا حتی پسورد بیشتر از 6 کاراکتر بگذارد به راحتی هک می شود.خلاصه بعد از هک سایت همسایه ی شما ، با یک شل مخصوص که خودش اون رو دی کد کرده (نا خوانا توسط آنتی ویروس) از سرور شما دسترسی روت می گیرد (یعنی به تمام فایل های موجود در کامپیوتر سرور که میزبانی سایت شما و اون 100 سایت دیگر را بر عهده دارد دسترسی پیدا می کند) و سایت شما را هک می کند.یک دماغ سوخته هم براتون می فرستد و کلی حال می کند.این هم نمونه ی این حمله!
چطور سایت هک شده رو برگردونم ؟
دقت کنید که استفاده از شل نیز یک روش کمکی هست.یعنی ابتدا هکر باید توسط یکی از دو روش گفته شده (ال اف آی و تزریق کد) سایت را هک کند و سپس می تواند از شل برای وسعت دادن به تخریب خود استفاده کند.لازم به ذکر است که هکر می تواند توسط شل حتی آنتی ویروس را از کار بیندازد و به سیستم ویروس تزریق کند یا یک حفره نامریی در سیستم ایجاد کند که هر وقت خواست دوباره برگردد و سایت را هک کند ، دسترسی روت از سرور بگیرد (یعنی به تمام فایل های سیستم عامل دسترسی پیدا کند و بتواند هر آنچه دوست دارد را تغییر دهد) و به بقیه ی سایت های روی اون سرور حمله کند و ...بهتر است بدانید - حمله ها : یکی از متداول ترین روش ها برای توقف سرویس دهی از راه دور حمله به وسیله بسته های نا متعارف است(یعنی سایت شما سر جاش می ماند و اطلاعاتتان حفظ می شود ولی سروری که سایت روی آن قرار دارد را به زانو در می آورد و دیگر سایت شما از دسترس کاربران خارج می شود!).این نوع حمله،در یکی از پروسه های TCP/IP ایجاد اشکال میکند و اگر سرویس دهنده هدف در یکی از پروسه ها دارای مشکل،ضعف و یا آسیب پذیری باشد ؛ قطعاً در هم شکسته خواهد شد .معمولاً در این نوع حملات حمله کنندگان در هاله امنیتی خود قرار گرفته و کمترین ردپایی از خود به جا می گذارد.در ادامه معروفترین حملات از این قسم را بیان می کنم.
(در حقیقت به این روش هک کردن گفته نمی شود چرا که نفوذی انجام نشده است!)
Ping of Death
در این نوع حمله یک بسته Ping با ظرفیتی بیش از 64 کیلوبایت برای هدف(قربانی) ارسال می شود .با توجه به اینکه ارسال بسته های Ping بزرگ تر از 64 کیلوبایت مجاز نمی باشد، پروسه Icmp با دریافت چنین بسته ای مختل خواهد شد.تا انجا که من اطلاع دارم بسیاری از سیستم های Unix و Windows و چابگر های شبکه در مقابل این نوع حمله آسیب پذیر هستند.
Winnuke
این نوع از حمله از اشتراک پورت بر روی Port tcp 139 ویندوز استفاده میکند.وقتی داده به پورتی که طبق پروتکل SMB مجاز فرمت نشده ، فرستاده می شود و در نتیجه سیسم دچار اختلال خواهد شد.
Land
در این نوع حمله ، یک بسته SPOOF شده به جایی که در آدرس IP مبدا و IP مقصد و همچنین پورت هایی یکسان در 2 سر ارتباط موجود است، فرستاده می شود.ماشین قربانی این بسته را گرفته و تحویل پروسه TCP می دهد ؛چون آدرس مبدا و مقصد یکی است این روال در چرخه افتاده و سیستم دچار سردرگمی شده که در نسخه های قدیمی TCP/IP سیستم دچار اختلال می گردد.
Latierra
تز خانواده حملات Land است، با این قابلیت اضافی که بسته های Land برای چند پورت باز بر روی ماشین هدف ارسال می شود.
Joh2
این نوع از حمله محصول سال 2000 از کشفیات نسبتاً جدیدتر است.امروزه Patch های این چنینی (Exploite) در دنیای زیر زمینی کامپیوتر کشف شده و به اشتراک گذاشته می شوند.
از جمله ابزار نیرومند چنین حملاتی می توان به TARGA نوشته Mixter و Spike نوشته Spikeman اشاره نمود.
حملات گروهی DOS مخفف Denial Of Service به معنی تکذیب سرویسالف ) حملات گروهی Dos که به اختصار به آن DDos گفته می شود نوعی از حملات هوشمند و زیرکانه Dos هست که نه تنها مشکلات قبلی حملات Dos را نداشته بلکه مزایایی چون پنهان بودن هویت نفوذگر ، عدم امکان مبارزه توسط قربانی و امکان موفقیت بسیار بالا برای یک حمله کننده را به ارمغان می آورد.
این نوع حمله برای اولین بار درتابستان 1999 در اینترنت ظاهر شد و سپس به طور فزاینده ای اینترنت را به یک میدان تمام عیار جنگ مبدل کرد به صورتی که سایت های بزرگی همچون :
Yahoo,Ebay,CNN,ADMet,Etrade از این نوع از حملات در امان نماندند و خبر هایی از ناتوانی آن ها برای مقابله و سپس فروپاشی آن ها گزارش شد.
در حملات DDos حمله کننده سعی می کند از ماشین هایی که در اینترنت پراکنده اند برای حمله یک هدف مشخص بهره ببرد(این ماشین ها چیزی نیست بجز سایت شما و امثال شما!!!!).
به عنوان مثال اگر حمله کننده قصد حمله به یک هدف مشخص به روش sys-flood را داشته باشد چندین ماشین را برای حمله به یک هدف مشخص بسیج میکند.مثلا اگر حمله کننده از 100 ماشین که هرکدام پهنای باند مفید 15Kbps برای کار او داشته باشند استفاده کند ، قربانی با سیل عظیمی معادل 1/5Mbps مواجه خواهد شد.
حمله کننده برای بدست آوردن این پهنای باند از ماشین های مختلف با نرم افزار های زامبی استفاده می کند (این نرم افزار ها معمولاً در قالب برنامه های جذاب و زیبا و رایگان ولی آلوده در سرتاسر اینترنت پراکنده میکند.)(برای مثال می توان یک افزونه ی پر کاربرد وردپرس را با این آلودگی منتشر کرد).به طور معمول نرم افزار های زامبی پس از اجرای ان در یک ماشین(کامپیوتر) منتظر فرمان می مانند و وقتی تعداد ماشین های زامبی زیاد باشد حمله کننده قادر به کنترل همه آنها نمی باشد .بنابر این در حمله به طریق DDos ماشین های زامبی در قالب "گروه" دسته بندی شده و سپس در این حالت هر گروه از ماشین های زامبی توسط یک "سرگروه" هدایت میشوند که خود سر گروه ها تحت کنترل ماشین حمله کننده می باشند.
ب ) حملات SYN Flood: حمله اخیر به سرورهای SCO از نوع DOS و حملات موسوم به SYN Flood بود.در این نوع از حمله با ارسال بسته های اطلاعاتی سعی می شود یک اتصال کامل میان ماشین ارسال کننده و سرور اصلی به طور مصنوعی برقرار شود. دیتای ارسالی با ظاهری کاملاً قانونی از طریق پروتکل های موجود رد می شود؛ اما دیتا مستقیماً پردازشگر سرور را مورد حمله قرار می دهد . بدین معنی که برای دریافت، خواندن و پاسخ به هر بسته اطلاعاتی به عنوان Request سرور نیاز به استفاده از Processor های خود دارد تا آن را آنالیز کند.در حالت عادی پردازشگر سرور یک بسته را نگه داشته و بعد از عملیات به آن جواب می دهد.هنگام نگه داشتن بسته اطلاعاتی، حافظه اشغال می شود .
در این میان هرچه تعداد بسته ها بیشتر بوده و بیشتر به صورت ناگهانی و سیل آسا به طرف حافظه حمله ور شود، حافظه سیستم را بیشتر اشغال کرده و سرور دچار تنگی شده و پردازش کند می شود.
حال اگر سرور ها بدین ترتیب Request مصنوعی دریافت کنند، آنقدر به سرور فشار می آید که ماشین هنگ می کند و بعد یا Restart می شود و یا راهبر آن را خاموش می کند.
سایت نت کرافت با مانیتور کردن SCO گزارش داد وجود حفره روی خط اینترنت و سرورهای SCO حملات بیشتر و متعددی را ایجاد کرد. آنالیز دیتای موسوم به BackScatter نشان از ترافیک بالا و غیر طبیعی روی میل سرور و فایل سرور و نیز اف.تی.پی سرور (FTP Server) سایتSCO داشت.به حدی که بر اساس گزارش نت کرافت 50 هزار بسته اطلاعاتی(Packet) در هر ثانیه سرور SCO را مورد هدف قرار داد و بعد میزان بسته ها کمتر شد و در هر ثانیه مقدار آن به 3هزار بسته در هر ثانیه رسید که در این میان از هر سه Request برای باز شدن سایت یکی از آنها پاسخ مثبت دریافت می کرد . دیوید کنراد مدیر Nominum در این باره گفت : مسئولان SCO می توانستند با نصب Syncookies جلوی حملات را روی سرور خود بگیرند.این برنامه IP های جعلی را که حافظه را با ارسال بسته های تقلبی پر می کند، شناسایی کرده و جلوی آن را میگیرد.
خب همان طور که می بینید دو روش نوذ به سیستم (هک) ال اف آی و تزریق اس کیو ال هست.
الف ) برای LFI وردپرس هکر باید به فایل کانفیگ که یکی از فایل های اصلی وردپرس است (در پوشه ی اصلی اون جایی که وردپرس را ذخیره کرده اید )موجوده نفوذ کند.
فایل کانفیگ در وردپرس قلب امنیتی سایت شما محسوب می شود و هر کسی که به این فایل دست یابد دیگه تمومه.
روش های مختلفی برای دور کردن این فایل از دست هکران وجود دارد
* می توان این فایل را فقط قابل خواندن کرد (آسان ترین روش)(که معمولا به صورت پیشفرض رعایت می شود)
* می توان این فایل را دی کد کرد (ناخوانا کرد.مثلا فکر کنید هکر فارسی زبانه و جز فارسی زبان دیگری بلد نیست.حالا اگر شما این فایل را به زبان هندی بنویسید هکر ازش چیزی سر در نمیاره!کد کردن یعنی اینکه به یک زبانی بنویسید که فقط خودتون و سایتتون اون رو می شناسد!)
* می توانید نام این فایل را از طریق ویرایش هسته وردپرس تغییر داد
* می توان از این فایل نسخه ی تقلبی ساخت و مثلا هکر وقتی وارد شد با فایل کانفیگ تقلبی با اطلاعات نادرست رو به رو شود و ساعت ها با همان مشغول شود!
ولی نکته ی قابل توجه این است که همه ی این کار ها یعنی دست بردن در هسته ی امن وردپرس که امنیتش شهره خاص و عام است.در حقیقت شما اگر فیلم جومونگ رو دیده باشید ، دیدید که وقتی قلعه گوکنی توسط قوای شورشی محاصره شده بود ، فرمانده موهیول از یک راه مخفی خیلی راحت از قلعه خارج شد و این در حالی بود که قوای شورشی پشت دروازه های این قلعه بودند.نکته همین جاست.همیشه راههای مخفی برای ورود و خروج به یک سایت وجود دارد.و وای به حال اون وبمستری که هکر این راه ها را بشناسد.در حقیقت بدی وردپرس همین است.امنیت وردپرس خیلی بالاست ولی از اونجایی که به صورت متن باز دست هر ننه قمری هست پس در عمل نقشه ی سایت شما با تمام راه های مخفی اش دست همه هست و این برگ برنده ی هکر است.شما با تغییر در هسته وردپرس عملا به امنیت سایت خود اضافه نمی کنید.بلکه با عوض کردن نام فایل ها و پوشه ها و ... نقشه ی سایت خود را تغییر می دهید تا هکر با یک چیز غیر منتظره رو به رو شود و برنامه هایی که از قبل چیده شکست بخورد.
منتها وقتی در هسته ی وردپرس تغییر ایجاد می کنید عملا دیگر فقط اسم اون اسکریپت وردپرس باقی می ماند.ولی در عمل شما یک اسکریپت دست ساز ساخته اید.پس احتمالا در آپدیت کردن و یا نصب افزونه ها به شدت به مشکل بر می خورید.لذا این کار ها کار بسیار تخصصی است و از عهده ی هر کسی بر نمی آید.کسی این کار ها را انجام می دهد که کاملا با طرز کار وردپرس و تمام دستوراتش آشنا باشد و بداند پیامد هر دستوری که می دهد چیست.بیخودی که 200 تومن 200 تومن بابت منیج یک سایت نمی گیرند.همین کار ها رو می کنند دیگر!
ب ) روش دیگر تزریق کد هست که همانطور که در بالا گفته شد ، قبل از حمله هکر باید از فرمت جداول بانک اطلاعاتی شما و همچنین نام این جداول آگاه باشد.پس یک راه خیلی ساده برای جلوگیری از این حمله ها تغییر نام جداول بانک اطلاعاتی پیش فرض وردپرس هست.به این صورت که قبل از نصب وردپرس باید به فایل کانفیگ رفته و در همان جایی که اطلاعات بانک اطلاعاتی mysql خود را وارد می کنید ، نام پسوند این جداول را هم به یک نام دلخواه تغییر دهید.حملات
ج)برای جلوگیری از حملات اکسپلوییت (exploit) کاری از دست شما روی هاست اشتراکی (میزبانی وب) بر نمی آید و شما باید هاست خود را از یک جای معتبر و مطمئن که مرتبا سرور ها را مانیتور می کند تهیه کنید.سخت افزار هایی برای جلوگیری از این حمله ها ساخته شده که گران هستند و همه ی میزبانان وب از آن ها استفاده نمی کنند.بالاخره یک فرقی بین هاست ارزان و گران هست دیگر.(این کار ها هزینه دارد!مانیتور و آنتی دی داس سخت افزاری)
شما علاوه بر ساختن دیوار های دفاعی این چنینی یک راه دیگر هم دارید و اون حمله ی متقابل است.این کار شبیه به مین گذاری سایتتون هست.اگر هکر بی احتیاطی کند و روی این مین ها برود سرور شما متقابلا به کامپیوتر هکر حمله می کند و اینجا واقعا هکر عاجز خواهد شد.
مثلا شما جای پوشه ی ادمین (wp-admin)را عوض کرده اید.حالا یک پوشه ی ادمین تقلبی می سازید!توی این پوشه یک فایل با نام index می گذارید که با "الگوریتم شناور دایمانورس" نوشته شده است.خصوصیت این الگوریتم این است که با بازشدن صفحه ی لوگین-ادمین توسط هکر این الگوریتم به کار افتاده و کامپیوتر هکر مورد حمله ی بار اضافی قرار می گیرد و مژینگای سیستم هکر به درجه ی اشتعال می رسد!!!!!!!!
بلخره اومدم :|
دلتون واسم تنگ شده بود
عخییییی d:
پاسخ
 سپاس شده توسط ستاره.ح ، WiSe ، Dash @li
#2
[تصویر:  amniyat.%20shabakeh.jpg]



رمز توسعه نیافتگی امنیت شبکه

وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند.
وقتی از امنیت شبکه صحبت می کنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی که هر کدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می آید، قضیه تا حدودی پیچیده می شود. ترکیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یک علم بعد کاربردی آن است.
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید، ممکن است این سوال برایتان مطرح شود که " حالا باید از کجا شروع کرد؟ اول کجا باید ایمن شود؟ چه استراتژی را در پیش گرفت و کجا کار را تمام کرد؟ به این ترتیب " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی حتی در تست نفوذ ندارید (که البته این حسی طبیعی است ).
پس اگر شما نیز چنین احساسی دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبکه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها هم Access List رو اولین لایه دفاعی می دانند، اما واقعیت این است که هیچکدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی وجود یک خط مشی (Policy) هست. بدون policy، لیست کنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدون policy شروع به ایمن سازی شبکه کنید، محصول وحشتناکی از کار در می آید.
با این مقدمه، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه می خواهید و چه نمی خواهید، کار را شروع می‌شود. حال باید پنج مرحله رو پشت سر بگذاریم تا کار تمام شود. این پنج مرحله عبارت اند از :
۱) Inspection ( بازرسی )
۲) Protection ( حفاظت )
۳) Detection ( ردیابی )
۴) Reaction ( واکنش )
۵) Reflection ( بازتاب)
در طول مسیر ایمن سازی شبکه از این پنج مرحله عبور می کنیم، ضمن آن که این مسیر، احتیاج به یک تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه را طی کند.
۱) اولین جایی که ایمن سازی را شروع می کنیم، ایمن کردن کلیه سندیت های (authentication) موجود است. معمولا رایج ترین روش authentication، استفاده از شناسه کاربری و کلمه رمز است.
مهمترین قسمت هایی که باید authentication را ایمن و محکم کرد عبارتند از :
- کنترل کلمات عبور کاربران، به ویژه در مورد مدیران سیستم.
- کلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاکید بیشتری می شود، زیرا از آنجا که این ابزار (device) به صورت plug and play کار می کند، اکثر مدیرهای شبکه از config کردن آن غافل می شوند. در حالی توجه به این مهم می تواند امنیت شبکه را ارتقا دهد. لذا به مدیران امنیتی توصیه میشود که حتما سوییچ و روتر ها رو کنترل کنند ).
- کلمات عبور مربوط به SNMP.
- کلمات عبور مربوط به پرینت سرور.
- کلمات عبور مربوط به محافظ صفحه نمایش.
در حقیقت آنچه که شما در کلاس‌های امنیت شبکه در مورد Account and Password Security یاد گرفتید این جا به کار می رود.
۲) گام دوم نصب و به روز رسانی آنتی ویروس ها روی همه کامپیوتر ها، سرورها و میل سرورها و همچنین تست نفوذ است. ضمن اینکه آنتی ویروس های مربوط به کاربران باید به صورت خودکار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک نیز باید به کاربران داده شود.
۳) گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذکر شده، کلیه سرورها، سوییچ ها، روتر ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.
۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایل ها و دایرکتوری ها است. ضمن اینکه اعتبارهای( account) قدیمی هم باید غیر فعال شوند.
گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود. بعد از پایان این مرحله، یک بار دیگر امنیت سیستم عامل باید چک شود تا چیزی فراموش نشده باشد.
۵) حالا نوبت device ها است که معمولا شامل روتر، سوییچ و فایروال می شود. بر اساس policy موجود و توپولوژی شبکه، این ابزار باید config شوند. تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.
۶) قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نکته مهمی که وجود دارد این است که باید مطمئن بشویم که سیستم backup و بازیابی به درستی کار کرده و در بهترین حالت ممکن قرار دارد.
۷) امنیت فیزیکی. در این خصوص اول از همه باید به سراغ UPS ها رفت. باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند. به طور کل آنچه که مربوط به امنیت فیزیکی می شود در این مرحله به کار می رود.
۸) امنیت وب سرور یکی از موضوعاتی است که باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.
(توجه:هیچ گاه اسکریپت های سمت سرویس دهنده را فراموش نکنید )
۹) حالا نوبت بررسی، تنظیم و آزمایش سیستم های Auditing و Logging هست. این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد. سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود. در ضمن ساعت و تاریخ سیستم ها درست باشد چرا که در غیر این صورت کلیه اقداما قبلی از بین رفته و امکان پیگیری های قانونی در صورت لزوم نیز دیگر وجود نخواهد داشت.
۱۰) ایمن کردن Remote Access با پروتکل و تکنولوژی های ایمن و Secure گام بعدی محسوب می شود. در این زمینه با توجه به شرایط و امکانات، ایمن ترین پروتکل و تکنولوژی ها را باید به خدمت گرفت.
۱۱) نصب فایروال های شخصی در سطح host ها، لایه امنیتی مضاعفی به شبکه شما میدهد. پس این مرحله را نباید فراموش کرد.
۱۲) شرایط بازیابی در حالت های اضطراری را حتما چک و بهینه کنید. این حالت ها شامل خرابی قطعات کامپیوتری، خرابکاری کاربران، خرابی ناشی از مسایل طبیعی ( زلزله - آتش سوزی – ضربه خوردن - سرقت - سیل) و خرابکاری ناشی از نفوذ هکرها، است. استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
به خاطر داشته باشید که " همیشه در دسترس بودن اطلاعات "، جز، قوانین اصلی امنیتی هست.
۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.
به گفته کارشناسان و متخصصان شبکه، رمزنگاری در کنار انجام تست نفوذ مهم‌ترین ابزار برقراری امنیت در فضای تبادل داده‌ها است. که با توجه به سیاست‌های کلان دولت و تعیین برنامه‌های پنج ساله در حوزه IT می‌توان به اهمیت و جایگاه رمز و امنیت شبکه در کشور نیز پی برد.بر اساس ماده ۴۴ قانون برنامه چهارم توسعه، دولت موظف است که تا پایان برنامه، سند امنیت فضای تبادل اطلاعات را در محیط شبکه تهیه و تدوین کند. این تاکید صریح دولت بر امنیت شبکه و همچنین تشکیل شورای عالی افتا (امنیت فضای تبادل اطلاعات) – که اکنون ادغام شده است – بر اهمیت موضوع دلالت دارد. از طرفی کارشناسان نیز معتقدند با توجه به روند روبه‌رشد و گسترده اطلاعات و حجم فزاینده تبادل اطلاعات بین شبکه‌ای، می‌طلبد که دولت و انجمن‌ها به اتخاذ سیاست‌ها و راهکارهایی اساسی برای امنیت شبکه‌ها مبادرت ورزند.دکتر مجید نادری، کارشناس رمزنگاری در این باره می‌گوید: با توجه به الکترونیکی شدن مکاتبات نیاز به امنیت اطلاعات و رمزنگاری به منظور جلوگیری از هرگونه دستبرد اطلاعاتی بیش از گذشته احساس می‌شود.وی می‌افزاید: رمزنگاری یکی از ارکان اصلی امنیت سیستم‌ها و شبکه‌هاست. در واقع رمزنگاری اطلاعات را به شکلی تبدیل می‌کند که از دید نامحرمان پنهان می‌ماند.وی در مورد اهمیت رمزنگاری در تبادل اطلاعات و همکاری با کشورهای دیگر می‌گوید: امنیت موضوعی است که تبادل اطلاعات بین‌المللی در آن نباید به صورت کامل انجام شود ولی در حد مجاز می‌توانیم از اطلاعات کشورهای دیگر نیز مطلع شویم. نادری با اشاره به فرهنگ استفاده از تکنولوژی در ایران می‌گوید: در ابتدای کار ما به هر پدیده نو خصمانه برخورد می‌کنیم و نمی‌توانیم به سرعت با آن ارتباط برقرار کرده، آن را بپذیریم. اما بعد از گذشت مدت زمان بسیاری ضرورت موضوع درک می‌شود و این زمانی است که برای فرهنگ‌سازی باید تلاش بیش‌تری کرد.وی می‌افزاید: موضوع امنیت نیز گرفتار همین روند شده است. برای مثال برخورد ابتدایی ما با اینترنت یا موبایل مثبت نبود و چندان تمایلی به استفاده از آنها نداشتیم و زمانی از آنها استفاده کردیم که دیر شده بود و از قافله جهانی عقب مانده بودیم.این امر باعث تاخیر در ورود و جایگیری این تکنولوژی‌ها در کشور و به عبارتی تاخیر توسعه می‌شود.وی می‌افزاید: برای تامین امنیت، لازم است به جرایم اینترنتی نیز توجه شود. اما تاکنون اقدامی در این زمینه انجام نشده است.
وی می‌افزاید: متاسفانه مسوولان توجهی به طرح‌هایی که در زمینه امنیت ارایه می‌شود، ندارند. برای مثال آزمایشگاه رمزنگاری و سیستم رمز، طرحی به منظور رمزگذاری موبایل و محفوظ ماندن مکالمات شخصی به مخابرات ارایه داده ولی هیچ گونه استقبالی از این طرح انجام نشده است.
وی در مورد استقبال کردن از این طرح می‌گوید: تنها علتی که باعث می‌شود مخابرات این طرح را قبول نکند این است که آنها هنوز اهمیت این قضیه را درک نکرده‌اند.
● مدیریت ریسک پذیر می‌خواهیم
با این حال اگر چه ورود به هر حوزه‌ای از فناوری در کشور ایران به دلیل برخی سیاست‌ها همواره با کاستی‌هایی مواجه بوده است. اما این کاستی‌ها را نیز می‌توان با بیان راه‌ حل‌ها و عملی کردن آن،‌ برطرف کرد.
امنیت شبکه نیز یکی از مواردی است که می‌توان با ارایه راهکارها و راه‌حل‌ها، خلاءهای موجود در استفاد از آن را پر کرده که یکی از این راه‌حل‌ها فرهنگ‌سازی در سطح مدیران میانی و ارشد کشور است. فرهنگ‌سازی برای مدیریت ریسک‌پذیر می‌تواند تا حدودی کاستی‌ها را جبران کند.مهدی فشارکی، کارشناس کامپیوتر در این‌باره می‌گوید: ایران به لحاظ امنیت در سطح بسیار پایینی قرار دارد که این امر نشات گرفته از فقدان فرهنگ مناسب در استفاده از امنیت در محیط شبکه است. فرهنگ‌سازی باید به گونه‌ای باشد که مدیران را برای ریسک‌پذیری آماده کند.
وی می‌افزاید: برگزاری کنفرانس‌های علمی با حضور مدیران دولتی و متخصصان و همچنین ایجاد مرکز علمی به منظور فراهم‌آوردن زمینه تبادل نظر میان دولت و دانشگاه، می‌تواند به تقویت دانش استفاده مدیران از امنیت در محیط شبکه کمک کند.
چراکه تا زمانی که مدیران کشور از متخصصان و مراکز علمی دانشگاهی به منظور همکاری در رمزنگاری و امنیت شبکه استفاده و بهره کافی را نبرند، نمی‌توان امنیت شبکه را در سطح بین‌المللی تامین کرد. نادری نیز دراین‌باره می‌گوید: برای حل مشکلات موجود در سیستم‌های امنیتی کشور باید در مرحله اول احساس نیاز به‌وجود آید که این مهم نیز مستلزم همکاری دولت است.
وی می‌افزاید: هم‌اکنون با حمایت دفتر IT ریاست جمهوری و قدم‌هایی که به سمت فعال‌کردن دانشگاه‌ها برداشته شده است امید داریم بتوانیم به سرعت عقب‌ماندگی در بهره‌گیری از فناوری‌های جدید را جبران کنیم.وی می‌افزاید: در کنفرانس رمز ایران از کارشناسان برجسته رمزنگاری جهان دعوت به عمل آمد و توانستیم از اطلاعات آنان استفاده کنیم.
● امنیت، نیاز ضروری دولت الکترونیکی
کشورهای توسعه یافته در سطح کلان و حتی در بحث سیاست‌های اجرایی با اتخاذ تدابیری سعی بر این دارند که میزان امنیت شبکه‌های خود را با استفاده از روش‌های نوین رمزنگاری افزایش دهند. این در حالی است که در ایران با وجود تدوین یک قانون به این منظور، همچنان توجه چندانی به این موضوع مبذول نشده و رمزنگاری و امنیت شبکه در کشور به کندی پیش می‌رود.
از سویی نامطلوب‌بودن وضعیت رمزنگاری و امنیت شبکه نیز موجب نارضایتی کارشناسان و متخصصان کامپیوتر و شبکه شده است، به نحوی که اغلب آنها با صراحت بر نامطلوب‌بودن و حتی کارشناسی نبودن برخی فعالیت‌ها اذعان دارند.اکبر زارع، مسوول مرکز تحقیقات ریاضی در این زمینه معتقد است، کشور ایران به لحاظ امنیت در سطح بسیار پایینی قرار دارد که این امر نشات گرفته از فقدان فرهنگ مناسب در استفاده از امنیت در محیط شبکه است.در همین حال، به گفته مهدی فشارکی، کارشناس کامپیوتر پایین‌بودن سطح فرهنگ به دلیل نبود مدیریت ریسک‌پذیر است.
وی می‌افزاید: باوجود فعالیت‌های دولت در زمینه تحقق دولت الکترونیکی، همچنان موضوع امنیت شبکه مورد کم‌توجهی قرار گرفته است.
وی در مورد فعالیت‌هایی که در زمینه دولت الکترونیکی انجام شده، می‌گوید: عملیات بانکی، پست الکترونیکی و بسیاری موارد دیگر به تازگی شروع به کار کرده‌اند، بنابراین ایجاد شبکه نیز امری جدید است و نیاز به اهمیت آن بیش از گذشته احساس می‌شود.
پاسخ


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  ۴ مشکل جدی HTTPS و امنیت SSL در وب مهدی علینقیان 1 156 20-08-2015، 12:26 PM
آخرین ارسال: tabesh
  موارد مهم در تامین امنیت بر روی یک شبکه tabesh 0 59 09-08-2015، 11:17 PM
آخرین ارسال: tabesh

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان