واحد دانش و تکنولوژی تبیان زنجان

امروزه اينترنت به يکي از ارکان ارتباطي بين افراد و سازمان ها تبديل شده است. بسياري از ما روزانه اطلاعاتي از اين طريق مي گيريم يا مي فرستيم. اين اطلاعات از نظر اهميت با هم تفاوت زيادي دارند. برخي از اين اطلاعات مانند اخبار يک سايت اهميت امنيتي چنداني ندارند، اما در طرف ديگر اسناد شخصي مثل ايميل ها، رمز حساب هاي بانکي و ... قرار دارند که دوست نداريم به دست ديگران بيافتند.

اطلاعاتي که در حالت عادي بين کاربران و دنياي اينترنت رد و بدل مي شوند، به گونه اي هستند که يک هکر يا خراب کار حرفه اي مي تواند آنها را ببيند و براي اهداف خود مورد سواستفاده قرار دهد. مثلا در يک خريد اينترنتي، زماني که قصد داريد براي پرداخت به حساب بانکي خود وارد شويد، سايت از شما رمزعبور مي خواهد. حال اگر سايت مورد نظر فاقد برنامه هاي امنيتي لازم باشد، ممکن است اطلاعات شما در ميانه راه بدون آنکه متوجه شويد، دزديده شوند و اگر بد شانس باشيد چند روز بعد که به حساب تان سر مي زنيد آن را خالي شده مي يابيد.

اما احتمال اين اتفاق بسيار اندک است، زيرا اکثر حساب هاي بانکي و سايت هايي از اين قبيل که با اطلاعات حساس و مهم در ارتباط اند، معمولا از روش هايي براي رمزگذاري (Encrypt) اطلاعات استفاده مي کنند. در اين حالت اگر اطلاعات در ميان راه دزديده شوند جاي نگراني نخواهد بود، زيرا شکستن رمز آنها تقريبا غيرممکن است.

اطلاعات معمولاً کي و کجا دزديده مي شوند؟

زماني که آدرس يک سايت را در مرورگر وارد مي کنيم اطلاعات بين کامپيوتر ما و کامپيوتري که سايت روي آن قرار دارد (سرور) در حال رد و بدل هستند. پس اگر بتوانيم به طريقي ارتباط بين کامپيوتر خود و کامپيوتر سرور را امن کنيم اطلاعات ما دزديده نخواهند شد.

اطلاعات در اينترنت چگونه جابجا مي شوند؟

اطلاعات در اينترنت - درست مثل فرستادن يک نامه- به صورت فايل هاي متني جابجا مي شوند. همان طور که يک نامه از زماني که در صندوق پست گذاشته مي شود تا زماني که به صاحبش مي رسد در دست افراد مختلفي قرار مي گيرد، به همان صورت نيز اطلاعات ما توسط سيستم هاي زيادي دست به دست مي شود تا به سايت يا شخص مورد نظر مي رسد. اگر اطلاعات به صورت عادي فرستاده شوند، هر کدام از سيستم هاي بين راه مي توانند آنها را ببينند. پس براي جلوگيري از خوانده شدن و سرقت احتمالي، بايد آنها را رمزگذاري کرد. با يک مثال مسئله را روشن تر مي کنم. فرض کنيد مي خواهيد براي نامزد خود يک نامه بنويسيد. اما دوست نداريد افراد خانواده او بتوانند آن نامه را بخوانند. يکي از راه ها اين است که نوشته ها را به رمز بنويسيد، رمزي که فقط نامزدتان از آن سر در بياورد! در اينترنت هم براي اينکه هکرها نتوانند اطلاعات را بفهمند، آنها را به رمز در مي آورند. يکي از بهترين و متداول ترين روش‌هاي رمز گذاري اينترنتي، استفاده از پروتکل اس ال ال است.

اس اس ال چيست؟

SSL مخفف کلمه Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي(مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است که توسط شرکت Netscape ابداع شده.

از اين پروتکل براي امن کردن پروتکل هاي غيرامن نظيرHTTP ،LDAP ، IMAP و ... استفاده مي شود. بر اين اساس يکسري الگوريتم هاي رمزنگاري بر روي داده هاي خام که قرار است از يک کانال ارتباطي غيرامن مثل اينترنت عبور کنند، اعمال مي‌شود و محرمانه ماندن داده‌ها را در طول انتقال تضمين مي‌کند.

به بيان ديگر شرکتي که صلاحيت صدور و اعطاء گواهي هاي ديجيتال اس اس ال را دارد، براي هر کدام از دو طرفي که قرار است ارتباطات ميان شبکه‌اي امن داشته باشند، گواهي‌هاي مخصوص سرويس دهنده و سرويس گيرنده را صادر مي‌کند و با مکانيزم هاي احراز هويت خاص خود، هويت هر کدام از طرفين را براي طرف مقابل تأييد مي‌کند. البته علاوه بر اين تضمين مي کند، اگر اطلاعات حين انتقال به سرقت رفت، براي رباينده قابل درک و استفاده نباشد که اين کار را به کمک الگوريتم هاي رمزنگاري و کليدهاي رمزنگاري نامتقارن و متقارن انجام مي‌دهد.

ملزومات ارتباط بر پايه اس اس ال

براي داشتن ارتباطات امن مبتني بر اس اس ال عموماً به دو نوع گواهي ديجيتال اس اس ال، يکي براي سرويس دهنده و ديگري براي سرويس گيرنده و يک مرکز صدور و اعطاي گواهينامه ديجيتال(Certificate authorities) نياز است. وظيفه CA اين است که هويت طرفين ارتباط، نشاني ها، حساب هاي بانکي و تاريخ انقضاي گواهينامه را بداند و براساس آن ها هويت ها را تعيين نمايد.

رمزنگاري

رمزنگاري (Cryptography) علم به رمز در آوردن (encryption) اطلاعات است. توضيح روش هاي بسيار پيچيده اي که امروزه براي رمزنگاري استفاده مي شود از حوصله اين مطلب خارج است، اما براي رفع ابهام، در زير به يکي از ساده ترين روش هاي رمزنگاري مي پردازيم:

مي دانيم که هر حرف در الفبا جايگاهي دارد. مثلا حرف «الف قبل از ب» و «حرف م قبل از ن» قرار دارد.

حال، اگر بخواهيد يک جمله را به رمز در آوريد. در ساده ترين شکل ممکن، هر حرف را با حرف بعدي خود در الفبا جايگزين مي کنيد.

يعني به جاي «الف» حرف «ب»، به جاي «ب» حرف «پ»، ... ، به جاي «ه» حرف «ي» و به جاي حرف «ي» حرف «الف» را مي گذاريد.

با اين کار مي توان جمله «بابا آب داد» را به جمله بي معني «پبپب بپ ذبذ» تبديل کرد که اگر فردي کليد رمز را نداشته باشد، به هيچ وجه از آن سر در نمي آورد.

اس اس ال چگونه کار مي کند؟

اس اس ال در واقع پروتکلي است که در آن ارتباطات بوسيله يک کليد، رمزگذاري(Encryption) مي شوند. زماني که قرار است يکسري اطلاعات را به صورت اس اس ال به يک سايت که سرور (server) اش گواهي نامه اس اس ال را دارد (در آدرس سايت https است) ارسال شود. ابتدا بايد از يک کليد به عنوان قالبي براي به رمز در آوردن اطلاعات بين خدمات گيرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. براي ساخت اين کليد نياز به چند مرحله هماهنگي به شرح زير است.

1. وقتي سروري بخواهد پروتکل اس اس ال را فعال کند. ابتدا يک کليد عمومي (Public Key) مي سازد.

2. سپس کليد عمومي را همراه با يک درخواست گواهي نامه اس اس ال به يکي از صادرکنندگان اين گواهي نامه ها مثل وريساين (Verisign) مي فرستد.

3. وريساين نيز ابتدا مشخصات و ميزان قابل اعتماد بودن و امنيت سرور را ارزيابي کرده و کليد عمومي را دوباره رمزگذاري مي کند و براي سرور مي فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کليد جديد کليد امنيتي (private key) مي گويند.

4. حال هر زمان که کاربر بخواهد از طريق پروتکل اس اس ال به اين سايت دست يابد، ابتدا کامپيوتر کاربر يک کليد عمومي براي سرور مي فرستد (هر کامپيوتري کليد مخصوص به خود را دارد).

5. سرور نيز اين کليد عمومي را با کليد امنيتي خود مخلوط کرده و از آن کليد جديدي مي سازد. سپس آن را به کامپيوتر کاربر مي فرستد.

6. از اين به بعد تمامي اطلاعاتي که بين کاربر و سرور جابجا مي شوند با اين کليد جديد رمز گذاري مي شوند.

واضح است که نيازي به دانستن تمام اين جزييات نيست و ما جهت رفع کنجکاوي آنها را آورده ايم. فقط اين را بدانيد که با استفاده از اين سرويس اطلاعات کاملا رمزنگاري و باز کردن آنها تقريبا غير ممکن است. تنها وظيفه شما به عنوان کاربر اين است که از اين امکانات استفاده کنيد و پروتکل اس اس ال را در مرورگر، ايميل و ديگر حساب هاي خود که سرور آن به شما اين امکان را مي دهد، فعال کنيد.

اگر هم يک مدير سرور هستيد، سعي کنيد گواهي نامه پروتکل اس اس ال را از صادرکنندگان آن مثل Verisign و Thawte خريداري و در اختيار بازديدکنندگان خود بگذاريد.

چگونه مي توان مطمئن شد، يک سايت از اس اس ال استفاده مي کند؟

اين بخش بسيار ساده اما مهم و حياتي است. براي اين کار ابتدا وارد آن سايت شويد. زماني که صفحه به طور کامل بارگذاري (load) شد، به ابتداي آدرس آن نگاه کنيد. مي بايست به جاي http حروف https نوشته شده باشد (منظور از حرف s در پايان http عبارت secure است). البته در اين حالت يک علامت قفل هم در مرورگر ديده مي شود. جاي اين قفل در مرورگرهاي مختلف متفاوت است. در فايرفاکس و اينترنت اکسپلورر در پايين و سمت راست صفحه، در نوار وضعيت (status bar) و در مرورگرهاي سافاري، کروم و اپرا در سمت راست آدرس ديده مي شود.

نکته جالب در خصوص اين قفل کوچک اين است که با دو بار کليک کردن بر روي آن، مي‌توانيد مشخصات کامل گواهي اس اس ال سايت مورد نظر را ببينيد. مهم‌ترين نکته در خصوص اين اطلاعات تاريخ خريد و انقضاي اين گواهينامه است که بايد به آن توجه داشته باشيد.

حتي اگر اطلاعات چندان مهمي را رد و بدل نمي کنيد، پيشنهاد مي کنيم که از اس اس ال استفاده کنيد. وقتي سرويسي با امنيت بالا و رايگان در اختيارتان قرار مي گيرد، چرا از آن بهره نبريد؟ در زير چند نمونه از روش هاي استفاده از اين پروتکل را مي توانيد مطالعه کنيد.

مرورگر

در فايرفاکس 3 پروتکل اس اس ال به صورت پيش فرض فعال است. البته براي فعال و غير فعال کردن اين امکان مي‌توانيد به روش زير اقدام کنيد:

از منوي Tools فايرفاکس، گزينه Options را انتخاب کنيد. در پنجره باز شده از سربرگ Advanced بخش Encryption را باز کنيد. مي بينيد که به صورت پيش فرض Use SSL 3.0 تيک خورده است.

امنیت تجهیزات شبکه

    برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.

    اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.

    در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :

-       امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه

-       امنیت تجهیزات شبکه در سطوح منطقی

-       بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها

    موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :

-       امنیت فیزیکی

-       امنیت منطقی

۱ – امنیت فیزیکی

    امنیت فیزیکی بازه‌ وسیعی از تدابیر را در بر می‌گیرد که استقرار تجهیزات در مکان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.

    در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌هایی که از این طریق تجهزات شبکه را تهدید می‌کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.

۱-۱ – افزونگی در محل استقرار شبکه

    یکی از راه‌کارها در قالب ایجاد افزونگی در شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است. در این راستا، شبکه‌ی ثانویه‌ی، کاملاً مشابه شبکه‌ی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد،‌ در محلی که می‌تواند از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای نه چندان کوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به طور کاملاً جایگزین استفاده کرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممکن برسد.

    با وجود آنکه استفاده از این روش در شبکه‌های معمول که حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امکان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.

۱-۲ – توپولوژی شبکه

    طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند.

    در این مقوله،‌ سه طراحی که معمول هستند مورد بررسی قرار می‌گیرند :

الف – طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.

ب – طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی،‌ که می‌تواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال می‌شود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته می‌شود.

ج – طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد کرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.

۱-۳ – محل‌های امن برای تجهیزات

    در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار می‌گیرد :

-     یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای که هرگونه نفوذ در محل آشکار باشد.

-     در نظر داشتن محلی که در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.

با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکان‌های بلااستفاده سود برده است (‌که باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.

    در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :

-       محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری دسترسی‌های انجام شده.

-       استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.

-       اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.

۱-۴ – انتخاب لایه کانال ارتباطی امن

    با وجود آنکه زمان حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری بحرانی است.

    عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود.

۱-۵ – منابع تغذیه

    از آنجاکه داده‌های شناور در شبکه به منزله‌ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌کنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :

-       طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌. این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکه‌ی تامین فشار بیش‌اندازه‌ای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.

-       وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.

۱-۶ – عوامل محیطی

    یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره کرد :

-       احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)

-       زلزله، طوفان و دیگر بلایای طبیعی

    با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.

۲ – امنیت منطقی

    امنیت منطقی به معنای استفاده از روش‌هایی برای پایین آوردن خطرات حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم.

۲-۱ – امنیت مسیریاب‌ها

    حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :

-       حمله برای غیرفعال سازی کامل

-       حمله به قصد دستیابی به سطح کنترل

-       حمله برای ایجاد نقص در سرویس‌دهی

    طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند.  لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ی آنرا تشکیل می‌دهد.

۲-۲ – مدیریت پیکربندی

    یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگاهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.

    با وجود نسخ پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.

    نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

۲-۳ – کنترل دسترسی به تجهیزات

    دو راه اصلی برای کنترل تجهزات فعال وجود دارد :

-       کنترل از راه دور

-       کنترل از طریق درگاه کنسول

    در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استاندارها و پروتکل‌های خاص، احتمال حملات را پایین آورد.

    در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تآمین نمی‌کند.

    برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل نمود.

۲-۴ – امن سازی دسترسی

    علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.

    از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را مرجح می‌دانند.

۲-۵ – مدیریت رمزهای عبور

    مناسب‌ترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

۳ – ملزومات و مشکلات امنیتی ارائه دهندگان خدمات

    زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می‌آید، مقصود شبکه‌های بزرگی است که خود به شبکه‌های رایانه‌ای کوچکتر خدماتی ارائه می‌دهند. به عبارت دیگر این شبکه‌های بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکه‌ی جهانی اینترنت کنونی را شکل می‌دهند. با وجود آنکه غالب اصول امنیتی در شبکه‌های کوچکتر رعایت می‌شود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکه‌ها مطرح هستند.

۳-۱ – قابلیت‌های امنیتی

    ملزومات مذکور را می‌توان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :

۱ – قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات

۲ – وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بسته‌هایی که به قصد حمله بر روی شبکه ارسال می‌شوند. از آنجاییکه شبکه‌های بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستم‌های IDS بر روی آنها، می‌توان به بالاترین بخت برای تشخیص حملات دست یافت.

۳ – قابلیت تشخیص منبع حملات. با وجود آنکه راه‌هایی از قبیل سرقت آدرس و استفاده از سیستم‌های دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار می‌نمایند، ولی استفاده از سیستم‌های ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازه‌ی مشکوک به وجود منبع اصلی می‌نماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام می‌گردد.

۳-۲ – مشکلات اعمال ملزومات امنیتی

    با وجود لزوم وجود قابلیت‌هایی که بطور اجمالی مورد اشاره قرار گرفتند، پیاده‌سازی و اعمال آنها همواره آسان نیست.

    یکی از معمول‌ترین مشکلات،‌ پیاده‌سازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر می‌شود، برای دسته‌ای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بسته‌های اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها می‌توان متوسل به تجهیزات گران‌تر و اعمال سیاست‌های امنیتی پیچیده‌تر شد.

    با این وجود،‌ با هرچه بیشتر حساس شدن ترافیک و جریان‌های داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکه‌های کوچکی که خود به شبکه‌های بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکه‌ها می‌توان داشت.

منبع:گروه امدادامنیت کامپیوتری ایران

واحد دانش و تکنولوژی تبیان زنجان

در راستای ایجاد امنیت در یک شبکه اینترنتی بی‌سیم، نخستین دیوار دفاعی که باید در برابر بیگانگان ایجاد کند، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا اگر فردی بتواند به این قسمت وارد شود، به تمام تنظیمات امنیتی شبکه دسترسی‌می‌یابد.

امروزه اینترنت ADSL به صورت کالایی ضروری درآمده است و استفاده از آن رو به گسترش است و از طرفی تعداد زیاد لپ‌تاپ‌ها و گوشی‌های موبایل هم باعث شده است که بسیاری از کاربران ADSL به دنبال استفاده از مودم‌ها و روترهای بی‌سیم باشند.

با وجود این ضرورت و احساس نیاز کاربران در استفاده از مودم‌ها و روترهای بی‌سیم، متأسفانه بحث امنیت این ارتباطات بی‌سیم به هیچ وجه جدی گرفته نمی‌شود و وقتی از این کاربران درباره اقدامات امنیتی پیش‌گیرانه سوال می‌شود، یک جواب قانع‌کننده برای خود ندارند و به نظر می‌رسد این افراد تا وقتی که پهنای باند یا دسترسی به مودم‌شان را از دست ندهند، این داستان را جدی نمی‌گیرند و البته اگر تنبلی را کنار بگذارند، داشتن شبکه‌ای امن و مطمئن کار چندان سختی نیست و بیش از ۱۵ دقیقه وقت نمی‌برد

کاربر باید در اولین قدم برای حفظ امنیت در یک شبکه اینترنتی بی‌سیم آدرس IP مودم یا روتر خود را بیابد؛ این آدرس معمولاً برروی جعبه مودم بی‌سیم و یا صفحات اول دفترچه راهنمای آن نوشته شده است و همچنین برای ورود به صفحه خط فرمان (Command Prompt) در ویندوز XP نیز این مسیر را دنبال کند:Start > Programs > Accessories > Command Prompt و البته راه نزدیک‌تر برای رسیدن به این بخش استفاده از گزینه Run در منوی Start است.

شخص با تایپ دستور cmd وارد صفحه خط فرمان می‌شود که مسیر آن نیز بدین صورت است: Start > Run >cmd و همچنین در ویندوز ویستا و ۷ هم کاربر می‌تواند با تایپ این عبارت در قسمت Search به صفحه خط فرمان وارد شود که مسیر آن نیز به این صورت است: Start > Search >cmd.

در صفحه خط فرمان که به رنگ مشکی و محیطی کاملاً شبیه سیستم عامل DOS است، تنها کافی است که کاربر دستور ipconfig/all را تایپ کرده و کلید اینتر را بزند و با این کار همه جزئیات مربوط به IP سیستم به نمایش در می‌آید و به دنبال عبارت Default Gateway در این لیست بگردد، معمولاً عبارت نمایش داده شده در برابر آن همان IP شخص است

اولین دیوار دفاعی که کاربر باید در برابر بیگانگان ایجاد کند، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا در صورتی که فردی بتواند وارد این قسمت شود، به تمام تنظیمات امنیتی شبکه دسترسی خواهد داشت و در بخش تنظیمات به دنبال دکمه‌ای با نام Administration یا Administrator Setting یا چیزی شبیه این باشد؛ در اینجا شخص می‌تواند رمز عبور را تغییر دهد و حتی در برخی از مودم‌ها و روترها نام کاربری را هم تغییر دهد و یا از یکی دیگر از نام‌های کاربری موجود در تنظیمات به جای کلمه admin استفاده کند.

مودم یا روتر معمولاً توسط ابزارهایی که دارای قابلیت وای‌فای هستند، قابل جست‌وجو است و در این جست‌وجو با نام کارخانه سازنده یا نام‌های عمومی از قبیل WLan نمایش داده می‌شود و یکی دیگر از دیواره‌های دفاعی قلعه شخص، تغییر این نام و استفاده از اسامی خاصی است که چندان معنا و جذابیتی برای فرد جست‌وجوگر نداشته و مشخص کننده نوع ارتباط یا جنس مودم شخص نباشد.

این نکته نیز حائز اهمیت است که یکی دیگر از قابلیت‌های مودم‌ها و روترهای بی‌سیم امکان رمزگذاری اطلاعات رد و بدل شده در شبکه است و بسته به نوع ابزار مورد استفاده می‌تواند از سه روش رمزگذاری استفاده کند که به ترتیب امنیت عبارت‌اند از (WPA2 (Wi-Fi Protect Access 2 که امن‌ترین شیوه رمزگذاری اطلاعات در شبکه‌های بی‌سیم است که امروزه معمولاً در بیشتر مودم‌های بی‌سیم و روترها یافت می‌شود.

در صورتی که مودم یا روتر شخص هم این گزینه را دارد، حتماً از آن استفاده کند و مورد بعدی (WPA (Wi-Fi Protected Access است و اگر سیستم رمزگذاری بالا را در مودم خود نیافت، می‌تواند از این گزینه هم استفاده کند که امنیت کمتر، اما قابل قبولی دارد.

 آخرین مرحله هم مراقبت از نام کاربری و رمزهای عبوری است که برای امنیت بالاتر ساخته است و کاربر می‌تواند آن‌ها را در دفترچه راهنما یا جعبه مودم‌تان بنویسد یا اینکه به حافظه‌تان اعتماد کند و آ‌‌ن‌ها را به خاطر بسپارد، البته فراموش کردن این اطلاعات تنها باعث زحمت دوباره تنظیم مودم خواهد شد، زیرا همه مودم و روترها در زیر خود کلیدی را برای ریست کردن دارند که باعث می‌شود تمام تنظیمات مودم به تنظیمات کارخانه‌ای برگردند و تنها به خاطر داشته باشد که بعد از ریست کردن، حتما این تنظیمات امنیتی را دوباره انجام دهد.

در راستای ایجاد امنیت در یک شبکه اینترنتی بی‌سیم، نخستین دیوار دفاعی که باید در برابر بیگانگان ایجاد کند، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا اگر فردی بتواند به این قسمت وارد شود، به تمام تنظیمات امنیتی شبکه دسترسی‌می‌یابد.

در راستای ایجاد امنیت در یک شبکه اینترنتی بی‌سیم، نخستین دیوار دفاعی که باید در برابر بیگانگان ایجاد کند، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا اگر فردی بتواند به این قسمت وارد شود، به تمام تنظیمات امنیتی شبکه دسترسی‌می‌یابد.

در راستای ایجاد امنیت در یک شبکه اینترنتی بی‌سیم، نخستین دیوار دفاعی که باید در برابر بیگانگان ایجاد کند، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا اگر فردی بتواند به این قسمت وارد شود، به تمام تنظیمات امنیتی شبکه دسترسی‌می‌یابد.

سعیده آزادی

واحد دانش و تکنولوژی تبیان زنجان

يكي از خبرهاي مهم كنفرانس Defcon انتشار دو ابزار هك و رمزگشايي پروتكل‌هاي PPTP (سرنام Point Tunneling Protocol Point-to-) و WPA2 (سرنام Wireless Protocol Access Enterprise) بود. اين دو پروتكل از سيستم احرازهويت MS-CHAPv2 مايكروسافت استفاده مي‌كنند كه براي نخستین‌بار در سيستم‌عامل ويندوز NT نسخه 4.0 SP4 مورد استفاده قرار گرفته است و هنوز براي احراز هويت شبكه‌هاي خصوصي مجازي (VPN) مبتني بر PPTP يا WPA2 به‌كار مي‌رود.

 MS-CHAPv2 در سال 1999 توسط نرم‌افزارهاي Brute Force (نرم‌افزارهايي كه با آزمایش و خطا سعي مي‌كنند رمزعبور يك سيستم را كشف كنند) مورد هدف قرار گرفته و آسيب‌پذيري آن مشخص شده بود اما مايكروسافت در آن زمان گفت كه اگر كاربران از رمزهاي عبور سخت و پيچيده طولاني استفاده كنند، هيچ نرم‌افزاري قادر به شكستن اين رمزعبور نيست. اين صحبت‌هاي مايكروسافت يك باور عمومي را درباره رمزهاي عبور پيچيده، را ايجاد كرده بود تا اين‌كه Moxie Marlinspike سازنده ابزار ChapCrack آن را نادرست خوانده و باطل كرده است.

 اين محقق ابزاري ارائه داده است كه مي‌تواند ترافيك شبكه شامل MS-CHAPv2 را كپي‌ و الگوبرداري كند و مراحل اولیه برقراری ارتباط (Handshake) روي شبكه را به يك كليد الگوريتم رمزنگاري DES تبديل كند. سپس با ارائه دادن اين كليد به سايتي مانند CloudCracker.com و گرفتن خروجي آن و دادن به ابزار ChapCrack به‌راحتي رمزعبور اوليه و كل نشست مبتني بر MS-CHAPv2 را رمزگشايي کند.

 PPTP پروتكلي است كه براي ايجاد شبكه‌هاي VPN كوچك و متوسط مورد استفاده قرار مي‌گيرد و در شبكه‌هاي بزرگ از راهكارهاي VPN شركت‌هايي مانند سيسكو استفاده مي‌شود كه امن‌تر و مطمئن‌تر هستند. WPA2-Enterprise نيز پروتكل رمزنگاري مخصوص شبكه‌هاي بي‌سيم شركتي است و كاربران خانگي كمتر از آن استفاده مي‌كنند. با وجود اين، ابزاري مانند ChapCrack يك تهديد بالقوه جدي براي سيستم‌عامل‌هاي ويندوزي و كاربران پروتكل‌هاي ياد شده است.

واحد دانش و تکنولوژی تبیان زنجان

افزایش ایمنی شبکه وایرلس، تغییر مداوم رمز عبور و کپی گرفتن از اطلاعات موجود بر روی رایانه از جمله پشنهاداتی است که برای افزایش ایمنی کاربران رایانه در سال 2010 ارائه شده است.

نشریه رایانه‌ای Which ، لیستی 10 گزینه‌ای از دستورالعمل‌هایی که می‌تواند به افراد کمک کند تا نگام استفاده از رایانه ایمنی بیشتری داشته باشند ارائه کرده است.

 این پیشنهادات شامل ایده هایی برای کاهش هزینه ها مانند استفاده از نرم افزارهای آنتی ویروس رایگان و دیگر تجهیزات ایمنی است.

به گفته «سارا کیدنر» دبیر این نشریه در صورتی که کاربران این توصیه ها را به کار بگیرند می توانند آرامش استفاده از رایانه های رایگان را تجربه کرده و هیچ هزینه ای را بابت تعمیر رایانه ها پرداخت نخواهند کرد.

این 10 پیشنهاد و دستور العمل به این شرح ارائه شده اند:

1- شبکه وایرلس خود را ایمن کنید.

2- نرم افزار Windows Security Essential مایکروسافت را به عنوان نرم افزار ایمنی رایگان دانلود کنید.

3- از فایل های مهم در رایانه خود به صورت متداول بک آپ تهیه کنید.

4- از حساب های ایمیلی مانند گوگل یا یاهو استفاده کنید زیرا استفاده از این سرویس ها امکان تغییر دادن ISP را افزایش خواهد داد.

5- کلمه رمز آنلاین خود را به صورت مداوم تغییر دهید.

6- برای استفاده از راهنمایی های تکنیکی برای تعمیر رایانه خود به شماره های پر هزینه تماس نگیرید. در عوض به دنبال شماره تماس های ارزان قیمت تر باشید و یا به آدرس های اینترنتی مرتبط رجوع کنید.

7- دوستان و خانواده خود را با کمک یک تقویم آنلاین ساماندهی کنید.

8- برنامه های رایگان آنتی ویروس AVG را دانلود کنید، این کار می تواند سالانه 40 پانود از هزینه های مرتبط با رایانه شما بکاهد.

9- رایانه خود را به صورت مرتب تمیز کنید زیرا یک صفحه کلید کثیف قادر به نگهداشتن مقادیر بیشتری از آلودگی نسبت به دیگر سطوح آلوده است.

10- در نهایت در صورتی که به دنبال شغل جدیدی هستید از شبکه های اجتماعی و شبکه های آنلاین کاریابی استفاده کنید زیرا توانایی این سایت ها نسبت به شیوه های قدیمی کاریابی بسیار بالاتر است

واحد دانش و تکنولوژی تبیان زنجان

کامپیوترهای عمومی در کتابخانه ها، کافی نت ها، فرودگاهها، و کپی نت ها راحت تر و ارزان تر از خرید کامپیوترهای همراه شخصی هستند. اما آیا آنها به اندازه کافی امن هستند؟ این موضوع به نحوه چگونگی استفاده شما از آنها بستگی دارد.در زیر ۵ نکته درباره بکار بردن کامپیوترهای عمومی بدون به خطر انداختن اطلاعات شخصی و مالی شما آورده می شود:

۱.اطلاعات مربوط به Login خود را Save نکنید

همیشه به جای آنکه برای خروج از یک سایت پنجره جستجوگر را ببندید یا آدرس سایت دیگری را در نوار آدرس وارد کنید، پس از اتمام کارتان با فشردن دکمه Logout، بطور کامل از سایت خارج شوید. این کار موجب می شود تا افراد بعدی که از آن کامپیوتر استفاده می کنند، نتوانند به اطلاعات شما دسترسی پیدا کنند.بسیاری از برنامه ها (خصوصاً پیغامبرهای آنی مانند Yahoo! Messenger و MSN Messenger) دارای قابلیت Automatic Login هستند که Username و Password شما را ذخیره می نمایند. همیشه بخاطر داشته باشید که این گزینه را غیرفعال نمائید تا افراد دیگر بصورت تصادفی (یا عمدی) نتوانند بجای شما Logon شوند.

۲.کامپیوتر را در حالیکه اطلاعات مهمی روی صفحه آن وجود دارد، ترک نکنید

اگر شما مجبورید که کامپیوتر عمومی را برای مدتی (هرچند کوتاه) ترک کنید، از همه برنامه ها Logout شوید و همه پنجره هایی که ممکن هستند اطلاعات مهمی داشته باشند را ببندید.

۳.ردپای خود را پاک کنید

وقتی که کارتان با یک کامپیوتر عمومی تمام شد، بایستی همه فایلهای موقتی (Temporary Files) و تاریخچه اینترنتی (Internet History) را پاک نمائید.

برای پا کردن Temporary Files و Internet History مراحل زیر را طی نمائید:

۱. در Internet Explorer روی منوی Tools و سپس Internet Option کلیک نمائید.

۲. در پنجره Internet Option قسمت General را انتخاب کنید و زیر بخش Temporary Internet Files دکمه Delete Files و سپس Delete Cookies را فشار دهید.

۳. زیر بخش History روی دکمه Clear History کلیک نمائید.

۴.مراقب نگاههای دزدکی باشید

از آنجائیکه هر روزه خبرهای زیادی درباره نحوه دسترسی دیجیتالی هکرها به اطلاعات شخصی می شنویم، گاهی روشهای قدیمی را از یاد می بریم. هنگامی که شما از یک کامپیوتر عمومی استفاده می نمائید، بایستی همواره مراقب کسانی باشید که دزدکی به صفحه نمایشگر و دستانتان می نگرند تا از این طریق اطلاعات شخصی و کلمات عبور شما را به دست آورند.

۵.سعی کنید اطلاعات مهم و محرمانه خود را در کامپیوترهای عمومی وارد نکنید

نکته ها قبلی مربوط به هکرهایی بوده که پس از شما از کامپیوتر عمومی استفاده می کنند. اما شما بایستی مراقب افراد قبلی هم باشید! ممکن است که شخصی روی کامپیوترهای عمومی نرم افزار پیچیده ای را نصب کرده باشد که تمام ورودی های صفحه کلید را ذخیره نماید و سپس آنها را برای شخص موردنظری ایمیل کند. بنابراین حتی اگر شما اطلاعات تان را پاک کنید و ردپاهایتان را از بین هم ببرید، باز هم شخص ثالث آنها را در اختیار خواهد داشت.اگر واقعاً می خواهید که محفوظ بمانید، از وارد کردن شماره کارت اعتباری و دیگر اطلاعات مالی و محرمانه در یک کامپیوتر عمومی بپرهیزید.

واحد دانش و تکنولوژی تبیان زنجان

قسمت دوم مقاله (امنيت شبكه‌هاي بي‌سيم چيست؟)

كدام نسخه از WPA بهتر است؟

WPA يك پروتكل به‌روزتر و سازگارتر با استاندارد 802.11n است و از متدهاي رمزنگاري و امن‌كردن اطلاعات براي انتقال توسط امواج استفاده مي‌كند كه تا‌كنون هيچ‌كس نتوانسته آن را شكسته و رمزگشايي كند. نسخه‌هاي WPA2 و WPA2 Enterprise نسخه‌هاي جديدتري نسبت به WPA هستند و به‌يقين از الگوريتم‌ها و روش‌هاي بهتر رمزنگاري‌استفاده مي‌كنند. اگر روتر يا نقطه‌دسترسي شما از WPA2‌ يا WPA2 Personal پشتيباني مي‌كند، اين گزينه را انتخاب كنيد. در غير اين صورت WPA ساده نيز بهترين انتخاب براي رمزنگاري داده‌هاي بي‌سيم است.

چگونه تشخيص دهيم كه دستگاه بي‌سيم روي كدام پروتكل امنيتي تنظيم شده است؟

چندين راه براي فهميدن تنظيمات يك دستگاه بي‌سيم وجود دارد. بهترين روش، وارد شدن به پنل مديريتي دستگاه و مراجعه به بخش‌هاي مختلف آن يا مشاهده صفحه گزارش وضعيت دستگاه است. اگر اين روش براي شما دشوار است يا تمايل نداريد تنظيمات پنل را دستكاري كنيد يا نمي‌توانيد وارد پنل شويد، برخي از نرم‌افزارهاي مديريت شبكه‌هاي بي‌سيم مانند inSSIDer به شما مي‌گويند كه در حال حاضراز كدام پروتكل امنيتي استفاده مي‌كنيد (شكل‌3).

شکل 3- در بخش Security روترهاي بي‌سيم مي‌توان رمز عبور و ديگر تنظيمات امنيتي را انجام داد.

كارمندان بخش فني شركتي كه از آن اشتراك اينترنت گرفته‌‌ام، مودم روتر را نصب و تنظيم كرده‌اند. آيا نياز است كه تنظيمات آن‌ها را تغيير بدهم؟در بيشتر اوقات نيازي نداريد، تنظيمات اوليه دستگاه را تغيير دهيد. چون افراد فني هميشه بهترين گزينه امنيتي را انتخاب مي‌كنند، اما اگر نياز پيدا كرديد كه يك آدرس MAC جديد وارد كنيد يا كانال دستگاه را تغيير دهيد، بايد وارد پنل مديريتي دستگاه شده و از روي راهنماي آن، تنظيمات مورد نظرتان را اعمال كنيد.

در بسياري از دستگاه‌هاي روتر/نقطه‌دسترسي بي‌سيم كليدي به نام WPS وجود دارد. اين كليد چيست؟

Wi-Fi Protect Setup مكانيزمي است كه به طور خودكار اطلاعات تبادلي ميان دستگاه‌هاي واي‌فاي را رمزنگاري و امن مي‌كند. اين مكانيزم شامل تعريف رمز عبور، انتخاب پروتكل رمزنگاري، اعتبارسنجي دستگاه‌هاي گيرنده و فرستنده اطلاعات و... است. در حقيقت، تمامي كارهايي كه بايد يك كاربر به طور دستي براي امنيت شبكه بي‌سيم انجام دهد، با زدن يك كليد انجام مي‌گيرد. توجه كنيد كه تمامي دستگاه‌هاي درون شبكه شما بايد از WPS پشتيباني كنند.

چگونه مي‌توانم تمام تنظيمات امنيتي روتر/نقطه‌دسترسي را يك‌جا انجام بدهم؟

نرم‌افزاري به نام PFconfig اين قابليت را دارد كه به طور خودكار تمام تنظيمات روتر را براساس مشخصات سيستم، شبكه و اينترنت انجام دهد. از جمله اين تنظيمات، تعريف رمز عبور و آدرس‌هاي MAC و ديگر نيازمندي‌هاي امنيتي سيستم است. وقتي وارد سايت اين ابزار مي‌شويد، بايد نام روتر خود را انتخاب كرده و نرم‌افزار مخصوص روتر را دانلود كنيد. پس از نصب، نرم‌افزار با گرفتن اطلاعات شبكه و اينترنت روتر را تنظيم مي‌كند. اين روش براي افرادي كه مبتدي هستند، بسيار مناسب است. متأسفانه براي برخي از دستگاه‌ها، اين نرم‌افزار پولي است.

دقيقاً روي روتر/نقطه دسترسي خودم چه كارهايي بايد بكنم؟

1- آدرس پنل مديريتي دستگاه را وارد يك مرورگر وب كرده و با استفاده از نام كاربري و رمز عبور پيش‌فرض، وارد اين پنل شويد (آدرس پنل، نام كاربري و رمز عبور براي هر دستگاه متفاوت بوده و توسط شركت سازنده دستگاه در اختيار كاربر قرار مي‌گيرد. معمولاً در دفترچه راهنما، پشت دستگاه، برگه‌هاي گارانتي يا ديسك‌هاي نرم‌افزار مي‌توان اين اطلاعات را يافت. بيشتر روترها/نقطه‌هاي‌دسترسي از آدرس 192.168.1.1 و نام‌كاربري/رمز عبور Admin يا 1234 استفاده مي‌كنند).

2- مهم‌ترين كار بعد از نخستين ورود به پنل تغيير‌دادن رمز‌عبور آن است. براي اين كار وارد بخش Management يا بخشي همانند آن شده و رمز عبور جديد را تعريف كنيد.

3- براي تنظيمات امنيتي شبكه‌ بي‌سيم، وارد بخش

Wireless > Security يا بخش‌هايي از اين قبيل شده و يكي از روش‌هاي WPA يا WPA2 را انتخاب كرده و رمز عبور هشت رقمي خود را وارد كنيد. در انتها بايد كليد Save يا Apply Change يا كليدي همانند اين‌ها را فشار دهيد تا تغييرات اعمال شوند (شكل 4).

شکل 4- با استفاده از نرم‌افزارهاي شبكه‌هاي واي‌فاي مي‌توان پروتكل رمزنگاري شبكه را فهميد.

4- اگر مي‌خواهيد آدرس MACهاي معتبر را وارد كنيد، گزينه MAC Filter را انتخاب و با زدن كليد Add و تعريف آدرس‌ها، گزينه Allow را انتخاب كنيد.

5- حتماً در انتها يك بار دستگاه را راه‌اندازي كنيد.

 چرا WPA بهتر از WEP است؟

WEP الگوريتم رمزنگاري براي شبكه‌هاي مبتني بر پروتكل 802.11 است و تقريباً همراه با اين پروتكل در سال 1997 ارائه شده و نخستين استاندارد رمزنگاري اطلاعات بي‌سيم است، اما WPA از سوي گروه Wi-Fi Alliance، توسعه‌دهنده پروتكل 802.11 ارائه شده و در سال‌هاي بعدي نيز نسخه‌هاي ديگري از آن مانند WPA2 نيز استانداردسازي و منتشر شده‌ است. 

پروتكل WEP در كمتر از ده دقيقه درهم شكسته مي‌شود، اما درهم شكستن WPA با يك كليد 21 بيتي بيشتر از 4 × 1020 سال طول مي‌كشد. WEP تنها مي‌تواند از كليدهاي 64، 128 و 152 ‌بيتي و يك IV (سرنام Initialization Vector) يكسان يا همان بردار توليد كليدهاي ابتدايي رمزنگاري استفاده ‌كند، اما در WPA از دو الگورتيم رمزنگاري پيچيده به نام‌هاي TKIP (سرنام Temporal Key Integrity Protocol) و AES (سرنامAdvanced Encryption Standard) استفاده مي‌شود كه در هر كدام كليدها ده‌ها بار توليد شده و در رمزنگاري اطلاعات شركت كرده و از بين مي‌روند. طول بردار IV دو برابر WEP است. IV در WPA قابليت تعريف پانصد تريليون كليد مقايسه را فراهم مي‌كند، اما اين تعداد در WEP نزديك به 7/16 ميليون كليد مقايسه است.

واحد دانش و تکنولوژی تبیان زنجان

به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوط Leased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواع FireWall ،IDS و همچنين HoneyPot ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.

براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد.

استاندارد BS7799 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127 كنترل مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.

آيا امنيت 100% امكانپذير است؟

با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟

فوائد استاندارد BS7799 و لزوم پياده سازي

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

ايجاد اطمينان نزد مشتريان و شركاي تجاري

امكان رقابت بهتر با ساير شركت ها

ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد

مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS)

ايجاد و تعريف سياست ها:

در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت.

تعيين محدوده عملياتي :

يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد. Scope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيين Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي كنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد.

برآورد دارايي ها و طبقه بندي آنها:

براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد.

ارزيابي خطرات:

با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد.

مديريت خطرات :

مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.

انتخاب كنترل مناسب :

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.

اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي

2- امنيت سازمان

3- كنترل و طبقه بندي دارايي ها

4- امنيت فردي

5- امنيت فيزيكي

6- مديريت ارتباط ها

7- كنترل دسترسي ها

8- روشها و روالهاي نگهداري و بهبود اطلاعات

9- مديريت تداوم كار سازمان

10- سازگاري با موارد قانوني

تعيين قابليت اجرا:

جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خودرا براي اخذ استاندارد BS7799 آماده خواهيد ساخت.

نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000 انتخابي درست براي رسيدن به اين منظور مي باشد.

واحد دانش و تکنولوژی تبیان زنجان

مجموعه نرم‌افزاري امنيت شبكه

اگر قرار باشد چيزی به شبكه خود اضافه كنيد تا امن شود، آن چيز چيست؟ منظور يك قطعه سخت‌افزاري نيست، بلكه ابزاري است كه بتوان به كمك آن به رهگيري مشكلات پرداخت، شبكه را نظارت و تحليل كرد و سلامت آن را مورد بررسي قرار داد. شايد بعد از خواندن اين مطلب، به پاسخ اين سوال دست يافتيد.

مجموعه ابزار NST چيست؟

مجموعه (NST (Network Security Toolkit از ابزارهاي قدرتمند زيادي تشكيل شده است كه در توزيع‌هاي ديگر يافت نمي‌شوند. در اين مجموعه مي‌توان به ابزارهاي زير اشاره كرد:

Aircrack NG: قفل‌شكن شبكه‌هاي WEP/WPA-PSK با قابليت مطالعه بسته‌ها

Airsnort: ابزار شبكه LAN و WLAN كه كليدهاي رمزگذاري را بازيابي مي‌كند.

Amap: نسل بعدي ابزار اسكن كه مي‌تواند سرويس‌ها و نرم‌افزارهايي كه حتي روي پورت خاصي Listen نمي‌كنند، بيابد.

Argus: سيستم ثبت رويدادها

Arp-Scan: ابزار رمزگذاري و اسكن در شبكه

Arpwatch: ابزارهاي نظارت بر شبكه به‌تفكيك آدرس آي‌پي

Awstats: سيستم پيشرفته آمار تحت وب

Bandwidthd: رهگيري ميزان استفاده از شبكه و توليد خروجي HTML و نمودار

Beecrypt: كتابخانه رمزگذاري آنلاين

Bit-twist: توليدكننده قدرتمند بسته‌هاي Ethernet كه مبتني بر libpcap است.

Cadaver: كلاينت WebDav در خط فرمان

CheckDNS: سيستم تحليل و بررسي آدرس دامنه

Chkrootkit: ابزاري براي بررسي نشانه‌هاي rootkit

ClamAv: ضدويروس

Conntrack-tools: ابزارهاي پياده‌سازي ارتباطات netfilter

DNScap: سيستم ضبط اطلاعات از DNS

DNSwalk: ديباگر DNS

Dsniff: ابزاري براي شناختن و آزمودن شبكه

و دیگر ابزارهایی همچون Honeyd، Hunt، Kismet، Nagios، Netmask، Nload، Etherape، Firewalk، Foremost و ...

گفتنی است این ابزارها تنها در محیط خط فرمان لینوکس قابل استفاده نیستند، بلکه NST روی Fedora 15 اجرا می‌شود و می‌تواند با رابط کاربری Gnome3 بخوبی کنار بیاید. به این ترتیب با استفاده از NST، هم می‌توان از دستورات خط فرمان استفاده کرد و هم از رابط کاربری بهره‌مند شد. اگر سخت‌افزار سیستم شما از GNome3 پشتیبانی نمی‌کند (یا آخرین نگارش گنوم را دوست ندارید) می‌توانید از گنوم کلاسیک برای رابط کاربری استفاده کنید.

نصب NST

نصب NST همانند دیگر دیسک‌های زنده لینوکسی ساده است. (توجه داشته باشید این مجموعه‌ ابزارها می‌تواند خود به‌عنوان یک دیسک زنده از یک ماشین مجازی یا درایو یو‌اس‌بی اجرا شود.) آخرین ایمیج ISO را می‌توانید از اینترنت دانلود کنید .

ایمیج را روی دی‌وی‌دی قرار داده و با آن سیستم را بوت کنید.از منوی بوت، گزینه کنسول یا گرافیکی را مطابق سلیقه خود انتخاب و صبر کنید.

توجه: اگر می‌خواهید دیسک را تست کنید، گزینه Verify and Boot را برگزینید.

پس از این که پیغام لاگین ظاهر شد، گزینه پیشفرض را انتخاب و کلمه عبور nst2003 را وارد کنید. بعد از بوت کامل می‌توانید این توزیع را کاملا تست کنید یا مستقیما به نصب آن بپردازید. برای نصب آن روی دیسک سخت کافی است از طریق مسیر زیر مراحل را دنبال کنید:

Applications -» System Tools -» Install NST

نصب NST دشوار نیست و کافی است به پیغام‌ها دقت کافی داشته باشید.

بعد از اتمام نصب، زمان بررسی ابزارها فرارسیده است. صدها ابزار در این دسکتاپ برای مدیریت، امن‌کردن، تحلیل و تقریبا هر چیز دیگر مربوط به شبکه در دسترس است. اگر حوصله تست کردن یکی یکی ابزارها را ندارید،بهتر است از سایتهای مربوطه کمک بگیرید 

واحد دانش و تکنولوژی تبیان زنجان

وقتي بحث امنيت شبكه پيش مي اید ، مباحث زيادي قابل طرح و ارائه هستند ، موضوعاتي كه هر كدام به تنهايي مي توانند جالب ، پرمحتوا و قابل درك باشند ، اما وقتي صحبت كار عملي به ميان می اید ، قضيه يك جورايي پيچيده مي شود . تركيب علم و عمل ، احتياج به تجربه دارد و نهايت هدف يك علم هم ، به كار امدن ان هست . وقتي دوره تئوري امنيت شبكه را با موفقيت پشت سر گذاشتيد و وارد محيط كار شديد ، ممكن است اين سوال برایتان مطرح شود كه '''' خب ، حالا از كجا شروع كنم ؟ اول كجا را ايمن كنم ؟ چه استراتژي را پيش بگيرم و كجا كار را تمام كنم ؟ '''' انبوهي از اين قبيل سوالات فكر شما را مشغول مي كند و كم كم حس مي كنيد كه تجربه كافي نداريد و اين البته حسي طبيعي هست .

 پس اگر اين حس رو داريد و مي خواهيد يك استراتژي علمي - كاربردي داشته باشيد ، تا انتهاي اين مقاله با من باشيد تا قدم به قدم شما رو به امنيت بيشتر نزديك كنم. هميشه در امنيت شبكه موضوع لايه هاي دفاعي ، موضوع داغي هست و نظرات مختلفي وجود دارد . عده اي فايروال را اولين لايه دفاعي مي دانند ، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند ، اما واقعيت پنهان اين هست كه هيچكدام از اينها ، اولين لايه دفاعي نيستند . يادتون باشد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي ، Policy هست . بدون policy ، ليست كنترل ، فايروال و هر لايه ديگر ، بدون معني مي شود و اگر بدون policy شروع به ايمن كردن شبكه كنيد ، محصول يك آبكش واقعي از كار در مي اید .

 با اين مقدمه ، و با توجه به اين كه شما policy مورد نظرتان را كاملا تجزيه و تحليل كرديد و دقيقا مي دانيد كه چه چيزي رو مي خواهید و چي را احتياج نداريد ، كار را شروع مي كنيم . ما بايد پنج مرحله رو پشت سر بگذاريم تا كارمان تمام بشود . اين پنج مرحله عبارتند از : 1- Inspection ( بازرسي ) 2- Protection ( حفاظت ) 3- Detection ( رديابي ) 4- Reaction ( واكنش ) 5- Reflection ( بازتاب) در طول مسير ، از اين پنج مرحله عبور مي كنيم ، ضمن اينكه ايمن كردن شبكه به اين شكل ، احتياج به تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه رو طي كند و اگر هم بتواند ، خيلي طولاني مي شود و قانون حداقل زمان ممكن را نقض مي كند .

 1- اولين جايي كه ايمن كردن رو شروع مي كنيم ، ايمن كردن كليه authentication هاي موجود هست . معمولا رايج ترين روش authentication كه مورد استفاده قرار مي گيرد ، استفاده از شناسه كاربري و كلمه رمز هست. مهمترين جاهايي كه بايد authentication را ايمن و محكم كرد عبارتند از : - كلمات عبور كاربران ، به ويژه مديران سيستم . - كلمات عبور سوييچ و روتر ها ( من روي سوييچ خيلي تاكيد ميكنم ، چون اين device به صورت plug and play كار مي كند ، اكثر مديرهاي شبكه از config كردن ان غافل مي شوند ، در حالي كه مي تواند امنيت خيلي خوبي به شبكه بدهد ، به مديران امنيتي توصيه ميكنم كه حتما اين device رو كنترل كنند ) .

 كلمات عبور مربوط به SNMP . - كلمات عبور مربوط به پرينت سرور . - كلمات عبور مربوط به محافظ صفحه نمايش . آنچه كه شما در كلاسهاي امنيت شبكه در مورد Account and Password Security ياد گرفتيد را اينجا به كار مي بريد . كه من به خاطر طولاني نشدن بحث به انها اشاره نميكنم .

2- قدم دوم نصب و به روز كردن آنتي ويروس بر روي همه دسكتاپ ، سرور و ميل سرورها هست . ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به طور اتوماتيك به روز رساني بشود و آموزشهاي لازم در مورد فايلهاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك يا اضطراري به كاربران هم داده بشود .

 3 - مرحله سوم شامل نصب آخرين به روز رساني هاي امنيتي سيستم عامل و سرويسهاي موجود هست . در اين مرحله علاوه بر كارهاي ذكر شده ، كليه سرورها و device ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي ، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند .

 4-در اين مرحله نوبت گروه بندي كاربران و اعطاي مجوزهاي لازم به فايلها و دايركتوري ها ميباشد .

 ضمن اينكه account هاي قديمي هم بايد غير فعال شوند . گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود . بعد از پايان اين مرحله ، يك بار ديگه امنيت سيستم عامل بايد چك بشود تا چيزي فراموش نشده باشد .

 5- حالا نوبت device ها هست كه معمولا شامل روتر ، سوييچ و فايروال مي شود . بر اساس policy موجود و توپولوژي شبكه ، اين box ها بايد config بشوند . تكنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين اساس اين مرحله خيلي مهم هست.

 حتي موضوع مهم IP Addressing كه از وظايف مديران شبكه هست مي تواند مورد توجه قرار بگيرد تا اطمينان حاصل بشود كه از حداقل ممكن براي IP Assign به شبكه ها استفاده شده است.

6- قدم بعد تعيين استراژي backup گيري هست . نكته مهم كه اينجا وجود دارد اين هست كه بايد مطمئن بشويم كه سيستم backup گيري و بازيابي به درستي كار مي كند و بهترين حالت ممكن باشد .

 7- امنيت فيزيكي . اول از همه به سراغ UPS ها مي رويم . بايد چك كنيم كه UPS ها قدرت لازم رو براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري رو داشته باشند . نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت هست. همينطور ايمني در برابر سرقت و آتش سوزي. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد نكند .

 به طور كل آنچه كه در مورد امنيت فيزيكي ياد گرفتيد را در اين مرحله به كار مي بريد .

 8- امنيت وب سرور يكي از موضوعاتي هست كه روش بايد وسواس داشته باشيد. به همين دليل در اين قسمت كار ، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم . در حقيقت ، امنيت وب رو اينجا لحاظ مي كنيم . ( اسكريپت هاي سمت سرويس دهنده رو هيج وقت فراموش نكنيد )

9 - حالا نوبت چك ، تنظيم و تست سيستم هاي Auditing و Logging هست . اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد . سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود . در ضمن ساعت و تاريخ سيستم ها درست باشد ، مبادا كه اشتباه باشه كه تمام زحماتتان در اين مرحله به باد ميرود .

 و امكان پيگيري هاي قانوني در صورت لزوم ديگر وجود ندارد .

10- ايمن كردن Remote Access با پروتكل ها و تكنولوژي هاي ايمن و Secure قدم بعدي رو تشكيل مي دهد. در اين زمينه با توجه به شرايط و امكانات ، ايمن ترين پروتكل و تكنولوژي ها رو به خدمت بگيريد .

11 - نصب فايروال هاي شخصي در سطح host ها ، لايه امنيتي مضاعفي به شبكه شما ميدهد . پس اين مرحله رو فراموش نكنيد .

12 - شرايط بازيابي در حالت هاي اضطراري رو حتما چك و بهينه كنيد . اين حالت ها شامل خرابي قطعات كامپيوتري ، خرابكاري كاربران عادي ، خرابي ناشي از بلاياي طبيعي ( زلزله - آتش سوزي - افتادن - سرقت - سيل و ... ) و خرابكاري ناشي از نفوذ هكرها ، ميباشد .

 استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد. يادتون باشد كه '''' هميشه در دسترس بودن اطلاعات '''' ، جز، قوانين اصلي امنيتي هست . 13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست ، عضو شدن در سايتها و بولتن هاي امنيتي و در جريان آخرين اخبار امنيتي قرار گرفتن هست . براي همه شما عزيزان آرزوي سلامتي و موفقيت را دارم .

واحد دانش و تکنولوژی تبیان زنجان

 امنیت در همه شاخه ها از اهمیت بالایی برخوردار است و تنها در صورت فراهم بود ن امنیت است که می توان در هر زمینه در رفاه و آرامش به فعالیت مشغول شد اما در زمینه فناوری اطلاعات امنیت می تواند اهمیت دو چندانی داشته باشد، چراکه فراهم نبود ن امنیت در فضای مجازی می تواند بهای سنگینی را برای کاربر به بار آورد.

همه ما روی رایانه های شخصی خود اطلاعاتی داریم که به هیچ عنوان علاقه مند به از دست داد ن یا انتشار آنها نیستیم. حال حفظ امینت این اطلاعات از دو دید گاه می تواند حائز اهمیت باشد؛ نخست امنیت و حفظ این اطلاعات در برابر نرم افزارهای مخرب و ویروس هاست و دیگری حفظ امنیت این اطلاعات در برابر نرم افزارهای جاسوسی و نفوذ هکرها در فضای مجازی است.

در حال حاضر نسخه های متنوع نرم افزارهای امنیتی در بازار یافت می شوند که کارایی و بازد هی هر یک متفاوت است و هر کاربر بسته به نیاز خود می تواند یکی از نسخه های آنها از تولید کنند گان مختلف تهیه کند.

شرکت Kaspersky که بیش از ده سال از آغاز فعالیتش در زمینه نرم افزارهای امنیتی می گذرد، یکی از بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی است که از ابتدای شروع فعالیت خود بخش عمد ه ای از تمرکز خود را روی تولید نرم افزارهایی با قابلیت جلوگیری از فعالیت بد افزارها گذاشته است. در میان بسیاری از شرکت های فعال در این زمینه که به دلیل افزایش رقابت در سایر زمینه های امنیتی ،از میزان تمرکزشان بر روی نرم افزارهای امنیتی به اصطلاح anti-malware کاسته شده است، مجموعه kaspersky با بیش از 700 مهندس و محقق و همچنین بیش از 2000 نفر کارمند متخصص در سراسر دنیا همواره ثابت کرده است که یکی از فعالترین و بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی anti-malware است.

امنیت برای همه

نرم افزار امنیتی محافظتی anti-malware کسپرسکی محافظت خود را از desktop سیستم کاربر تا فضای ابری اینترنت و فضای پشت آن را به خوبی تحت پوشش قرار می د هد و برای هر لایه از فضای اینترنت بهترین محافظت ممکن را فراهم می کند. این نرم افزار همچنین می تواند بهترین حالت محافظت را برای محصولات مختلف در هر لایه از شبکه که مشغول فعالیت باشند، ایجاد کند.

مجموعه نرم افزارهای امنیتی anti-malware کسپرسکی با نام Open space security عرضه می شوند، در سه بسته kaspersky Enterpise space security، kaspersky Business space security و kaspersky Total space security عرضه می شوند که هر کدام برای موارد کاربری خاصی آماده شده اند.

نسخه kaspersky Business space security محافظت سطح بالایی را از اطلاعات مشترک شبکه های داخلی در برابر تهدیدات امنیتی روز اینترنتی فراهم می کند. این نسخه قابلیت محافظت از ایستگاه های کاری تحت شبکه، موبایل های هوشمند (smart phones) و فایل سررورها را در برابر انواع تهد یدات کامپیوتری شامل انواع نرم افزارهای مخرب و جاسوسی داراست و ضمن حفظ امنیت داده های به اشتراک گذاشته شده از دسترسی کاربران مجاز به منابع شبکه محافظت می کند. این نسخه برای ارتقای عملکرد شبکه هنگام افزایش بار تبادل اطلاعات روی شبکه هم کاربرد دارد.

نسخه بعدی یعنی kaspersky Enterprise space security نیز وظیفه تضمین جریان آزاد انتقال داده ها در شبکه درون سازمانی و ایجاد اتصال ایمن کامپیوترهای درون سازمان با د نیای خارج را برعهده می گیرد. این نسخه ضمن دارا بود ن تمامی قابلیت های نسخه Business مانند محافظت کامل از ایستگاه های کاری، اسمارت فون ها و دیگر تجهیزات تحت شبکه، قابلیت شناسایی و حذ ف بد افزارها و نرم افزارهای مخرب از این میل های دریافتی کاربران را نیز دارد و ضمن حفظ امنیت منابع و اطلاعات مشترک موجود روی شبکه، دسترسی کاربران مجازبه آنها را نیز تضمین می کند.

اما آخرین نسخه این مجموعه که در واقع کامل ترین نسخه نیز محسوب می شود، نسخه kaspersky Total space security است که ضمن دارابود ن تمام قابلیت های دو مدل قبل می تواند محافظتی کامل و مجتمع را برای تمامی اجزای انواع شبکه ها با هر اندازه و هر میزان پیچید گی فراهم کند.

این نسخه همچنین می تواند ضمن کنترل و حذ ف بد افزارها از ای میل های دریافتی کاربران شبکه و حفظ امنیت تمامی اجزای شبکه در ارتباط با دنیای خارج یا همان اینترنت، درگاه های اینترنتی (Internet Gatewayes) را هم به منظور افزایش امنیت تبادل اطلاعات کنترل کند. از مهمترین قابلیت های این نسخه هماهنگی کامل آنها با انواع شبکه ها، با ساختارهای گوناگون و تمامی اجزای شبکه است که می توانند کاربران خود را از انواع تهد یدات و حملات اینترنتی و شبکه ای در امان نگاه دارند.

واحد دانش و تکنولوژی تبیان زنجان

هکر‌ها از نقاط ضعف سیستم‌عامل رایانه‌ها استفاده می‌کنند و با کمک برنامه‌های کوچک، رایانه‌های قربانیان را تحت کنترل می‌گیرند.

تصور کنید اینترنت یک شهر است و این شهر پر از مکان‌های زیبا و گوناگون و همچنین مکان‌های خطرناک.

در این شهر هر کس لزوما آن کسی نیست که ادعا می‌کند، حتی شما! ممکن است متوجه شوید بی‌آن‌که بدانید کارهای غیر قانونی مرتکب شده‌اید.

این یعنی کارهایی که انجام می‌دهید تحت کنترل شما نیست و نبوده و احتمال دارد حتی بعد از این نیز نتوانید جلوی آن را بگیرید.

یک رایانه زامبی (Zombie)، رایانه‌ای است که فرمان‌های شخص دیگری را اجرا می‌کند، بدون این که کاربران خبر داشته باشند و کنترل آن را به دست بگیرند.

یک هکر که قصد انجام کارهای غیرقانونی دارد، ممکن است از یک رایانه دیگر برای انجام خرابکاری‌هایش استفاده کند، بدون این که کاربر آن رایانه دخالتی در آنها داشته باشد.

در این مواقع کاربر قربانی بی‌خبر از اتفاق‌های رخ داده، فقط با این تصور که سرعت پردازش رایانه‌اش بشدت کاهش یافته، مواجه می‌شود.

هکرها از این رایانه‌ها برای فرستادن اطلاعات یا حمله به سایت‌ها و سرورها استفاده می‌کنند و در نتیجه اگر این حمله ردیابی شود، رایانه قربانی، مقصر به حساب می‌آید؛ چرا که همه سرنخ‌ها به آن ختم می‌شود.

کاربر رایانه قربانی ممکن است متوجه شود که ISP او دیگر اجازه دسترسی به اینترنت را نمی‌دهد.

با این حال هکری که کنترل این رایانه را به دست گرفته بود، بی هیچ مشقتی به سراغ یارانه‌های دیگر می‌رود چرا که او در این حمله هکری از چند رایانه زامبی دیگر استفاده می‌کند.

شاید باور کردنی نباشد که یک هکر می‌تواند در چنین مواقعی کنترل چند رایانه را در دست بگیرد. برای مثال در پیگیری یکی از همین حمله‌ها، هکری با استفاده از تنها یک رایانه کنترل يك ونيم میلیون رایانه دیگر را به دست آورده بود!

هک کردن رایانه قربانی

هکر‌ها از نقاط ضعف سیستم‌عامل رایانه‌ها استفاده می‌کنند و با کمک برنامه‌های کوچک، رایانه‌های قربانیان را تحت کنترل می‌گیرند.

ممکن است تصور کنید که این هکرها همه چیز را راجع به رایانه و اینترنت می‌دانند، اما در واقع بیشتر آنها تجربه برنامه‌نویسی کمی‌دارند و حتی برخی فقط طرز استفاده از یک برنامه رایانه‌ای را یاد گرفته‌اند و از آن استفاده می‌کنند.

برای آلوده کردن یک رایانه، برنامه مورد نظر باید روی سیستم قربانی نصب شود. هکرها می‌توانند به وسیله پست الکترونیک، شبکه‌های P2P و حتی یک سایت ساده این کار را انجام دهند.

در بیشتر مواقع، هکر برنامه مورد نظر را در قالب یک فایل عادی مخفی می‌کند و کاربر قربانی که از همه چیز بی‌خبر است، گمان می‌کند در واقع آنچه را خواسته به دست آورده است.

با افزایش اطلاعات کاربران درباره حمله‌های اینترنتی، هکرها نیز برای حمله از راه‌های جدیدی استفاده می‌کنند.

تا به حال در سایتی وارد شده‌اید که با ورود به آن پنجره‌ای خود به خود باز شود و یک دگمه روی آن باشد که روی آن نوشته است "No, Thanks"‌؟ امیدواریم که روی این دکمه کلیک نکرده باشید؛ چراکه این دگمه‌ها معمولا یک طعمه هستند. با فشار دادن آن دگمه، به جای این که پنجره مزاحم بسته شود، دانلود برنامه مخرب آغاز می‌شود.

در مرحله بعد، برنامه‌ای که در نرم‌افزار قربانی قرار گرفته است، باید فعال شود. معمولا کاربر فکر می‌کند که یک فایل عادی دانلود کرده است و آن را باز می‌کند و برنامه مخفی در آن اجرا می‌شود.

ممکن است این فایل با پسوند MPEG باشد و مانند یک عکس به‌نظر آید یا یک پسوند شناخته شده دیگر باشد. وقتی کاربر این فایل را باز می‌کند، در ابتدا به نظر می‌آید که فایل مورد نظر خراب است یا هیچ اتفاقی رخ نمی‌دهد.

این موضوع برای بعضی افراد که اطلاعات رایانه‌ای دارند، می‌تواند یک هشدار باشد؛ بنابراین برای جلوگیری از آلوده شدن به ویروس، می‌توانند با استفاده از یک آنتی‌ویروس، رایانه را پاکسازی کنند اما متأسفانه بعضی دیگر که اطلاعات چندانی ندارند گمان می‌کنند که فایل مورد نظر درست دانلود نشده است و کار خاصی برای پاکسازی انجام ندهند.

با فعال شدن برنامه مخرب، آن به یکی از برنامه‌های سیستم‌عامل وصل می‌شود و به این ترتیب هر وقت رایانه قربانی روشن شود، برنامه هکر نیز فعال می‌شود البته هکرها همیشه از یک برنامه سیستمی ‌برای این کار استفاده نمی‌کنند، تا براحتی شناسایی نشوند و تشخیص آن برای کاربر و برنامه‌های ضدجاسوسی دشوارتر شود.

برنامه مخرب می‌تواند به دو صورت فعالیت کند. این برنامه ممکن است حاوی دستوراتی باشد که فرمان‌های لازم را در زمانی مشخص اجرا کند یا ممکن است کنترل رایانه قربانی را در اختیار هکر قرار دهد تا او دستوراتش را به رایانه هک شده منتقل کند.

وقتی برنامه به این مرحله برسد، هکر تقریبا می‌تواند به همه اهدافش دست یابد اگر در این مرحله کاربر از حضور هکر با خبر شود، ممکن است هکر یکی از رایانه‌های زامبی را از دست بدهد.

جلوگیری از حمله

برای جلوگیری از آلوده شدن، همیشه باید از سیستم خود حفاظت کنید. از سوی دیگر باید توجه داشته باشید که تقویت امنیت سیستم تنها قسمتی از حفاظت است. شما باید در محیط اینترنت نیز با احتیاط رفتار کنید.

استفاده از یک نرم‌افزار آنتی‌ویروس یک ضرورت مطلق است. شما می‌توانید یک آنتی‌ویروس تجاری مانند McAfee VirusScan را خریداری یا یک آنتی‌ویروس مجانی مانند AVG را دانلود کنید، اما همیشه در نظر داشته باشید که آنتی‌ویروس شما باید فعال و به‌روز باشد.

به عبارتی دیگر، این که شما از چه آنتی‌ویروسی استفاده می‌کنید اهمیتی چندانی ندارد. مهم این است که آنتی‌ویروس شما همیشه به‌روز باشد و از سیستم‌تان محافظت کند.

همچنین شما باید یک نرم‌افزار ضد جاسوسی نیز نصب کنید. این نرم‌افزارها الگوی انتقال داده‌های شما را در اینترنت تحت نظر می‌گیرند حتی بعضی از آنها فعالیت شما در سیستم‌عامل را نیز کنترل می‌کنند و با شناسایی یک فعالیت غیرعادی در دستگاه شما، جلوی آن را می‌گیرند. این برنامه‌ها نیز مانند آنتی‌ویروس‌ها باید همیشه به‌روز باشند تا مؤثر واقع شوند.

برنامه‌های فایروال نیز از اهمیت بالایی برخوردارند. این برنامه‌ها از رد و بدل اطلاعات ناشناس از درگاه‌های شبکه شما جلوگیری می‌کنند.

معمولا هر سیستم‌عامل دارای یک سرویس فایروال است و همین سرویس جوابگوی نیازهای شماست. اما می‌توانید برای امنیت بیشر از برنامه‌های موجود برای سیستم‌عامل خود استفاده کنید.

همچنین شما باید برای رایانه‌تان یک کلمه عبور امن درست کنید. حدس زدن این رمز عبور نباید کار آسانی باشد.

هر چند استفاده از کلمه‌های عبور برای حساب‌های مختلف در سایت‌ها و برنامه‌های مختلف و به خاطر سپردن همه آنها ممکن است کار دشواری باشد، اما این موضوع امنیت سیستم شما را چندبرابر می‌کند.

اگر رایانه شما آلوده و به یک رایانه زامبی تبدیل شده است، راه‌های کمی‌برای بهبود اوضاع پیش‌رو دارید. اگر اطلاعات کافی در زمینه رایانه ندارید، بهتر است کار را به یک متخصص واگذار کنید اما اگر به چنین شخصی دسترسی ندارید، می‌توانید با استفاده از یک برنامه آنتی‌ویروس، ارتباط هکر را با رایانه‌تان قطع کنید.

متأسفانه بعضی اوقات تنها راه، پاک کردن اطلاعات موجود روی رایانه و نصب مجدد سیستم‌عامل است. همچنین بهتر است به طور منظم از اطلاعات ‌هارد دیسک بک‌آپ بگیرید که در صورت نصب مجدد سیستم‌عامل اطلاعاتتان را از دست ندهید.

به یاد داشته باشید که این فایل‌های پشتیبانی باید به‌طور منظم با آنتی‌ویروس اسکن شوند و از پاک بودن آنها اطمینان حاصل کنید.

با به کار بردن این دستورالعمل‌ها می‌توانید با خاطری آسوده رایانه خود را در مقابل حمله‌ها محافظت کنید

واحد دانش و تکنولوژی تبیان زنجان

برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره می‌کنیم و شرح می‌دهیم که هرکدام در مقابل چه نوع حمله‌ای مقاومت می‌کند.

البته پراکسی‌ها تنظیمات و ویژگی‌های زیادی دارند. ترکیب پراکسی‌ها و سایر ابزار مدیریت فایروال‌ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را می‌دهد. در ادامه به پراکسی‌های زیر اشاره خواهیم کرد:

· SMTP Proxy

· HTTP Proxy

· FTP Proxy

· DNS Proxy

 SMTP Proxy

‌پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیل‌های وارد شونده و خارج‌شونده را برای محافظت از شبکه شما در مقابل خطر بررسی می‌کند. بعضی از تواناییهای آن اینها هستند:

· مشخص کردن بیشترین تعداد دریافت‌کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافت‌کننده ارسال می‌شود.

· مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک می‌کند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب می‌توانید به درستی از پهنای باند و منابع سرور استفاده کنید.

· اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: چنانچه قبلاً اشاره شد، بعضی حمله‌ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می‌تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.

· فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمول‌ترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوست‌های به ظاهر بی‌ضرر ایمیل است. پراکسی SMTP می‌تواند این حمله‌ها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.

· فیلترکردن الگوهای آدرس برای ایمیل‌های مقبول\مردود: هر ایمیل شامل آدرسی است که نشان‌دهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می‌تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می‌تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی می‌تواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.

· فیلترکردن Headerهای ایمیل: ‌Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راه‌های زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافته‌اند. پراکسی مطمئن می‌شود که Headerها با پروتکل‌های اینترنتی صحیح تناسب دارند و ایمیل‌های دربردارنده headerهای تغییرشکل‌داده را مردود می‌کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می‌تواند برخی حمله‌های آتی را نیز مسدود کند.

· تغییردادن یا پنهان‌کردن نامهای دامنه و IDهای پیام‌ها: ایمیل‌هایی که شما می‌فرستید نیز مانند آنهایی که دریافت می‌کنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما می‌خواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP می‌تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می‌گردند.

 HTTP Proxy

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده، نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند:

· برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای header را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

· تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند.

· فیلترکردن محتوای از نوع MIME : الگوهای MIME به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله های وب بسته هایی هستند که در مورد الگوی MIME خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند.

· فیلترکردن کنترلهای Java و ActiveX: برنامه نویسان از Java و ActiveX برای ایجاد برنامه های کوچک بهره می گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک اسکریپت ActiveX روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می تواند این برنامه ها را مسدود کند و به این ترتیب جلوی بسیاری از حمله ها را بگیرد.

· برداشتن کوکی ها: پراکسی HTTP می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

· برداشتن Headerهای ناشناس: پراکسی HTTP ، از headerهای HTTP که از استاندارد پیروی نمی کنند، ممانعت بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

· فیلترکردن محتوا: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند.

پراکسی HTTP سیاست امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی HTTP می تواند سستی ناشی از فضای سایبر را کم کند. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند.

ادامه دارد ....

واحد دانش و تکنولوژی تبیان زنجان

 FTP Proxy

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

· محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.

· محدود کردن ارتباطات به بیرون به «فقط خواندنی»: این عمل از نوشتن فایل های محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می کند.

· مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا Idle request ارتباط را قطع کند.

· ازکارانداختن فرمان FTP SITE : این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند.

 DNS Proxy

DNS (Domain Name Server) شاید به اندازه HTTP یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می دهد که نامی را مانند http://www.ircert.com در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید.

بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید، DNS نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس IP هایی که کامپیوترها قادر به درک آن هستند، تبدیل می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.

بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی DNS می تواند موارد زیر باشد:

· تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه Transport را که تقاضاها و پاسخ های DNS را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد آسیب رسان ایجاد می کنند.

 پراکسی DNS، headerهای بسته های DNS را بررسی می کند و بسته هایی را که بصورت ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد.

· فیلترکردن محتوای headerها بصورت گزینشی: DNS در سال ۱۹۸۴ ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله های DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS می تواند محتوای header تقاضاهای DNS را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند.

 نتیجه گیری

با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.

واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده ( (۵

 در شماره قبل به سومین لایه که لایه میزبان است، اشاره شد. در این شماره به لایه برنامه کاربردی بعنوان چهارمین لایه و لایه دیتا بعنوان پنجمین لایه می پردازیم.

سطح ۴- امنیت برنامه کاربردی

در حال حاضر امنیت سطح برنامه کاربردی بخش زیادی از توجه را معطوف خود کرده است. برنامه هایی که به میزان کافی محافظت نشده اند، می توانند دسترسی آسانی به دیتا و رکوردهای محرمانه فراهم کنند. حقیقت تلخ این است که بیشتر برنامه نویسان هنگام تولید کد به امنیت توجه ندارند. این یک مشکل تاریخی در بسیاری از برنامه های با تولید انبوه است. ممکن است شما از کمبود امنیت در نرم افزارها آگاه شوید، اما قدرت تصحیح آنها را نداشته باشید.

برنامه ها برای دسترسی مشتریان، شرکا و حتی کارمندان حاضر در محل های دیگر، روی وب قرار داده می شوند. این برنامه ها، همچون بخش فروش، مدیریت ارتباط با مشتری، یا سیستم های مالی، می توانند هدف خوبی برای افرادی که نیات بد دارند، باشند. بنابراین بسیار مهم است که یک استراتژی امنیتی جامع برای هر برنامه تحت شبکه اعمال شود.

 تکنولوژی های زیر امنیت را در سطح برنامه فراهم می کنند:

· پوشش محافظ برنامه – از پوشش محافظ برنامه به کرات به عنوان فایروال سطح برنامه یاد می شود و تضمین می کند که تقاضاهای وارد شونده و خارج شونده برای برنامه مورد نظر مجاز هستند. یک پوشش که معمولاً روی سرورهای وب، سرورهای ایمیل، سرورهای پایگاه داده و ماشین های مشابه نصب می شود، برای کاربر شفاف است و با درجه بالایی با سیستم یکپارچه می شود.

یک پوشش محافظ برنامه برای عملکرد مورد انتظار سیستم میزبان تنظیم می گردد. برای مثال، یک پوشش روی سرور ایمیل به این منظور پیکربندی می شود تا جلوی اجرای خودکار برنامه ها توسط ایمیل های وارد شونده را بگیرد، زیرا این کار برای ایمیل معمول یا لازم نیست.

· کنترل دسترسی/تصدیق هویت- مانند تصدیق هویت در سطح شبکه و میزبان، تنها کاربران مجاز می توانند به برنامه دسترسی داشته باشند.

· تعیین صحت ورودی - ابزارهای تعیین صحت ورودی بررسی می کنند که ورودی گذرنده از شبکه برای پردازش امن باشد. اگر ابزارهای امنیتی مناسب در جای خود مورد استفاده قرار نگیرند، هر تراکنش بین افراد و واسط کاربر می تواند خطاهای ورودی تولید کند. عموماً هر تراکنش با سرور وب شما باید ناامن در نظر گرفته شود مگر اینکه خلافش ثابت شود!

به عنوان مثال، یک فرم وبی با یک بخش zip code را در نظر بگیرید. تنها ورودی قابل پذیرش در این قسمت فقط پنج کاراکتر عددی است. تمام ورودی های دیگر باید مردود شوند و یک پیام خطا تولید شود. تعیین صحت ورودی باید در چندین سطح صورت گیرد. در این مثال، یک اسکریپت جاوا می تواند تعیین صحت را در سطح مرورگر در سیستم سرویس گیرنده انجام دهد، در حالیکه کنترل های بیشتر می تواند در سرور وب قرار گیرد. اصول بیشتر شامل موارد زیر می شوند:

- کلید واژه ها را فیلتر کنید. بیشتر عبارات مربوط به فرمانها مانند «insert»، باید بررسی و در صورت نیاز مسدود شوند.

- فقط دیتایی را بپذیرید که برای فلید معین انتظار می رود. برای مثال، یک اسم کوچک ۷۵ حرفی یک ورودی استاندارد نیست.

مزایا

ابزارهای امنیت سطح برنامه موقعیت امنیتی کلی را تقویت می کنند و به شما اجازه کنترل بهتری روی برنامه هایتان را می دهند. همچنین سطح بالاتری از جوابگویی را فراهم می کنند چرا که بسیاری از فعالیت های نمایش داده شده توسط این ابزارها، ثبت شده و قابل ردیابی هستند.

معایب

پیاده سازی جامع امنیت سطح برنامه می تواند هزینه بر باشد، چرا که هر برنامه و میزبان آن باید بصورت مجزا ارزیابی، پیکربندی و مدیریت شود. بعلاوه، بالابردن امنیت یک شبکه با امنیت سطح برنامه می تواند عملی ترسناک! و غیرعملی باشد. هرچه زودتر بتوانید سیاست هایی برای استفاده از این ابزارها پیاده کنید، روند مذکور موثرتر و ارزان تر خواهد بود.

ملاحظات

ملاحظات کلیدی برنامه ها و طرح های شما را برای بلندمدت اولویت بندی می کنند. امنیت را روی برنامه ها کاربردی خود در جایی پیاده کنید که بیشترین منفعت مالی را برای شما دارد. طرح ریزی بلندمدت به شما اجازه می دهد که ابزارهای امنیتی را با روشی تحت کنترل در طی رشد شبکه تان پیاده سازی کنید و از هزینه های اضافی جلوگیری می کند.

 سطح ۵ - امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربرمی گیرد. رمزنگاری دیتا، هنگامی که ذخیره می شود و یا در شبکه شما حرکت می کند، به عنوان روشی بسیار مناسب توصیه می گردد، زیرا چنانچه تمام ابزارهای امنیتی دیگر از کار بیفتند، یک طرح رمزنگاری قوی دیتای مختص شما را محافظت می کند. امنیت دیتا تا حد زیادی به سیاست های سازمانی شما وابسته است.

سیاست سازمانی می گوید که چه کسی به دیتا دسترسی دارد، کدام کاربران مجاز می توانند آن را دستکاری کنند و چه کسی مسوول نهایی یکپارچگی و امن ماندن آن است. تعیین صاحب و متولی دیتا به شما اجازه می دهد که سیاست های دسترسی و ابزار امنیتی مناسبی را که باید بکار گرفته شوند، مشخص کنید.

تکنولوژی های زیر امنیت در سطح دیتا را فراهم می کنند:

· رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا، برنامه و سیستم عامل پیاده می شوند. تقریباً تمام طرح ها شامل کلیدهای رمزنگاری/رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند، باید داشته باشند. استراتژی های رمزنگاری معمول شامل PKI، PGP و RSA هستند.

· کنترل دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه، میزبان و برنامه، تنها کاربران مجاز دسترسی به دیتا خواهند داشت.

 مزایا

رمزنگاری روش اثبات شده ای برای محافظت از دیتای شما فراهم می کند. چنانچه نفوذگران تمام ابزارهای امنیتی دیگر در شبکه شما را خنثی کنند، رمزنگاری یک مانع نهایی و موثر برای محافظت از اطلاعات خصوصی و دارایی دیجیتال شما فراهم می کند.

معایب

بار اضافی برای رمزنگاری و رمزگشایی دیتا وجود دارد که می تواند تأثیرات زیادی در کارایی بگذارد. به علاوه، مدیریت کلیدها می تواند تبدیل به یک بار اجرایی در سازمان های بزرگ یا در حال رشد گردد.

ملاحظات

رمزنگاری تا عمق مشخص باید به دقت مدیریت شود. کلیدهای رمزنگاری باید برای تمام ابزارها و برنامه های تحت تأثیر تنظیم و هماهنگ شوند. به همین دلیل، یک بار مدیریتی برای یک برنامه رمزنگاری موثر مورد نیاز است.

دفاع در مقابل تهدیدها و حملات معمول

مقالات گذشته نشان می دهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه شما محافظت می کند و نشان می دهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و مؤثر، شرکت می کند.

 بعضی حملات معمول شامل موارد زیر می شود:

· حملات به وب سرور ـ حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریباً برای هر وب سرور ایجاد می شود، در برمی گیرد. از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات DOS. امروزه حملات به وب سرور یکی از معمول ترین حملات هستند. Code Red و Nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی! برخوردارند.

· بازپخش ایمیل ها بصورت نامجاز ـ سرورهای ایمیلی که بصورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه ها بشمار می روند. بسیاری از شرکت های هرزنامه ساز در پیدا کردن این سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها، متخصص هستند.

· دستکاری میزبان دور در سطح سیستم ـ تعدادی از آسیب پذیری ها، یک سیستم را از راه دور در اختیار حمله کننده قرار می دهند. بیشتر این نوع کنترل ها در سطح سیستم است و به حمله کننده اختیاراتی برابر با مدیر محلی سیستم می دهد.

· فراهم بودن سرویس های اینترنتی غیرمجاز ـ توانایی آسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا می برد. اغلب چنین سرویس هایی کشف نمی شوند، در حالی که در شعاع رادار دیگران قرار می گیرند!

· تشخیص فعالیت ویروسی ـ در حالی که برنامه ضدویروس در تشخیص ویروس ها مهارت دارد، این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده است. در این شرایط بکارگیری یک برنامه تشخیص نفوذ یا IDS شبکه برای تشخیص این نوع فعالیت بسیار مناسب است.

 نتیجه گیری

هکرها و تروریست های فضای سایبر به طور فزاینده ای اقدام به حمله به شبکه ها می کنند. رویکرد سنتی به امنیت ـ یعنی یک فایروال در ترکیب با یک آنتی ویروس ـ در محافظت از شما در برابر تهدیدهای پیشرفته امروزی ناتوان است.

اما شما می توانید با برقراری امنیت شبکه با استفاده از رویکرد لایه بندی شده دفاع مستحکمی ایجاد کنید. با نصب گزینشی ابزارهای امنیتی در پنج سطح موجود در شبکه تان (پیرامون، شبکه، میزبان، برنامه و دیتا) می توانید از دارایی های دیجیتالی خود محافظت کنید و از افشای اطلاعات خود در اثر ایجاد رخنه های مصیبت بار تا حد زیادی بکاهید.