واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده (۲)

 در شماره قبل به لایه های این نوع رویکرد به اختصار اشاره شد. طی این شماره و شماره های بعد به هریک از این لایه ها می پردازیم.

 سطح ۱: امنیت پیرامون

منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود.

 پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS را دربرمی گیرد که باید در معرض اینترنت قرار گیرند.

فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.

پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.

تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:

 · فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است.

 فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی VPN. فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند.

بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند.

یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (که بعداً بیشتر توضیح داده خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.

 · آنتی ویروس شبکه ـ این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند. این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند.

این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.

 · VPNـ یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند.

این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.

 مزایا

تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.

 معایب

از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد.

اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.

 ملاحظات

پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.

انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.

ادامه دارد ....

واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده (۱)

 مقدمه

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. {گروه امداد امنیت کامپیوتری ایران}

در این سلسله مقالات رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد. این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.

رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.

۱- پیرامون

۲- شبکه

۳- میزبان

۴- برنامه کاربردی

۵- دیتا

در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.

محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.

 افزودن به ضریب عملکرد هکرها

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود.

یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.

تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.

 مدل امنیت لایه بندی شده

در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.

در مقاله بعدی به معرفی بیشتر این لایه ها و ابزارهای مورد استفاده خواهیم پرداخت.

ادامه دارد....

نگذارید ابتکار عمل و قدرت اجرایی از دست شما خارج شود. به عنوان یک مدیر، هنگامی که در یک وضعیت بحرانی به سر میبرید، آنچه انجام نمیدهید، میتواند به اندازه آنچه انجام میدهید پر ارزش باشد.

به چند توصیه کوتاه و مفید از کارشناسان مدیریت تکنولوژی توجه کنید:

نگذارید ابتکار عمل و قدرت اجرایی از دست شما خارج شود:

 هنگام وقوع شرایط تنش زا و در حالی که کارمندانتان مشغول کار بر روی مساله و یافتن روشهایی فنی برای جلوگیری از پیشرفت مشکلات هستند، شما یا جانشینتان باید برای تصمیم گیری حضور داشته باشید.

علاوه بر این، باید به طور واضح اعلام کنید که کارکنان در چه زمانی و چگونه باید از اختلاف نظرها، مشاجرات و هرگونه مشکل دیگری که میتواند موجب لطمه زدن به اصل موضوع شود، کاسته و تنش محیط را به حداقل برسانند.

هرگز درباره کاری که نسبت به انجام شدن آن مطمئن نیستید، قول مساعد ندهید:

اگر نتوانید به وعده خود عمل کنید، به اعتبار خود لطمه زده و روحیه کارکنان خود را نیز به شدت تضعیف کرده اید.

توقع نداشته باشید که همه تغییرات به سرعت و با بالاترین حد توان انجام شود:

 شاید کارکنان شما بتوانند چند هفته ای کار مداوم و پرفشار را تحمل کنند، به خصوص اگر برای حل مشکلی عمده متحد شده باشند.

اما اگر از آنها توقع داشته باشید که چندین کار تعمیر و بهسازی را در زمانی کوتاه و به سرعت انجام دهند، فرسوده و ناتوان خواهند شد و نمیتوانند در صورت بروز اتفاقی ناگهانی، هوشمندانه و موفق عمل کنند.

بیش از حد خودمانی نشوید:

 ابراز همبستگی و دوستی به کارکنان IT بسیار اهمیت دارد، اما شما نباید بیش از حد اوقات خود را در این بخش بگذرانید. در عوض زمان خود را به طور متعادل میان بخشهای مختلف-کارمندان، همکاران، مردم، مدیر اجرایی و هیئت مدیره- تقسیم کنید.

منبع:کامپیوتر ورلد

واحد دانش و تکنولوژی تبیان زنجان

ما برای ایمن کردن شبکه هایی که بر پایه TCP/IP هستند از حفاظت لایه کاربردی ، لایه سوکت حفاظت شده یا Secure Socket Layer) ssl) و حفاظت پروتکل اینترنت (IPSec) استفاده می کنیم .

 حفاظت لایه کاربردی

TCP/IP شامل عملیاتهای حفاظتی نمی باشد و بجای آن برنامه هایی که TCP/IP را به کار می گیرند خودشان امنیت داده ها را به عهده می گیرند . اگر برنامه کاربردی به اطمینان نیاز داشت ، تهیه کنندگان برنامه کاربردی مجبور بودند قابلیت های پنهان سازی را به برنامه های کاربردی اضافه کنند . برای شناسایی تهیه کنندگان برنامه کاربردی گاهی اوقات از امضاء دیجیتالی استفاده می کنند تا مشخص کنند که داده از کجا می آید .

وقتی که برنامه کاربردی بررسی از جامعیت داده را نیازمند بود مجبور بود تا یک سرجمع کدنویسی شده قوی را شامل شود . برنامه کاربردی داده رابا استفاده از این تکنیک ها ، قبل از فرستادن به پشته TCP/IP برای نقل و انتقال محافظت می کند . ابزار بسیاری برای حفاظت داده در لایه کاربردی توسعه یافته اند ولی فقط برای گونه هایی از برنامه های کاربردی مفیدند .

 از ابزارهایی که برای محافظت لایه برنامه کاربردی که به طور گسترده استفاده می شوند می توان به PGP و S/MIME و SSH اشاره کرد . PGP برای کد گذاری و امضا کردن دیجیتالی فایل ها که می توانند به وسیله بعضی از نرم افزارهای به اشتراک گذاری فایل مانند سیستم فایل شبکه یا Windows File Sharing یا FTP فرستاده شوند . هر دو نسخه رایگان و تجاری PGP امروزه برای email و فرستادن فایل به طور گسترده استفاده می شود . S/MIME یک استاندارد استفاده شونده گسترده برای حفاظت email در سطح برنامه های کاربردی است . اکثر کلاینت های مهم email امروزی مثل Microsoft Outlook ابزار S/MIME را پشتیبانی می کنند .

 SSH یا Secure Shell یک دسترسی از راه دور به کاربر می دهد تا اعلانی را در طول نشست امن فرمان دهد . نسخه رایگان SSH به همراه سورس کد آن در سایت http://www.openssh.com برای دانلود موجود است و نسخه های تجاری SSH در سایت http://www.ssh.com قابل دسترسی اند ولی به یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هستند که به ما اجازه نفوذ به سرورهای Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور می دهند و چون SSH و OpenSSH به روی پورت ۲۲ سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شوند مورد علاقه هکرها هستند و اگر قرار باشد که SSH در سیستم ما نصب شود بهتر است از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت ۲۲ را با اینکار ببندیم .

The Secure Socket Layer

سایتها و سرورهای معتبر در سراسر جهان از ابزار SSL به صورت گسترده استفاده می کنند . SSL به برنامه کاربردی اجازه اعتبار سنجی و کدگذاری کردن ارتباطات در طول شبکه را می دهند . برنامه کاربردی که به حفاظت نیاز داشته باشد باید از SSL استفاده کند تا همه فایل ها - بسته ها و داده هایی که در طول شبکه فرستاده می شوند را کدگذاری کند و اطلاعات را به پشته TCP/IP منتقل نماید . SSL می تواند یک راه اعتبارسنجی سرور به سرور را تهیه کند و هم می تواند اعتبارسنجی هم سرور و هم کلاینت مثل کامپیوتر شما را با تأمین اینکه هر دو طرف شناسنامه دیجیتالی را شناسایی کرده اند حمایت کند .

برای اینکه کار SSL را بهتر درک کنید من یک مثال می زنم ، بارها شده شما به سایت های مختلف از جمله یاهو یا آشیانه ... مراجعه کردید بدون اینکه به قسمت پایین مرورگر وب خودتان توجه کرده باشید ، وقتی شما سایت وب حفاظت شده ای را باز می کنید و عکس کلیدی که در قسمت پایین و گوشه سمت راست مرورگر اینترنتتان به صورت قفل شده نشان داده می شود ، Internet Explorer شما ارتباط SSL را با آن سایت برقرار کرده و مشخصاتش را تغییر داده است . وقتی که از HTTPS استفاده می کنید شما واقعاً پروتکل HTTP روی SSL که البته توسط TCP/IP حمل شده است را اجرا می کنید چون SSL اغلب با مرورگر وب و HTTP در ارنباط است و به همین دلیل امروزه در اکثر سایت های معتبر از SSL استفاده می شود .

 SSL امنیت بالایی را مهیا می کند اما برای اینکه در هر برنامه کاربردی مورد استفاده قرار گیرد ، هر برنامه سرور و کلاینت باید دوباره تهیه شوند تا قابلیت های SSL را شامل شوند و اگر شما حفاظت SSL را برای FTP یا Telnet می خواهید باید سرور و کلاینت برنامه کاربردی که SSL را ساپورت می کنند را پیدا یا خلق کنید . ولی چون در دنیای هکرها هیچ چیز غیر ممکن نیست می توان با استفاده از روشهایی مثل Sniffing و برنامه هایی مثل Achilles که ابزاری است برای ویرایش کوکی ها به سرورهایی که حتی از SSL استفاده می کنند نفوذ کرد که در درس های بعدی طرز کار با این برنامه ها را برایتان توضیح می دهم .

 حفاظت پروتکل اینترنت IPSecure

IPSec نسخه ایمن پروتکل اینترنت یعنی IP است و امنیت را دقیقاً در پشته TCP/IP ایجاد می کند . بنابراین برنامه هایی که از IP استفاده می کنند با استفاده از IPSec می توانند ارتباط امنی را بدون هیچ تغییری در برنامه شان ( کاری که SSL با تغییر در برنامه ها انجام می داد و وقت گیر بود ) ایجاد کنند . IPSec در لایه IP اعمالی از قبیل پیشنهاد اعتبار سنجی داده مبدأ ، خصوصی سازی ، جامعیت داده و حفاظت در برابر پاسخها را انجام می دهد . هر دو سیستمی که با نسخه های یکسانی از IPSec باشتد می توانند به طور حفاظت شده در طول شبکه ، از جمله کامپیوتر من و سرور شما یا سرور من و دیواره آتش شما و یا فایروال شما و مسیریاب من ارتباط برقرار کنند . از آنجایی که IPSec در لایه IP عرضه شده است هر پروتکل با لایه بالاتر مانند UDP - TCP می تواند از IPSec بهره ببرند . مهمتر از همه اینکه هر برنامه کاربردی در بالای آن پروتکل لایه بالاتر می تواند از قابلیت های حفاظتی IPSec بهره ببرد .

 IPSec در نسخه ۴ ، IP که من و شما هر روز در اینترنت استفاده می کنیم جاسازی شده است . IPSec همچنین در نسل بعدی آیپی به عنوان IP نسخه ۶ ساخته شده است . IPSec از دو پروتکل تشکیل شده است ، هدر شناسایی AH و ESP که هر کدام قابلیت های حفاظتی خودشان را نشان می دهند . این نکته را هم ذکر کنم که AH و ESP می توانند به طور مستقل و یا با هم در یک بسته استفاده شوند . ولی متأسفانه IPSec هنوز به عنوان یک ابزار عمومی برای حفاظت از ارتباطات در سراسر اینترنت استفاده نمی شود و دلایل مختلفی هم برای اینکار وجود دارد که البته امیدواریم در آینده ای نزدیک بتوانیم از IP نسخه ۶ که از IPSec به صورت ایمن تر بهره می برد در کشورمان ایران استفاده کنیم .

امنیت تجهیزات شبکه

    برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.

    اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.

    در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :

-       امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه

-       امنیت تجهیزات شبکه در سطوح منطقی

-       بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها

    موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :

-       امنیت فیزیکی

-       امنیت منطقی

۱ – امنیت فیزیکی

    امنیت فیزیکی بازه‌ وسیعی از تدابیر را در بر می‌گیرد که استقرار تجهیزات در مکان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.

    در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌هایی که از این طریق تجهزات شبکه را تهدید می‌کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.

۱-۱ – افزونگی در محل استقرار شبکه

    یکی از راه‌کارها در قالب ایجاد افزونگی در شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است. در این راستا، شبکه‌ی ثانویه‌ی، کاملاً مشابه شبکه‌ی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد،‌ در محلی که می‌تواند از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای نه چندان کوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به طور کاملاً جایگزین استفاده کرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممکن برسد.

    با وجود آنکه استفاده از این روش در شبکه‌های معمول که حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امکان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.

۱-۲ – توپولوژی شبکه

    طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند.

    در این مقوله،‌ سه طراحی که معمول هستند مورد بررسی قرار می‌گیرند :

الف – طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.

ب – طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی،‌ که می‌تواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال می‌شود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته می‌شود.

ج – طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد کرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.

۱-۳ – محل‌های امن برای تجهیزات

    در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار می‌گیرد :

-     یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای که هرگونه نفوذ در محل آشکار باشد.

-     در نظر داشتن محلی که در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.

با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکان‌های بلااستفاده سود برده است (‌که باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.

    در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :

-       محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری دسترسی‌های انجام شده.

-       استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.

-       اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.

۱-۴ – انتخاب لایه کانال ارتباطی امن

    با وجود آنکه زمان حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری بحرانی است.

    عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود.

۱-۵ – منابع تغذیه

    از آنجاکه داده‌های شناور در شبکه به منزله‌ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌کنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :

-       طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌. این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکه‌ی تامین فشار بیش‌اندازه‌ای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.

-       وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.

۱-۶ – عوامل محیطی

    یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره کرد :

-       احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)

-       زلزله، طوفان و دیگر بلایای طبیعی

    با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.

۲ – امنیت منطقی

    امنیت منطقی به معنای استفاده از روش‌هایی برای پایین آوردن خطرات حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم.

۲-۱ – امنیت مسیریاب‌ها

    حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :

-       حمله برای غیرفعال سازی کامل

-       حمله به قصد دستیابی به سطح کنترل

-       حمله برای ایجاد نقص در سرویس‌دهی

    طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند.  لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ی آنرا تشکیل می‌دهد.

۲-۲ – مدیریت پیکربندی

    یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگاهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.

    با وجود نسخ پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.

    نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

۲-۳ – کنترل دسترسی به تجهیزات

    دو راه اصلی برای کنترل تجهزات فعال وجود دارد :

-       کنترل از راه دور

-       کنترل از طریق درگاه کنسول

    در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استاندارها و پروتکل‌های خاص، احتمال حملات را پایین آورد.

    در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تآمین نمی‌کند.

    برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل نمود.

۲-۴ – امن سازی دسترسی

    علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.

    از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را مرجح می‌دانند.

۲-۵ – مدیریت رمزهای عبور

    مناسب‌ترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

۳ – ملزومات و مشکلات امنیتی ارائه دهندگان خدمات

    زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می‌آید، مقصود شبکه‌های بزرگی است که خود به شبکه‌های رایانه‌ای کوچکتر خدماتی ارائه می‌دهند. به عبارت دیگر این شبکه‌های بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکه‌ی جهانی اینترنت کنونی را شکل می‌دهند. با وجود آنکه غالب اصول امنیتی در شبکه‌های کوچکتر رعایت می‌شود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکه‌ها مطرح هستند.

۳-۱ – قابلیت‌های امنیتی

    ملزومات مذکور را می‌توان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :

۱ – قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات

۲ – وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بسته‌هایی که به قصد حمله بر روی شبکه ارسال می‌شوند. از آنجاییکه شبکه‌های بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستم‌های IDS بر روی آنها، می‌توان به بالاترین بخت برای تشخیص حملات دست یافت.

۳ – قابلیت تشخیص منبع حملات. با وجود آنکه راه‌هایی از قبیل سرقت آدرس و استفاده از سیستم‌های دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار می‌نمایند، ولی استفاده از سیستم‌های ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازه‌ی مشکوک به وجود منبع اصلی می‌نماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام می‌گردد.

۳-۲ – مشکلات اعمال ملزومات امنیتی

    با وجود لزوم وجود قابلیت‌هایی که بطور اجمالی مورد اشاره قرار گرفتند، پیاده‌سازی و اعمال آنها همواره آسان نیست.

    یکی از معمول‌ترین مشکلات،‌ پیاده‌سازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر می‌شود، برای دسته‌ای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بسته‌های اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها می‌توان متوسل به تجهیزات گران‌تر و اعمال سیاست‌های امنیتی پیچیده‌تر شد.

    با این وجود،‌ با هرچه بیشتر حساس شدن ترافیک و جریان‌های داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکه‌های کوچکی که خود به شبکه‌های بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکه‌ها می‌توان داشت.

منبع:گروه امدادامنیت کامپیوتری ایران

واحد دانش و تکنولوژی تبیان زنجان

وقتي بحث امنيت شبكه پيش مي اید ، مباحث زيادي قابل طرح و ارائه هستند ، موضوعاتي كه هر كدام به تنهايي مي توانند جالب ، پرمحتوا و قابل درك باشند ، اما وقتي صحبت كار عملي به ميان می اید ، قضيه يك جورايي پيچيده مي شود . تركيب علم و عمل ، احتياج به تجربه دارد و نهايت هدف يك علم هم ، به كار امدن ان هست . وقتي دوره تئوري امنيت شبكه را با موفقيت پشت سر گذاشتيد و وارد محيط كار شديد ، ممكن است اين سوال برایتان مطرح شود كه '''' خب ، حالا از كجا شروع كنم ؟ اول كجا را ايمن كنم ؟ چه استراتژي را پيش بگيرم و كجا كار را تمام كنم ؟ '''' انبوهي از اين قبيل سوالات فكر شما را مشغول مي كند و كم كم حس مي كنيد كه تجربه كافي نداريد و اين البته حسي طبيعي هست .

 پس اگر اين حس رو داريد و مي خواهيد يك استراتژي علمي - كاربردي داشته باشيد ، تا انتهاي اين مقاله با من باشيد تا قدم به قدم شما رو به امنيت بيشتر نزديك كنم. هميشه در امنيت شبكه موضوع لايه هاي دفاعي ، موضوع داغي هست و نظرات مختلفي وجود دارد . عده اي فايروال را اولين لايه دفاعي مي دانند ، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند ، اما واقعيت پنهان اين هست كه هيچكدام از اينها ، اولين لايه دفاعي نيستند . يادتون باشد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي ، Policy هست . بدون policy ، ليست كنترل ، فايروال و هر لايه ديگر ، بدون معني مي شود و اگر بدون policy شروع به ايمن كردن شبكه كنيد ، محصول يك آبكش واقعي از كار در مي اید .

 با اين مقدمه ، و با توجه به اين كه شما policy مورد نظرتان را كاملا تجزيه و تحليل كرديد و دقيقا مي دانيد كه چه چيزي رو مي خواهید و چي را احتياج نداريد ، كار را شروع مي كنيم . ما بايد پنج مرحله رو پشت سر بگذاريم تا كارمان تمام بشود . اين پنج مرحله عبارتند از : 1- Inspection ( بازرسي ) 2- Protection ( حفاظت ) 3- Detection ( رديابي ) 4- Reaction ( واكنش ) 5- Reflection ( بازتاب) در طول مسير ، از اين پنج مرحله عبور مي كنيم ، ضمن اينكه ايمن كردن شبكه به اين شكل ، احتياج به تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه رو طي كند و اگر هم بتواند ، خيلي طولاني مي شود و قانون حداقل زمان ممكن را نقض مي كند .

 1- اولين جايي كه ايمن كردن رو شروع مي كنيم ، ايمن كردن كليه authentication هاي موجود هست . معمولا رايج ترين روش authentication كه مورد استفاده قرار مي گيرد ، استفاده از شناسه كاربري و كلمه رمز هست. مهمترين جاهايي كه بايد authentication را ايمن و محكم كرد عبارتند از : - كلمات عبور كاربران ، به ويژه مديران سيستم . - كلمات عبور سوييچ و روتر ها ( من روي سوييچ خيلي تاكيد ميكنم ، چون اين device به صورت plug and play كار مي كند ، اكثر مديرهاي شبكه از config كردن ان غافل مي شوند ، در حالي كه مي تواند امنيت خيلي خوبي به شبكه بدهد ، به مديران امنيتي توصيه ميكنم كه حتما اين device رو كنترل كنند ) .

 كلمات عبور مربوط به SNMP . - كلمات عبور مربوط به پرينت سرور . - كلمات عبور مربوط به محافظ صفحه نمايش . آنچه كه شما در كلاسهاي امنيت شبكه در مورد Account and Password Security ياد گرفتيد را اينجا به كار مي بريد . كه من به خاطر طولاني نشدن بحث به انها اشاره نميكنم .

2- قدم دوم نصب و به روز كردن آنتي ويروس بر روي همه دسكتاپ ، سرور و ميل سرورها هست . ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به طور اتوماتيك به روز رساني بشود و آموزشهاي لازم در مورد فايلهاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك يا اضطراري به كاربران هم داده بشود .

 3 - مرحله سوم شامل نصب آخرين به روز رساني هاي امنيتي سيستم عامل و سرويسهاي موجود هست . در اين مرحله علاوه بر كارهاي ذكر شده ، كليه سرورها و device ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي ، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند .

 4-در اين مرحله نوبت گروه بندي كاربران و اعطاي مجوزهاي لازم به فايلها و دايركتوري ها ميباشد .

 ضمن اينكه account هاي قديمي هم بايد غير فعال شوند . گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود . بعد از پايان اين مرحله ، يك بار ديگه امنيت سيستم عامل بايد چك بشود تا چيزي فراموش نشده باشد .

 5- حالا نوبت device ها هست كه معمولا شامل روتر ، سوييچ و فايروال مي شود . بر اساس policy موجود و توپولوژي شبكه ، اين box ها بايد config بشوند . تكنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين اساس اين مرحله خيلي مهم هست.

 حتي موضوع مهم IP Addressing كه از وظايف مديران شبكه هست مي تواند مورد توجه قرار بگيرد تا اطمينان حاصل بشود كه از حداقل ممكن براي IP Assign به شبكه ها استفاده شده است.

6- قدم بعد تعيين استراژي backup گيري هست . نكته مهم كه اينجا وجود دارد اين هست كه بايد مطمئن بشويم كه سيستم backup گيري و بازيابي به درستي كار مي كند و بهترين حالت ممكن باشد .

 7- امنيت فيزيكي . اول از همه به سراغ UPS ها مي رويم . بايد چك كنيم كه UPS ها قدرت لازم رو براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري رو داشته باشند . نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت هست. همينطور ايمني در برابر سرقت و آتش سوزي. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد نكند .

 به طور كل آنچه كه در مورد امنيت فيزيكي ياد گرفتيد را در اين مرحله به كار مي بريد .

 8- امنيت وب سرور يكي از موضوعاتي هست كه روش بايد وسواس داشته باشيد. به همين دليل در اين قسمت كار ، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم . در حقيقت ، امنيت وب رو اينجا لحاظ مي كنيم . ( اسكريپت هاي سمت سرويس دهنده رو هيج وقت فراموش نكنيد )

9 - حالا نوبت چك ، تنظيم و تست سيستم هاي Auditing و Logging هست . اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد . سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود . در ضمن ساعت و تاريخ سيستم ها درست باشد ، مبادا كه اشتباه باشه كه تمام زحماتتان در اين مرحله به باد ميرود .

 و امكان پيگيري هاي قانوني در صورت لزوم ديگر وجود ندارد .

10- ايمن كردن Remote Access با پروتكل ها و تكنولوژي هاي ايمن و Secure قدم بعدي رو تشكيل مي دهد. در اين زمينه با توجه به شرايط و امكانات ، ايمن ترين پروتكل و تكنولوژي ها رو به خدمت بگيريد .

11 - نصب فايروال هاي شخصي در سطح host ها ، لايه امنيتي مضاعفي به شبكه شما ميدهد . پس اين مرحله رو فراموش نكنيد .

12 - شرايط بازيابي در حالت هاي اضطراري رو حتما چك و بهينه كنيد . اين حالت ها شامل خرابي قطعات كامپيوتري ، خرابكاري كاربران عادي ، خرابي ناشي از بلاياي طبيعي ( زلزله - آتش سوزي - افتادن - سرقت - سيل و ... ) و خرابكاري ناشي از نفوذ هكرها ، ميباشد .

 استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد. يادتون باشد كه '''' هميشه در دسترس بودن اطلاعات '''' ، جز، قوانين اصلي امنيتي هست . 13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست ، عضو شدن در سايتها و بولتن هاي امنيتي و در جريان آخرين اخبار امنيتي قرار گرفتن هست . براي همه شما عزيزان آرزوي سلامتي و موفقيت را دارم .

واحد دانش و تکنولوژی تبیان زنجان

این هکر که پس از رمزگشایی در نامه ای بلند به جهان نوشته که بدون کمک فرد یا سازمانی است و به تنهایی این کار را انجام داده است ذکر کرده من هکری هستم با تجربیات هزاران هکر ، و برنامه نویسی هستم با تجربیات هزاران برنامه نویس، این هکر همچنین خود را مستقل از ارتش سایبری ایران دانسته و نوشته که من هیچ ارتباطی با این گروه نداشته و فعالیت خود را به صورت مستقل انجام می دهم.

 تصویر کاربران هک شده توسط هکر ایرانی

بنابر این گزارش، در این نامه که به زبان انگلیسی انتشار داده شده جوان ایرانی کار خود را توضیح داده و رمز نگاری الگوریتم امنیتی را از طریق جعل امضای دیجیتال ذکر می کند و می گوید این اقدامی متقابل برای بدافزار استاکس نت بود که امریکا و اسراییل تولید کردند بود .

این هکر در آخر افرادی که با جمهوری اسلامی ایران تضاد و دشمنی دارند را مورد خطاب قرار داده و آنها را فاقد حریم شخصی و امنیت در فضای مجازی می داند .

لازم به ذکر است متن نامه انگلیسی این فرد که در اختیار عموم است تاکنون 81 هزار بار دیده شده است.

متن نامه ( ترجمه شده ):

««سلام

این را می نویسم برای جهان ، می نویسم تا در باره من بیشتر بدانید ...

در ابتدا می نویسم برخی از نکات این عملیات را که شما مطمئن شوید من هکر هستم :

من هک کردم شرکت کومودو را از سایت InstantSSL.it که پست الکترونیکی مدیر آن هست : mfpenco@mfpenco.com

نام کاربری و کلمه عبور کومودو هست : نام کاربری : gtadmin کلمه عبور : [trimmed]

نام پایگاه داده شرکت : globaltrust و instantsslcms

سایت GlobalTrust.it یک dll که صدا می کند TrustDLL.dll برای پاسخ گویی به درخواست های شرکت کومودو ، این شرکت یک نماینده است و آدرس آن

http://www.globaltrust.it/reseller_admin/

چی شد ؟ نه ... ! بله افرادی که باید بدانند که هک شده اند با این توضیحات اندک ولی اساسی فهمیده اند ، درسته آقای Abdulhayoglu

در هر صورت باید در ابتدا من ذکر کنم بنده هیچ ارتباطی با ارتش سایبری ایران ندارم ، من DNS ها را تغییر ندادم ، من فقط رمزگشایی و هک کردم و این تنها نشان دهنده ضعف شماست .

من مطالب گفته شده توسط مدیر شرکت و سایر کارکنان این شرکت در باره اینکه این حمله برنامه ریزی شده و از طرف گروهی از مجرمان اینترنتی بوده و ... را خواندم .

اجازه بدهید توضیح دهم :

1) من از گروه هکر ها و مجرمان نیستم، من یک هکر تنها هستم با تجربیات هزاران هکر ، و یک برنامه نویس تنها هستم با تجربیات هزاران برنامه نویس ، من هستم یک برنامه ریز و مدیر با تجربیات هزاران برنامه نویس و مدیر ، با همه این حال شما درست می گویید این این کار تنها توسط گروهی از هکر های موفق بر می آید اما این کار توسط من با تجربیات هزاران هکر موفق اتفاق افتاد.

2) من در ابتدا واقعا قصد مدیریت این نفوذ را نداشتم ، ابتدا تنها تصمیم رمز نگاری الگوریتم های RSA را داشتم ، من تحقیقات زیادی در باره پروتوکل SSL کردم ، تلاش برای پیدا کردن الگوریتم اعداد صحیح بکار رفته ، تجزیه و تحلیل الگوریتم های موجود ، اما می دانستم این کار شدنی نیست و حداقل تا کنون انجام نشده است ، اما می دانستم غیر ممکن نیست و من این را ثابت خواهم کرد ، به هر حال من راه آسانی برای این موضوع پیدا خواهم کرد ، شبیه به هک الگوریتم . من به دنبال آن بودم تا که الگوریتم های امنیتی شرکت های Thawthe, Verisign Comodo را بدست آورم ، من قسمت های آسیب پذیر کوچک در سرور ها را بدست آوردم ولی کافی نبود برای رخنه کردن در سرور ها و بارگزاری الگوریتم ، در طول انجام عملیات و جستجوی من در باره InstantSSL شرکت Comodo بلافاصله من پیدا کردم InstantSSL.it را که در دستور کار سرور های شرکت بود. پس از برسی و تجزیه تحلیل وب سرور براحتی ( برای من راحت ، سخت برای سایرین ) توانستم دسترسی کاملی از سرور بدست آورم ، پس از تحقیقات کمی از بر روی سرور متوجه فایل TrustDll.dll که در خواست هایی برای تایید گواهینامه بود شدم که به زبان C# -ASP.NET بود. ابتدا فایل را رمزنگاری کرده و سورس برنامه آن را بدست آوردم و سپس در فایل کلیه مشخصات نام کاربری و کلمه عبور های GeoTrust Comodo و نمایندگانش را بدست آوردم ، لینک نمایندگان GeoTrust کار نمی کرد ، این قرار داشت در ADTP.cs ، سپس متوجه شدم این با حساب های خارج از خود در حال ارتباط است و لینک ورودی Comodo نیز فعال بود . سپس من وارد Comodo اکانت شدم و سپس دیدم امکان ایجاد امضای دیجیتالی با استفاده از APIs را دارم ، من تا ان زمان هیچ اطلاعاتی از این سیستم نداشتم و نمی دانستم چطور کار می کند. سپس من کدی نوشتم با CSRs که درخواست جابجایی با نمایندگان را می کرد ( مشتری های شرکت ) ، من رابط های برنامه کاربردی APIs را سریع یاد گرفتم و TrustDLL.DLL خیلی قدیمی بود و درست کار نمی کرد و همه پارامتر های مورد نیاز را بدرستی ارسال نمی کرد .

هر کس داخل ایران مشکل دارد ، از جنبش سبز جعلی که همه اعضا آنها از سازمان مجاهدین خلق و تروریست ها هستند ، باید از من بترسند ، من هرکسی داخل ایران ، به مردم ایران آسیب بزند ، به دانشمندان هسته ای من آسیب بزند ، به رهبر من آسیب بزند ( که هیچ کس نمی تواند ) ، به رئیس جمهور من آسیب بزند که با من زندگی می کنند ، که قادر به چنین کاری نخواهند بود انتظار حریم خصوصی در اینترنت نداشته باشند

این برای امضای دیجیتال کافی نبود ، من دوباره نوشتم کد این برنامه را (AutoApplySSL and !PickUpSSL APIs) ، ابتدا برنامه بر می گرداند OrderID و در قسمت دوم API بر می گرداند امضای دیجیتال مشتری ها را که در صورت گذشتن از مرحله قبل بدست می آید.

یاد گرفتم همه این چیز ها را ، از ابتدا کد را نوشتم و یک CSR ( امضای دیجیتال )جدید برای کلیه سایت ها در 15 تا 20 دقیقه ساختم ، و ...خیلی سریع انجام شد

با همه این حال می دانم که شما در باره تخصص من ، سرعت من ، ابتکار من ، دانش من ، و مهارت من در این حمله شکه شده اید

خیلی خوب ، این ها برای من بسیار آسان است ، چیز های مهمتری در این موضوع بوده است که من از بحث در باره ان پرهیز می کنم در صورتی که شما نخواهید باز بنویسم ...

نگرانید ؟ شما باید تگران باشید .... باید بگم من 21 سال دارم

بر می گردیم به دلیل ارسال این پیام

من صحبت هایم با تمام جهان است پس خوب گوش کنید :

زمانی که اسرائیل و امریکا بدافزار و ویروس استاکس نت را تولید کردند ، هیچ کسی در این باره صحبت نکرد ، هیچ چیزی رخ نداد و هیج اتفاقی هرگز رخ نداد، حال زمانی که من این کار را کردم باید اتفاقی بیافتد ؟ نه من به شما می گویم هیچ چیزی رخ نمی دهد ، این یک معامله ساده است

شنیده ام برخی سوال می کنند در این باره از سفیر ایران در سازمان ملل متحد ، واقعا ؟ حال شما خوب است ؟

شما ها کجا بودید زمانی که استاکس نت توسط اسرائیل و امریکا با میلیون ها دلار از بودجه ایجاد شد ؟

این ویروس با دسترسی به سیستم های اسکادا SCADA و نرم افزار های هسته ای ایجاد شد پس آن زمان شما کجا بودید ؟

آیا احدی از سفیر رژیم جعلی اسرائیل و امریکا پرسید در این باره سوالی ؟

بنابر این شما نمی توانید سوال کنید در این باره از سفیر من.

من جواب شما را می دهم ، "بپرسید در باره استاکس نت از سفیر های اسراییل و امریکا" این پاسخ شماست

وقت سفیر ایران را هم نگیرید.

زمانی که ایالات متحده و اسرائیل می توانند ایمیل های شخصی من را در یاهو و هات میل ، جیمیل و اسکایپ و ... بخوانند ، بدون دردسر و براحتی ، زمانی که شما جاسوسی ما را توسط Echelon می کنید ، من می توانم ، ما می توانیم هر کاری که شما می توانید .

این یک قانون ساده است ، شما می توانید ، من نیز می توانم.

هیچ کس نمی تواند من را متوقف کند ، این یک قانون است .

قانون 1 : قوانین من در برابر قوانین شما در اینترنت ، شما خوب می دانید .

قانون 2 : چرا همه جهان نگران شدند ؟ اینترنت شکه شد ؟

و همه شروع به نوشتن در این باره کردند ؟ ولی هیچ کسی در باره استاکس نت چیزی ننوشت ؟هیچ کس در باره HAARP چیزی ننوشت ؟ هیچ کس درباره Echelon چیزی ننوشت ؟

پس هیچ کس هم چیزی در باره جعل امضای دیجیتال ، رمزگشایی الگوریتم اس اس ال نیز چیزی ننویسد.

قانون 3 : هر کس داخل ایران مشکل دارد ، از جنبش سبز جعلی که همه اعضا آنها از سازمان مجاهدین خلق و تروریست ها هستند ، باید از من بترسند ، من هرکسی داخل ایران ، به مردم ایران آسیب بزند ، به دانشمندان هسته ای من آسیب بزند ، به رهبر من آسیب بزند ( که هیچ کس نمی تواند ) ، به رئیس جمهور من آسیب بزند که با من زندگی می کنند ، که قادر به چنین کاری نخواهند بود انتظار حریم خصوصی در اینترنت نداشته باشند .

شما هیچ امنیتی در فضای دیجیتال ندارید ، تنها منتظر بمانید و ببینید ...

به هر حال یا شما تا کنون این را دیده اید یا کور هستید ، ایا در اینترنت هدفی بالاتر از رمزنگاری و هک امضای دیجیتال هست ؟

قانون 4: شرکت کومودو و سایر شرکت های امنیتی جهان : هرگز فکر نکنید امن هستید ، هرگز فکر نکنید شما قانون های اینترنت را تعیین می کنید ، قانون های جهان با 256 کاراکتر که هیچ کس نتواند آن را پیدا کند سخت نیست ، دوست دارید باز نشانتان دهم ؟

شما یک نفر بیابید در سن و سال من که قوانین را برای دنیای دیجیتال شما وضع کند ؟ شما همواره اشتباه می کنید و شما این موضوع رو می دونید .

قانون 5 : میکروسافت ، موزیلا و کروم بعد از رمزنگاری اقدام به بروزرسانی نرم افزار های خودشون کردند ، شما نیز هدف های من هستید . چرا بعد از ویروس استاکس نت شما بعد از 2 سال وصله امنیتی دادید ولی اکنون یک هفته ای بروز رسانی نسخه جدید می دهید ؟ شاید شما نیاز داشتید به استاکس نت ؟

بنابر این شما نیز نیاز دارید یاد بگیرید برخی از مواقع چشم های خودتون رو بر روی بعضی مسائل نبندید .

شما بزودی یاد میگیرید... به زودی می فهمید ، من برابری دی اینترنت را به شما آموزش خواهم داد ، سفارش من به دستور سازمان سیا به شما خواهد رسید .

خنده

قانون 6 : من یک روح هستم .

قانون 7 : من غیر قابل پیش بینی و توقف هستم ، می ترسید حق دارید ، نگران هستید باید باشید

پیام من به مردم و افرادی که با جمهوری اسلامی ایران مشکل دارند

گواهینامه SSL و RSA رمزنگاری شدند ، من این کار را انجام دادم ، بگذارید به شما اطمینان دهم این کار برایم راحت است ، دفعه بعد نخواهم گفت این کار را کرده ام ، و بدون اینکه شما متوجه شوید این کار را انجام می دهم .

هیچ کسی نخواهد فهمید

بعضی از مردم استفاده می کنند از VPNs و برخی دیگر از TOR و برخی دیگر UltraSurf و ..آیا فکر می کنید این ها برای شما امن هست ؟

RSA 2048 نتوانست جلوی من مقاومت نشان دهد ، فکر می کنید UltraSurf می تواند ؟

جانم فدای رهبر

واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده ( (۵

 در شماره قبل به سومین لایه که لایه میزبان است، اشاره شد. در این شماره به لایه برنامه کاربردی بعنوان چهارمین لایه و لایه دیتا بعنوان پنجمین لایه می پردازیم.

سطح ۴- امنیت برنامه کاربردی

در حال حاضر امنیت سطح برنامه کاربردی بخش زیادی از توجه را معطوف خود کرده است. برنامه هایی که به میزان کافی محافظت نشده اند، می توانند دسترسی آسانی به دیتا و رکوردهای محرمانه فراهم کنند. حقیقت تلخ این است که بیشتر برنامه نویسان هنگام تولید کد به امنیت توجه ندارند. این یک مشکل تاریخی در بسیاری از برنامه های با تولید انبوه است. ممکن است شما از کمبود امنیت در نرم افزارها آگاه شوید، اما قدرت تصحیح آنها را نداشته باشید.

برنامه ها برای دسترسی مشتریان، شرکا و حتی کارمندان حاضر در محل های دیگر، روی وب قرار داده می شوند. این برنامه ها، همچون بخش فروش، مدیریت ارتباط با مشتری، یا سیستم های مالی، می توانند هدف خوبی برای افرادی که نیات بد دارند، باشند. بنابراین بسیار مهم است که یک استراتژی امنیتی جامع برای هر برنامه تحت شبکه اعمال شود.

 تکنولوژی های زیر امنیت را در سطح برنامه فراهم می کنند:

· پوشش محافظ برنامه – از پوشش محافظ برنامه به کرات به عنوان فایروال سطح برنامه یاد می شود و تضمین می کند که تقاضاهای وارد شونده و خارج شونده برای برنامه مورد نظر مجاز هستند. یک پوشش که معمولاً روی سرورهای وب، سرورهای ایمیل، سرورهای پایگاه داده و ماشین های مشابه نصب می شود، برای کاربر شفاف است و با درجه بالایی با سیستم یکپارچه می شود.

یک پوشش محافظ برنامه برای عملکرد مورد انتظار سیستم میزبان تنظیم می گردد. برای مثال، یک پوشش روی سرور ایمیل به این منظور پیکربندی می شود تا جلوی اجرای خودکار برنامه ها توسط ایمیل های وارد شونده را بگیرد، زیرا این کار برای ایمیل معمول یا لازم نیست.

· کنترل دسترسی/تصدیق هویت- مانند تصدیق هویت در سطح شبکه و میزبان، تنها کاربران مجاز می توانند به برنامه دسترسی داشته باشند.

· تعیین صحت ورودی - ابزارهای تعیین صحت ورودی بررسی می کنند که ورودی گذرنده از شبکه برای پردازش امن باشد. اگر ابزارهای امنیتی مناسب در جای خود مورد استفاده قرار نگیرند، هر تراکنش بین افراد و واسط کاربر می تواند خطاهای ورودی تولید کند. عموماً هر تراکنش با سرور وب شما باید ناامن در نظر گرفته شود مگر اینکه خلافش ثابت شود!

به عنوان مثال، یک فرم وبی با یک بخش zip code را در نظر بگیرید. تنها ورودی قابل پذیرش در این قسمت فقط پنج کاراکتر عددی است. تمام ورودی های دیگر باید مردود شوند و یک پیام خطا تولید شود. تعیین صحت ورودی باید در چندین سطح صورت گیرد. در این مثال، یک اسکریپت جاوا می تواند تعیین صحت را در سطح مرورگر در سیستم سرویس گیرنده انجام دهد، در حالیکه کنترل های بیشتر می تواند در سرور وب قرار گیرد. اصول بیشتر شامل موارد زیر می شوند:

- کلید واژه ها را فیلتر کنید. بیشتر عبارات مربوط به فرمانها مانند «insert»، باید بررسی و در صورت نیاز مسدود شوند.

- فقط دیتایی را بپذیرید که برای فلید معین انتظار می رود. برای مثال، یک اسم کوچک ۷۵ حرفی یک ورودی استاندارد نیست.

مزایا

ابزارهای امنیت سطح برنامه موقعیت امنیتی کلی را تقویت می کنند و به شما اجازه کنترل بهتری روی برنامه هایتان را می دهند. همچنین سطح بالاتری از جوابگویی را فراهم می کنند چرا که بسیاری از فعالیت های نمایش داده شده توسط این ابزارها، ثبت شده و قابل ردیابی هستند.

معایب

پیاده سازی جامع امنیت سطح برنامه می تواند هزینه بر باشد، چرا که هر برنامه و میزبان آن باید بصورت مجزا ارزیابی، پیکربندی و مدیریت شود. بعلاوه، بالابردن امنیت یک شبکه با امنیت سطح برنامه می تواند عملی ترسناک! و غیرعملی باشد. هرچه زودتر بتوانید سیاست هایی برای استفاده از این ابزارها پیاده کنید، روند مذکور موثرتر و ارزان تر خواهد بود.

ملاحظات

ملاحظات کلیدی برنامه ها و طرح های شما را برای بلندمدت اولویت بندی می کنند. امنیت را روی برنامه ها کاربردی خود در جایی پیاده کنید که بیشترین منفعت مالی را برای شما دارد. طرح ریزی بلندمدت به شما اجازه می دهد که ابزارهای امنیتی را با روشی تحت کنترل در طی رشد شبکه تان پیاده سازی کنید و از هزینه های اضافی جلوگیری می کند.

 سطح ۵ - امنیت دیتا

امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربرمی گیرد. رمزنگاری دیتا، هنگامی که ذخیره می شود و یا در شبکه شما حرکت می کند، به عنوان روشی بسیار مناسب توصیه می گردد، زیرا چنانچه تمام ابزارهای امنیتی دیگر از کار بیفتند، یک طرح رمزنگاری قوی دیتای مختص شما را محافظت می کند. امنیت دیتا تا حد زیادی به سیاست های سازمانی شما وابسته است.

سیاست سازمانی می گوید که چه کسی به دیتا دسترسی دارد، کدام کاربران مجاز می توانند آن را دستکاری کنند و چه کسی مسوول نهایی یکپارچگی و امن ماندن آن است. تعیین صاحب و متولی دیتا به شما اجازه می دهد که سیاست های دسترسی و ابزار امنیتی مناسبی را که باید بکار گرفته شوند، مشخص کنید.

تکنولوژی های زیر امنیت در سطح دیتا را فراهم می کنند:

· رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا، برنامه و سیستم عامل پیاده می شوند. تقریباً تمام طرح ها شامل کلیدهای رمزنگاری/رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند، باید داشته باشند. استراتژی های رمزنگاری معمول شامل PKI، PGP و RSA هستند.

· کنترل دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه، میزبان و برنامه، تنها کاربران مجاز دسترسی به دیتا خواهند داشت.

 مزایا

رمزنگاری روش اثبات شده ای برای محافظت از دیتای شما فراهم می کند. چنانچه نفوذگران تمام ابزارهای امنیتی دیگر در شبکه شما را خنثی کنند، رمزنگاری یک مانع نهایی و موثر برای محافظت از اطلاعات خصوصی و دارایی دیجیتال شما فراهم می کند.

معایب

بار اضافی برای رمزنگاری و رمزگشایی دیتا وجود دارد که می تواند تأثیرات زیادی در کارایی بگذارد. به علاوه، مدیریت کلیدها می تواند تبدیل به یک بار اجرایی در سازمان های بزرگ یا در حال رشد گردد.

ملاحظات

رمزنگاری تا عمق مشخص باید به دقت مدیریت شود. کلیدهای رمزنگاری باید برای تمام ابزارها و برنامه های تحت تأثیر تنظیم و هماهنگ شوند. به همین دلیل، یک بار مدیریتی برای یک برنامه رمزنگاری موثر مورد نیاز است.

دفاع در مقابل تهدیدها و حملات معمول

مقالات گذشته نشان می دهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه شما محافظت می کند و نشان می دهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و مؤثر، شرکت می کند.

 بعضی حملات معمول شامل موارد زیر می شود:

· حملات به وب سرور ـ حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریباً برای هر وب سرور ایجاد می شود، در برمی گیرد. از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات DOS. امروزه حملات به وب سرور یکی از معمول ترین حملات هستند. Code Red و Nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی! برخوردارند.

· بازپخش ایمیل ها بصورت نامجاز ـ سرورهای ایمیلی که بصورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه ها بشمار می روند. بسیاری از شرکت های هرزنامه ساز در پیدا کردن این سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها، متخصص هستند.

· دستکاری میزبان دور در سطح سیستم ـ تعدادی از آسیب پذیری ها، یک سیستم را از راه دور در اختیار حمله کننده قرار می دهند. بیشتر این نوع کنترل ها در سطح سیستم است و به حمله کننده اختیاراتی برابر با مدیر محلی سیستم می دهد.

· فراهم بودن سرویس های اینترنتی غیرمجاز ـ توانایی آسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا می برد. اغلب چنین سرویس هایی کشف نمی شوند، در حالی که در شعاع رادار دیگران قرار می گیرند!

· تشخیص فعالیت ویروسی ـ در حالی که برنامه ضدویروس در تشخیص ویروس ها مهارت دارد، این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده است. در این شرایط بکارگیری یک برنامه تشخیص نفوذ یا IDS شبکه برای تشخیص این نوع فعالیت بسیار مناسب است.

 نتیجه گیری

هکرها و تروریست های فضای سایبر به طور فزاینده ای اقدام به حمله به شبکه ها می کنند. رویکرد سنتی به امنیت ـ یعنی یک فایروال در ترکیب با یک آنتی ویروس ـ در محافظت از شما در برابر تهدیدهای پیشرفته امروزی ناتوان است.

اما شما می توانید با برقراری امنیت شبکه با استفاده از رویکرد لایه بندی شده دفاع مستحکمی ایجاد کنید. با نصب گزینشی ابزارهای امنیتی در پنج سطح موجود در شبکه تان (پیرامون، شبکه، میزبان، برنامه و دیتا) می توانید از دارایی های دیجیتالی خود محافظت کنید و از افشای اطلاعات خود در اثر ایجاد رخنه های مصیبت بار تا حد زیادی بکاهید.

واحد دانش و تکنولوژی تبیان زنجان

افزایش ایمنی شبکه وایرلس، تغییر مداوم رمز عبور و کپی گرفتن از اطلاعات موجود بر روی رایانه از جمله پشنهاداتی است که برای افزایش ایمنی کاربران رایانه در سال 2010 ارائه شده است.

نشریه رایانه‌ای Which ، لیستی 10 گزینه‌ای از دستورالعمل‌هایی که می‌تواند به افراد کمک کند تا نگام استفاده از رایانه ایمنی بیشتری داشته باشند ارائه کرده است.

 این پیشنهادات شامل ایده هایی برای کاهش هزینه ها مانند استفاده از نرم افزارهای آنتی ویروس رایگان و دیگر تجهیزات ایمنی است.

به گفته «سارا کیدنر» دبیر این نشریه در صورتی که کاربران این توصیه ها را به کار بگیرند می توانند آرامش استفاده از رایانه های رایگان را تجربه کرده و هیچ هزینه ای را بابت تعمیر رایانه ها پرداخت نخواهند کرد.

این 10 پیشنهاد و دستور العمل به این شرح ارائه شده اند:

1- شبکه وایرلس خود را ایمن کنید.

2- نرم افزار Windows Security Essential مایکروسافت را به عنوان نرم افزار ایمنی رایگان دانلود کنید.

3- از فایل های مهم در رایانه خود به صورت متداول بک آپ تهیه کنید.

4- از حساب های ایمیلی مانند گوگل یا یاهو استفاده کنید زیرا استفاده از این سرویس ها امکان تغییر دادن ISP را افزایش خواهد داد.

5- کلمه رمز آنلاین خود را به صورت مداوم تغییر دهید.

6- برای استفاده از راهنمایی های تکنیکی برای تعمیر رایانه خود به شماره های پر هزینه تماس نگیرید. در عوض به دنبال شماره تماس های ارزان قیمت تر باشید و یا به آدرس های اینترنتی مرتبط رجوع کنید.

7- دوستان و خانواده خود را با کمک یک تقویم آنلاین ساماندهی کنید.

8- برنامه های رایگان آنتی ویروس AVG را دانلود کنید، این کار می تواند سالانه 40 پانود از هزینه های مرتبط با رایانه شما بکاهد.

9- رایانه خود را به صورت مرتب تمیز کنید زیرا یک صفحه کلید کثیف قادر به نگهداشتن مقادیر بیشتری از آلودگی نسبت به دیگر سطوح آلوده است.

10- در نهایت در صورتی که به دنبال شغل جدیدی هستید از شبکه های اجتماعی و شبکه های آنلاین کاریابی استفاده کنید زیرا توانایی این سایت ها نسبت به شیوه های قدیمی کاریابی بسیار بالاتر است

واحد دانش و تکنولوژی تبیان زنجان

قسمت دوم مقاله (امنيت شبكه‌هاي بي‌سيم چيست؟)

كدام نسخه از WPA بهتر است؟

WPA يك پروتكل به‌روزتر و سازگارتر با استاندارد 802.11n است و از متدهاي رمزنگاري و امن‌كردن اطلاعات براي انتقال توسط امواج استفاده مي‌كند كه تا‌كنون هيچ‌كس نتوانسته آن را شكسته و رمزگشايي كند. نسخه‌هاي WPA2 و WPA2 Enterprise نسخه‌هاي جديدتري نسبت به WPA هستند و به‌يقين از الگوريتم‌ها و روش‌هاي بهتر رمزنگاري‌استفاده مي‌كنند. اگر روتر يا نقطه‌دسترسي شما از WPA2‌ يا WPA2 Personal پشتيباني مي‌كند، اين گزينه را انتخاب كنيد. در غير اين صورت WPA ساده نيز بهترين انتخاب براي رمزنگاري داده‌هاي بي‌سيم است.

چگونه تشخيص دهيم كه دستگاه بي‌سيم روي كدام پروتكل امنيتي تنظيم شده است؟

چندين راه براي فهميدن تنظيمات يك دستگاه بي‌سيم وجود دارد. بهترين روش، وارد شدن به پنل مديريتي دستگاه و مراجعه به بخش‌هاي مختلف آن يا مشاهده صفحه گزارش وضعيت دستگاه است. اگر اين روش براي شما دشوار است يا تمايل نداريد تنظيمات پنل را دستكاري كنيد يا نمي‌توانيد وارد پنل شويد، برخي از نرم‌افزارهاي مديريت شبكه‌هاي بي‌سيم مانند inSSIDer به شما مي‌گويند كه در حال حاضراز كدام پروتكل امنيتي استفاده مي‌كنيد (شكل‌3).

شکل 3- در بخش Security روترهاي بي‌سيم مي‌توان رمز عبور و ديگر تنظيمات امنيتي را انجام داد.

كارمندان بخش فني شركتي كه از آن اشتراك اينترنت گرفته‌‌ام، مودم روتر را نصب و تنظيم كرده‌اند. آيا نياز است كه تنظيمات آن‌ها را تغيير بدهم؟در بيشتر اوقات نيازي نداريد، تنظيمات اوليه دستگاه را تغيير دهيد. چون افراد فني هميشه بهترين گزينه امنيتي را انتخاب مي‌كنند، اما اگر نياز پيدا كرديد كه يك آدرس MAC جديد وارد كنيد يا كانال دستگاه را تغيير دهيد، بايد وارد پنل مديريتي دستگاه شده و از روي راهنماي آن، تنظيمات مورد نظرتان را اعمال كنيد.

در بسياري از دستگاه‌هاي روتر/نقطه‌دسترسي بي‌سيم كليدي به نام WPS وجود دارد. اين كليد چيست؟

Wi-Fi Protect Setup مكانيزمي است كه به طور خودكار اطلاعات تبادلي ميان دستگاه‌هاي واي‌فاي را رمزنگاري و امن مي‌كند. اين مكانيزم شامل تعريف رمز عبور، انتخاب پروتكل رمزنگاري، اعتبارسنجي دستگاه‌هاي گيرنده و فرستنده اطلاعات و... است. در حقيقت، تمامي كارهايي كه بايد يك كاربر به طور دستي براي امنيت شبكه بي‌سيم انجام دهد، با زدن يك كليد انجام مي‌گيرد. توجه كنيد كه تمامي دستگاه‌هاي درون شبكه شما بايد از WPS پشتيباني كنند.

چگونه مي‌توانم تمام تنظيمات امنيتي روتر/نقطه‌دسترسي را يك‌جا انجام بدهم؟

نرم‌افزاري به نام PFconfig اين قابليت را دارد كه به طور خودكار تمام تنظيمات روتر را براساس مشخصات سيستم، شبكه و اينترنت انجام دهد. از جمله اين تنظيمات، تعريف رمز عبور و آدرس‌هاي MAC و ديگر نيازمندي‌هاي امنيتي سيستم است. وقتي وارد سايت اين ابزار مي‌شويد، بايد نام روتر خود را انتخاب كرده و نرم‌افزار مخصوص روتر را دانلود كنيد. پس از نصب، نرم‌افزار با گرفتن اطلاعات شبكه و اينترنت روتر را تنظيم مي‌كند. اين روش براي افرادي كه مبتدي هستند، بسيار مناسب است. متأسفانه براي برخي از دستگاه‌ها، اين نرم‌افزار پولي است.

دقيقاً روي روتر/نقطه دسترسي خودم چه كارهايي بايد بكنم؟

1- آدرس پنل مديريتي دستگاه را وارد يك مرورگر وب كرده و با استفاده از نام كاربري و رمز عبور پيش‌فرض، وارد اين پنل شويد (آدرس پنل، نام كاربري و رمز عبور براي هر دستگاه متفاوت بوده و توسط شركت سازنده دستگاه در اختيار كاربر قرار مي‌گيرد. معمولاً در دفترچه راهنما، پشت دستگاه، برگه‌هاي گارانتي يا ديسك‌هاي نرم‌افزار مي‌توان اين اطلاعات را يافت. بيشتر روترها/نقطه‌هاي‌دسترسي از آدرس 192.168.1.1 و نام‌كاربري/رمز عبور Admin يا 1234 استفاده مي‌كنند).

2- مهم‌ترين كار بعد از نخستين ورود به پنل تغيير‌دادن رمز‌عبور آن است. براي اين كار وارد بخش Management يا بخشي همانند آن شده و رمز عبور جديد را تعريف كنيد.

3- براي تنظيمات امنيتي شبكه‌ بي‌سيم، وارد بخش

Wireless > Security يا بخش‌هايي از اين قبيل شده و يكي از روش‌هاي WPA يا WPA2 را انتخاب كرده و رمز عبور هشت رقمي خود را وارد كنيد. در انتها بايد كليد Save يا Apply Change يا كليدي همانند اين‌ها را فشار دهيد تا تغييرات اعمال شوند (شكل 4).

شکل 4- با استفاده از نرم‌افزارهاي شبكه‌هاي واي‌فاي مي‌توان پروتكل رمزنگاري شبكه را فهميد.

4- اگر مي‌خواهيد آدرس MACهاي معتبر را وارد كنيد، گزينه MAC Filter را انتخاب و با زدن كليد Add و تعريف آدرس‌ها، گزينه Allow را انتخاب كنيد.

5- حتماً در انتها يك بار دستگاه را راه‌اندازي كنيد.

 چرا WPA بهتر از WEP است؟

WEP الگوريتم رمزنگاري براي شبكه‌هاي مبتني بر پروتكل 802.11 است و تقريباً همراه با اين پروتكل در سال 1997 ارائه شده و نخستين استاندارد رمزنگاري اطلاعات بي‌سيم است، اما WPA از سوي گروه Wi-Fi Alliance، توسعه‌دهنده پروتكل 802.11 ارائه شده و در سال‌هاي بعدي نيز نسخه‌هاي ديگري از آن مانند WPA2 نيز استانداردسازي و منتشر شده‌ است. 

پروتكل WEP در كمتر از ده دقيقه درهم شكسته مي‌شود، اما درهم شكستن WPA با يك كليد 21 بيتي بيشتر از 4 × 1020 سال طول مي‌كشد. WEP تنها مي‌تواند از كليدهاي 64، 128 و 152 ‌بيتي و يك IV (سرنام Initialization Vector) يكسان يا همان بردار توليد كليدهاي ابتدايي رمزنگاري استفاده ‌كند، اما در WPA از دو الگورتيم رمزنگاري پيچيده به نام‌هاي TKIP (سرنام Temporal Key Integrity Protocol) و AES (سرنامAdvanced Encryption Standard) استفاده مي‌شود كه در هر كدام كليدها ده‌ها بار توليد شده و در رمزنگاري اطلاعات شركت كرده و از بين مي‌روند. طول بردار IV دو برابر WEP است. IV در WPA قابليت تعريف پانصد تريليون كليد مقايسه را فراهم مي‌كند، اما اين تعداد در WEP نزديك به 7/16 ميليون كليد مقايسه است.

واحد دانش و تکنولوژی تبیان زنجان

امروزه اينترنت به يکي از ارکان ارتباطي بين افراد و سازمان ها تبديل شده است. بسياري از ما روزانه اطلاعاتي از اين طريق مي گيريم يا مي فرستيم. اين اطلاعات از نظر اهميت با هم تفاوت زيادي دارند. برخي از اين اطلاعات مانند اخبار يک سايت اهميت امنيتي چنداني ندارند، اما در طرف ديگر اسناد شخصي مثل ايميل ها، رمز حساب هاي بانکي و ... قرار دارند که دوست نداريم به دست ديگران بيافتند.

اطلاعاتي که در حالت عادي بين کاربران و دنياي اينترنت رد و بدل مي شوند، به گونه اي هستند که يک هکر يا خراب کار حرفه اي مي تواند آنها را ببيند و براي اهداف خود مورد سواستفاده قرار دهد. مثلا در يک خريد اينترنتي، زماني که قصد داريد براي پرداخت به حساب بانکي خود وارد شويد، سايت از شما رمزعبور مي خواهد. حال اگر سايت مورد نظر فاقد برنامه هاي امنيتي لازم باشد، ممکن است اطلاعات شما در ميانه راه بدون آنکه متوجه شويد، دزديده شوند و اگر بد شانس باشيد چند روز بعد که به حساب تان سر مي زنيد آن را خالي شده مي يابيد.

اما احتمال اين اتفاق بسيار اندک است، زيرا اکثر حساب هاي بانکي و سايت هايي از اين قبيل که با اطلاعات حساس و مهم در ارتباط اند، معمولا از روش هايي براي رمزگذاري (Encrypt) اطلاعات استفاده مي کنند. در اين حالت اگر اطلاعات در ميان راه دزديده شوند جاي نگراني نخواهد بود، زيرا شکستن رمز آنها تقريبا غيرممکن است.

اطلاعات معمولاً کي و کجا دزديده مي شوند؟

زماني که آدرس يک سايت را در مرورگر وارد مي کنيم اطلاعات بين کامپيوتر ما و کامپيوتري که سايت روي آن قرار دارد (سرور) در حال رد و بدل هستند. پس اگر بتوانيم به طريقي ارتباط بين کامپيوتر خود و کامپيوتر سرور را امن کنيم اطلاعات ما دزديده نخواهند شد.

اطلاعات در اينترنت چگونه جابجا مي شوند؟

اطلاعات در اينترنت - درست مثل فرستادن يک نامه- به صورت فايل هاي متني جابجا مي شوند. همان طور که يک نامه از زماني که در صندوق پست گذاشته مي شود تا زماني که به صاحبش مي رسد در دست افراد مختلفي قرار مي گيرد، به همان صورت نيز اطلاعات ما توسط سيستم هاي زيادي دست به دست مي شود تا به سايت يا شخص مورد نظر مي رسد. اگر اطلاعات به صورت عادي فرستاده شوند، هر کدام از سيستم هاي بين راه مي توانند آنها را ببينند. پس براي جلوگيري از خوانده شدن و سرقت احتمالي، بايد آنها را رمزگذاري کرد. با يک مثال مسئله را روشن تر مي کنم. فرض کنيد مي خواهيد براي نامزد خود يک نامه بنويسيد. اما دوست نداريد افراد خانواده او بتوانند آن نامه را بخوانند. يکي از راه ها اين است که نوشته ها را به رمز بنويسيد، رمزي که فقط نامزدتان از آن سر در بياورد! در اينترنت هم براي اينکه هکرها نتوانند اطلاعات را بفهمند، آنها را به رمز در مي آورند. يکي از بهترين و متداول ترين روش‌هاي رمز گذاري اينترنتي، استفاده از پروتکل اس ال ال است.

اس اس ال چيست؟

SSL مخفف کلمه Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي(مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است که توسط شرکت Netscape ابداع شده.

از اين پروتکل براي امن کردن پروتکل هاي غيرامن نظيرHTTP ،LDAP ، IMAP و ... استفاده مي شود. بر اين اساس يکسري الگوريتم هاي رمزنگاري بر روي داده هاي خام که قرار است از يک کانال ارتباطي غيرامن مثل اينترنت عبور کنند، اعمال مي‌شود و محرمانه ماندن داده‌ها را در طول انتقال تضمين مي‌کند.

به بيان ديگر شرکتي که صلاحيت صدور و اعطاء گواهي هاي ديجيتال اس اس ال را دارد، براي هر کدام از دو طرفي که قرار است ارتباطات ميان شبکه‌اي امن داشته باشند، گواهي‌هاي مخصوص سرويس دهنده و سرويس گيرنده را صادر مي‌کند و با مکانيزم هاي احراز هويت خاص خود، هويت هر کدام از طرفين را براي طرف مقابل تأييد مي‌کند. البته علاوه بر اين تضمين مي کند، اگر اطلاعات حين انتقال به سرقت رفت، براي رباينده قابل درک و استفاده نباشد که اين کار را به کمک الگوريتم هاي رمزنگاري و کليدهاي رمزنگاري نامتقارن و متقارن انجام مي‌دهد.

ملزومات ارتباط بر پايه اس اس ال

براي داشتن ارتباطات امن مبتني بر اس اس ال عموماً به دو نوع گواهي ديجيتال اس اس ال، يکي براي سرويس دهنده و ديگري براي سرويس گيرنده و يک مرکز صدور و اعطاي گواهينامه ديجيتال(Certificate authorities) نياز است. وظيفه CA اين است که هويت طرفين ارتباط، نشاني ها، حساب هاي بانکي و تاريخ انقضاي گواهينامه را بداند و براساس آن ها هويت ها را تعيين نمايد.

رمزنگاري

رمزنگاري (Cryptography) علم به رمز در آوردن (encryption) اطلاعات است. توضيح روش هاي بسيار پيچيده اي که امروزه براي رمزنگاري استفاده مي شود از حوصله اين مطلب خارج است، اما براي رفع ابهام، در زير به يکي از ساده ترين روش هاي رمزنگاري مي پردازيم:

مي دانيم که هر حرف در الفبا جايگاهي دارد. مثلا حرف «الف قبل از ب» و «حرف م قبل از ن» قرار دارد.

حال، اگر بخواهيد يک جمله را به رمز در آوريد. در ساده ترين شکل ممکن، هر حرف را با حرف بعدي خود در الفبا جايگزين مي کنيد.

يعني به جاي «الف» حرف «ب»، به جاي «ب» حرف «پ»، ... ، به جاي «ه» حرف «ي» و به جاي حرف «ي» حرف «الف» را مي گذاريد.

با اين کار مي توان جمله «بابا آب داد» را به جمله بي معني «پبپب بپ ذبذ» تبديل کرد که اگر فردي کليد رمز را نداشته باشد، به هيچ وجه از آن سر در نمي آورد.

اس اس ال چگونه کار مي کند؟

اس اس ال در واقع پروتکلي است که در آن ارتباطات بوسيله يک کليد، رمزگذاري(Encryption) مي شوند. زماني که قرار است يکسري اطلاعات را به صورت اس اس ال به يک سايت که سرور (server) اش گواهي نامه اس اس ال را دارد (در آدرس سايت https است) ارسال شود. ابتدا بايد از يک کليد به عنوان قالبي براي به رمز در آوردن اطلاعات بين خدمات گيرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. براي ساخت اين کليد نياز به چند مرحله هماهنگي به شرح زير است.

1. وقتي سروري بخواهد پروتکل اس اس ال را فعال کند. ابتدا يک کليد عمومي (Public Key) مي سازد.

2. سپس کليد عمومي را همراه با يک درخواست گواهي نامه اس اس ال به يکي از صادرکنندگان اين گواهي نامه ها مثل وريساين (Verisign) مي فرستد.

3. وريساين نيز ابتدا مشخصات و ميزان قابل اعتماد بودن و امنيت سرور را ارزيابي کرده و کليد عمومي را دوباره رمزگذاري مي کند و براي سرور مي فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کليد جديد کليد امنيتي (private key) مي گويند.

4. حال هر زمان که کاربر بخواهد از طريق پروتکل اس اس ال به اين سايت دست يابد، ابتدا کامپيوتر کاربر يک کليد عمومي براي سرور مي فرستد (هر کامپيوتري کليد مخصوص به خود را دارد).

5. سرور نيز اين کليد عمومي را با کليد امنيتي خود مخلوط کرده و از آن کليد جديدي مي سازد. سپس آن را به کامپيوتر کاربر مي فرستد.

6. از اين به بعد تمامي اطلاعاتي که بين کاربر و سرور جابجا مي شوند با اين کليد جديد رمز گذاري مي شوند.

واضح است که نيازي به دانستن تمام اين جزييات نيست و ما جهت رفع کنجکاوي آنها را آورده ايم. فقط اين را بدانيد که با استفاده از اين سرويس اطلاعات کاملا رمزنگاري و باز کردن آنها تقريبا غير ممکن است. تنها وظيفه شما به عنوان کاربر اين است که از اين امکانات استفاده کنيد و پروتکل اس اس ال را در مرورگر، ايميل و ديگر حساب هاي خود که سرور آن به شما اين امکان را مي دهد، فعال کنيد.

اگر هم يک مدير سرور هستيد، سعي کنيد گواهي نامه پروتکل اس اس ال را از صادرکنندگان آن مثل Verisign و Thawte خريداري و در اختيار بازديدکنندگان خود بگذاريد.

چگونه مي توان مطمئن شد، يک سايت از اس اس ال استفاده مي کند؟

اين بخش بسيار ساده اما مهم و حياتي است. براي اين کار ابتدا وارد آن سايت شويد. زماني که صفحه به طور کامل بارگذاري (load) شد، به ابتداي آدرس آن نگاه کنيد. مي بايست به جاي http حروف https نوشته شده باشد (منظور از حرف s در پايان http عبارت secure است). البته در اين حالت يک علامت قفل هم در مرورگر ديده مي شود. جاي اين قفل در مرورگرهاي مختلف متفاوت است. در فايرفاکس و اينترنت اکسپلورر در پايين و سمت راست صفحه، در نوار وضعيت (status bar) و در مرورگرهاي سافاري، کروم و اپرا در سمت راست آدرس ديده مي شود.

نکته جالب در خصوص اين قفل کوچک اين است که با دو بار کليک کردن بر روي آن، مي‌توانيد مشخصات کامل گواهي اس اس ال سايت مورد نظر را ببينيد. مهم‌ترين نکته در خصوص اين اطلاعات تاريخ خريد و انقضاي اين گواهينامه است که بايد به آن توجه داشته باشيد.

حتي اگر اطلاعات چندان مهمي را رد و بدل نمي کنيد، پيشنهاد مي کنيم که از اس اس ال استفاده کنيد. وقتي سرويسي با امنيت بالا و رايگان در اختيارتان قرار مي گيرد، چرا از آن بهره نبريد؟ در زير چند نمونه از روش هاي استفاده از اين پروتکل را مي توانيد مطالعه کنيد.

مرورگر

در فايرفاکس 3 پروتکل اس اس ال به صورت پيش فرض فعال است. البته براي فعال و غير فعال کردن اين امکان مي‌توانيد به روش زير اقدام کنيد:

از منوي Tools فايرفاکس، گزينه Options را انتخاب کنيد. در پنجره باز شده از سربرگ Advanced بخش Encryption را باز کنيد. مي بينيد که به صورت پيش فرض Use SSL 3.0 تيک خورده است.

واحد دانش و تکنولوژی تبیان زنجان

هکر‌ها از نقاط ضعف سیستم‌عامل رایانه‌ها استفاده می‌کنند و با کمک برنامه‌های کوچک، رایانه‌های قربانیان را تحت کنترل می‌گیرند.

تصور کنید اینترنت یک شهر است و این شهر پر از مکان‌های زیبا و گوناگون و همچنین مکان‌های خطرناک.

در این شهر هر کس لزوما آن کسی نیست که ادعا می‌کند، حتی شما! ممکن است متوجه شوید بی‌آن‌که بدانید کارهای غیر قانونی مرتکب شده‌اید.

این یعنی کارهایی که انجام می‌دهید تحت کنترل شما نیست و نبوده و احتمال دارد حتی بعد از این نیز نتوانید جلوی آن را بگیرید.

یک رایانه زامبی (Zombie)، رایانه‌ای است که فرمان‌های شخص دیگری را اجرا می‌کند، بدون این که کاربران خبر داشته باشند و کنترل آن را به دست بگیرند.

یک هکر که قصد انجام کارهای غیرقانونی دارد، ممکن است از یک رایانه دیگر برای انجام خرابکاری‌هایش استفاده کند، بدون این که کاربر آن رایانه دخالتی در آنها داشته باشد.

در این مواقع کاربر قربانی بی‌خبر از اتفاق‌های رخ داده، فقط با این تصور که سرعت پردازش رایانه‌اش بشدت کاهش یافته، مواجه می‌شود.

هکرها از این رایانه‌ها برای فرستادن اطلاعات یا حمله به سایت‌ها و سرورها استفاده می‌کنند و در نتیجه اگر این حمله ردیابی شود، رایانه قربانی، مقصر به حساب می‌آید؛ چرا که همه سرنخ‌ها به آن ختم می‌شود.

کاربر رایانه قربانی ممکن است متوجه شود که ISP او دیگر اجازه دسترسی به اینترنت را نمی‌دهد.

با این حال هکری که کنترل این رایانه را به دست گرفته بود، بی هیچ مشقتی به سراغ یارانه‌های دیگر می‌رود چرا که او در این حمله هکری از چند رایانه زامبی دیگر استفاده می‌کند.

شاید باور کردنی نباشد که یک هکر می‌تواند در چنین مواقعی کنترل چند رایانه را در دست بگیرد. برای مثال در پیگیری یکی از همین حمله‌ها، هکری با استفاده از تنها یک رایانه کنترل يك ونيم میلیون رایانه دیگر را به دست آورده بود!

هک کردن رایانه قربانی

هکر‌ها از نقاط ضعف سیستم‌عامل رایانه‌ها استفاده می‌کنند و با کمک برنامه‌های کوچک، رایانه‌های قربانیان را تحت کنترل می‌گیرند.

ممکن است تصور کنید که این هکرها همه چیز را راجع به رایانه و اینترنت می‌دانند، اما در واقع بیشتر آنها تجربه برنامه‌نویسی کمی‌دارند و حتی برخی فقط طرز استفاده از یک برنامه رایانه‌ای را یاد گرفته‌اند و از آن استفاده می‌کنند.

برای آلوده کردن یک رایانه، برنامه مورد نظر باید روی سیستم قربانی نصب شود. هکرها می‌توانند به وسیله پست الکترونیک، شبکه‌های P2P و حتی یک سایت ساده این کار را انجام دهند.

در بیشتر مواقع، هکر برنامه مورد نظر را در قالب یک فایل عادی مخفی می‌کند و کاربر قربانی که از همه چیز بی‌خبر است، گمان می‌کند در واقع آنچه را خواسته به دست آورده است.

با افزایش اطلاعات کاربران درباره حمله‌های اینترنتی، هکرها نیز برای حمله از راه‌های جدیدی استفاده می‌کنند.

تا به حال در سایتی وارد شده‌اید که با ورود به آن پنجره‌ای خود به خود باز شود و یک دگمه روی آن باشد که روی آن نوشته است "No, Thanks"‌؟ امیدواریم که روی این دکمه کلیک نکرده باشید؛ چراکه این دگمه‌ها معمولا یک طعمه هستند. با فشار دادن آن دگمه، به جای این که پنجره مزاحم بسته شود، دانلود برنامه مخرب آغاز می‌شود.

در مرحله بعد، برنامه‌ای که در نرم‌افزار قربانی قرار گرفته است، باید فعال شود. معمولا کاربر فکر می‌کند که یک فایل عادی دانلود کرده است و آن را باز می‌کند و برنامه مخفی در آن اجرا می‌شود.

ممکن است این فایل با پسوند MPEG باشد و مانند یک عکس به‌نظر آید یا یک پسوند شناخته شده دیگر باشد. وقتی کاربر این فایل را باز می‌کند، در ابتدا به نظر می‌آید که فایل مورد نظر خراب است یا هیچ اتفاقی رخ نمی‌دهد.

این موضوع برای بعضی افراد که اطلاعات رایانه‌ای دارند، می‌تواند یک هشدار باشد؛ بنابراین برای جلوگیری از آلوده شدن به ویروس، می‌توانند با استفاده از یک آنتی‌ویروس، رایانه را پاکسازی کنند اما متأسفانه بعضی دیگر که اطلاعات چندانی ندارند گمان می‌کنند که فایل مورد نظر درست دانلود نشده است و کار خاصی برای پاکسازی انجام ندهند.

با فعال شدن برنامه مخرب، آن به یکی از برنامه‌های سیستم‌عامل وصل می‌شود و به این ترتیب هر وقت رایانه قربانی روشن شود، برنامه هکر نیز فعال می‌شود البته هکرها همیشه از یک برنامه سیستمی ‌برای این کار استفاده نمی‌کنند، تا براحتی شناسایی نشوند و تشخیص آن برای کاربر و برنامه‌های ضدجاسوسی دشوارتر شود.

برنامه مخرب می‌تواند به دو صورت فعالیت کند. این برنامه ممکن است حاوی دستوراتی باشد که فرمان‌های لازم را در زمانی مشخص اجرا کند یا ممکن است کنترل رایانه قربانی را در اختیار هکر قرار دهد تا او دستوراتش را به رایانه هک شده منتقل کند.

وقتی برنامه به این مرحله برسد، هکر تقریبا می‌تواند به همه اهدافش دست یابد اگر در این مرحله کاربر از حضور هکر با خبر شود، ممکن است هکر یکی از رایانه‌های زامبی را از دست بدهد.

جلوگیری از حمله

برای جلوگیری از آلوده شدن، همیشه باید از سیستم خود حفاظت کنید. از سوی دیگر باید توجه داشته باشید که تقویت امنیت سیستم تنها قسمتی از حفاظت است. شما باید در محیط اینترنت نیز با احتیاط رفتار کنید.

استفاده از یک نرم‌افزار آنتی‌ویروس یک ضرورت مطلق است. شما می‌توانید یک آنتی‌ویروس تجاری مانند McAfee VirusScan را خریداری یا یک آنتی‌ویروس مجانی مانند AVG را دانلود کنید، اما همیشه در نظر داشته باشید که آنتی‌ویروس شما باید فعال و به‌روز باشد.

به عبارتی دیگر، این که شما از چه آنتی‌ویروسی استفاده می‌کنید اهمیتی چندانی ندارد. مهم این است که آنتی‌ویروس شما همیشه به‌روز باشد و از سیستم‌تان محافظت کند.

همچنین شما باید یک نرم‌افزار ضد جاسوسی نیز نصب کنید. این نرم‌افزارها الگوی انتقال داده‌های شما را در اینترنت تحت نظر می‌گیرند حتی بعضی از آنها فعالیت شما در سیستم‌عامل را نیز کنترل می‌کنند و با شناسایی یک فعالیت غیرعادی در دستگاه شما، جلوی آن را می‌گیرند. این برنامه‌ها نیز مانند آنتی‌ویروس‌ها باید همیشه به‌روز باشند تا مؤثر واقع شوند.

برنامه‌های فایروال نیز از اهمیت بالایی برخوردارند. این برنامه‌ها از رد و بدل اطلاعات ناشناس از درگاه‌های شبکه شما جلوگیری می‌کنند.

معمولا هر سیستم‌عامل دارای یک سرویس فایروال است و همین سرویس جوابگوی نیازهای شماست. اما می‌توانید برای امنیت بیشر از برنامه‌های موجود برای سیستم‌عامل خود استفاده کنید.

همچنین شما باید برای رایانه‌تان یک کلمه عبور امن درست کنید. حدس زدن این رمز عبور نباید کار آسانی باشد.

هر چند استفاده از کلمه‌های عبور برای حساب‌های مختلف در سایت‌ها و برنامه‌های مختلف و به خاطر سپردن همه آنها ممکن است کار دشواری باشد، اما این موضوع امنیت سیستم شما را چندبرابر می‌کند.

اگر رایانه شما آلوده و به یک رایانه زامبی تبدیل شده است، راه‌های کمی‌برای بهبود اوضاع پیش‌رو دارید. اگر اطلاعات کافی در زمینه رایانه ندارید، بهتر است کار را به یک متخصص واگذار کنید اما اگر به چنین شخصی دسترسی ندارید، می‌توانید با استفاده از یک برنامه آنتی‌ویروس، ارتباط هکر را با رایانه‌تان قطع کنید.

متأسفانه بعضی اوقات تنها راه، پاک کردن اطلاعات موجود روی رایانه و نصب مجدد سیستم‌عامل است. همچنین بهتر است به طور منظم از اطلاعات ‌هارد دیسک بک‌آپ بگیرید که در صورت نصب مجدد سیستم‌عامل اطلاعاتتان را از دست ندهید.

به یاد داشته باشید که این فایل‌های پشتیبانی باید به‌طور منظم با آنتی‌ویروس اسکن شوند و از پاک بودن آنها اطمینان حاصل کنید.

با به کار بردن این دستورالعمل‌ها می‌توانید با خاطری آسوده رایانه خود را در مقابل حمله‌ها محافظت کنید

واحد دانش و تکنولوژی تبیان زنجان

هكرها مي‌توانند از چاپگر شما يك بمب ساعتي بسازند

حلقه گمشده امنيت در دنياي ديجيتال

 در دنياي امروز استفاده از فناوري‌هاي جديد روز به روز در حال گسترش است.

اگرچه پيش از اين مي‌توانستيم با قرار دادن اسناد و مدارك شخصي و محرمانه در مكاني امن و مطمئن امنيت شخصي را در حريم اختصاصي خود تضمين كنيم، اما متاسفانه فناوري‌هاي ديجيتال كه به يكي از نيازهاي ضروري زندگي ما مبدل شده‌اند كم‌كم به بلاي جانمان تبديل مي‌شوند، چرا كه اين فناوري‌ها دسترسي به اطلاعات شخصي و محرمانه‌اي را كه اين روزها به شيوه‌اي جديد و امروزي و در قالب مجموعه‌اي از كدهاي ديجيتالي صفر و يك ذخيره و نگهداري مي‌كنيم، تسهيل مي‌كنند و مراقبت از اطلاعات محرمانه در برابر حمله هكرها به معضلي تبديل شده كه هنوز هم راهكار مناسبي براي آن ارائه نشده است.

هكرها يا به عبارتي سارقان دنياي ديجيتال كه فرسنگ‌ها دورتر از ما زندگي مي‌كنند مي‌توانند به آساني كنترل شبكه‌هاي كامپيوتري را در دست بگيرند و به آساني با دسترسي به مشخصات افراد مرتكب سرقت هويتي شوند. محققان دانشگاه كاليفرنيا بتازگي موفق به شناسايي موج جديدي از حمله هكرها به كامپيوترها و سيستم‌هاي ارتباطي كامپيوتري شده‌اند كه مي‌تواند تهديدي جدي عليه امنيت اعضاي شبكه‌هاي ارتباطي باشند و امنيت بيش از ميليون‌ها كاربر حقيقي يا حقوقي و حتي شركت‌هاي دولتي را در معرض تهديد قرار دهند. براساس خبر جديدي كه براي نخستين‌بار در وب‌سايت رسمي شركت مايكروسافت گزارش شده است، اين گروه از مجرمان كامپيوتري از طريق شبكه اينترنت و از راه دور كنترل چاپگرها را در دست مي‌گيرند و از آنها به عنوان ابزاري براي سرقت اطلاعات شخصي افراد استفاده مي‌كنند.

ارسال كدهاي مخرب امنيتي براي نفوذ به سيستم

به گفته محققان، اين جريان ضدامنيتي مي‌تواند با ارسال دستوراتي مبني بر افزايش ناگهاني دما در بخشي از چاپگر همراه باشد كه جوهر را در سطح كاغذ خشك مي‌‌كند و در نهايت موجب سوختن كاغذ خواهد شد. اگرچه اغلب چاپگرها مجهز به يك سوئيچ حرارتي هستند كه در صورت لزوم با خاموش كردن چاپگر مانع از سوختن كاغذ مي‌شوند، اما در حقيقت در اينجا چاپگرها مي‌توانند واسطه‌اي براي ايجاد خسارت‌هاي هنگفتي در شبكه‌هاي بزرگ ارتباطي باشند.

 در اغلب موارد، تنظيمات نصب و راه‌اندازي چاپگرها به گونه‌اي انجام مي‌شود كه مي‌توان از طريق شبكه نيز دستور چاپ اسناد يا اطلاعات خاصي را اجرا كرد و به اين ترتيب مي‌توان همزمان يك ويروس كامپيوتري را نيز با ارسال اين پيام وارد سيستم كرد. به عبارت ديگر، به كمك اين روش اين امكان وجود خواهد داشت كه بتوان از راه دور و بدون اين‌كه هرگونه اختلالي در سيستم ايجاد شود، يك سيستم كامپيوتري يا حتي يك شبكه را تحت كنترل قرار داد و به اطلاعات آن دسترسي داشت.

 در حقيقت مي‌توان فناوري‌هاي ديجيتالي را شبيه به خودروهايي دانست كه مالكان آنها به دليل در دست نداشتن كليد قفل آنها نمي‌توانند استفاده از آن را به انحصار خود درآورند. به اين ترتيب چنين روشي، روش امن و مطمئني براي حفاظت از اسناد و اطلاعات محرمانه نخواهد بود.

اين گروه از هكرها مي‌توانند چاپگرها را با ارسال يك كد مخرب ويران كنند. با ارسال اين كد ضدامنيتي و نصب يك نرم‌افزار دائمي در سيستم كه تنها 30 ثانيه زمان مي‌برد، يك ويروس كامپيوتري به شبكه راه مي‌يابد كه پس از نصب، امكان شناسايي آن وجود نخواهد داشت مگر اين‌كه تراشه يا چيپ را از سيستم خارج كرده و آن را مورد بررسي و بازبيني دقيق قرار دهيم. هيچ‌يك از انواع نرم‌افزارهاي ضدويروسي پيشرفته و جديد نيز توانايي تشخيص و از كارانداختن اين نرم‌افزار را كه در تراشه داخلي چاپگر نصب و راه‌اندازي مي‌شود نخواهند داشت.

اگرچه شايد اين موضوع تا به حال كمتر مورد توجه قرار گرفته باشد، اما در حقيقت چاپگرها نيز در يك شبكه ارتباطي همانند يك سيستم كامپيوتري مجزا عمل مي‌كنند كه ممكن است با مشكلات مشابهي در سيستم‌هاي ارتباطي مواجه شده و از تاثيرات مشابهي بر عملكرد ديگر سيستم‌هاي ديجيتالي تعبيه شده در يك شبكه ارتباطي برخوردار باشند.

ميليون‌ها چاپگر در معرض خطر هستند

براساس بررسي‌هاي انجام شده از آنجا كه اين ويروس مخرب ضدامنيتي تنها مي‌تواند در عملكرد پرينترهاي ليزري اختلال ايجاد كند و اغلب كاربران خانگي از چاپگرهاي جوهرافشان براي رفع نيازهايشان استفاده مي‌كنند مي‌توان آسيب‌پذيري چاپگرها در برابر موج جديد حمله هكرها به شبكه‌هاي ارتباطي را تنها محدود به گروه خاصي از كاربران شركت‌هاي بزرگ تجاري دانست.

نكته: هكرها يا به عبارتي سارقان دنياي ديجيتال كه فرسنگ‌ها دورتر از ما زندگي مي‌كنند مي‌توانند به آساني كنترل شبكه‌هاي كامپيوتري را در دست بگيرند و به آساني با دسترسي به مشخصات افراد مرتكب سرقت هويتي شوند

البته بايد اين نكته را نيز مد نظر قرار داد كه از سال 1984 ‌(1363) تاكنون بيش از 100 ميليون چاپگر ليزري در سطح دنيا به فروش رفته است و به عبارتي مي‌توان گفت تعداد زيادي از كاربران در معرض خطري از جانب هكرها هستند كه شايد برايشان بسيار گران تمام شود. پس از اين كه چاپگر يك شبكه ارتباطي به اين ويروس آلوده شد با ارسال كد مخرب به كامپيوترهاي شبكه، مجموع سيستم‌هاي مرتبط در اين شبكه را تحت تاثير قرار مي‌دهد. به اين ترتيب به مجموعه‌اي از اطلاعات شخصي كاربران نظير شماره كارت شناسايي و يا اطلاعات مربوط به شماره حساب آنها دسترسي پيدا مي‌كند.

 اگر يك هكر تنها به دنبال اين باشد كه در عملكرد يك شبكه ارتباطي اختلال ايجاد كند، با اين روش و تنها با ارسال يك برنامه نرم‌افزاري به منظور ارتقاي سيستم مي‌تواند هزاران و يا ميليون‌ها سيستم ديجيتالي را كه در برابر نفوذ اين برنامه مخرب آسيب‌پذير هستند از كار بيندازد. جالب است بدانيد كه حتي پرينترهاي كاربران خانگي كه به طور مستقيم به شبكه اينترنت متصل نباشند هم در معرض خطر حمله اين گروه‌ از هكرها قرار دارند. چراكه تنها ارتباط بين كامپيوتر و پرينتر براي نفوذ هكرها كافي است. محققان در يك بررسي آني و لحظه‌اي بيش از 40 هزار سيستم ارتباطي ديجيتالي را شناسايي كرده‌اند كه تنها در مدت زمان چند دقيقه مورد حمله اين ويروس ضدامنيتي قرار گرفته‌اند.

همان‌طور كه مي‌بينيد، هكرها اين توانايي را دارند كه در مدت زمان كوتاهي به هر ابزار الكترونيكي حمله كرده و از اطلاعات سرقت شده عليه خودتان استفاده كنند. خودروها، تلفن‌هاي همراه، سيستم‌هاي امنيتي خانگي، سيستم‌هاي موقعيت‌ياب جهاني (GPS)‌ و حتي دوربين‌هاي ديجيتال، چاپگرها و پريزهاي برق از جمله آسيب‌پذيرترين تجهيزات در برابر حمله هكرهاي اينترنتي هستند، به‌رغم تلاش‌هاي گسترده هنوز هيچ روش مطمئني براي رفع مشكل امنيتي سيستم‌هاي الكترونيكي و ديجيتالي وجود ندارد. برخلاف آن كه به نظر مي‌رسد چاپگر ليزري روي ميز كارتان يك وسيله الكترونيكي كاربردي و ايمن باشد با نفوذ هكرها اين چاپگر ساده بي‌خطر به نظر مي‌رسد، مي‌تواند همچون يك بمب ساعتي منفجر شود. در حقيقت چاپگرها اين روزها به يك پتانسيل بالقوه براي ايجاد حريق از راه دور مبدل شده‌اند كه پس از نفوذ به مخزن اطلاعاتي و سرقت داده‌هاي ثبت شده موجب آتش‌سوزي مي‌شوند.

يكي از ويژگي‌هاي چاپگرها اين است كه همزمان با دريافت دستور چاپ از طريق شبكه يا سيستم به روزرساني مي‌شوند و متاسفانه تنها مقدار محدودي از چاپگرها اين توانايي را دارند كه بتوانند صحت برنامه به روزرساني را پيش از اجراي آن مورد بررسي قرار دهند. به اين ترتيب يك برنامه تقلبي براي به روزرساني مي‌تواند به سادگي و از طريق يك فايل مخرب امنيتي به چاپگر ارسال شود و از آنجا كه نرم‌افزارهاي امنيتي كه روي كامپيوترها نصب مي‌شوند قابليت بررسي وضعيت چاپگرها را ندارند، هكرها براي به دست گرفتن كنترل چاپگرها در مقايسه با ديگر اجزاي شبكه‌هاي اينترنتي از آزادي عمل بيشتري برخوردار خواهند بود. اگرچه اغلب چاپگرهايي كه در 2 سال اخير به بازار عرضه شده‌اند داراي امضاي ديجيتالي هستند كه تاييد آن براي نصب برنامه‌هاي به روزرساني از طريق اينترنت الزامي است، اما با اين حال امنيت چاپگرها موضوعي است كه اين روزها نگراني‌هاي بسياري را به همراه داشته است.

به نظر مي‌رسد در آينده‌اي نه‌چندان دور با پيشرفت علم پزشكي در زمينه استفاده از ابزارهايي كه واسط ميان انسان و ماشين‌آلات الكترونيكي باشند هكرها بتوانند حتي اطلاعاتي را كه در حافظه انسان‌ها ثبت شده‌اند را نيز هدف حملات خود قرار دهند. مسلم است كه در نهايت پيشرفت‌هاي به دست آمده در تكنيك‌ها و روش‌هاي هك اطلاعاتي، به ربودن مستقيم اطلاعات از مغز انسان‌ها و نفوذ به مغز آنها منتهي خواهد شد. اگرچه كنترل مغز انسان‌ها توسط تبهكاران بيشتر به داستان‌هاي علمي ـ تخيلي شباهت دارد، اما بايد پذيرفت كه در دنيا امكان هك شدن هر چيزي وجود دارد و اين همان چيزي است كه موجب بيم و هراس انسان‌ها از تاثير پيشرفت‌هاي علمي در زندگي آينده خواهد شد.

واحد دانش و تکنولوژی تبیان زنجان

رویکردی عملی به امنیت شبکه لایه بندی شده (۲)

 در شماره قبل به لایه های این نوع رویکرد به اختصار اشاره شد. طی این شماره و شماره های بعد به هریک از این لایه ها می پردازیم.

 سطح ۱: امنیت پیرامون

منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود.

 پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS را دربرمی گیرد که باید در معرض اینترنت قرار گیرند.

فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.

پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.

تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:

 · فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است.

 فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی VPN. فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند.

بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند.

یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های VPN (که بعداً بیشتر توضیح داده خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.

 · آنتی ویروس شبکه ـ این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند. این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند.

این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.

 · VPNـ یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند.

این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.

 مزایا

تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.

 معایب

از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد.

اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.

 ملاحظات

پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.

انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.

ادامه دارد ....

واحد دانش و تکنولوژی تبیان زنجان

 FTP Proxy

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

· محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید.

· محدود کردن ارتباطات به بیرون به «فقط خواندنی»: این عمل از نوشتن فایل های محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می کند.

· مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا Idle request ارتباط را قطع کند.

· ازکارانداختن فرمان FTP SITE : این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند.

 DNS Proxy

DNS (Domain Name Server) شاید به اندازه HTTP یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می دهد که نامی را مانند http://www.ircert.com در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید.

بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید، DNS نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس IP هایی که کامپیوترها قادر به درک آن هستند، تبدیل می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.

بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی DNS می تواند موارد زیر باشد:

· تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه Transport را که تقاضاها و پاسخ های DNS را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد آسیب رسان ایجاد می کنند.

 پراکسی DNS، headerهای بسته های DNS را بررسی می کند و بسته هایی را که بصورت ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد.

· فیلترکردن محتوای headerها بصورت گزینشی: DNS در سال ۱۹۸۴ ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله های DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS می تواند محتوای header تقاضاهای DNS را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند.

 نتیجه گیری

با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.