350 likes | 542 Views
Network Security امنيت شبكه. ترجمه و تنظيم : رضا فهيمي. نگاه اجمالي به مطالب ارائه شده. امنيت چيست؟ چرا ما به امنيت نياز داريم؟ چه كسي آسيب پذير است؟ حملات امنيتي مشترك فايروالها و سيستم هاي آشكارساز ورود غیر مجاز به سیستم حملات عدم پذيرش سرويس (DOS) حملات TCP شنود اطلاعات
E N D
Network Securityامنيت شبكه ترجمه و تنظيم : رضا فهيمي
نگاه اجمالي به مطالب ارائه شده • امنيت چيست؟ • چرا ما به امنيت نياز داريم؟ • چه كسي آسيب پذير است؟ • حملات امنيتي مشترك • فايروالها و سيستم هاي آشكارساز ورود غیر مجاز به سیستم • حملات عدم پذيرش سرويس(DOS) • حملاتTCP • شنود اطلاعات • راهكارهاي ضروري براي امنيت شبكه (اينترنت و اينترانت)
“امنيت“ چيست؟ • امنيت يعني : 1 - دور بودن از هرگونه ريسك “ايمني“ 2 – دور بودن از هر گونه شك، عصبانيت يا ترس ” اعتماد به نفس“ 3- هر چيزي كه ايمني و اعتماد به ما بدهد مانند: • گروه يا سازمان حفاظت شخصي : در صورت مشاهده هر حركت مشكوكي سريعا به اين گروه يا سازمان زنگ مي زنيم. • معيارها و قوانيني كه به وسيله دولت ها به منظور جلوگيري از جاسوسي ، خرابكاري و حمله وضع مي شود. • صنعتي به منظور جلوگيري از كلاهبرداري ، تجاوز به حقوق وضع مي شود.
چرا ما به امنيت نياز داريم ؟ • به منظور حفاظت از اطلاعات حياتي (مانند حفاظت از رمز و رموزات تجاري، سوابق پزشكي افراد و...) و در زماني كه به اشخاص اجازه دسترسي به آنها داده مي شود به امنيت نياز داريم. • به منظور شناسائي افرادي كه به منابع دسترسي دارند به امنيت نياز داريم. • به منظور ضمانت دسترسي به منابع به امنيت نياز داريم.
در مقوله عدم امنيت چه كساني آسيب پذيرند؟ • بانكها و مؤسسات مالي • شركتهاي فراهم كننده دسترسي به اينترنت (ISP) • شركتهاي داروسازي • دولت ها و آژانس هاي دفاعي • طرفهاي قرارداد آژانس مختلف دولتي • همكاري هاي بين المللي • و هر كسي كه در شبكه حضور دارد.
امنيت شبكه ها(استراتژي و سياست گذاري) وقتي از امنيت شبكه صحبت می کنیم، مباحث زيادي قابل طرح و بررسی هستند، موضوعاتي كه هر كدام به تنهايي مي توانند در عین حال جالب، پرمحتوا و قابل درك باشند. اما وقتي صحبت كار عملي به ميان می آید، قضيه تا حدودي پيچيده مي شود. تركيب علم و عمل، احتياج به تجربه دارد و نهايت هدف يك علم بعد كاربردي آن است. حالا بايد از كجا شروع كرد؟ اول كجا بايد ايمن شود؟ چه استراتژي را در پيش گرفت و كجا كار را تمام كرد؟ هميشه در امنيت شبكه موضوع لايه هاي دفاعي، موضوع داغ و مهمي است. در اين خصوص نيز نظرات مختلفي وجود دارد. عده اي فايروال را اولين لايه دفاعي مي دانند، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند، اما واقعيت اين است كه هيچكدام از اينها، اولين لايه دفاعي محسوب نمي شوند. به خاطر داشته باشيد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي (Policy) هست. بدون policy، ليست كنترل، فايروال و هر لايه ديگر، بدون معني مي شود و اگر بدون policy شروع به ايمن سازي شبكه كنيد، محصول وحشتناكي از كار در مي آید.
مراحل و لايه هاي ضروري در حفاظت از شبكه نظر به اهميت سياست گذاري مشخص در حفاظت از شبكه مورد نظرو با توجه به تجزيه و تحليل كامل بايستي پنج مرحله زير در اجراي سياست هاي مورد نظر طي شود: 1- بازرسي (Inspection) 2- حفاظت Protection)) 3- رديابي ((Detection 4- واكنش (Reaction) 5- بازتاب ( (Reflection در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيم، ضمن آن كه اين مسير، احتياج به يك تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه را طي كند.
حملات عمومي و راه حل هاي آن • به محض پيدا كردن يك راه به داخل شبكه حمله عمومي صورت مي گيرد. و راه حل آن نصب فاير وال مي باشد. • اشكالات موجود در نرم افزارها و سرريز شدن حافظه ها باعث حمله عمومي خواهد شد. به همين جهت استفاده از سيستم هاي آشكارسازورود غير مجاز مفيد خواهد بود. • حملات داس (DoS) • حملاتي كه با هدف كاهش يا جلوگيري از انجام كار مجموعه مورد حمله صورت مي گيرد حملات داس كه مخفف Denial of Service مي باشد نام دارد. كه راه حل رفع آن روش Ingress filtering يا شناسائي اطلاعات رسيده از كامپيوتر مبدا مي باشد. • حملات از طريق پروتكل كنترل انتقال Transmission Control Protocol (TCP) در اين حمله ، حمله كننده با دانستن اين پروتكل اطلاعات غير واقعي را در اين قالب به دستگاه گيرنده ارسال مي كند (لازم به ذكر است كه در اين مرحله نه دستگاه فرستنده و نه دستگاه گيرنده IP يكديگر را شناسائي نمي كنند) به همين جهت حمله انجام مي شود. براي رفع اين حمله بايستي از يك نرم افزار شناسائي IP استفاده نمود تا نسبت به شناسايي IP فرستنده و گيرنده اقدام نمايد. • دريافت كننده غير قانوني اطلاعات(Sniffer) : اسنيفرها معمولا درون يك شبكه كليه اطلاعات ارسالي را دريافت كرده (مانيتور مي كنند) آنها را آناليز نموده و سپس براي دستگاه مقصد ارسال مي نمايند در حقيقت اسنيفرها براي انجام هدف خود نياز به نام و رمز عبور شبكه دارند براي اين منظور در يكي از دستگاه هاي عضو آن شبكه بصورت تروجان و يا ويروس ظاهر شده سپس نام و رمز عبور را كشف و هدف خود را در جهت جاي گيري در دستگاه مركزي اجرا مي نمايند . راه حل مبارزه با اسنيفرها رمز نگاري است يعني استفاده از پروتكل هاي رمز كننده اطلاعات مانند (SSH, SSL, HTTPS)
Firewallsديوار آتش يا دیوار آتش يا firewall معمولا تركيبي از سخت افزار و نرم افزار است که از دستیابی غیر مجاز به يک سیستم رایانه جلوگیری میکنند. در برخی از ديوارهاي آتش برنامهها بدون اخذ مجوز قادر نخواهند بود از يک كامپيوتر برای سایر كامپيوترهاا، داده ارسال کنند كه به آنها دیوار آتش دو طرفه گویند، زیرا علاوه بردرگاه هاي ورودي درگاه هاي خروجي هم کنترل میشوند. بستههای اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله دیوار آتش متوقف میشوند در حقيقت فايروال ها را مي توانند مانند قلعه اي دانست كه يك درگاه ورود و خروج دارد يعني يك نقطه دسترسي به شبكه كه اين هم مي توانند به عنوان مزيت و هم به عنوان عيب فاير وال ها ذكر شود. بعضي از روترها (رهياب شبكه) به همراه فايروال نصب شده ارائه مي شوند. ipfw, ipchains, pfنمونه اي از نرم افزارهاي فايروال در سيستم عامل يونيكس مي باشد همچنين ويندوز XP و سيستم عامل مكينتاش نيز همراه فايروال اارئه مي شوند.
نحوه جایگیری فایروال ها در شبکه اینترنت فایروال فایروال وب سرور اینترانت سرورproxy سرورmail
Firewalls • یک سیستم فایروال بسته های اطلاعاتی (packet) را بررسی و از طریق بررسی مقصد بسته ها و هم چنین استفاده از ترکیبی از اطلاعات موجود در پروتکل های IP ، UDP و TCP از سیستم حفاظت می کند. • هر فایروال براساس ساختار مورد نظر خود اقدام به نصب یک سری سرویس هایی برروی سیستم مورد نظر می نماید. مثلا در ویندوز xp که از یک فایروال نصب شده داخلی بهره می برد سرویس های زیر نصب می شود: • 135/tcp open loc-srv • 139/tcp open netbios-ssn • 445/tcp open microsoft-ds • 1025/tcp open NFS-or-IIS • 3389/tcp open ms-term-serv • 5000/tcp open UPnP
آشکارساز ورود غير مجاز به سيستم • به منظور جلوگیری از ورود غیر مجاز به سیستم ها و همچنین حفاظت در مقابل فعالیت های جاسوسی بایستی از آشکارسازهای ورود غیر مجاز به سیستم استفاده نمود. • نرم افزار با کد باز (open source)IDS یکی از آشکارسازهای ورود غیر مجاز است. • معمولا برای ورود غیرقانونی به یک سیستم حمله کننده از یک امضای غیرقانونی استفاده می کند. سیستم های آشکارساز غیر مجاز کلیه امضاهای غیرمجاز را شناسایی و با اسکن پورت های مورد نظر ، شاخص گذاری سرورهای تحت پوشش ، تحت نظر داشتن رفتار سیستم عامل از ورود غیر مجاز به سیستم جلوگیری می کند
ايجاد فهرست رمز عبور • یکی از راه های نفوذ به سیستم ارائه کلمه عبور به سیستم می باشد که برای مقابله با این روش بایستی فهرستی از کلمات عبور مجاز تشکیل داده و کلمات عبور ذخیره شده را رمزنمود. لازم به ذکر است که کلمات عبور تعیین شده بایستی بی معنی و تصادفی باشد. مثلا کلمه عبور “sdfo839f” مناسب می باشد.
حملات عدم پذيرش سرويس(DOS) • هدف از این گونه حمله ایجاد ناپایداری در سرویس های شبکه می باشد و از طریق تحمیل بار اضافی بر سرور و یا شبکه این حمله صورت می پذیرد. • انواع مختلفی از حملات DoSوجود دارند مانند: • SYN flooding • SMURF • حملات توزیع شده • Mini Case Study: Code-Red
حملات DoSحمله SMURF • کامپیوتر هکر آدرس IP جعل شده را به روتر شبکه ارسال می نماید و کامپیوترهای متصل به شبکه همگی به کامپیوتر قربانی پاسخ می دهند به همین جهت در یک لحظه بار کامپیوتر قربانی زیاد شده و ترافیک زیاد و غیر قابل پیش بینی باعث down شدن آن می گردد.
حملات توزيع شده DoS • در این نوع حمله از تکنیکهای مشابه گفته شده قبلی برای حمله استفاده می شود ولیکن این نوع حمله در حجم وسیعی از کامپیوترها صورت می گیرد. بعنوان مثال تروجان Sub7Server تعداد زیادی کامپیوتر را مورد حمله قرار داده و برنامه zombie را در آنها نصب می نماید. این برنامه به کامپیوتر آلوده شده Log inنموده و منتظر دستور می ماند بعنوان مثال : • دستور : !p4 207.71.92.193 • نتیجه : ping.exe 207.71.92.193 -l 65500 -n 10000 با انجام دستورالعمل های فوق به تعداد 10000 بسته 64 کیلو بایتی به کامپیوتر میزبان ارسال می گردد (یعنی حدود 655 مگابایت) حجم زیاد اطلاعات !!! برای اطلاعات بیشتر در خصوص این حمله میتوانید به سایت زیر مراجعه نمایید. http://grc.com/dos/grcdos.htm • نمونه واقعی از یک حمله توزیع شده : در سال 2001 در عرض 14 ساعت 365000 کامپیوتر به ویروس CodeRedاز طریق یک حفره امنیتی در وب سرور IIS آلوده شدند و خسارتی حدود 2.6 میلیارد دلار به بار آورد.
چگونه اين حمله را دفع کنيم؟ برای جلوگیری از این نوع حمله می بایستی : • مسیر دسترسی فیلتر شود به همین منظور بسته های ارسالی به IP روت شده نبایستی ارسال شود. • راهنمایی های امنیتی جدی گرفته شده و همیشه نرم افزارهای امنیتی به روز شود.
حملات از طريق پروتكل كنترل انتقال Transmission Control Protocol (TCP) در این حمله میزبان های انتهایی اطلاعات ارسالی را عوض کرده و به جای آن بسته های دلخواه را ارسال می نمایند و کاربر فکر می کند که اطلاعات از سوی یک منبع حقیقی ارسال شده است. ارتباطات TCP براساس توالی شماره ها و همچنین شماره پورت های برقرار می شود. توالی شماره ها را می توان از طریق حدس و گمان و شماره پورت را از طریق اسکن پورت ها می توان بدست آورد که این یک مشکل امنیتی است. حال اگر یک حمله کننده این اطلاعات را بدست آورد مسیر ارسال اطلاعات در اختیار او قرار خواهد گرفت و او می تواند اطلاعات غیر حقیقی را ارسال نموده و دریافت کننده نیز به تصور غلط این اطلاعات را به جای اطلاعات درست دریافت می کند در حقیقت یک حمله صورت گرفته است. برای جلوگیری از این حمله بایستی مبداء ارسال اطلاعات و مقصد یکدیگر را به دقت شناسائی و سپس ارسال صورت گیرد.
TCP حملات برای پی بردن به طریقه ایجاد این حمله به مثال زیر توجه کنید: • آلیس قصد دارد با آقای باب تماس حاصل نماید در این بین آقای گوش بزرگ قصد دزدیدن این اطلاعات را دارد.
TCP حملات • ارتباط بین آلیس و باب برقرار می گردد.
TCP حملات • آقای گوش بزرگ با حضور خود در این ارتباط کلیه اطلاعات را استراق سمع می کند.
ابتدا کلیه بسته های اطلاعاتی ارسالی آلیس توسط آقای گوش بزرگ دریافت و بسته های غیر حقیقی به آقای باب ارسال می گردد. Trusting web client ISN, SRC=آلیس Packets ارسال به محل دیگر جهت بهره برداری از اطلاعات سرقت شده Web server Malicious user
TCP حملات • چطور از اين حملات جلوگيري كنيم؟ • مهمترين راه براي جلوگيري از اين حملات شناسائي آدرس IP مبداء و مقصد مي باشد مثلا در مثال قبلي در صورتيكه IP آليس و باب شناسائي گردد آقاي گوش بزرگ به ندرت و به سختي خواهد توانست به عنوان يك هكر وارد گردد.
سرقت غيرقانوني بسته هاي اطلاعاتي Packet Sniffing • به ياد بياوريد كه در يك شبكه محلي (اترنت) براي ارسال ديتا بر روي شبكه و به مقصد آدرس خاص، فرستنده اطلاعات را به همراه مك آدرس گيرنده ارسال مي نمايد و به همين ترتيب ممكن است كساني هم بر روي مسير حضور غيرقانوني داشته باشند و اطلاعات ارسالي را دريافت نمايند كه اين طريق سرقت اطلاعات را sniffing گوئيم . • اين روش ارسال اطلاعات براي شبكه هاي بي سيم و هر گونه شبكه توزيع كننده ديتا به كار مي رود . • نكته مهم اين كه سرقت چه نوع اطلاعاتي در بين راه مفيد خواهد بود طبيعي است كه همه متون مخصوصا متوني كه شامل كلمات عبور و ... براي سرقت مفيد خواهد بود.
چگونه از سرقت بسته هاي اطلاعاتي جلوگيري كنيم؟ • از پروتكل SSH استفاده نماييم و به جهت حفاظتي از پروتكل Telnet استفاده نشود پروتكل SSH يا (Secure Shellپروتكلي است كه با استفاده از يك كانال امن اجازه ارسال و دريافت اطلاعات را در شبكه و بين دو عضو شبكه صادر مي نمايد. هنوز هم استفاده از پروتكل Telnet در شبكه مرسوم است و استفاده كنندگان براحتي كلمه و رمز عبور خود را از طريق اين پروتكل ارسال مي نمايند. به همين جهت امكان سرقت آنها به راحتي وجود دارد در صورتيكه اگر از پروتكل SSHاستفاده شود اين امكان وجود ندارد. • بجاي استفاده از پروتكل HTTP اين پروتكل را بر روي SSL استفاده كنيم. مخصوصا زماني كه قصد خريد توسط كارت اعتباري بر روي شبكه را داريم. • جهت دانلود فايل ها بر روي شبكه به جاي استفاده از پروتكل FTP از پروتكل SFTPاستفاده كنيم. • از IP خود و آدرس هاي شناسايي شبكه حفاظت كنيم.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت 1 - ايمن كردن كليه سنديت هاي (authentication) موجود. معمولا رايج ترين روش authentication، استفاده از شناسه كاربري و كلمه رمز است.مهمترين قسمت هايي كه بايد authentication را ايمن و محكم كرد عبارتند از : - كنترل كلمات عبور كاربران، به ويژه در مورد مديران سيستم. - كلمات عبور سوييچ و روتر ها ( در اين خصوص روي سوييچ تاكيد بيشتري مي شود، زيرا از آنجا كه اين ابزار (device) به صورت plug and play كار مي كند، اكثر مديرهاي شبكه از config كردن آن غافل مي شوند. در حالي توجه به اين مهم مي تواند امنيت شبكه را ارتقا دهد. لذا به مديران امنيتي توصيه ميشود كه حتما سوييچ و روتر ها رو كنترل كنند ). - كلمات عبور مربوط به SNMP. - كلمات عبور مربوط به پرينت سرور. كلمات عبور مربوط به محافظ صفحه نمايش.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه) 2- نصب و به روز رساني آنتي ويروس ها روي همه كامپيوتر ها، سرورها و ميل سرورها: ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به صورت خودكار به روز رساني شود و آموزش هاي لازم در مورد فايل هاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك نيز بايد به كاربران داده شود. 3- نصب آخرين وصله هاي امنيتي و به روز رساني هاي امنيتي سيستم عامل و سرويس هاي موجود: در اين مرحله علاوه بر اقدامات ذكر شده، كليه سرورها، سوييچ ها، روتر ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه) 4-گروه بندي كاربران و اعطاي مجوزهاي لازم به فايل ها و دايركتوري ها : ضمن اينكه اعتبارهاي( account) قديمي هم بايد غير فعال شوند. گروه بندي واعطاي مجوز بر اساس يكي از سه مدل استاندارد زير Access Control Techniques صورت مي گيرد: • DAC (Discreationary Access Control) دراين نوع حفاظت، امنيت موضوعات مورد نظر توسط مرجع اصلي و مالك آن صورت مي گيرد. • MAC (Mandatory Access Control) در اين گروه بندي حفاظت توسط سيستم عامل صورت مي گيرد. • RBAC (Role-Base Access Control( حفاظت در اين رده با توجه به نقش، جايگاه، شغل و اهميت در هر سازمان اجازه دسترسي هاي مختلفي تعيين واجرا مي شود.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه) 5- در اين مرحله كليه ابزارهاي شبكه شامل روتر، سوييچ و فايروال بايستي بر اساس policy موجود و توپولوژي شبكه، config شوند. 6- تعيين استراتژي تهيه پشتيبان (backup): نكته مهمي كه وجود دارد اين است كه بايد مطمئن بشويم كه سيستم backup و بازيابي به درستي كار كرده و در بهترين حالت ممكن قرار دارد. 7- امنيت فيزيكي : كنترل UPSها جهت تامين نيروي الكتريكي لازم براي كاركرد صحيح سخت افزارهاي اتاق سرور در زمان اضطراري ، كنترل درجه حرارت و ميزان رطوبت، ايمني در برابر سرقت و آتش سوزي.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه) 8- امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در مورد آن داشت. به همين دليل در اين قسمت، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم. در حقيقت، امنيت وب نيز در اين مرحله لحاظ مي شود. ( توجه: هيچ گاه اسكريپت هاي سمت سرويس دهنده را فراموش نكنيد ) 9 - تنظيم و آزمايش سيستم هاي Auditing و Logging. اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد. سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود. در ضمن ساعت و تاريخ سيستم ها درست باشد چرا كه در غير اين صورت كليه اقدامات قبلي از بين رفته و امكان پيگيري هاي قانوني در صورت لزوم نيز ديگر وجود نخواهد داشت.
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه) 10- ايمن كردن Remote Access با پروتكل و تكنولوژي هاي ايمن و Secure: در اين زمينه با توجه به شرايط و امكانات، ايمن ترين پروتكل و تكنولوژي ها را بايد به خدمت گرفت. 11 – ايجاد لايه امنيتي مضاعف با نصب فايروال هاي شخصي در سطح host ها . 12 - شرايط بازيابي در حالت هاي اضطراري را حتما چك و بهينه كنيد. اين حالت ها شامل خرابي قطعات كامپيوتري، خرابكاري كاربران، خرابي ناشي از مسايل طبيعي (زلزله - آتش سوزي – ضربه خوردن - سرقت - سيل) و خرابكاري ناشي از نفوذ هكرها، است. استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد. به خاطر داشته باشید كه " هميشه در دسترس بودن اطلاعات "، جز، قوانين اصلي امنيتي هست. 13- عضو شدن در سايت ها و بولتن هاي امنيتي جهت آگاهي ازآخرين اخبار امنيتي.
آدرس هاي مرتبط با امنيت وب سرور و شبكه • http://www.robertgraham.com/pubs/network-intrusion-detection.html • http://online.securityfocus.com/infocus/1527 • http://www.snort.org/ • http://www.cert.org/ • http://www.nmap.org/ • http://grc.com/dos/grcdos.htm • http://lcamtuf.coredump.cx/newtcp/
پايان rezafahimi@yahoo.com