راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
Download
Report
Transcript راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
ترجمه و تنظيم :رضا فهيمي
1
نگاه اجمالي به مطالب ارائه شده
امنيت چيست؟
چرا ما به امنيت نياز داريم؟
چه كسي آسيب پذير است؟
حمالت امنيتي مشترك
2
فايروالها و سيستم هاي آشكارساز ورود غير مجاز به سيستم
حمالت عدم پذيرش سرويس)(DOS
حمالت TCP
شنود اطالعات
راهكارهاي ضروري براي امنيت شبكه (اينترنت و اينترانت)
“امنيت“ چيست؟
امنيت يعني :
- 1دور بودن از هرگونه ريسك “ايمني“
– 2دور بودن از هر گونه شك ،عصبانيت يا ترس ” اعتماد به نفس“
-3هر چيزي كه ايمني و اعتماد به ما بدهد مانند:
3
گروه يا سازمان حفاظت شخصي :در صورت مشاهده هر حركت مشكوكي سريعا به اين
گروه يا سازمان زنگ مي زنيم.
معيارها و قوانيني كه به وسيله دولت ها به منظور جلوگيري از جاسوسي ،خرابكاري و
حمله وضع مي شود.
صنعتي به منظور جلوگيري از كالهبرداري ،تجاوز به حقوق وضع مي شود.
چرا ما به امنيت نياز داريم ؟
به منظور حفاظت از اطالعات حياتي (مانند حفاظت از رمز
و رموزات تجاري ،سوابق پزشكي افراد و )...و در زماني
كه به اشخاص اجازه دسترسي به آنها داده مي شود به
امنيت نياز داريم.
به منظور شناسائي افرادي كه به منابع دسترسي دارند به
امنيت نياز داريم.
به منظور ضمانت دسترسي به منابع به امنيت نياز داريم.
4
در مقوله عدم امنيت چه كساين آسيب پذيرند؟
بانكها و مؤسسات مالي
شركتهاي فراهم كننده دسترسي به اينترنت )(ISP
شركتهاي داروسازي
دولت ها و آژانس هاي دفاعي
طرفهاي قرارداد آژانس مختلف دولتي
همكاري هاي بين المللي
و هر كسي كه در شبكه حضور دارد.
5
وقتي از امنيت شبكه صحبت می کنيم ،مباحث زيادي قابل طرح و بررسی هستند،
موضوعاتي كه هر كدام به تنهايي مي توانند در عين حال جالب ،پرمحتوا و قابل درك
باشند .اما وقتي صحبت كار عملي به ميان می آيد ،قضيه تا حدودي پيچيده مي شود.
تركيب علم و عمل ،احتياج به تجربه دارد و نهايت هدف يك علم بعد كاربردي آن است.
حاال بايد از كجا شروع كرد؟ اول كجا بايد ايمن شود؟ چه استراتژي را در پيش گرفت و
كجا كار را تمام كرد؟
هميشه در امنيت شبكه موضوع اليه هاي دفاعي ،موضوع داغ و مهمي است .در اين
خصوص نيز نظرات مختلفي وجود دارد .عده اي فايروال را اولين اليه دفاعي مي دانند،
بعضي ها هم Access Listرو اولين اليه دفاعي مي دانند ،اما واقعيت اين است كه
هيچكدام از اينها ،اولين اليه دفاعي محسوب نمي شوند .به خاطر داشته باشيد كه اولين
اليه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي ( )Policyهست.
بدون ،policyليست كنترل ،فايروال و هر اليه ديگر ،بدون معني مي شود و اگر بدون
policyشروع به ايمن سازي شبكه كنيد ،محصول وحشتناكي از كار در مي آيد.
6
مراحل و اليه هاي ضروري در حفاظت از شبكه
نظر به اهميت سياست گذاري مشخص در حفاظت از شبكه مورد نظرو با توجه به
تجزيه و تحليل كامل بايستي پنج مرحله زير در اجراي سياست هاي مورد نظر طي
شود:
-1بازرسي ()Inspection
-2حفاظت ))Protection
-3رديابي ((Detection
-4واكنش ()Reaction
-5بازتاب ((Reflection
در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيم ،ضمن آن كه اين
مسير ،احتياج به يك تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه را
طي كند.
7
حمالت عمومي و راه حل هاي آن
به محض پيدا كردن يك راه به داخل شبكه حمله عمومي صورت مي گيرد .و راه حل آن نصب فاير وال مي
باشد.
اشكاالت موجود در نرم افزارها و سرريز شدن حافظه ها باعث حمله عمومي خواهد شد .به همين جهت استفاده
از سيستم هاي آشكارسازورود غير مجاز مفيد خواهد بود.
حمالت داس )(DoS
حمالتي كه با هدف كاهش يا جلوگيري از انجام كار مجموعه مورد حمله صورت مي گيرد حمالت داس كه
مخفف Denial of Serviceمي باشد نام دارد .كه راه حل رفع آن روش Ingress filteringيا
شناسائي اطالعات رسيده از كامپيوتر مبدا مي باشد.
حمالت از طريق پروتكل كنترل انتقال )Transmission Control Protocol (TCP
در اين حمله ،حمله كننده با دانستن اين پروتكل اطالعات غير واقعي را در اين قالب به دستگاه گيرنده ارسال مي
كند (الزم به ذكر است كه در اين مرحله نه دستگاه فرستنده و نه دستگاه گيرنده IPيكديگر را شناسائي نمي
كنند) به همين جهت حمله انجام مي شود .براي رفع اين حمله بايستي از يك نرم افزار شناسائي IPاستفاده
نمود تا نسبت به شناسايي IPفرستنده و گيرنده اقدام نمايد.
دريافت كننده غير قانوني اطالعات ) : (Snifferاسنيفرها معموال درون يك شبكه كليه اطالعات ارسالي را
دريافت كرده (مانيتور مي كنند) آنها را آناليز نموده و سپس براي دستگاه مقصد ارسال مي نمايند در حقيقت
اسنيفرها براي انجام هدف خود نياز به نام و رمز عبور شبكه دارند براي اين منظور در يكي از دستگاه هاي
عضو آن شبكه بصورت تروجان و يا ويروس ظاهر شده سپس نام و رمز عبور را كشف و هدف خود را در
جهت جاي گيري در دستگاه مركزي اجرا مي نمايند .راه حل مبارزه با اسنيفرها رمز نگاري است يعني استفاده
از پروتكل هاي رمز كننده اطالعات مانند )(SSH, SSL, HTTPS
8
ديوار آتش يا Firewalls
ديوار آتش يا firewallمعموال تركيبي از سخت افزار و نرم افزار است که از دستيابی غير
مجاز به يک سيستم رايانه جلوگيری میکنند .در برخی از ديوارهاي آتش برنامهها بدون اخذ
مجوز قادر نخواهند بود از يک كامپيوتر برای ساير كامپيوترهاا ،داده ارسال کنند كه به آنها
ديوار آتش دو طرفه گويند ،زيرا عالوه بردرگاه هاي ورودي درگاه هاي خروجي هم کنترل
میشوند .بستههای اطالعاتی که حاوی اطالعات بدون مجوز هستند ،به وسيله ديوار آتش
متوقف میشوند
در حقيقت فايروال ها را مي توانند مانند قلعه اي دانست كه يك درگاه ورود و خروج دارد يعني
يك نقطه دسترسي به شبكه كه اين هم مي توانند به عنوان مزيت و هم به عنوان عيب فاير وال
ها ذكر شود.
بعضي از روترها (رهياب شبكه) به همراه فايروال نصب شده ارائه مي شوند.
ipfw, ipchains, pfنمونه اي از نرم افزارهاي فايروال در سيستم عامل يونيكس مي
باشد همچنين ويندوز XPو سيستم عامل مكينتاش نيز همراه فايروال اارئه مي شوند.
9
نحوه جايگيری فايروال ها در شبکه
فايروال
اينترانت
10
وب سرور
proxyسرور
mailسرور
فايروال
اينترنت
Firewalls
يک سيستم فايروال بسته های اطالعاتی ) (packetرا بررسی و از
طريق بررسی مقصد بسته ها و هم چنين استفاده از ترکيبی از اطالعات
موجود در پروتکل های UDP ، IPو TCPاز سيستم حفاظت می کند.
هر فايروال براساس ساختار مورد نظر خود اقدام به نصب يک سری
سرويس هايی برروی سيستم مورد نظر می نمايد .مثال در ويندوز xpکه
از يک فايروال نصب شده داخلی بهره می برد سرويس های زير نصب
می شود:
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
3389/tcp open ms-term-serv
5000/tcp open UPnP
11
آشکارساز ورود غير مجاز به سيستم
به منظور جلوگيری از ورود غير مجاز به سيستم ها و همچنين حفاظت در
مقابل فعاليت های جاسوسی بايستی از آشکارسازهای ورود غير مجاز به
سيستم استفاده نمود.
نرم افزار با کد باز ) IDS (open sourceيکی از آشکارسازهای ورود
غير مجاز است.
معموال برای ورود غيرقانونی به يک سيستم حمله کننده از يک امضای
غيرقانونی استفاده می کند .سيستم های آشکارساز غير مجاز کليه امضاهای
غيرمجاز را شناسايی و با اسکن پورت های مورد نظر ،شاخص گذاری
سرورهای تحت پوشش ،تحت نظر داشتن رفتار سيستم عامل از ورود غير
مجاز به سيستم جلوگيری می کند
12
اجياد فهرست رمز عبور
يکی از راه های نفوذ به سيستم ارائه کلمه عبور به سيستم می باشد
که برای مقابله با اين روش بايستی فهرستی از کلمات عبور مجاز
تشکيل داده و کلمات عبور ذخيره شده را رمزنمود .الزم به ذکر
است که کلمات عبور تعيين شده بايستی بی معنی و تصادفی باشد.
مثال کلمه عبور ” “sdfo839fمناسب می باشد.
13
حمالت عدم پذيرش سرويس)(DOS
هدف از اين گونه حمله ايجاد ناپايداری در سرويس های شبکه می باشد و
از طريق تحميل بار اضافی بر سرور و يا شبکه اين حمله صورت می
پذيرد.
انواع مختلفی از حمالت DoSوجود دارند مانند:
14
SYN flooding
SMURF
حمالت توزيع شده
Mini Case Study: Code-Red
حمالت DoSمحله SMURF
کامپيوتر هکر آدرس IPجعل شده را به روتر شبکه ارسال می نمايد و کامپيوترهای متصل به
echo
(spoofed
source
به of
)victim
ICMPبار کامپيوتر قربانی
يک لحظه
جهت در
دهند به همين
addressپاسخ می
کامپيوتر قربانی
شبکه همگی
Sent
to
IP
broadcast
address
زياد شده و ترافيک زياد و غير قابل پيش بينی باعث downشدن آن می گردد.
ICMP echo reply
Internet
Victim
15
Perpetrator
حمالت توزيع شده DoS
در اين نوع حمله از تکنيکهای مشابه گفته شده قبلی برای حمله استفاده می شود
وليکن اين نوع حمله در حجم وسيعی از کامپيوترها صورت می گيرد .بعنوان
مثال تروجان Sub7Serverتعداد زيادی کامپيوتر را مورد حمله قرار داده و
برنامه zombieرا در آنها نصب می نمايد .اين برنامه به کامپيوتر آلوده شده
Log inنموده و منتظر دستور می ماند بعنوان مثال :
دستور !p4 207.71.92.193 :
نتيجه ping.exe 207.71.92.193 -l 65500 -n 10000 :
با انجام دستورالعمل های فوق به تعداد 10000بسته 64کيلو بايتی به کامپيوتر
ميزبان ارسال می گردد (يعنی حدود 655مگابايت) حجم زياد اطالعات !!!
برای اطالعات بيشتر در خصوص اين حمله ميتوانيد به سايت زير مراجعه نماييد.
http://grc.com/dos/grcdos.htm
نمونه واقعی از يک حمله توزيع شده :در سال 2001در عرض 14ساعت 365000
کامپيوتر به ويروس CodeRedاز طريق يک حفره امنيتی در وب سرور IISآلوده شدند و
خسارتی حدود 2.6ميليارد دالر به بار آورد.
16
چگونه اين محله را دفع کنيم؟
برای جلوگيری از اين نوع حمله می بايستی :
مسير دسترسی فيلتر شود به همين منظور بسته های ارسالی به IPروت
شده نبايستی ارسال شود.
راهنمايی های امنيتی جدی گرفته شده و هميشه نرم افزارهای امنيتی به
روز شود.
17
حمالت از طريق پروتكل كنترل انتقال )Transmission Control Protocol (TCP
در اين حمله ميزبان های انتهايی اطالعات ارسالی را عوض کرده و به جای آن
بسته های دلخواه را ارسال می نمايند و کاربر فکر می کند که اطالعات از
سوی يک منبع حقيقی ارسال شده است.
ارتباطات TCPبراساس توالی شماره ها و همچنين شماره پورت های برقرار می
شود .توالی شماره ها را می توان از طريق حدس و گمان و شماره پورت را
از طريق اسکن پورت ها می توان بدست آورد که اين يک مشکل امنيتی است.
حال اگر يک حمله کننده اين اطالعات را بدست آورد مسير ارسال اطالعات در
اختيار او قرار خواهد گرفت و او می تواند اطالعات غير حقيقی را ارسال
نموده و دريافت کننده نيز به تصور غلط اين اطالعات را به جای اطالعات
درست دريافت می کند در حقيقت يک حمله صورت گرفته است.
برای جلوگيری از اين حمله بايستی مبداء ارسال اطالعات و مقصد يکديگر را به
دقت شناسائی و سپس ارسال صورت گيرد.
18
محالت TCP
برای پی بردن به طريقه ايجاد اين حمله به مثال زير توجه کنيد:
آليس قصد دارد با آقای باب تماس حاصل نمايد در اين بين آقای گوش
بزرگ قصد دزديدن اين اطالعات را دارد.
19
محالت TCP
ارتباط بين آليس و باب برقرار می گردد.
20
محالت TCP
آقای گوش بزرگ با حضور خود در اين ارتباط کليه اطالعات را استراق
سمع می کند.
21
ابتدا کليه بسته های اطالعاتی ارسالی آليس
توسط آقای گوش بزرگ دريافت و بسته های غير حقيقی
به آقای باب ارسال می گردد.
Trusting web client
آليس =ISN, SRC
Packets
ارسال به محل ديگر
جهت بهره برداری از
اطالعات سرقت شده
Web server
Malicious user
22
حمالت TCP
چطور از اين حمالت جلوگيري كنيم؟
مهمترين راه براي جلوگيري از اين حمالت شناسائي آدرس IPمبداء و
مقصد مي باشد مثال در مثال قبلي در صورتيكه IPآليس و باب شناسائي
گردد آقاي گوش بزرگ به ندرت و به سختي خواهد توانست به عنوان يك
هكر وارد گردد.
23
Packetسرقت غيرقانوني بسته هاي اطالعاتي
Sniffing
به ياد بياوريد كه در يك شبكه محلي (اترنت) براي ارسال ديتا بر روي
شبكه و به مقصد آدرس خاص ،فرستنده اطالعات را به همراه مك آدرس
گيرنده ارسال مي نمايد و به همين ترتيب ممكن است كساني هم بر روي
مسير حضور غيرقانوني داشته باشند و اطالعات ارسالي را دريافت نمايند
كه اين طريق سرقت اطالعات را sniffingگوئيم .
اين روش ارسال اطالعات براي شبكه هاي بي سيم و هر گونه شبكه
توزيع كننده ديتا به كار مي رود .
نكته مهم اين كه سرقت چه نوع اطالعاتي در بين راه مفيد خواهد بود
طبيعي است كه همه متون مخصوصا متوني كه شامل كلمات عبور و ...
براي سرقت مفيد خواهد بود.
24
چگونه از سرقت بسته هاي اطالعاتي جلوگيري كنيم؟
25
از پروتكل SSHاستفاده نماييم و به جهت حفاظتي از پروتكل Telnetاستفاده نشود
پروتكل SSHيا (Secure Shellپروتكلي است كه با استفاده از يك كانال امن اجازه
ارسال و دريافت اطالعات را در شبكه و بين دو عضو شبكه صادر مي نمايد.
هنوز هم استفاده از پروتكل Telnetدر شبكه مرسوم است و استفاده كنندگان براحتي
كلمه و رمز عبور خود را از طريق اين پروتكل ارسال مي نمايند .به همين جهت امكان
سرقت آنها به راحتي وجود دارد در صورتيكه اگر از پروتكل SSHاستفاده شود اين
امكان وجود ندارد.
بجاي استفاده از پروتكل HTTPاين پروتكل را بر روي SSLاستفاده كنيم .مخصوصا
زماني كه قصد خريد توسط كارت اعتباري بر روي شبكه را داريم.
جهت دانلود فايل ها بر روي شبكه به جاي استفاده از پروتكل FTPاز پروتكل
SFTPاستفاده كنيم.
از IPخود و آدرس هاي شناسايي شبكه حفاظت كنيم.
- 1ايمن كردن كليه سنديت هاي ( )authenticationموجود .معموال رايج ترين
روش ،authenticationاستفاده از شناسه كاربري و كلمه رمز است.
مهمترين قسمت هايي كه بايد authenticationرا ايمن و محكم كرد عبارتند از :
كنترل كلمات عبور كاربران ،به ويژه در مورد مديران سيستم. كلمات عبور سوييچ و روتر ها ( در اين خصوص روي سوييچ تاكيد بيشتري ميشود ،زيرا از آنجا كه اين ابزار ( )deviceبه صورت plug and playكار مي
كند ،اكثر مديرهاي شبكه از configكردن آن غافل مي شوند .در حالي توجه به اين
مهم مي تواند امنيت شبكه را ارتقا دهد .لذا به مديران امنيتي توصيه ميشود كه حتما
سوييچ و روتر ها رو كنترل كنند ).
كلمات عبور مربوط به .SNMP كلمات عبور مربوط به پرينت سرور.كلمات عبور مربوط به محافظ صفحه نمايش.26
-2نصب و به روز رساني آنتي ويروس ها روي همه كامپيوتر ها ،سرورها
و ميل سرورها :ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به
صورت خودكار به روز رساني شود و آموزش هاي الزم در مورد فايل هاي
ضميمه ايميل ها و راهنمايي الزم جهت اقدام صحيح در صورت مشاهده موارد
مشكوك نيز بايد به كاربران داده شود.
- 3نصب آخرين وصله هاي امنيتي و به روز رساني هاي امنيتي سيستم عامل
و سرويس هاي موجود :در اين مرحله عالوه بر اقدامات ذكر شده ،كليه
سرورها ،سوييچ ها ،روتر ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي
امنيتي بررسي مي شوند تا عالوه بر شناسايي و رفع حفره هاي امنيتي،
سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند.
27
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
-4گروه بندي كاربران و اعطاي مجوزهاي الزم به فايل ها و دايركتوري ها :ضمن اينكه
اعتبارهاي( )accountقديمي هم بايد غير فعال شوند .گروه بندي واعطاي مجوز بر اساس
يكي از سه مدل استاندارد زير Access Control Techniquesصورت مي گيرد:
) DAC (Discreationary Access Control
دراين نوع حفاظت ،امنيت موضوعات مورد نظر توسط مرجع اصلي و مالك آن صورت مي
گيرد.
) MAC (Mandatory Access Control
در اين گروه بندي حفاظت توسط سيستم عامل صورت مي گيرد.
( RBAC (Role-Base Access Control
حفاظت در اين رده با توجه به نقش ،جايگاه ،شغل و اهميت در هر سازمان اجازه دسترسي
هاي مختلفي تعيين واجرا مي شود.
28
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
-5در اين مرحله كليه ابزارهاي شبكه شامل روتر ،سوييچ و فايروال
بايستي بر اساس policyموجود و توپولوژي شبكه config ،شوند.
-6تعيين استراتژي تهيه پشتيبان ( :)backupنكته مهمي كه وجود دارد
اين است كه بايد مطمئن بشويم كه سيستم backupو بازيابي به درستي
كار كرده و در بهترين حالت ممكن قرار دارد.
-7امنيت فيزيكي :
كنترل UPSها جهت تامين نيروي الكتريكي الزم براي كاركرد صحيح سخت
افزارهاي اتاق سرور در زمان اضطراري ،كنترل درجه حرارت و ميزان
رطوبت ،ايمني در برابر سرقت و آتش سوزي.
29
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
-8امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در
مورد آن داشت .به همين دليل در اين قسمت ،مجددا و با دقت بيشتر وب
سرور رو چك و ايمن مي كنيم .در حقيقت ،امنيت وب نيز در اين مرحله
لحاظ مي شود.
( توجه :هيچ گاه اسكريپت هاي سمت سرويس دهنده را فراموش نكنيد )
- 9تنظيم و آزمايش سيستم هاي Auditingو .Loggingاين سيستم
ها هم مي تواند بر پايه hostو هم بر پايه networkباشد .سيستم هاي
رد گيري و ثبت حمالت هم در اين مرحله نصب و تنظيم مي شوند .بايد
مطمئن شويد كه تمام اطالعات الزم ثبت و به خوبي محافظت مي شود .در
ضمن ساعت و تاريخ سيستم ها درست باشد چرا كه در غير اين صورت
كليه اقدامات قبلي از بين رفته و امكان پيگيري هاي قانوني در صورت
لزوم نيز ديگر وجود نخواهد داشت.
30
راهكارهاي ضروري براي امنيت شبكه اينترنت و اينترانت(ادامه)
-10ايمن كردن Remote Accessبا پروتكل و تكنولوژي هاي ايمن و :Secureدر
اين زمينه با توجه به شرايط و امكانات ،ايمن ترين پروتكل و تكنولوژي ها را بايد به
خدمت گرفت.
– 11ايجاد اليه امنيتي مضاعف با نصب فايروال هاي شخصي در سطح hostها .
- 12شرايط بازيابي در حالت هاي اضطراري را حتما چك و بهينه كنيد .اين حالت ها
شامل خرابي قطعات كامپيوتري ،خرابكاري كاربران ،خرابي ناشي از مسايل طبيعي
(زلزله -آتش سوزي – ضربه خوردن -سرقت -سيل) و خرابكاري ناشي از نفوذ
هكرها ،است .استاندارد هاي warm siteو hot siteرا در صورت امكان رعايت
كنيد.
به خاطر داشته باشيد كه " هميشه در دسترس بودن اطالعات " ،جز ،قوانين اصلي
امنيتي هست.
-13عضو شدن در سايت ها و بولتن هاي امنيتي جهت آگاهي ازآخرين اخبار امنيتي.
31
آدرس هاي مرتبط با امنيت وب سرور و شبكه
http://www.robertgraham.com/pubs/network-
intrusion-detection.html
http://online.securityfocus.com/infocus/1527
http://www.snort.org/
http://www.cert.org/
http://www.nmap.org/
http://grc.com/dos/grcdos.htm
http://lcamtuf.coredump.cx/newtcp/
32
33