آشنایی با فناوری های امنیتی – قسمت اول (http://njavan.com/forum/redirector.php?url=http%3A%2F%2Fwww.ramehr.com%2Fa rchives%2F4138)

اسفند ۲۶ اینترنت و شبکه (http://njavan.com/forum/redirector.php?url=http%3A%2F%2Fwww.ramehr.com%2Fa rchives%2Fcategory%2Flearning%2Fnet-internet-disquisition)

آشنایی با فناوری های امنیتی – قسمت اول



نگاهی گذرا به روند پیشرفت جهانی و گره خوردن بیش از پیش بشر با فن ­آوری نوین اطلاعات و روند به سرعت رو به رشد شبکه­ های دیجیتال و رو یکرد نوین دنیا نسبت به آن، لزوم پیشبرد اهداف امنیت دیجیتال برای اطمینان بخشی به سلامت اطلاعات مورد استفاده را نمایان نموده است.امنیت شبکه های دیجیتال امروزه به عنوان یک علم با طرفداران بسیاری رو به روست و به حدی رشد و تکامل آن سرعت گرفته است که هیچ کس نمی تواند به تنهایی وقوف کاملی نسبت به آن پیدا کند.
کشور ما در آستانه پیوست به زمره کشور های صنعتی در تسریع امور مرتبط با فن آوری اطلاعات بسیار کوشیده و پیشرفت داشته و اکنون که بسیاری از مراکز حساس و استراتژیک کشور بر اساس شبکه­ های دیجیتال رشد یافته باید برای برقراری امنیت اطلاعات در این حیطه­ کاری همت گماشت.
با توجه به انواع آسیب­ پذیری ­های موجود، هر شبکه نقطه ضعف­ هایی دارد. درک ریشه ­ای این ضعف­ ها از اهمیت به سزایی برخوردار است و می بایست بسته به نوع آسیب­ پذیری از فناوری­ ها و راه­ کار ­های امنیتی خاصی در زمینه ­های مختلف استفاده کرد.
در این پست فناوری­ های امنیتی به دسته ­های مشخصی تقسیم شده­ اند. هر دسته و هر یک از فناوری­ های موجود در آن در ادامه این پست توصیف خواهند شد. این دسته­ ها عبارتند از:
فناوری­های احراز هویت





گذر واژه­های چند بار مصرف (Reuseable password)
RADIUS – Remote Authentication Dail-in user
TACACS+ - Terminal Access Controller Access Control System
OTP – One Time password
PKI – Public Key Infrastructure
کارت­های هوشمند
معیار های زیستی


امنیت میزبان و کاربرد




بررسی یکپارچگی سیستم فایل ­ها
حفاظ­ های میزبان
HIDS – Host-based Intrusion Detection System
Antivirus

فیلترینگ محتوا




سرور های پراکسی
فیلترینگ وب
فیلترینگ E.Mail

سیستم­های تشخیص نفوذ به شبکه




NIDS – network intrusion detection systemمبتنی بر علائم
NIDS – network intrusion detection system مبتنی بر ناهنجاری
Honey Pot

رمزنگاری




CA – Certificate Authority
SSL – Secure Sockets Layer
RMS – Right Management Service
IPSEC – IP security
SSH – Secure Shell

سیستم های مدیریتی





مدیریت خطا (Fault Management)
مدیریت پیکربندی (Configuration Management)
مدیریت حسابرسی (Accounting Management)
مدیریت کارآیی (Performance Management)
مدیریت امنیت (Security Management)

فناوری­های احراز هویت
هدف اصلی فناوری ­های احراز هویت تایید هویت کاربران در شبکه است. این فناوری­ ها، نخستین A از ( AAA Authentication, Authorizatin, Accounting) هستند. تمرکز در این بخش بر هویت کاربر است آدرس IP یک کامپیوتر، هویت آن کامپیوتر در شبکه است. فناوری­ های زیر برای اعتبار سنجی هویت کاربری که پشت کامپیوتر نشسته است به کار می روند.
گذر واژه­های چند بار مصرف

گذر­واژه­ های چند بار مصرف تنها وقتی مفیدند که سیاست­ های مناسبی برای انتخاب گذر­واژه وجود داشته باشد و همه کاربران این سیاست­ ها را رعایت کنند. ابزار­های مختلفی وجود دارند که می­توانند قوت یک گذرواژه را پیش از انتخاب یا پس از انتخاب (مانند ابزارهای شکستن گذرواژه ‏ها) تعیین کنند.
قطعا در شبکه شرکت سازمان شما نیز موارد بسیاری وجود دارد که از گذرواژه ­های چند بار مصرف استفاده می­شود، در این موارد بهتر است از ابزار های بررسی قوت گذرواژه پیش از انتخاب بهره بگیرید. به علاوه حتما از ویژگی­ های جانبی احراز هویت که در اکثر سرور ها وجود دارد استفاده کنید. مثلا در صورتی که کاربر تا چند بار گذرواژه نادرستی را وارد کرد، اکانت او را برای دوره معینی غیر فعال نمایید. به این ترتیب امکان جستجوی همه گذرواژه ها برای مهاجم وجود نخواهد داشت.
RADIUS و TACACS +

این دو پروتکل ­های هستند که خدمات احراز هویت مرکزی را در یک شبکه ممکن می­ سازند. مبنای کار هر دو پروتکل بر وجود سروری مرکزی استوار است که شامل پایگاه داده­ای از نام­ های کاربری، گذرواژه ­ها و حقوث دسترسی است. هر گاه ابزاری بخواهد کابر را احراز هویت کند اطلاعات کاربر به سرور مرکزی فرستاده شده و پاسخ سرور مشخص می­کند که آیا کاربر اجازه دسترسی به آن ابزار را دارد یا نه.
امنیت میزبان و کاربرد
امنیت میزبان و کاربرد از طریق فناوری­ هایی تامین می­شود که روی سیستم­ های نهایی (end system) اجرا شده و از سیستم عامل، سیستم فایل، و کاربردها محافظت کند که در زیر به این فناوری­ ها اشاره شده است.
بررسی یکپارچگی سیستم فایل­ها
بررسی یکپارچگی سیستم فایل­ ها یکی از مهمترین فناوری­ های امنیتی برای میزبان­ ها و سرورهای مهم است. این فناوری با اجرای یک تابع درهم ساز (hashing) روی فایل­ های مهم سیستم، چکیده محتوای آن­ها را محاسبه و ذخیره می­کند. به این ترتیب اگر یک ابزار جاسوسی، ویروس یا هر برنامه دیگری سبب تغییر فایل مهمی شود، این تغییر درمحاسبه آتی چکیده فایل­ ها ثبت می­شود.
حفاظ­های میزبان
حفاظ­های میزبان در صورتی که بر روی یک PC کلاینت اجرا شوند حفاظ شخصی هم نامیده می شوند، وظیفه آن­ها همان چیزی است که از نامشان بر می­آید: حفاظی که روی یک میزبان اجرا می­شود و تنها از آن میزبان محافظت می­کند. بسیاری از حفاظ­ های میزبان شکل ساده­ای از IDS را نیز ارائه می­دهند.
نگهداری از حفاظ­ های میزبان روی تمام PCهای کلاینت (یا حتی فقط سیستم­ های مهم) از نظر اجرایی دشوار است. این حفاظ­ها همانند حفاظ­ های شبکه تنها به خوبی پبکربندیشان وابسته هستند. برخی از حفاظ­ ها با استفاده از ویزاردهایی کاربر را در پیکربندی صحیح یاری می­کنند؛ برخی دیگر از کاربر می­خواهند که حفاظ را در یکی از سه وضعیت پیش فرض، محتاط یا وسواسی (paranoid) قرار دهد. هر قدر امنیت پیکربندی حفاظ افزایش یابد، تاثیر آن بر کاربر بیشتر خواهد بود.حفاظ­ ها معمولا به کاربر می­گویند که فلان کاربر قصد دسترسی به شبکه را دارد و از او کسب اجازه می­کنند؛ اما اغلب به جای نام کاربر به نام یک فایل اجرایی اشاره می­شود، که ممکن است کاربر را گیج کند و او نتواند تصمیم درست را بگیرد. این گونه اشتباه­ ها مشکلات را بیشتر می­ کنند و سبب می­ شوند که تعداد تماس­ ها با مرکز پشتیبانی شما افزایش یابد. حفاظ­ های میزبان به مرور زمان بهبود می­یابند. با توجه به فناوری­ های امروزی بهتر است از ساده­ترین پیکربندی برای PC کاربران استفاده کنید (مثلا ترافیک به بیرون مجاز باشد، و ترافیک به داخل مسدود شود).از حفاظ­ های میزبان تنها در صورتی باید بر روی سرورها استفاده کرد که افزایش چشم­گیری بر بهبود امنیت سیستم داشته باشد مثلا در صورتی که سرور پشت حفاظ شبکه باشد استفاده از حفاظ میزبان باعث بهبود جزئی امنیت سیستم خواهد شد اما نیازمندی­ های مدیریت را افزایش خواهد داد. به روز رسانی و مقاوم­سازی میزبان­ها بیش از نصب حفاظ میزبان در امنیت آن­ها تاثیر گذار است؛ بنابراین از حفاظ به عنوان جایگزینی برای روش­ های درست نظارت بر سیستم­ ها استفاده نباید استفاده کرد.

HIDS
HIDS به صورت فرایندی نرم­افزاری روی سیستم نصب می­گردد. سیستم سنتی HIDS به بررسی Log Fileهای ثبت شده، برای یافتن ازاطلاعات خاص می­ پرداخت. فرایند HIDS به صورت دوره­ای به دنبال Log Fileهای جدید ثبت شده می­گردد و آن­ها را با قواعد از پیش تنظیم شده مقایسه می­کند اگر Log File با قاعده­ای مطابقت کند، HIDS هشدار می­دهد. برای آنکه HIDS کار خود را به درستی انجام دهد لازم است اطلاعات لازم در Log fileها ثبت شده باشد. بنابر این درصورتی که اطلاعاتی که بیشتر جالب توجه است توسط برنامه کاربردی تولید شده باشد، لازم است آن اطلاعات توسط برنامه مذکور داخل Log Fileهای استاندارد قرار داده شود تا HIDS قادر به بررسی Log Fileهای برنامه کاربردی باشد.
اخیرا شکل جدیدی از HIDS ایجاد شده است که درخواست­ های رسیده به هسته سیستم عامل (Kernel) را بررسی می­کند. این نوع HIDSها بر طبق نشانه­ های حملات شناخته شده برنامه ریزی شده است به طوری که اگر درخواست سیستمی با هر یک از این نشانه ها تطبیق داشته باشد، هشدار خواهد داد.
هر دو نوع از HIDSها قادرند فایل­های روی سیستم را از نظر دستکاری کنترل کنند. این کار با پیاده­سازی Checksum رمز­نویسی روی فایل و با استفاده از یک تابع در­هم­سازی (Hashing) همانند MD5 انجام می شود.

مزیت­های HIDS
تا مادامیکه تهاجم صورت گرفته Log Message تولید می­کند، HIDS ترافیک حمله­ ای که به سیستم گسیل داده شده است را گم نخواهد کرد.
HIDS می­تواند موفق بورن تهاجم را تشخیص دهد .HIDS این کار را با بررسی Log Message ها و دیگر نشانه ­های موجود روی سیستم (از قبیل دستکاری فایل­ های پیکربندی یا System key) انجام می دهد.
HIDS می­تواند با تایین کاربران قانونی سیستمی، تلاش­ های غیر مجاز برای دسترسی را تشخیص دهد.

معایب HIDS
مهاجم می­تواند فرایند HIDS را شناسایی و غیر فعال کند.
سیستم HIDS فقط در مواردی اعلام خطر می­کند که درخواست­ های سیستم و محتویات Log Fileها با قواعد و نوشته­ های از قبل تعیین شده تطبیق داشته باشد.
برخی سیستم­ های HIDS روی پشتیبانی و سیستم عامل تاثیر می­گذارند این مسئله به HIDSای که در خواست­ های سیستمی را بررسی می­کند مربوط است.
پیکربندی HIDS ها را باید همانند NIDS ها به دقت تنظیم کرد تا امکان اتهام غلط (false positive) کاهش یابد و حملات به درستی کشف شود.
البته تنظیم HIDS کار ساده­تری است، چون این تنظیمات خاص یک میزبان است نه کل شبکه.

Antivirus
ضد ویروس میزبان از فناوری­ های مهم در امنیت کامپیوتر­ها به شمار می­رود. از این فناوری بیشتر از هر فناوری امنیتی دیگری استفاده می­ شود. بهتر است Antivirusها را روی تمام سرورها و میزبان­ های شبکه (مخصوصا سرورها و میزبان­های ویندوزی) نصب گردد.
مزایای استفاده از Antivirus
حفظ امنیت اطلاعات و داده­ ها .
جلوگیری از نفوذ ویروس­ ها و تروجان­ ها و کرم­ ها و برنامه­ های مخرب .
جلوگیری از نفوذ هکرها و کراکرها.
کاهش قابل توجه هزینه­ های تعمیر و نگهداری و پشتیبانی کامپیوترها و شبکه­ ها.
کاهش هزینه در مواقعی که ویروس­ ها یا دیگر برنامه­ های مخرب فایل­ ها و اطلاعات را پاک می­کنند و نیاز به بازیابی اطلاعات است و در این مواقع نیاز به صرف هزینه­ های زیاد از نظر زمانی و مالی می باشد تا شاید اطلاعات بازیابی گردند.
استفاده بهینه از منابع سیستم ( بسیاری از ویروس­ ها و برنامه­ های مخرب منابع سیستم را جهت استفاده اهداف خود اشغال می­کنند).
مشکل نصب مجدد سیستم عامل (بسیاری از ویروس­ ها و تروجان­ ها به فایل­ های سیستم عامل آسیب جدی وارد می­کنند و در این مواقع چاره­ای بجز تعویض سیستم عامل وجود ندارد)