نکات کلیدی در خرید فایروال

  • ۰

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

۱۰ ویژگی مهمی که در خرید یک دستگاه فایروال باید به دنبال آن باشید چیست؟

نکات کلیدی در خرید فایروال: فایروال ها نقش بسیار مهمی در شبکه ها ایفا میکنند. آنها شبکه را در برابر لیستی پایان ناپذیر از تهدیدات ایمن میکنند و دسترسی های خراب کاران را محدود میکنند. بسیاری از آنها بوسیله پروتکل های خاص ارتباطی، امکان ارتباط ایمن مراکز مختلف با یکدیگر را فراهم میکنند.

ما در این مقاله ۱۰ نکته ای که شما در هنگام خرید فایروال باید در نظر بگیرید یادآوری میکنیم:

 

  • ایمنی در سطح مناسب

بسیاری از شرکت های دنیا، اعم از خارجی و داخلی، در حال تولید دستگاه های یو تی ام و فایروال هستند. تمامی آنها ادعاهایی در مورد ویژگی های دستگاه های خود دارند. بر اساس ویژگی های دستگاه ها و قابلیت های امنیتی آنها، مدل های مختلفی عرضه میشوند که ویژگی های متفاوتی دارند.

شما میبایست مطمئن شوید که ویژگی هایی که انتخاب میکنید تمامی نیازهای شبکه شما را پوشش دهد و استانداردهای بین المللی دستگاه ها را رعایت کنند. مرجع تمامی استانداردهای بین اللملیICSA(Industry Standards for Packet Inspection) میباشد. این استاندارد مخفف “استاندارهای صنعت برای بررسی پکت ها” میباشد.

 

  • قابلیت دسترسی از طریق رابط کاربری

بسیاری از دستگاه ها بر مبنای سیستم های نوشتاری دستور (Command-Line-only) طراحی شده اند که کار را برای بسیاری از متخصصین سخت میکند. مطمئن شوید که دستگاهی که تهیه میکنید از رابط کاربری استاندارد و مناسبی برخوردار است. بسیاری از دستگاه ها تلاش میکنند که دستگاهی با رابط کاربری آسان و کاربرپسند ارائه دهند. این قابلیت فواید بسیاری دارد. از جمله آنها اجتنباب از اشتباهات در حین تنظیمات و نصب است. همچنین رابط کاربری آسان باعث میشود که خطاها و مشکلات سریعتر شناسایی و رفع شوند، کاربران سیستم و مدیران راحت تر و سریعتر آموزش ببینند، و تغییرات درون شبکه سریعتر اتفاق بیفتد.

 

  • پشتیبانی از VPN

یکی از مهم ترین ویژگی های دستگاه های فایروال ایجاد بستر ارتباطی بر اساس تونل ایمن است که هکرها و کاربران نامعتمد را از شبکه دور میکند. یک فایروال خوب میتواند یک شبکه مجازی ایمن ایجاد کند و آن را به طور کامل مانیتور نماید. در صورتیکه ارتباط ایمن بین مراکز برای شما مهم است، حتما به دنبال دستگاه ای باشید که کانال های SSL و IPSec را ساپورت کنند.

 

  • قدرت پشتیبانی از پهنای باند بالا

در برخی از شبکه ها، فایروال ها تنها برای مباحث امنیتی و کنترل پورت ها استفاده میشود. برخی دیگر از ویژگی های سوئیچینگ و روتینگ دستگاه ها نیز استفاده میکنند و به عنوان Internet Gateway از آن استفاده میکنند. بدیهی است نیاز سخت افزاری در هریک از این دستگاه ها متفاوت بوده و میبایست دستگاه هایی متناسب با نیاز شبکه تهیه کرد.

 

  • ساپورت مناسب

مطمئن شوید که دستگاهی که تهیه میکنید، دارای ساپورت ۲۴ ساعت و هفت روزه هفته است. وقتی یک دستگاه جدید و گران قیمت است، این اصلا بدان معنی نیست که شما مشکلی با آن نخواهید داشت. در هنگام خرید دستگاه ها دقت نمایید که از کیفیت خدمات پس از فروشی که از فروشند دریافت میکنید آگاه گردید.

 

  • سیستم بی سیم ایمن

در بسیاری از موارد ، سرویس های بی سیم در سازمان ارائه نمیشوند و خیلی از کارشناسان IT تمایلی به داشتن دستگاه هایی که قابلیت کنترل سیستم بی سیم را داشته باشند احتیاجی ندارند. ولی تهیه این قابلیت این امکان را به کارشناسان میدهد که در صورت نیاز به این قابلیت، مثلا در هنگامیکه سرویس اینترنت بی سیم به مهمان ها ارائه میشود، این امکان را با چند تغییر ساده در ساختار شبکه و بدون هزینه اضافی در اختیار داشته باشند.

 

  • ایمنی در Gateway

داشتن قابلیت هایی نظیر آنتی ویروس مرکزی، آنتی اسپم، Spyware، و غیره، میتواند تا حد زیادی نیاز شبکه به پراکندگی این سرویس ها در سرورهای مختلف و یا حتی خارج از شبکه را حل نماید.

 

  • فیلترینگ محتوا

در حالیکه بسیاری از کارشناسان شبکه، فیلترینگ محتوا را بوسیله ابزارهایی نظیر OpenDNS انجام میدهند، برخی تولید کنندگان فایروال و یو تی ام این قابلیت ها را در دستگاه های خود قرار داده اند. مزیت این روش این است که تمامی سرویس هایی که در شبکه شما نیاز است، از Gateway Security تا Content Filtering در یک دستگاه جمع شده اند. تنها نکته این دستگاه ها قیمت بیشتر آنها نسبت به سایر دستگاه ها خواهد بود.

 

  • مانیتورینگ پیشرفته و گزارش گیری یکپارچه

تعداد گزارشات و لاگ هایی که یک دستگاه فایروال در طی یک روز تولید میکند بسیار زیاد است. در یک روز کاری، یک دستگاه فایروال هزاران حمله نفوذ را شناسایی و بلاک میکند، ویروس ها و بدافزارها را شناسایی میکند و تعداد زیادی اتصالات موفق و ناموفق را مدیریت و ثبت میکند. اما این اطلاعات تنها زمانی مفید هستند که در یک سیستم جامع و گویای گزارش گیری ارائه شوند.

شما باید به دنبال دستگاهی باشید که گزارشات دقیق، گویا و کاربردی تولید و ارائه میدهند. یک فایروال خوب میبایست سیستم ایجاد و ارسال ایمیل در مواقع هشدار را نیز پشتیبانی کند.

 

  • قابلیت Failover

بعضی سازمان ها نیازمند قابلیت Failover هستند. این قابلیت به دستگاه ها اجازه میدهند که بصورت رزرو در کنار یکدیگر کار کرده و در صورتیکه، به هر دلیلی، یکی از آنها از مدار خارج شد، دیگری وارد مدار شده و ادامه فعالیت بدون هیچگونه خللی ادامه یابد. بسیاری از دستگاه های فایروال قابلیت Automatic Failover را پشتیبانی نمیکنند. پس اگر قصد خرید یک دستگاه را دارید و این قابلیت برای شما مهم است، حتما در بین ویژگی های آن این مطلب را جستجو کنید.

 

 


  • ۰

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویس‌دهنده و یک سرویس‌گیرنده است که توسط شرکت Netscape ارائه شده است. درواقع SSL پروتکلی است که پایین‌تر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار می‌گیرد.

پروتکل SSL بهره‌گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکل‌های غیر امن لایه کاربردی نظیر HTTP، LDAP، IMAP و غیره است. الگوریتم‌های رمزنگاری بر اساس پروتکل SSL بر روی داده‌های خام (plain text) که قرار است از یک کانال ارتباطی غیر امن مثل اینترنت عبور کنند، اعمال می‌شود و محرمانه ماندن داده‌ها را در طول کانال انتقال تضمین می‌کند. به‌بیان‌دیگر شرکتی که صلاحیت صدور و اعطای گواهی‌های دیجیتال SSL را دارد برای هرکدام از دو طرفی که قرار است ارتباطات میان شبکه‌ای امن داشته باشند، گواهی‌های مخصوص سرویس‌دهنده و سرویس‌گیرنده را صادر می‌کند و با مکانیسم‌های احراز هویت خاص خود، هویت هرکدام از طرفین را برای طرف مقابل تأیید می‌کند. البته غیر از این کار می‌بایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل‌درک و استفاده نباشد که این کار را با کمک الگوریتم‌های رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام می‌دهد.

ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL

برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSL نیاز است. گواهی اول برای سرویس‌دهنده و گواهی دیگر برای سرویس‌گیرنده است. همچنین به یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانی‌ها، حساب‌های بانکی و تاریخ انقضای گواهینامه را بداند و بر اساس آن‌ها هویت‌ها را تعیین نماید.

مکانیسم‌های تشکیل‌دهنده SSL

۱– تأیید هویت سرویس‌دهنده

با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویس‌دهنده مطمئن می‌شود. نرم‌افزارهای مبتنی بر SSL سمت سرویس‌گیرنده، مثلاً یک مرورگر وب نظیر Internet Explorer می‌تواند از تکنیک‌های استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویس‌دهنده، (مثلاً یک برنامه سرویس‌دهنده وب نظیر IIS) و از هویت آنها مطلع شود و پس از اطمینان کامل، کاربر می‌تواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارت‌های اعتباری و یا گذرواژه‌ها اقدام نماید.

۲- تأیید هویت سرویس‌گیرنده

برعکس حالت قبلی در اینجا سرویس‌دهنده است که می‌بایست از صحت هویت سرویس‌گیرنده اطمینان یابد. طی این مکانیسم، نرم‌افزار مبتنی بر SSL سمت سرویس‌دهنده پس از مقایسه نام سرویس‌گیرنده با نام‌های مجاز موجود در لیست سرویس‌گیرنده‌های مجاز که در داخل سرویس‌دهنده تعریف می‌شود، اجازه استفاده از سرویس‌های مجاز را به او می‌دهد.

۳- ارتباطات رمز شده

کلیه اطلاعات مبادله شده میان سرویس‌دهنده و گیرنده می‌بایست توسط نرم‌افزارهای موجود در سمت سرویس‌دهنده و سرویس‌گیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در این‌گونه سیستم‌ها لحاظ شود.

اجزای پروتکل SSL

پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر است:

۱- SSL Rocord Protocol که نوع قالب‌بندی داده‌های ارسالی را تعیین می‌کند.

۲- SSL Handshake Protocol که بر اساس قالب تعیین‌شده در پروتکل قبلی، مقدمات ارسال داده‌ها میان سرویس‌دهنده‌ها و سرویس‌گیرنده‌های مبتنی بر SSL را تهیه می‌کند.

بخش‌بندی پروتکل SSL به دو زیرپروتکل دارای مزایایی است ازجمله:

اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویس‌دهنده برای سرویس‌گیرنده مشخص می‌گردد.

دوم: در همان ابتدای شروع مبادلات، سرویس‌دهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق می‌کنند.

سوم: در صورت لزوم، هویت سرویس‌گیرنده نیز برای سرویس‌دهنده احراز می‌گردد.

چهارم: در صورت استفاده از تکنیک‌های رمزنگاری مبتنی بر کلید عمومی، می‌توانند کلیدهای اشتراکی مخفی را ایجاد نمایند.

پنجم: ارتباطات بر مبنای SSL رمزنگاری می‌شود.

الگوریتم‌های رمزنگاری پشتیبانی شده در SSL

در استاندارد SSL، از اغلب الگوریتم‌های عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر RSA، RC4، RC2،MD5، KEA، DSA، DES و RSA Key Exchauge، SHA1، Skipjack و DES3 پشتیبانی می‌شود. بسته به این که نرم‌افزارهای سمت سرویس‌دهنده و سرویس‌گیرنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSL می‌تواند بر اساس هرکدام از این الگوریتم‌ها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم، می‌توان آن‌ها را در رده‌های مختلفی قرار داد که توصیه می‌شود با توجه به سناریوهای موردنظر، از الگوریتم‌های قوی‌تر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری داده‌ها و همچنین الگوریتم SHA-1 برای مکانیسم‌های تأیید پیغام MD5 استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، می‌توان در مواردی خاص از الگوریتم رمزنگاری RC4 با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام MD5 استفاده نمود.

نحوه عملکرد داخلی پروتکل SSL

همان‌طور که می‌دانید SSL می‌تواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریع‌تر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیک‌های احراز هویت قوی‌تری را ارائه می‌کند. یک جلسه (SSL (Session با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع می‌شود. این پیغام اولیه به سرویس‌دهنده این امکان را می‌دهد تا خودش را به سرویس‌دهنده دارای کلید عمومی معرفی نماید و سپس به سرویس‌گیرنده و سرویس‌دهنده این اجازه را می‌دهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاری‌ها و رمزگشایی سریع‌تر در جریان ادامه مبادلات مورد استفاده قرار می‌گیرد. گام‌هایی که قبل از برگزاری این جلسه انجام می‌شوند بر اساس الگوریتم RSA Key Exchangeعبارت‌اند از:

۱- سرویس‌گیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویس‌دهنده ارسال می‌کند.

۲- سرویس‌دهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولیدشده توسط خود را به سرویس‌گیرنده می‌فرستد و همچنین سرویس‌دهنده گواهینامه خود را نیز برای سرویس‌گیرنده ارسال می‌کند و اگر سرویس‌گیرنده از سرویس‌دهنده، درخواستی داشت که نیازمند احراز هویت سرویس‌گیرنده بود، آن را نیز از سرویس‌گیرنده درخواست می‌کند.

۳- سپس سرویس‌گیرنده با استفاده از اطلاعاتی که از سرویس‌دهنده مجاز در خود دارد، داده‌ها را بررسی می‌کند و اگر سرویس‌دهنده مذکور تأیید هویت شد، وارد مرحله بعدی می‌شود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع می‌گردد.

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

شکل 1 : SSL

۴- سرویس‌گیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد می‌کند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویس‌دهنده موجود است) رمزنگاری می‌کند و این مقدار رمز شده را به سرویس‌دهنده ارسال می‌کند.

۵- اگر سرویس‌دهنده به گواهینامه سرویس‌گیرنده نیاز داشت می‌بایست در این گام برای سرویس‌دهنده ارسال شود و اگر سرویس‌گیرنده نتواند هویت خود را به سرویس‌دهنده اثبات کند، ارتباط در همین‌جا قطع می‌شود.

۶- به‌محض این که هویت سرویس‌گیرنده برای سرویس‌دهنده احراز شد، سرویس‌دهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی می‌کند و سپس اقدام به تهیه مقداری به نام Master Secret می‌نماید.

۷- هم سرویس‌دهنده و هم سرویس‌گیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید می‌کنند که درواقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی داده‌ها حین انتقال اطلاعات است و در این مرحله به‌نوعی جامعیت داده‌ها بررسی می‌شود.

۸- سرویس‌گیرنده پیغامی را به سرویس‌دهنده می‌فرستد تا به او اطلاع دهد، داده بعدی که توسط سرویس‌گیرنده ارسال می‌شود به‌وسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال می‌شود تا سرویس‌دهنده از پایان یافتن Handshake سمت سرویس‌گیرنده مطلع شود.

۹- سرویس‌دهنده پیغامی را به سرویس‌گیرنده ارسال می‌کند تا او را از پایان Handshake سمت سرویس‌دهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز می‌شود.

۱۰- در این مرحلهSSL Handshake  تمام می‌شود و از این به بعد جلسه SSL شروع می‌شود و هر دو عضو سرویس‌دهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال داده‌ها می‌کنند.


  • ۰

اصول مهم امنیت اطلاعات

اصول مهم امنیت اطلاعات

اصول مهم امنیت اطلاعات

اصول مهم امنیت اطلاعات

تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality) ، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability) این سه عامل (CIA) اصول اساسی امنیت اطلاعات – در شبکه و یا بیرون آن – را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.

Confidentiality :  به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.

Integrity : بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد :

– تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.

– تغییرات بدون اجاز و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.

– یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.

Availability : این پارامتر ضمانت می کند که یک سیستم – مثلا” اطلاعاتی – همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند – مانند قطع برق – از نظر یک سیستم امنیتی این سیستم ایمن نیست.

 

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و … اشاره کرد.

 

 

 

 


  • ۰

مقدمه ای بر امنیت فناوری اطلاعات در عصر دیجیتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر دیجیتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر دیجیتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر دیجیتال

مقدمه ای بر امنیت فناوری اطلاعات در عصر دیجیتال: ظهور فناوری دیجیتال یکی از بارزترین پیشرفتهای فناوری در نیم قرن اخیر به شمار میاید کـه در زنـدگی کنـونی بـشر برای بسیاری از ما ایـن بصورت عاملی حیاتی درآمده است. نوع فناوری در قالب رایانه های دیجیتالی تجلـی کـرده و بـه ابزاری لازم برای انجام کارها و رفع نیازهای شخصی تبـدیل شده اسـت. در سـال ۱۹۵۱ مـیلادی زمانیکـه اولـین رایانـه دیجیتال تجاری موسوم به UNIVAC I بـه سـازمان آمـار و سرشماری ایالات متحده آمریکا تحویل داده شد، بسیاری از مردم در مورد رایانه ها چیزی نمیدانستند و آن رایانـه هـا نیـز تنها در تعداد انگشت شماری از دانشگاهها و آزمایـشگاههای تحقیقاتی مورد استفاده قرار داشتند. این رایانه ها بزرگ، گران و مملو از اشکال بودند. در مقابل، رایانه های امروزی اندازهای نسبتاً کوچک دارند، ارزان و قابل اطمینان هستند و میتوان آنها را در هر کشوری یافت.

به فاصله کوتاهی پـس از رواج رایانه ها در دانـشگاهها، پروژههای تحقیقاتی برای مرتبط ساختن آنها بـا یکـدیگر بـه نحوی که امکان مبادله اطلاعات میان آنها بوجـود آیـد آغـاز شــدند. از میــان ایــن پــروژه هــا، پروژه توسعه شبکه ARPANET موفقیت بیشتری کسب کرد و بـه آن چیزی تبدیل شد که امروز آنرا بعنوان “اینترنت” میشناسیم و درحال حاضر بیش از ۳۰۰ میلیون رایانه را در سراسر جهان بـه هـم مرتبط کرده است.

شبکه جهانی وب در مرکز تحقیقات هسته ای اروپا در اوایل دهه ۹۰ میلادی و در شهر ژنو ایجاد شد سرویس قدرتمندی است که از اینترنت برای ایجاد یـک سیـستم اطلاعـاتی جهـانی بهـره جـسته و بهره وری و جذابیت اینترنت را به مراتب افـزایش داده اسـت . هر چند بسیاری از مردم تفـاوتی میـان شـبکه جهـانی وب و اینترنت قائل نیـستند، ولـی در واقـع وب تنهـا یکـی از ایـن خدمات (و البته مهمترین آنها) است که اینترنت را به چنین ابزار ٧ قدرتمندی برای اطـلاعرسـانی و برقـراری ارتباطـات تبـدیل کرده است. طی ده سال اخیر اینترنت به یک ابـزار مهـم ارتبـاطی میـان تمامی اقشار جامعه تبدیل شده و ما برای دسترسـی آنـی بـه اطلاعات، ارتباطـات اختـصاصی، تمـامی انـواع برنامـه هـای کاربردی، تجاری، روابط کاری و نقل و انتقالات مالی بـه آن وابستهایم. قابلیت اطمینان و دسترسی آسان به اینترنت برای موفقیت پایدار و مداوم کـشورهای توسـعه یافتـه یـک عامـل حیاتی بشمار میرود و اهمیت آن بـرای کـشورهـای درحـال توسعه نیز بسرعت رو به افزایش است. آثار استفاده از رایانه ها و نتایج حاصله از انقلاب اینترنت از مرز فوایـد مـستقیم آنهـا فراتر رفته و پیشبینی میشود که تأثیرات بیشتری نیز در راه باشند. اول از همه اینکه اینترنت مرزهای جغرافیایی میـان کـاربران متصل به خود را کمرنگ کرده و روند جهانیسازی را با ارائـه قابلیتهای رسانههای ارتباطی تسهیل نموده و لـذا هـر کـسی مستقل از محل فیزیکی خود قادر به برقـراری ارتبـاط بـا آن بـر رونـد ایـن تغییـر تـأثیری ٨ میباشد. موتورهـای جـستجو مضاعف داشته اند؛ چراکه نتایج جستجو بر اساس موضـوعات ظاهر میشوند و نه بر اساس فاصلهای که کاربر با آنهـا دارد؛ بطوریکــه پایگــاه وبِ کارخانجــات و شــرکتهای واقــع در کشورهای توسعهیافته و درحال توسـعه از موقعیـت یکـسانی برای نظارهشدن توسط مراجعین برخوردار هستند. دومین مسئله این است که اینترنت تأثیری شگرف در فرآینـد حذف واسطههای تجاری داشته است. بعنوان مثال مـیتـوان بـه کـاهش چـشمگیر نـرخ اسـتخدام منـشی در کـشورهای توسعهیافته اشاره کرد که دلیل آن این است که نوشتن متن و چاپ و ارسال پیام شخصی برای افـراد از طریـق تـسهیلاتی چون پردازشگر کلمات و پست الکترونیکـی آسـانتر از دیکتـه کـردن مـتن بـرای یـک منـشی اسـت. بـه همـین ترتیـب گردشگریِ دسته جمعی نیز درحال حاضر رو به انقراض است، چراکه گردشـگران مـیتواننـد بلیطهـای هـوایی یـا قطـار و رزرو ٩ همچنین اتاقهای هتل مورد نظر خود را بصورت بـرخط کنند و این امر موجب صرفهجویی در هزینه و وقت مـشتری شده و باعث شده بتوان با کمی دقت روی سفارشات، از یـک سفر مفرح لـذت بـرد. پیـدایش شـرکتهای فروشـنده کتـاب، موسیقی و محـصولات الکترونیکـی بـصورت بـرخط موجـب تهدیــد و ضــربه بــه فروشــگاههای عرضــهکننــده اینگونــه محصولات شده، اما در عین حال در بسیاری از بخشهای این صنف به گستردهتر شدن طیف بازار هدف نیز انجامیده است. از آنجا که حرفـههـا و صـنایع سـنتی بـه وجـود خـود ادامـه میدهند، تمایل دارند افراد کمتـری بـه اسـتخدام درآورنـد و حتی ممکن است بجـای ارائـه خـدمات عمـومی بـه سـمت بازارهای تخصصی حرکت کنند. تأثیرات مشهود رونـد حـذف واسطهها که با ظهور این فنـاوری شـروع شـد بـرای مـدتی طولانی ادامه خواهد یافـت و بـا اهمیـت روزافـزون فنـاوری اطلاعات، صنایع و حرفههای بیشتری با آن جایگزین خواهند شد. سومین پیامد این است که نرخ بهـرهوری حـداقل در صـنایع وابسته به فناوری اطلاعات با شتابی چشمگیر افزایش خواهد یافت. به کمـک پـست الکترونیکـی امکـان ارسـال و تبـادل اطلاعات در سراسر جهان طی تنها چند ثانیـه ممکـن شـده، بطوریکه مباحث و مذاکرات جهانی را میتوان بسیار سـریعتر از گذشته پیگیری کرد و به نتیجه رساند. امور بازرگانی که تـا چندی قبل از طریق پست، تلکس و تلفـن انجـام مـی شـدند اکنون با بکارگیری مفاهیمی نوین در صنعت مخابرات سـیار، سریعتر و کارآمدتر به انجام مـیرسـند و ایـن مـسئله چرخـه زمانی انجام فعالیتها را کاهش داده است. نکته آخر اینکه ایمن نگاه داشـتن محـل ذخیـره اطلاعـات و خطوط ارتباطی مخابراتی نیـز در ایـن محـیط جدیـد الزامـی است. صنعت و فناوری امروز به شدت در تکاپوی یافتن راهی بـرای تـضمین امنیـت زیرسـاختهای خـود هـستند، چراکـه دستاندرکاران آن دریافته اند که بیشتر نقایص امنیتی اینترنت ناشی از وجـود سـخت افزارهـا و نـرم افزارهـای نـاامن در آن میباشند. در این محیط ایجاد اطمینـان و اعتمـاد بـه رایانـه ، شبکه و دادههای ذخیره شده نـسبت بـه محیطـی کـه در آن روابط کاری بر اساس گفتگوهـای رو در رو انجـام مـیگیـرد کمابیش از اهمیت یکسانی برخوردار است. این مطلب در مورد کشورهای درحال توسعه نیز واضح اسـت: سازمانهایی که به سـطح امنیتـی مناسـبی در زیـر سـاختهای دیجیتالی خود دست نیافته و از ارسال اطلاعـات خـویش بـه نحو مطلوبی محافظت نمیکنند شایسته اعتماد نخواهند بـود و از کاروان اقتصاد نوین جهانی عقب خواهند ماند.

 

 

 


  • ۰

حملات Back door

حملات Back door

حملات Back door

حملات Back door

حملات Back door: حملات Back door برنامه ای است که امکان دستیابی به یک سیستم را بدون بررسی و کنترل امنیتی ، فراهم می نماید . برنامه نویسان معمولا” چنین پتانسیل هائی  را در برنامه ها پیش بینی تا امکان اشکال زدائی و ویرایش کدهای نوشته شده در زمان تست بکارگیری نرم افزار ، فراهم گردد. با توجه به این که تعداد زیادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعیت باقی مانده و تهدیدات امنیتی متعددی را به دنبال خواهند داشت .
برخی از متداولترین نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :

  • Back Orifice : برنامه فوق یک ابزار مدیریت از راه دور می باشد که به مدیران سیستم امکان کنترل یک کامپیوتر را از راه دور ( مثلا” از  طریق اینترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری  خطرناک است که  توسط گروهی با نام Cult of the Dead Cow Communications ، ایجاد شده است . این نرم افزار دارای دو بخش مجزا می باشد : یک بخش سرویس گیرنده و یک بخش سرویس دهنده . بخش سرویس گیرنده بر روی یک ماشین اجراء و زمینه مانیتور نمودن و کنترل یک ماشین دیگر که بر روی آن بخش سرویس دهنده اجراء شده است را فراهم می نماید .
  • NetBus : این برنامه نیز نظیر Back Orifice ، امکان دستیابی و کنترل از راه دور یک ماشین از طریق اینترنت را فراهم می نماید.. برنامه فوق تحت سیستم عامل ویندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکیل شده است :  بخش  سرویس دهنده ( بخشی که بر روی کامپیوتر قربانی مستقر خواهد شد ) و  بخش سرویس گیرنده ( برنامه ای که مسولیت یافتن و کنترل سرویس دهنده را برعهده دارد ) . برنامه فوق ، به حریم خصوصی کاربران در زمان اتصال به اینترنت ، تجاوز و تهدیدات امنیتی متعددی را به دنبال خواهد داشت .
  • Sub7) SubSeven) ،  این برنامه برنامه نیز تحت ویندوز اجراء شده  و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سیستم هدف و اتصال به اینترنت ،هر شخصی که دارای نرم افزار سرویس گیرنده باشد ، قادر به دستیابی نامحدود به سیستم خواهد بود .

نرم افزارهای Back Orifice ، NetBus,  Sub7 دارای دو بخش ضروری سرویس دهنده و سرویس گیرنده، می باشند . سرویس دهنده بر روی ماشین آلوده مستقر شده و از بخش سرویس گیرنده به منظور کنترل از راه دور سرویس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، ” سرویس دهندگان غیرقانونی ”  گفته می شود .

برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گیرند :

  • Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمایشگاه AT&T و با هدف کنترل از راه دور یک سیستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محیط Desktop از هر مکانی نظیر اینترنت ، فراهم می گردد . یکی از ویژگی های جالب این نرم افزار ، حمایت گسترده از معماری های متفاوت است .
  • PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور یک سیستم با لحاظ نمودن فن آوری رمزنگاری و تائید اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستیابی به یک سیستم از راه دور استفاده می نمایند .
  • Terminal Services : نرم افزار فوق توسط شرکت مایکروسافت و به همراه سیستم عامل ویندوز و به منظور کنترل از راه دور یک سیستم ، ارائه شده است .

همانند سایر نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترین روش به منظور پیشگیری از حملات  Back doors ، آموزش کاربران و مانیتورینگ عملکرد هر یک از نرم افزارهای موجود می باشد. به کاربران می بایست آموزش داده شود که صرفا” از منابع و سایت های مطمئن اقدام به دریافت و نصب نرم افزار بر روی سیستم خود نمایند . نصب و استفاده از برنامه های آنتی ویروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اینچنین نرم افزارهائی ( نظیر : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ویروس می بایست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جدید ، فراهم گردد .

 

 

 


  • ۰

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟ حمله Man in The Middle (به اختصار MITM) یا مرد میانی به نوعی از حملات گفته می شود که در آن شخص سوم اقدام به استراق سمع و تجسس اطلاعات در حال مبادله بین دو سیستم می کند. در این مطلب شما را با مفهوم حملات MITM آشنا می کنیم و همچنین در صورتی که علاقه مند به مطالعه بیشتر در این زمینه باشید ، می توانید کتاب PDF معرفی شده در ادامه را دانلود کنید.

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟

توسط حملات middle-the-in-Man که به اختصار MITM و به فارسی حمله مردی در میان خوانده می شود امکان استراق سمع و تجسس بر اطلاعات رد و بدل شده بین دو سیستم میسر می گردد. برای نمونه هنگام مبادله اطلاعات از نوع HTTP ،هدف حمله، ارتباط TCP میان کاربر و سرور است. شخص مهاجم با استفاده از روشهای مختلف، ارتباط TCP اصلی را به دو ارتباط جدید تقسیم می کند. همان طور که در تصویر ۱ مشخص است، این دو ارتباط شامل ارتباط میان حمله کننده و کاربر و ارتباط میان حمله کننده و سرور می باشد. هنگامی که ارتباط TCP ردیابی شد، شخص حمله کننده به عنوان یک فیلتر که قادر به خواندن، تغییر و اضافه کردن اطلاعات است عمل می کند.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۱ .نمونه تصویری حمله شخص میانی

از آنجایی که برنامه های http و انتقال داده بر پایه ASCII طراحی شده اند، حملات MITM می تواند بسیار مؤثر باشد. توسط این حملات، امکان مشاهده یا جمع آوری اطلاعات موجود در http و همچنین اطلاعات مبادله شده براحتی میسر می شود. بنابراین وقتی بتوان یک کوکی session را که در حال خواندن اطلاعات http می باشد کنترل کرد، پس این امکان نیز وجود خواهد داشت که مثلاً عدد مربوط به مقدار پول را در برنامه تراکنش تغییر داد.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۲ .نمونه تصویری یک بسته http که توسط Proxy Paros ردیابی شده است

با استفاده از روش های مشابه، می توان اقدام به حمله MITM به ارتباطات https نمود. تنها تفاوت این حمله، در نحوه برقراری دو session SSL مستقل در دوسر ارتباط TCP می باشد. در این حالت، مرورگر اینترنت یک ارتباط SSL با فرد حمله کننده ایجاد نموده و شخص حمله کننده نیز یک ارتباط SSL دیگر با سرور برقرار می نماید. در این هنگام، معمولاً مرورگر اینترنت یک پیغام هشدار دهنده برای کاربر ارسال می کند ولی کاربر به علت عدم آگاهی از وجود تهدید، این پیغام را نادیده می گیرد. در برخی موارد امکان دارد پیغام هشدار برای کاربر ارسال نگردد. به عنوان مثال، هنگامی که تأییده سرور مورد حمله قرار گرفته باشد یا در شرایطی که شخص حمله کننده مورد تأیید یک CA معتمد قرار گرفته باشد که CN آن همان CN وب سایت اصلی باشد. حملات MITM فقط به منظور حمله به سیستم ها در شبکه استفاده نمی شوند، معمولاً از این حملات هنگام اجرای یک برنامه شبکه یا در جهت کمک به آسیب پذیر نمودن شبکه نیز استفاده می گردد.

 

 

 

 


  • ۰

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security

اهمیت سامانه های بی سیم، به دلیل صرفه جویی های فراوانی که در استفاده از منابع شبکه به همراه دارند، بر کسی پوشیده نیست. همچنین با توجه به مزایای متعدد این نوع از شبکه ها، استفاده از آنها در محیط های آموزشی، مراکز تفریحی، اقامتی و حتی اداری و سازمانی با استقبال فراوانی روبه رو بوده است. از جمله مزایای عمومی و تخصصی استفاده از شبکه های بی سیم در این اماکن میتوان به این موارد اشاره کرد:

 

  • سرعت استقرار: سیستم های بی سیم در سریعترین زمان و با ایجاد کمترین تغییر در یک مکان استقرار میابند.
  • بهره وری هزینه: هزینه های راه اندازی سیستم های بی سیم در دراز مدت بسیار کم تر از شبکه های با سیم است.
  • قابلیت توسعه پذیری: این سیستم ها به سرعت در مقیاس های وسیع قابل گسترش اند.
  • افزایش دسترسی و قابلیت جابه جایی: کاربران سیستم های بیسیم میتوانند در هر لحظه و در هر موقعیتی به سیستم متصل گردند.
  • توسعه آموزش الکترونیک در فضاهای آموزشی: با افزایش ضریب دسترسی به شبکه و اینترنت در درون دانشگاه ها و موسسات آموزشی و پژوهشی
  • امکان ارائه سرویس های متنوع: ارائه سرویس های اختصاصی به انواع گروه های سازمانی در موسسات آموزشی نظیر اساتید، کارمندان، دانشجویان، میهمان و مدعوین،…

 

چالش های شبکه های بی سیم که ما آنها را به فرصت تبدیل میکنیم

عدم رعایت برخی استاندارد ها در مورد تجهیزات شبکه های بی سیم و بی توجهی به اصول ایمنی در ایجاد این شبکه ها میتواند مخاطرات زیادی را بهمراه داشته باشد، از جمله:

۱- عدم امنیت شبکه

در این شبکه ها نفوذ پذیری شبکه توسط افراد غیر مجاز زیاد است. بسیاری از پروتکل های رایج امنیت شبکه در سیستم های بی سیم در مراکز بزرگ کارایی نداشته و به راحتی قابل نفوذ میباشند. به همین دلیل است که بسیاری از سازمان ها و شبکه ها بزرگ برای ایجاد شبکه های داخلی خود به بستر های سیمی روی می آورند. در برخی سازمان ها برای ایمن سازی شبکه های بی سیم اقدام به جداسازی فیزیکی تجهیزات شبکه های بیسیم از بستر شبکه های داخلی و با سیم مینمایند. این اقدام شاید باعث امنیت بالای شبکه داخلی و دوری از مخاطرات شبکه های بی سیم گردد، ولی هزینه های سر سام آوری را نیز به دنبال خواهد داشت !

در برخی از سازمان ها شبکه های بی سیم را به شبکه ها داخلی متصل نموده که میزان آسیب پذیری این شبکه ها را به شدت افزایش میدهد. کاربرانی که گاه بصورت میهمان به این شبکه ها متصل میگردند میتوانند شبکه را آلوده کنند، به بسیاری از منابع شبکه و اطلاعات محرمانه سازمانی دسترسی پیدا کنند و یا اطلاعات غیر مجازی را در شبکه قرار دهند.

۲- افت شدید کیفیت سرویس دهی در شبکه های بزرگ

همچنین عدم پشتیبانی از سامانه جابه جایی میتواند مرتباً باعث افت کیفیت ارائه خدمات و قطع آن گردد. در این شرایط تعداد اتصال به اکسس پوینت های خاص زیاد شده و باعث کاهش کیفیت دسترسی و گاهاً خارج شدن از گردونه سرویس دهی میگردد. بسیاری از دستگاه های رایج و غیر استاندارد مدعی داشتن این قابلیت هستند، در صورتیکه در عمل به اثبات رسیده است که بسیار ی از آنها از این سرویس پشتیبانی نمیکنند. با سرویس های استاندارد Roaming به راحتی میتوان بار اتصال را در اکسس پوینت ها تقسیم و بصورت کاملاٌ اتوماتیک مدیریت کرد. کیفیت ارائه سرویس در این نوع از شبکه ها بسیار بالا و پایدار است.

۳- مدیریت اتصال و تبادل اطلاعات کاربران در شبکه

در برخی شبکه های بیسیم، به علت عدم وجود سیستم مدیریت دسترسی کاربران، امکان تبادل اطلاعات بین بسیاری از کاربران وجود دارد. این مطلب میتواند تبدیل به یک مخاطره برای امنیت شبکه، بارگذاری اطلاعات غیر مجاز، دزدیده شدن اطلاعات شبکه،… گردد. این مساله همینطور باعث افزایش ترافیک اطلاعات روی اکسس پوینت ها گردیده و سرویس دهی آنها را با مشکل مواجه میکند. با ایجاد یک سیستم مدیریت دسترسی کاربران و Client ها به شبکه بی سیم، میتوان به شدت از این مخاطرات کاست. در این صورت کاربران داری حدود دسترسی و فعالیت خاص خود خواهند بود. شرکت مهندسین تحلیلگران آتی نگر راهکار شبکه های بی سیم خود را با این بینش ارائه میدهد که شبکه ای پایدار، سریع و ایمن را ایجاد نماید. بدینوسیله این دیدگاه در بین کاربران ایجاد میشودکه بستر های بی سیم نیز میتوانند به اندازه شبکه های با سیم، امن و پایدار گردند. از این رو این مجموعه در پی آن است که زیر ساخت های بی سیم را با بروزترین و ایمن ترین استاندارد ها ایجاد نماید.

خدمات شرکت آتی نگر در راه اندازی سیستم های بی سیم

  • امکان سنجی طرح: در طی این مرحله موقعیت مکانی پروژه بررسی و امکان سنجی طرح بر اساس ویژگی های محل انجام می پذیرد.
  • پیشنهاد بر اساس نیازهای محل: پس از انجام بررسی های اولیه و مشخص شدن ابعاد فیزیکی پروژه و همچنین اطلاع از نیاز های مدیران شبکه، بهترین پیشنهادات در زمینه تجهیزات ارائه میگردند.
  • ارائه راهکارهای امنیت شبکه: در این مرحله و با توجه به گستردگی و نیاز های شبکه داخلی، پیشنهادات ایمن سازی ارائه میگردند. این پیشنهادات میتوانند شامل تجهیزات فیزیکی و یا نرم افزاری باشند.
  • پیاده سازی و راه اندازی: در این مرحله بسترهای لازم جهت راه اندازی شبکه بی سیم آماده و در صورت لزوم، برخی تغییرات در ساختار فعلی شبکه ها صورت میگیرد.
  • تکمیل پروژه: با ایجاد قابلیت هایی نظیر سیستم های مدیریت مصرف اینترنت، سیستم های Captive Portal، سامانه های پرداخت الکترونیک،…

 

 


  • ۰

مفهوم IDS

مفهوم IDS

IDS یک سیستم محافظتی است که خرابکاریهای در حال وقوع روی شبکه را شناسایی می کند و با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند.

روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند.
از قابلیتهای دیگر IDS ، امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه و یا بستن ارتباط های مشکوک و مظنون می باشد. ابزار IDS قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی را دارد.

بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاه های امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
۱- سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.

۲- ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.

۳-نرم افزارهای ضدویروس که برای تشخیص انواع کرمها، ویروسها و به طورکلی نرم افزارهای خطرناک تهیه شده اند.

۴-دیواره آتش (Firewall )

۵-مکانیزمهای امنیتی مانند SSL ، VPN و Radius و … .

چرا دیواره آتش به تنهایی کافی نیست ؟

به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند :
۱. چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
۲.تمام تهدیدات خارج از دیواره آتش نیستند.
۳.امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند Active ، Java Applet، Virus Programs.

تکنولوژی IDS
۱- Plain Hand Work
۲- Network Based
۳- Host Based
۴- Honey pot

(NIDS (Network Bas
گوش دادن به شبکه و جمع آوری اطلاعات ازطریق کارت شبکه ای که در آن شبکه وجود دارد.
به تمامی ترافیک های موجود گوش داده و در تمام مدت در شبکه مقصد فعال باشد.

(HIDS (Host Base
تعداد زیادی از شرکتها در زمینه تولید این نوع IDS فعالیت می کنند.
روی PC نصب می شود و از CPU و هارد سیستم استفاده می کنند.
دارای اعلان خطر در لحظه می باشد.
جمع آوری اطلاعات در لایه Application
مثال این نوع IDS ، نرم افزارهای مدیریتی می باشند که ثبت وقایع را تولید و کنترل می کنند.

Honey pot
سیستمی می باشد که عملا طوری تنظیم شده است که در معرض حمله قرار بگیرد. اگر یک پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد که گرفتار یک Honey pot شده است. و خرابکاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابکاریی ها برای امن کردن شبکه استفاده کرد.

محل قرارگیری IDS
محل قراگیری IDS ها کجاست ؟
بیرون دیواره آتش ؟
داخل دیواره آتش (داخل DMZ یا شبکه داخلی )؟
چه ترافیکی را می بایست کنترل کند؟
چه چیزهایی را می بایست کنترل کند؟

کارآیی یک IDS خوب وقتی مشخص می شود که :
بتوان کنترل و مدیریت آن را به صورت ۲۴ ساعته و ۷ روز در هفته انجام داد.
توسط یک مدیر با دانش بالا مدیریت شود تا بتواند از وقایع بدست آمده کنترل های جدیدی را روی دیوار آتش پیاده سازی کند.مرتب کنترل وبا توجه به حوادث روزانه (ویروس ها و ورم ها و روش های هک جدید) به روزرسانی شود.

حملات به طور کلی به دو بخش تقسیم می شوند:
۱-غیرفعال:فکر دسترسی به سیستم های آسیب پذیر بدون دستیابی به اطلاعات
۲-فعال:دستیابی بدون اجازه به همراه تغییر در منابع و اطلاعات یک سازمان

از نظر شخص نفوذگر حملات به گروههای زیر تقسیم می شوند:
۱-داخلی:یعنی اینکه حملات از طریق کارکنان و یا شرکای تجاری و یا حتی مشتریانی که به شبکه شما متصل می باشند.
۲- خارجی:حملاتی که از خارج سازمان و معمولا از طریق اینترنت انجام می گیرد.●شما درمعرض خطر هستید!

برای تشخیص خطرات وحملات احتمالی می بایست سیستم خود را در برابر تقاضاهایی که سرویس های نامناسب درخواست می کنند مورد بررسی قرار دهید.این بررسی ها در تشخیص حملات واقعی به ما کمک می کند. با توجه به انواع راه هایی که نفوذ گران برای دسترسی به سیستمها استفده می کنند نگاهی اجمالی به روشهای آسیب رسانی و نفوذ می اندازیم.

استفاده از آسیب پذیری های معروف:دراکثر موارد حمله به معنی تلاش برای استفاده از نقص یا ایجاد آن در سیستم امنیتی یک سازمان اطلاق می شود و این یکی از راههای نفوذگری در شبکه می باشد.اغلب خود سازمان ممکن است از ابزاری برای امن کردن شبکه استفاده کند که کار حمله کننده را آسان می سازد به بیان واضح تر اینکه ابزارهای امنیتی نیز خود دارای نواقص و حفره های امنیتی می باشد که اختیارات بیشتری را به نفوذگر می دهد. این نرم افزارها اغلب مانند شمشیر دو لبه عمل می کنند و مورد استفاده هردو گروه کاربران وحمله کنندگان قرارمی گیرد مانند نرم افزارهای کنترل صحت و یکپارچگی فایل یا نرم افزارهایی که جهت تست آسیب پذیری شبکه مورد استفاده قرارمی گیرند.چک کردن یکپارچگی فایلها با استفاده از روش های سیستمی و با قابلیت ادغام روشهای مختلف با یکدیگر و با ابزارهایی نظیر anti-SATAN یا Courtney امکان پذیر می باشد.

ترافیک خروجی غیر معمول:یک نفوذگر با استفاده از تعداد زیادی Exploit و حتی نفوذ های ناموفق سعی در به دست آوردن کنترل کامپیوتر مقصد دارد. این عملیات نفوذگرانه، ترافیک معمول شبکه را افزایش می دهد و نشانه وقوع یک حمله درآینده می باشد. هر ابزار تست آسیب پذیری می بایست قابلیت تشخیص فعالیت های مشکوک و غیر متعارف را داشته باشد و با ارائه گزارش ، اعلام خطر لازم را به مدیر شبکه بدهد.
حد تکرار برای کمک به تشخیص فعالیتهای واقعی و مشکوک :فعالیتهای شبکه بوسیله دریافت و کنترل بعضی پارامترها قابل شناسایی است مانند User Profile یا از Session State .

زمان بین تکرار فعالیتها: پارامتری برای تشخیص زمان سپری شده بین دو واقعه متوالی. مثلا” وقتی بخواهید با نام کاربری اشتباه وارد سیستم شوید، سه تلاش برای ورود با نام غلط بین فاصله زمانی ۲ دقیقه یک فعالیت مشکوک به نظر می رسد.
اشتباه در تایپ ویا جوابهایی که در یک Session ایجاد می شود.

پروتکل ها وسرویس های شبکه به صورت کاملا دقیقی مستند شده اند و از ابزارهای نرم افزاری خاص استفاده می کنند. هرگونه ناهماهنگی با قالب شناخته شده( مثل اشتباه در تایپ یک دستور ) ممکن است اطلاعاتی برای شناسایی سرویسهای که می توانند مورد حمله یک نفوذگر قراربگیرند باشد.اگر امکان Audit در سیستم فعال شده باشد ،مثل Send Mail Relaying، توالی ارتباط Log بصورت معمولی و قابل پیش بینی اتفاق می افتد.هرچند که اگر در Log دریافت شده دستورات غیر مجاز دیده شود ممکن است نتیجه موارد اشتباه غیر عمدی ویا سعی در Spoofing باشد.( Spoofing به این معنی است که نفوذگر آدرس خود را به آدرسی که برای سیستم شناخته شده است تغییر داده و به این ترتیب به سیستم نفوذ می کند.)

تست تلاشهای مخرب ممکن است شامل موارد زیر باشد:
▪ شناسایی تلاشهای متعدد برای جبران خطاهای تایپی و تکرار دستورات
▪ تشخیص خطاهای مکرر برای یافتن پروتکل ها که بدنبال یک تلاش موفق انجام می شود.
▪ تشخیص خطا و یادگیری در جهت شناسایی نرم افزارهای و یا سیستم عامل های موجود در سایت مقصد.

ناهماهنگی در جهت ارسال و دریافت اطلاعات
هرگونه ناهماهنگی ترافیکی در Packetها یا یک Session نشانه ای از یک حمله پنهانی است. بررسی آدرس مبداء و مقصد ( به صورت ورودی یا خروجی) میتواند جهت Packet را تشخیص بدهد. روند برقراری یک session با تشخیص اولین پیام ارسال شده شناسایی می شود. یک درخواست برای دریافت یک سرویس از شبکه محلی به صورت یک session ورودی است و پروسه فعال کردن یک سرویس بر پابهWeb از یک شبکه محلی یک session خروجی است.

موارد زیر می تواند به عنوان حمله محسوب شود:
▪Packet -هایی که منشاء آنها اینترنت است بدون اینکه در خواستی از سمت شبکه محلی داشته باشد و وارد شبکه شود.
این حالت ممکن است نشان دهنده یک حمله IP Spoofing از خارج باشد. این مشکلات می توانند درRouter- هایی که قابلیت مقایسه آدرس مبداء و مقصد را دارند بر طرف شوند .در عمل تعداد اندکی از Router ها در شبکه می توانند به عنوان فایروال عمل کنند.

▪ بر عکس حالت قبلPacket هایی که به صورت خروجی در یک شبکه محلی ایجاد می شوند و به یک شبکه خارجی فرستاده می شوند.

▪ Packet ها با پورت های مبداء و مقصد غیر مشخص. اگر منبع پورت در مورد یک درخواست ورود یا خروج اطلاعات با نوع سرویس یکسان نباشد ممکن است به عنوان یک تلاش برای نفوذ یا پویش سیستم تلقی شود. بطور مثال در خواست Telnet از روی پورت ۱۰۰ در محیطی که انتظار چنین پشتیبانی برای سرویس وجود ندارد.ترافیک غیر معمول بیشتر توسط فایروال شناسایی شده و Packet های مشکوک را ازبین می برد. با توجه به اینکه فایروالها همیشه با سیستم های تشخیص نفوذ ادغام نمی شوند ، بنابراین ممکن است که سیستمهای تشخیص نفوذ راه حلی برای این مشکل باشد.

علائم نفوذ
معمولا با اجرای برنامه های خاص در سیستم انتظار مواجهه با رفتارهای خاص و مشابه وجود دارد
بعضی از موارد مانند موارد زیر :

▪مشخصات تاریخ و زمان : در بعضی محیط های خاص بطور معمول بعضی رفتارها در زمان خاصی در شبکه اتفاق می افتد. مثلا فرض کنید بطور معمول شنبه صبح یکسری اطلاعات به بخش مرکزی شرکت ارسال می شود که مربوط به اطلاعات مالی است. چنین ترافیکی در شنبه صبح همیشه اتفاق می افتد و عادی است در صورتیکه چنین ترافیکی روز جمعه اتفاق بیفتد و ثبت شود ، غیر معمول است و باید به عنوان یک رفتار غیر معمول یا نفوذ به سیستم مورد بررسی دقیق قرارگیرد.

▪مشخصات منابع سیستم: بعضی نفوذ های خاص باعث خرابی بعضی پارامترهای خاص سیستم میشود مثلا یک حمله Brute Force برای شکستن حرف رمز باعث در گیر کردن CPU میشود در حالیکه یک حمله DoS همین کاررا با سرویس های سیستم انجام میدهد. استفاده سنگین از منابع سیستم ( پروسسور، حافظه، دیسک سخت ، سرویسها و اتصالات شبکه ) که در زمانهای غیر معمول اتفاق می افتد برای شناسایی حمله بسیار مفید هستند و باید به آنها بسیار توجه کرد.

▪ Packet هایی با تایید های TCP غیر معمول : اگر در یک Packet نشانه مربوط به ACK فعال باشد و قبل از آن هیچ SYN-Packet ارسال نشده باشد، ممکن است نتیجه یک حمله در سیستم باشدهمچنین این حالت ممکن است اثر یکPacket خراب هم باشد که در یک شبکه با نرم افزار های خراب ایجاد می شود و واقعا” حمله نفوذی نباشد.

▪ سرویس های مختلف با علایم مختلف : ممکن است در بعضی موارد انتظار ایجاد ترافیک خاص از یک کاربر مشخص داشته باشیم مثلا کاربری که در یک ماموریت اداری بسر می برد معمولا” فقط نامه های خود را چک می کند ویا فایلی را انتقال می دهد . در صورتیکه دسترسی این کاربر به پورت های مختلف از طریق Tel net ، دلیلی بر امکان نفوذ یا حمله است .

موارد غیر معمول – علامت نفوذ
یک نفوذ کننده بالقوه ممکن است عملیات نفوذ خود را به گونه ای طراحی کند که اثر جانبی آن باعث رفتارهای غیر معمول در سیستم باشد. مانیتورینگ اثرات جانبی بسیار سخت است چون پیدا کردن محل آنها به سادگی امکان پذیر نیست از موارد غیر منتظره سیستم به موارد زیر می توان اشاره کرد:

۱-مشکلات تعریف نشده در سخت افزار یا نرم افزارسیستم مثل خاموش شدن بدون علت سرور، عدم کارکرد بعضی برنامه های نرم افزاری مانند IIS ، موارد غیر معمول restart شدن سیستم ها ، تغییرات در تنظیم clock سیستم
۲- بروزاشکالات نامشخص در منابع سیستم مثل File System Overflow یا مشغول بودن بیش از حد CPU
۳- دریافت پیام های غیر متعارف از بعضی برنامه های خود اجرا ، مثل پیغامهایی که نشان دهنده عدم اجرا و یا خطا در هنگام اجرای یک برنامه ایجاد شده باشد.بخصوص برنامه هایی که برای مانیتور کردن سیستم طراحی شده اند مثل Syslog .
۴- بروز اشکالات نامشخص در کارایی سیستم مثلا” در Router ها یا سرویس های سیستم مثل کند شدن سرور
۵- بروز رفتارهای مشکوک در اجرای برنامه های کاربرمثل اشکال در دسترسی به بعضی منابع شبکه
۶- عملکرد مشکوک در فایلهای ثبت وقایع ( Log ها)بررسی این فایل ها از نظر سایز برای اینکه حجم فایل از اندازه متعارف خیلی بیشتر یا کمتر نباشد. مگر اینکه مدیر شبکه خود چنین تغییری ایجاد کرده باشد.●چگونگی عملکرد IDS

چه باید کرد؟
مهمترین کار یک سیستم کشف نفوذگر،دفاع از کامپیوتر بوسیله شناسایی حمله و جلوگیری از آن است. شناسایی حمله هکر بستگی به نوع و تعداد عکس العمل مورد نظر دارد.

مقابله با نفوذ، نیاز به یک سیستم ترکیبی دام گذاری و تله اندازی دارد که هردو این پروسه ها باید با بررسی و دقت انجام شود. از کارهای دیگری که باید انجام داد ، تغییر دادن جهت توجه هکر است.هر دوسیستم واقعی و مجازی(Honeypot) به دام اندازی هکر به طور دائمی دیده بانی (Monitor ) می شوند و داده های تولید شده توسط سیستم شناسایی نفوذ گر(IDS) برای شناسایی نحوه عملکرد حمله به دقت بررسی می شود که این مهمترین وظیفه یک IDS جهت شناسایی حملات و یا نفوذهای احتمالی می باشد.

وقتی که یک حمله یا نفوذ شناسایی شد، IDS سرپرست شبکه را مطلع می سازد. مرحله بعدی کار می تواند بر عهده سرپرست شبکه یا خود IDS باشد که از بررسی های به عمل آمده نتیجه گیری کرده و اقدام متقابل را انجام دهد.(مانند جلوگیری از عملکرد یک قسمت بخصوص برای پایان بخشیدن به Session های مشکوک یا تهیه نسخه پشتیبان از سیستم برا ی حفاظت از اطلاعات ، و یا انتقال ارتباط به یک سیستم گمراه کننده مانند Honeypot و چیزهای دیگر که بر اساس سیاستهای (Policy ) شبکه قابل اجرا باشد . در حقیقت IDS یک از عناصر سیاستهای امنیتی شبکه است.در بین وظایف مختلف IDS ، شناسایی نفوذگر از اساسی ترین آنهاست .حتی ممکن است در مراجع قانونی از نتایج و گزارشات حوادثی که IDS اعلام می کند استفاده نمود، و از حملاتی که در آینده اتفاق خواهد افتاد با اعمال وصله های امنیتی مناسب از حمله به یک کامپیوتر بخصوص ویا یک منبع شبکه جلوگیری کرد.
شناسایی نفوذ ممکن است گاهی اوقات زنگ خطر اشتباهی را به صدا در آورد. برای مثال نتیجه خراب کارکردن یک کارت شبکه و یا ارسال شرح یک حمله و یا اثر یک نفوذ ازطریق Email .

ساختار و معماری سیستم تشخیص نفوذ:
سیستم تشخیص نفوذ یک هسته مرکزی دارد و یک تشخیص دهنده(موتور تشخیص) است که مسئولیت تشخیص نفوذ را دارد. این سنسور یک مکانیزم تصمیم گیری بر اساس نوع نفوذ دارد.

این سنسور اطلاعات خام را از سه منبع دریافت می کند.
۱-از اطلاعات موجود در بانک اطلاعلتی خود IDS.
۲-فایل ثبت وقایع سیستم (syslog).
۳-آثار ترافیک عبوری و دیده بانی شبکه.

فایل ثبت وقایع سیستم (syslog) ممکن است به طور مثال اطلاعات پیکربندی سیستم و دسترسی های کاربران باشد. این اطلاعات اساس تصمیم گیری های بعدی مکانیزم سنسور خواهد بود.این سنسور با یک Event Generator که مسئول جمع آوری اطلاعات است با هم کار می کنند. قوانین جمع آوری اطلاعات که به وسیله سیاست های Event generator مشخص می شود ، تعیین کننده نوع فیلترینگ از روی حوادث و اطلاعات ثبت شده است.

Event Generator ، مثل سیستم عامل یا شبکه یا یک برنامه اجرایی ، تولید کنندهPolicy هایی هستند که ممکن است یک واقعه ایجاد شده در سیستم عامل یا Packet های شبکه را ثبت کنند. این مجموعه به همراه اطلاعات Policy می تواند در یک سیستم محافظت شده یا خارج از شبکه قرار داده شود. در بعضی شرایط خاص هیچ محل مشخصی به عنوان محل حفظ اطلاعات ایجاد نمی شود مثل وقتی که اطلاعات جمع آوری شده از وقایع مستقیما” به یک سیستم آنالیز ارسال می شود.
وظیفه سنسور فیلتر کردن اطلاعات است و حذف کردن هر داده غیر مرتبط که از طرف منابع دریافت اطلاعات می رسد. تحلیل کننده برای دستیابی به این هدف از Policy های موجود استفاده می کند.تحلیل گر نکاتی مانند اثر و نتیجه حمله ، پرو فایل رفتارهای نرمال و صحیح و پارامترهای مورد نیاز مثل Threshold ها را بررسی می کند .

علاوه بر همه اینها بانک اطلاعاتی که پارامترهای پیکربندی IDS را در خود نگه می دارد، روشهای مختلف ارتباطی را ایجاد می کنند.سنسور یا گیرنده هم بانک اطلاعاتی خاص خود را دارد، که شامل تاریخچه پویایی از نفوذهای پیچیده بوده یا با توجه به تعدد حمله مورد تحلیل قرارگرفته است.سیستم تشخیص نفوذ می تواند به صورت متمرکز مثل برقراری یک فایروال فیزیکی یا به صورت غیر متمرکز انجام شود.یک IDS غیر متمرکز شامل تعداد زیادی سیستم تشخیص نفوذ در یک شبکه بزرگ است که هرکدام از آنها با هم در ارتباط هستند.سیستم های پیچیده تر از ساختاری پیروی می کنند که ماژول های مشابه برنامه های خود اجرایی دارند که روی هر کامپیوتر اجرا می شوند.

عملکرد این سیستم جایگزین ، مونیتور و فیلتر کردن تمام فعالیتهای مرتبط با یک بخش محافظت شده است که بتواند یک آنالیز دقیق و پاسخ متناسب از شبکه دریافت کند.یکی از قسمت های بسیار مهم IDS برنامه ای است که به سرور آنالیز کننده گزارش می دهد ، DIDS(Database IDS) و دارای ابزار آنالیز پیچیده تری است که حملات غیر متمرکز را نیز شناسایی می کند. دلیل دیگری که وجود دارد مربوط به قابلیت حمل و انتقال درچند منطقه فیزیکی است.علاوه بر این عامل جایگزین مشخص برای تشخیص و شناسایی اثر حمله های شناخته شده می باشد.یک راه حل ساختاری چند برنامه ای که در سال ۱۹۹۴ ایجاد شد

AAFID یا Autonomous Agent for Intrusion Detection است. این ساختار از یک جایگزین استفاده می کند که بخش به خصوصی از رفتار سیستم را در زمان خاص دیده بانی می کند. به طور مثال یک جایگزین می تواند تعداد دفعاتی را که به سیستم Telnet شده تشخیص داده و در صورتی که این عدد منطقی به نظر نرسد آنرا گزارش کند. یک جایگزین همچنین قابلیت ایجاد زنگ خطر در زمان وقوع یک حادثه مشکوک را دارد.جایگزین ها می توانند مشابه سازی شوند و به سیستم دیگر منتقل گردند.به غیر از جایگزین ها ، سیستم می تواند رابط هایی برای دیده بانی کل فعالیتهای یک کامپیوتر بخصوص داشته باشد.این رابط ها همیشه نتایج عملیات خود را به یک مونیتور مشخص ارسال می کنند. سیستم های مانیتور اطلاعات را از نقاط مختلف و مشخص شبکه دریافت می کنند و این بدین معنی است که می توانند اطلاعات غیر متمرکز را بهم ارتباط دهند و نتیجه گیری نهایی را انجام دهند.به انضمام اینکه ممکن است فیلتر هایی گذاشته شود تا داده های تولید شده را بصورت انتخابی در یافت نماید.

– See more at: http://www.idsco.ir/IDS-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F#sthash.YE3P1rLJ.dpuf

 


آخرین دیدگاه‌ها

    دسته‌ها