Adware و Spyware چیست؟

  • ۰

Adware و Spyware چیست؟

Adware و Spyware چیست؟

Adware و Spyware چیست؟

Adware و Spyware چیست؟

آیا از صفحات مختلفی که گاه و بیگاه ، نا خواسته روی صفحه مانیتورتان ظاهر می شود بستوه آمده اید ؟
آیا می دانیدکه سیستم شما آلوده به برنامه های جاسوسی شده است؟
می دانید در هنگام استفاده از سرویس های File Sharing مانند Kazza و … سیستم شما آلوده به Spyware و Adware میگردد؟
Spyware و Adware فایل هائی هستند که روی کامپیوتر شما نصب می شوند حتی بدون اینکه شما چنین چیزی را درخواست کرده باشید! این برنامه ها شرکت های بزرگ را قادر می سازند تمام اعمال شما را در هنگام گشت و گذار در اینترنت ردیابی کنند . بدانند چه می خواهید ؛ چه می خرید و حتی به چه چیزهائی علاقه دارید.

 

ابزار جاسوسی Spy ware در حالت کلی به هر تکنولوژی برمی گردد که منجر به جمع آوری اطلاعات درباره یک  شخص یا سازمان بدون اینکه آنها بدانند می شود.در حیطه اینترنت،نرم افزاری است که طوری برنامه نویسی شده  است که بر روی کامپیوتر یک شخص قرار  می گیرد  تا درباره کاربر و  مطالب مورد علاقه وی اطلاعاتی را بطور  محرمانه جمع آوری کند.Spyware می تواند به  صورت یک ویروس نرم افزاری یا در نتیجه نصب یک  برنامه جدید در یافت شود.مثلا کوکی ها از این نوع هستند و کاربر می تواند دستیابی به اطلاعات کوکی را غیر مجاز کند.مدیاهای مختلفی که رایگان بر روی وب هستند نیز به همین منظور می  باشند.
متاسفانه در اکثر حالات این جاسوسی قانونی است زیرا این شرکت ها موافقت شما را با نصب این برنامه ها در متن یادداشت License agreement خویش برای اینکه از برنامه های آنها (برنامه هائی مانند Kazza و…) استفاده کنید ؛ دریافت کرده اند و در واقع کاربر از همه جا بی خبر که بدون خواندن متن این License ها آنها را تائید می کند ؛ با دست خویش سیستم خود را به سمت هلاکت سوق داده است.
بنا بر این اگر در هنگام گشت و گذار در اینترنت ؛ ناگهان صفحات ناخواسته ای روی مونیتور شما ظاهر شد
که اکثر آنها شما را ترغیب به کلیک روی لینک خاصی می نمایند ؛ شک نکنید که سیستم شما آلوده به Spyware می باشد .
خوب با این اوصاف چه باید کرد؟
نگران نباشید چون برنامه های متعددی جهت پاکسازی سیستم از شر این مهمان های ناخوانده وجود دارد . همچنین سایتهای متعددی وجود دارند که بصورت Online سیستم شما را از حیث وجود این برنامه ها بررسی می کنند. شما با مراجعه به آدرس
http://www.spywareguide.com/txt_onlinescan.html
می توانید سیستم خود را پویش کنید . همچنین در سایت زیر نیز برنامه های Desktop ای

کامپیوترتان وجود دارد که می توانید دانلود نمائید.
http://www2.palsol.com/spyrem_offer/index.html?hop=cyberw

 

 

 


  • ۰

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

امنیت نامه های الکترونیکی

الکترونیکی با هر یک از سطوح فوق متفاوت است . این نوع برنامه ها ، امکان اجرای کدهای موجود در فایل اینترنت چالش های جدیدی را در عرصه ارتباطات ایجاد کرده است. کاربران اینترنت با استفاده از روش های متفاوت ،امکان ارتباط با یکدیگر را بدست آورده اند .اینترنت زیر ساخت مناسب برای ارتباطات نوین را فراهم و زمینه ای مساعد و مطلوب بمنظور بهره برداری از سرویس های ارتباطی  توسط کاربران فراهم شده است .  بدون شک ، پست الکترونیکی در این زمینه دارای جایگاهی خاص است .

پست الکترونیکی،  یکی از قدیمی ترین و پرکاربردترین سرویس موجود در اینترنت است .  شهروندان اینترنت، روزانه میلیون ها نامه الکترونیکی را برای یکدیگر ارسال می دارند. ارسال و دریافت  نامه الکترونیکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمایل به استفاده از نامه الکترونیکی در مقابل تماس تلفتی با همکاران و خویشاوندان خود دارند . در این مقاله قصد نداریم به بررسی مزایای سیستم پست الکترونیکی اشاره نمائیم. در صورتیکه بپذیریم که سیستم پست الکترونیکی عرصه جدیدی را در ارتباطات افراد ساکن در کره زمین ایجاد کرده است، می بایست بگونه ای حرکت نمائیم که از آسیب های احتمالی تکنولوژی فوق نیز در امان باشیم .

طی سالیان اخیر، بدفعات شنیده ایم که شبکه های کامپیوتری از طریق یک نامه الکترونیکی آلوده و دچار مشکل و تخریب اطلاعاتی  شده اند. صرفنظر از وجود نواقص امنیتی در برخی از محصولات نرم افزاری که در جای خود تولید کنندگان این نوع نرم افزارها بمنظور استمرار حضور موفقیت آمیز خود در عرصه بازار رقابتی موجود، می بایست مشکلات و حفره های امنیتی محصولات خود را برطرف نمایند ، ما نیز بعنوان استفاده کنندگان از این نوع نرم افزارها در سطوح متفاوت ، لازم است با ایجاد یک سیستم موثر پیشگیرانه ضریب بروز و گسترش این نوع حوادث را به حداقل مقدار خود برسانیم . عدم وجود سیستمی مناسب جهت مقابله با این نوع حوادث ، می تواند مسائلی بزرگ را در یک سازمان بدنبال داشته که گرچه ممکن است تولیدکننده نرم افزار در این زمینه مقصر باشد ولی سهل انگاری و عدم توجه به ایجاد یک سیستم امنیتی مناسب ، توسط استفاده کنندگان مزید بر علت خواهد بود ( دقیقا” مشابه عدم بستن کمربند ایمنی توسط سرنشین یک خودرو با نواقص امنیتی ) . در این مقاله ، به بررسی روش های پیشگیری از تخریب  اطلاعات در شبکه های کامپیوتری از طریق پست الکترونیکی پرداخته و با ارائه راهکارهای مناسب ، یک سیستم حفاظتی مطلوب پیشنهاد می گردد . در این راستا ، عمدتا” بر روی برنامه سرویس گیرنده پست الکترونیکی ماکروسافت (Outlook) متمرکز خواهیم شد( بدلیل نقش بارز و مشهود این نوع از برنامه ها در جملات اینترنتی اخیر) .

سیل ناگهانی حملات اینترنتی مبتنی بر کدهای مخرب،  با ظهور کرم ILOVEYOU  ، وارد عرصه جدیدی شده است . سیتسم های مدرن پست الکترونیکی بمنظور مقابله با این نوع از تهدیدات ، تدابیر لازم را در جهت ایجاد یک حفاظ امنیتی مناسب برای  مقابله با عرضه و توزیع کدهای مخرب آغاز نموده اند .برنامه های سرویس گیرنده پست الکترونیکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نویسندگان کدهای مخرب می باشند . شاید یکی از دلایل آن ،  گستردگی و مدل برنامه نویسی خاص  بکارگرفته شده در آنان باشد . تاکنون  کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ویروس ( و یا کرم ) در زمینه تخریب اطلاعات از طریق اینترنت ، شرکت ماکروسافت را وادار به اتخاذ  تصمیمات امنیتی خاص در اینگونه موارد نمود . این ویروس ها عبارتند از :

ویروس Melissa  ، هدف خود را بر اساس  یک فایل ضمیمه Word مورد حمله ویرانگر قرار می دهد . بمحض باز نمودن فایل ضمیمه ،  کد مخرب بصورت اتوماتیک فعال می گردد .

ویروس BubbleBoy ، همزمان با مشاهده ( پیش نمایش ) یک پیام ، اجراء می گردد . در این رابطه ضرورتی به باز نمودن فایل ضمیمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در  ویروس فوق ، کدهای نوشته شده  در بدنه نامه الکترونیکی قرار می گیرند . بدین ترتیب، بمحض نمایش پیام توسط برنامه مربوطه ، زمینه اجرای کدهای مخرب فراهم می گردد .

کرم ILOVEYOU  از لحاظ مفهومی شباهت زیادی با ویروس Mellisa داشته و بصورت  یک فایل ضمیمه همراه یک نامه الکترونیکی جابجا می گردد . در این مورد خاص،  فایل ضمیمه خود را بشکل یک سند Word تبدیل نکرده و در مقابل فایل ضمیمه از نوع یک اسکریپت ویژوال بیسیک (vbs . ) بوده و بمحض فعال شدن، توسط میزبان اسکریپت ویندوز (Windows Scripting Host :WSH) تفسیر و اجراء می گردد .

 

 

پیشگیری ها

در این بخش به ارائه پیشنهادات لازم در خصوص پیشگیری از حملات اطلاعاتی مبتنی بر سرویس گیرندگان پست الکترونیکی خواهیم پرداخت.رعایت مواردیکه در ادامه بیان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از این نوع نبوده بلکه زمینه تحقق این نوع حوادث را کاهش خواهد داد .

پیشگیری اول  : Patch های برنامه پست الکترونیکی ماکروسافت

بدنبال ظهور کرم ILOVEYOU  و سایر وقایع امنیتی در رابطه با امنیت کامپیوترها در شبکه اینترنت،  شرکت ماکروسافت یک Patch امنیتی برای برنامه های outlook 98  و outlook 2000 عرضه نموده است . Patch فوق، با ایجاد محدودیت در رابطه با  برخی از انواع فایل های ضمیمه ، زمینه اجرای کدهای مخرب را حذف می نماید . با توجه به احتمال وجود کدهای مخرب در فایل های ضمیمه  و میزان مخرب بودن آنان،  تقسیمات خاصی توسط ماکروسافت انجام گرفته است .فایل های ضمیمه ای که دارای بیشترین احتمال تهدید برای سیستم های کامپیوتری می باشند ،  سطح یک و فایل هائی با احتمال تخریب اطلاعاتی کمتر  سطح دو ، نامیده شده اند. نحوه برخورد برنامه های سرویس گیرنده پست های ضمیمه از نوع سطح یک را بلاک می نمایند. جدول زیر انواع فایل ها ی موجود در سطح یک را نشان می دهد .

 

انشعاب شرح
ade Microsoft Access project extension
adp Microsoft Access project
bas Visual Basic class module
bat Batch file
chm Compiled HTML Help file
cmd Windows NT Command script
com MS-DOS program
cpl Control Panel extension
crt Security certificate
exe Program
hlp Help file
hta HTML
inf Setup Information
ins Internet Naming Service
isp Internet Communication settings
js JScript Script file
jse JScript Encoded Script file
lnk Shortcut
mdb Microsoft Access program
mde Microsoft Access MDE database
msc Microsoft Common Console document
msi Windows Installer package
msp Windows Installer patch
mst Visual Test source files
pcd Photo CD image
pif Shortcut to MS-DOS program
reg Registration entries
scr Screen saver
sct Windows Script Component
shs Shell Scrap Object
url Internet shortcut
vb VBScript file
vbe VBScript encoded script file

 

Patch فوق،  در رابطه با ضمائمی که با نام سطح دو( مثلا” فایل هائی از نوع zip )  ، شناخته می شوند از رویکردی دیگر استفاده می نماید . این نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپیوتر خود ذخیره نماید . بدین ترتیب در روند اجراء یک توقف ناخواسته بوجود آمده و زمینه فعال شدن ناگهانی آنان بدلیل سهل انگاری ، حذف می گردد. در رابطه با این نوع از فایل ها ، پیامی مشابه زیر ارائه می گردد .

فایل هائی بصورت پیش فرض درسطح دو ،  وجود نداشته و مدیرسیستم می تواند فایل هائی با نوع خاص را اضافه نماید (در رابطه با فایل های سطح یک نیز امکان حذف و یا افزودن فایل هائی وجود دارد ) . در زمان تغییر نوع فایل های سطح یک و دو، می بایست به دو نکته مهم توجه گردد : عملیات فوق،  صرفا” برای کاربرانی که به سرویس دهنده پست الکترونیکی Exchange متصل هستند امکان پذیر بوده و کاربرانی که از فایل ها ی pst . برای ذخیره سازی پیام های الکترونیکی خود استفاده می نمایند را شامل نمی شود. قابلیت تغییر تعاریف ارائه شده سطح یک و دو،  می تواند بعنوان یک رویکرد مضاعف در رابطه با سیاست های امنیتی محلی، مورد استفاده قرار گیرد . مثلا” می توان با استفاده از ویژگی فوق،  فایل های با انشعاب doc . ( فایل های word) را به لیست فایل های سطح یک اضافه کرد. برای انجام تغییرات مورد نظر در نوع فایل ضمیمه تعریف شده در سطح یک ، می بایست مراحل زیر را دنبال نمود :

برنامه Regedit.exe را اجراء نمائید .

کلید HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security key را انتخاب نمائید . ( در صورتیکه کلید فوق وجود ندارد می بایست آن را ایجاد کرد) .

از طریق منوی Edit  دستور New  و در ادامه String Value انتخاب گردد .

نام جدید را Level1AttachmentAdd  منظور نمائید.

گزینه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائید .

یک رشته شامل انشعاب فایل های مورد نظر را که قصد اضافه کردن آنها را داریم ، وارد نمائید ( هر یک از انشعاب فایل ها توسط  “;” از یکدیگر تفکیک می گردند )

Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls

در زمان بازنمودن فایل های ضمیمه ای که از نوع سطح یک و یا دو نمی باشند( فایل های آفیس نظیر  Word ,Powerpoint بجزء فایل های مربوط به Access  )  ، پیامی مطابق شکل زیر ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فایل ضمیمه و یا ذخیره آن بر روی کامپیوتر را دارند . پیشنهاد می گردد که در چنین مواردی فایل ذخیره و پس از اطمینان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در این رابطه می توان از ابزارهای موجود استفاده کرد .

 

Patch فوق، همچنین امکان دستیابی به دفترچه آدرس Outlook را از طریق مدل شی گراء Outlook و  CDO)Collaborative Data Objects)   ، توسط کدهای برنامه نویسی کنترل  می نماید .بدین ترتیب، پیشگیری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثیر نسخه هائی از خود  برای لیست افراد موجود در دفترچه آدرس می نمایند ، انجام خواهد یافت . Patch فوق، صرفا” برای نسخه  های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و یا Outlook Express  نسخه مشابهی ارائه نشده است ) .

 

پیشگیری دوم  : استفاده از نواحی امنیتی Internet Explorer

سرویس گیرندگان Outlook 98/2000  و Outlook Express 4.0/5.0  امکان استفاده از مزایای نواحی (Zones) امنیتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا  و یا اسکریپت ها ) موجود در بدنه پیام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدودیت در اجرای کدها را بر اساس چهار ناحیه فراهم می نماید . قبل از پرداختن به نحوه استفاده از تنظیمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر یک ازنواحی در مرورگر IE ، اشاره گردد :

 

Local Intranet zone :ناحیه فوق، شامل آدرس هائی است که قبل  از فایروال سازمان و یا سرویس دهنده Proxy قرار می گیرند . سطح امنیتی پیش فرض برای ناحیه فوق ، ” medium -low” است .

Trusted Sites zone : ناحیه فوق، شامل سایت هائی است که مورد اعتماد می باشند . ( سایت هائی که  شامل فایل هائی بمنظور تخریب اطلاعاتی نمی باشند )  . سطح امنیتی پیش فرض برای ناحیه فوق،  ” low” است .

Restricted Sites zone :  ناحیه فوق، شامل لیست سایت هائی است که مورد اعتماد و تائید نمی باشند . ( سایت هائی که ممکن است دارای محتویاتی باشند که در صورت دریافت و اجرای آنها ، تخریب اطلاعات را بدنبال داشته باشد ) .سطح امنیتی پیش فرض برای ناحیه فوق ،” high” است .

Internet zone  : ناحیه فوق ، بصورت پیش فرض شامل هرچیزی که بر روی کامپیوتر و یا اینترانت موجود نمی باشد ، خواهد بود . سطح امنیتی پیش فرض برای ناحیه فوق، ” medium ” است .

برای هر یک از نواحی فوق، می توان یک سطح  امنیتی بالاتر را نیز تعریف نمود. ماکروسافت در این راستا سیاست هائی با نام : low , medium-low , medium  و high را تعریف کرده است . کاربران می توانند هر یک از پیش فرض های فوق را انتخاب و متناسب با نیاز خود آنان را تغییر نمایند .

برنامه outlook می تواند از نواحی فوق استفاده نماید . در این حالت کاربر قادر به انتخاب دو ناحیه ( Internet zone و Restricted Zone ) خواهد بود .

 

 

تنظیمات تعریف شده برای ناحیه انتخاب شده در رابطه با تمام پیام های outlook اعمال خواهد شد . پیشنهاد می گردد ناحیه restricted انتخاب گردد . بدین منظور گزینه Tools/Options  و در ادامه گزینه Security را انتخاب نموده و از لیست مربوطه ناحیه Restricted sites را انتخاب نمائید.  در ادامه و بمنظور انجام تنظیمات مورد نظر ، دکمه Zone Settings را فعال و گزینه Custom Level  را انتخاب نمائید . تغییرات اعمال شده در زمان استفاده  از برنامه مرورگر برای دستیابی به وب سایت ها  نیز مورد توجه قرار خواهند گرفت . پیشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نیز از امکانات مشابه با اندکی تغییرات استفاده می گردد. در این رابطه تتظیمات زیر پیشنهاد می گردد :

گزینه وضعیت
Download signed ActiveX controls DISABLE
Download unsigned ActiveX controls DISABLE
Initialize and script ActiveX controls not marked as safe DISABLE
Run ActiveX controls and plug-ins DISABLE
Script ActiveX controls marked safe for scripting DISABLE
Allow per-session cookies (not stored) DISABLE
File download DISABLE
Font download DISABLE
Java permissions DISABLE  JAVA
Access data sources across domains DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists DISABLE
Drag and drop or copy and paste files DISABLE
Installation of desktop items DISABLE
Launching programs within an IFRAME DISABLE
Navigate sub-frames across different domains DISABLE
Software channel permissions HIGH SAFETY
Submit nonencrypted form data DISABLE
Userdata persistence DISABLE
Active scripting DISABLE
Allow paste operations via script DISABLE
Scripting of Java Applets DISABLE
Logon Anonymous logon

 

با غیر فعال نمودن گزینه های فوق، امکانات پیشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زیادی از کاربران پست الکترونیکی ،  دارای کاربردی  خاص نخواهند بود . اکثر نامه های الکترونیکی ، پیام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزینه های فوق، عموما” به غیر فعال نمودن اسکریپت ها و کنترل های موجود در بدنه یک پیام الکترونیکی اشاره داشته و برای کاربران معمولی سیستم پست الکترونیکی دارای کاربردی خاص نمی باشند. تنظیمات فوق، بصورت مشترک توسط مرورگر IE نیز استفاده خواهند شد (صفحات وبی که از برخی از ویژگی های فوق استفاده می نمایند) . در این رابطه لازم است مجددا” به این موضوع اشاره گردد که  ناحیه Restricted  صرفا” شامل سایت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسیل های مرورگر ) را در رابطه با  مشاهده صفحات وب از سایت های تائید شده ،نخواهیم داشت.مهمترین دستاورد تنظیمات فوق،پیشگیری از حملاتی است که سیاست تخریبی خود را بر اساس درج  محتویات فعال در بدنه نامه های  الکترونیکی،  تبین نموده اند . ( نظیر ویروس BubbleBoy  ) .

 

پیشگیری سوم :  تغییر فایل مرتبط و یا غیر فعال نمودن WSH

patch امنیتی ارائه شده در پیشگیری اول، باعث حفاظت سیستم در مقابل ویروس هائی نظیر ILOVEYOU ،  در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سیستم در مقابل نامه های الکترونیکی که دارای عملکردی نظیر ILOVEYOU  می باشند ، می توان از روشی دیگر در outlook express استفاده کرد. بدین منظورمی توان تغییراتی را در سطح  برنامه هائی که مسئول فعال نمودن فایل مورد نظر( File Associations ) می باشند ، اعمال نمود.  کرم ILOVEYOU ، از طریق یک فایل اسکریپت ویژوال بیسیک ( vbs .) ، که توسط میزبان اسکریپت ویندوز (Windows Scripting Host :WSH ) تفسیر می گردد ، فعال خواهد شد. در حقیقت WSH محیط ( شرایط)  لازم برای ILOVEYOU  را فراهم می نماید. اعمال محدودیت در رابطه با WSH و یا تغییر در فایل پیش فرض مربوطه ای که مسئول برخورد( نمایش ، ایجاد شرایط اجراء)  با فایل مورد نظر می باشد ، می تواند یک سطح مناسب امنیتی را در رابطه با ضمائم نامه های الکترونیکی که حاوی کدهای مخرب می باشند ، فراهم می نماید.  در این رابطه از راهکارهای متفاوتی می توان استفاده کرد .

روش اول : یکی از روش های پیشگیری موثر در مقابل این نوع  از حملات ، تغییر واکنش پیش فرض در زمانی است که کاربر باعث فعال شدن اینچنین فایل های می گردد ( double click بر روی فایلی با انشعاب vbs . )  .در ویندوز NT ، این عملیات از طریق  Windows Explorer  و بصورت زیر انجام می شود.

 

View | Folder Options  ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغییرات فوق ، در صورتیکه کاربری  فایلی ضمیمه با انشعاب vbs . را فعال نماید ، فایل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فایل فوق ، بدون نگرانی توسط ادیتور پیش فرض ( معمولا” notepad ) ، فعال و نمایش داده خواهد شد. فرآیند فوق را می توان به فایل های دیگر نیز تعمیم داد. فایل هائی  که دارای یکی از انشعابات زیر باشند ، توسط WSH فعال خواهند شد . بنابراین می توان تغییرات لازم را مطابق آنچه اشاره گردید ، در رابطه با آنها نیز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با  outlook Express  بخوبی کار خواهد کرد . در این راستا ، لازم است به این مسئله مهم اشاره گردد که تضمینی وجود ندارد که سرویس گیرندگان پست الکترونیکی از تنظیمات پیش فرض، زمانیکه کاربر یک فایل ضمیمه را فعال می نماید،  استفاده نمایند . مثلا” زمانیکه یک فایل ضمیمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزینه های open  و یا Save خواهد بود. در صورتیکه کاربر گزینه open را انتخاب نماید ،  کد مورد نظر صرفنظر از تنظیمات پیش فرض فعال خواهد شد.( نادیده گرفتن تنظیمات پیش فرض )

روش دوم : راهکار دیگری که می توان بکمک آن باعث پیشگیری از بروز چنین مسائلی گردید ، غیر فعال نمودن WSH است .  برای انجام عملیات فوق ( غیر فعال نمودن WSH ) می بایست برنامه های ویندوز را که باعث حمایت و پشتیبانی از اجراء اسکریپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغییر نام داد .در سیستم هائی شامل ویندوزNT ، این فایل ها  در مسیر %System%\System32 ، قرار دارند( معمولا” C:\Winnt\System32 ) .  بمنظور تغییر نام فایل های  فوق ، بهتر است از طریق خط دستور ( command prompt) این کار انجام شود. در برخی از نسخه های سیستم عامل، بموازات تغییر نام فایل مرتبط با یک نوع حاص از فایل ها ،  بصورت اتوماتیک برنامه مرتبط با  آنان  به نام جدید تغییر داده خواهد شد. بدین ترتیب تغییر اعمال شده هیچگونه تاثیر مثبتی را از لحاظ امنیتی بدنبال نخواهد داشت .

روش سوم : گزینه سوم در خصوص غیر فعال نمودن WSH ، تغییر مجوز فایل ( File Permission ) در رابطه با فایل های Wscript.exe  و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجیح داده می شود. در چنین مواردی امکان استفاده از پتانسیل های WSH برای مدیران سیستم  وجود داشته در حالیکه  امکان استفاده از پتانسیل فوق از کاربران  معمولی سلب می گردد .

لازم است به این نکته مهم اشاره گردد که با اینکه پیشگیری فوق ، در رابطه با کرم هائی نظیر ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ریسک های مربوط در این خصوص و در رابطه با سایر  فایل ها ئی که ممکن است شامل کدهای اسکریپت باشند را  حذف نماید. در این رابطه می توان به فایل های با انشعاب exe .  ،  اشاره نمود. این نوع فایل ها دارای نقشی حیاتی در رابطه با انجام عملیات بر روی یک کامپیوتر بوده  و نمی توان آنها را غیر فعال نمود . بدین ترتیب متجاوزان اطلاعاتی می توانند از این نوع فایل ها ، بعنوان مکانیزمی جهت توزیع کدهای مخرب ، استفاده  نمایند .

 

پیشگیری چهارم : حفاظت ماکروهای آفیس و آموزش کاربران

ماکروسافت در رابطه با حفاظت در مقابل فایل های ضمیمه حاوی کدهای مخرب از طریق سایر برنامه های جانبی، نیز تدابیری اندیشیده است . مثلا” با اینکه  patch امنیتی ارائه شده در پیشگیری اول ، بصورت پیش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن این نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، یک سطح امنیتی اولیه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا” آفیس 97 ، گزینه اختیاری  حفاظت ماکرو را ارائه  که می توان بکمک آن یک لایه حفاظتی را در رابطه با عملکرد ماکروها ، ایجاد نمود. در چنین مواردی به کاربران پیامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصمیم گیری نمایند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در این خصوص به کاربران آموزش های ضروری و مستمر  در رابطه با خطرات احتمالی عدم رعایت اصول اولیه امنیتی خصوصا” در رابطه با دریافت نامه های الکترونیکی از منابع غیرمطمئن داده شود . گزینه فوق را می توان از طریق Tools|options|General| Enable macro virus protection ، فعال نمود. آفیس 2000 و XP وضعیت فوق را بهبود و می توان تنظیمات لازم در خصوص اجرای ماکروهای دریافتی از یک منبع موثق و همراه با امضاء دیجیتالی  را انجام داد . در word , Powerpoint .Excel  می توان ، گزینه فوق را از طریق Tools|macro|Security ، استفاده و تنظیمات لازم را انجام داد. با انتخاب گزینه High ،  حداکثر میزان حفاظت ، در نظر گرفته خواهد شد.

 

پیشگیری پنجم : نمایش و انشعاب فایل 

یکی از روش متداول بمنظور ایجاد مصونیت در مقابل فایل های حاوی کدهای مخرب ، تبدیل فایل فوق به فایلی بی خاصیت ( عدم امکان اجراء) است . بدین منظور می توان از یک انشعاب فایل اضافه استفاده نمود .(مثلا” فایل :  ILOVYOU.TXT.VBS) .  در صورتیکه ویندوز برای  نمایش این نوع فایل ها ( با در نظر گرفتن انشعاب فایل ها ) ، پیکربندی نشده باشد ، فایل فوق بصورت یک فایل متن تفسیر خواهد شد. ( ILOVEYOU.TXT )  . بمنظور پیاده سازی روش فوق می بایست دو فاز عملیاتی را دنبال نمود : در اولین مرحله می بایست به ویندوز اعلام گردد که انشعاب فایل ها را از طریق   Windows Explorer ، نمایش دهد . ( انتخاب  Options|View  و غیر فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فایل های خاص  که می توانند شامل عناصر اجرائی و یا اشاره گری به آنان باشند ، تنظیم فوق ، تاثیری را بدنبال نداشته و در این رابطه لازم است کلید های ریجستری زیر ، بمنظور پیکربندی ویندوز برای نمایش انشعاب این نوع از فایل ها ، حذف گردد ( مرحله دوم.)

 

انشعاب فایل کلید ریجستری توضیحات
.lnk HKEY_CLASSES_ROOT\lnkfile\NeverShowExt Shortcut
.pif HKEY_CLASSES_ROOT\piffile\NeverShowExt Program information file
(shortcut to a DOS program)
.scf HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt Windows Explorer
Command file
.shb HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt Shortcut into a document
.shs HKEY_CLASSES_ROOT\ShellScrap Shell Scrap Object
.xnk HKEY_CLASSES_ROOT\xnkfile\NeverShowExt Shortcut to an Exchange
folder
.url HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt Internet shortcut
.maw HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component.
.mag HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt
.maf HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt
.mam HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt
.mad HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt
.maq HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt
.mar HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt
.mas HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt
.mat HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt
.mav HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

پیشگیری ششم : از Patch های بهنگام شده، استفاده گردد

اغلب حملات  مبتنی بر اینترنت  از  نقاط آسیب پذیر یکسانی بمنظور نیل به اهداف خود استفاده می نمایند . ویروس Bubbleboy ، نمونه ای مناسب در این زمینه بوده که تهیه کننده آن از نفاط آسیب پذیر شناخته شده در مرورگر اینترنت ( IE  ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل این نوع از نقاط آسیب پذیر در محصولات خود خصوصا” برنامه مرورگر اینترنت ، patch های امنیتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسیب پذیر در محصولات نرم افزاری استفاده شده ، خصوصا” نرم افزارهائی که بعنوان ابزار ارتباطی در اینترنت محسوب می گردند ، پیشنهاد می گردد که patch های ارائه شده را بر روی سیستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سیستم خود جلوگیری نمائیم .

پیشگیری هفتم : محصولات آنتی ویروس

اغلب محصولات تشخیص ویروس های کامپیوتری، عملیات تشخیص خود را بر اساس  ویروس های شناخته شده  ، انجام خواهند داد . بنابراین  اینگونه محصولات همواره در مقابل حملات جدید و نامشخص ، غیرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پیشگیری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ویروس ، امکان بلاک نمودن ضمائم نامه های الکترونیکی را در سطح سرویس دهنده پست الکترونیکی فراهم می نمایند. پتانسیل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونیکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .

پیشگیری هشتم : رعایت و پایبندی به اصل ” کمترین امتیاز

” کمترین امتیاز ” ، یک رویکرد پایه در رابطه با اعمال امنیت در کامپیوتر است . بر این اساس توصیه می شود  که  به کاربران صرفا” امتیازاتی واگذار گردد که  قادر به انجام عملیات  خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به یک محیط ، نیاز خواهند داشت . محیط فوق ، می تواند از طریق اجرای یک برنامه توسط یک کاربر خاص بصورت ناآگاهانه ایجاد گردد. در این رابطه پیشنهاد می گردد ، پس از آنالیز نوع فعالیت هائی که هر کاربر می بایست انجام دهد ، مجوزها ی لازم برای وی تعریف و از بذل و بخشش مجوز در این رابطه می بایست جدا” اجتناب ورزید.

 

پیشگیری نهم : امنیت سیستم عامل

حفاظت در مقابل کدهای مخرب می تواند به میزان قابل محسوسی از طریق کلیدهای اساسی سیستم ، کنترل و بهبود یابد. در این راستا از سه  رویکرد خاص استفاده می گردد : حفاظت عناصر کلیدی در ریجستری سیستم ،  ایمن سازی اشیاء پایه  و محدودیت در دستیابی به دایرکتوری سیستم ویندوز NT . در ادامه به بررسی هر یک از رویکردهای فوق ، خواهیم پرداخت .

 

پیشگیری نهم – رویکرد  اول : ایمن سازی ریجستری سیستم

کرم ILOVEYOU از مجوزهای ضعیف نسبت داده شده  به کلیدهای ریجستری  RUN و RUNSERVICES ، استفاده  و اهداف خود را تامین نموده است . مجوزهای دستیابی پیش فرض در رابطه با کلیدهای فوق ،  امکان تغییر محتویات و یا حتی ایجاد محتویات جدید را در اختیار کاربران قرار می دهد.مثلا” می توان با  اعمال تغییراتی خاص در رابطه با کلیدهای فوق ، زمینه اجرای اسکریپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرویس دهنده بصورت  تکراری فراهم نمود . ( پس  از ورود کاربران به شبکه ، اسکریپت ها بصورت اتوماتیک اجراء خواهند شد ) . بدین منظور پیشنهاد می گردد که مجوزهای مربوط به کلیدهای فوق بصورت جدول زیر تنظیم گردد : ( پیشنهادات ارائه شده شامل کلیدهای اساسی و مشخصی است که توسط ILOVEYOU  استفاده و علاوه بر آن کلیدهای اضافه دیگر را نیز شامل می شود) :

 

مجوزهای پیشنهادی User / Groups کلید ریجستری
Full Control
Read, Write, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
MACHINE\SOFTWARE\Microsoft\Windows

کلیدها و زیر کلیدها
پارامترهای استفاده شده توسط زیر سیستم های win32

Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runکلیدها و زیر کلیدها
شامل اسامی امورد نظر که در هر مرتبه راه اندازی سیستم ، اجراء خواهند شد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceکلیدها و زیر کلیدها
شامل نام برنامه ای که در اولین مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceExکلیدها و زیر کلیدها
شامل اطلاعات پیکربندی برای برخی از عناصر سیستم و مرورگر. عملکرد آنان مشابه کلید RunOnce است.
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensionsکلیدها و زیر کلیدها
شامل تمام تنظیمات Shell Extebsion که از آنان بمنظور توسعه اینترفیس ویندوز NT استفاده می گردد.

 

بمنظور اعمال محدودیت در دستیابی به ریجستری ویندوز از راه دور ، پیشنهاد می گردد  یک کلید ریجستری ایجاد و مقدار آن مطابق زیر تنظیم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1

 

 

پیشگیری نهم – رویکرد دوم : ایمن سازی اشیاء پایه

ایمن سازی اشیاء پایه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتیازات مدیریتی توسط یک ( DLL(Dynamic lonk Library می گردد . بدون پیاده سازی سیاست امنیتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فایلی با نام مشابه بعنوان یک DLL سیستم و هدایت برنامه به آن خواهند بود. در این راستا لازم است ، با استفاده از برنامه ویرایشگر ریجستری ، یک کلید ریجستری ایجاد و مقدار آن مطابق زیر  تنظیم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1

 

پیشگیری نهم – رویکرد سوم : ایمن سازی دایرکتوری های سیستم 

کاربران دارای مجوز لازم در خصوص نوشتن در دایرکتوری های سیستم  ( winnt/system32 و winnt/system )  می باشند . کرم ILOVEYOU از وضعیت فوق ، استفاده و اهداف خود را دنبال نموده است . پیشنهاد می گردد ، کاربران تائید شده  صرفا” دارای  مجوز Read دررابطه با دایرکتوری های و فایل ها ی مربوطه بوده  و امکان ایجاد و یا نوشتن در دایرکتوری های  سیستم، از آنها سلب گردد. در این رابطه ، تنظیمات زیر پیشنهاد می گردد :

مجوزهای پیشنهادی User / Groups فایل / فولدر
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های اجرائی سیستم عامل

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های DLL ، درایور و برنامه های اجرائی

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM32%

فایل ها ، فولدرها
شامل تعداد زیادی از فایل های DLL ، درایور و برنامه های اجرائی  ( برنامه های سی و دو بیتی )

 

 

رمزنگاری

 

۱معرفی و اصطلاحات

رمزنگاری علم کدها و رمزهاست. یک هنر قدیمی است و برای قرنها بمنظور محافظت از پیغامهایی که بین فرماندهان، جاسوسان،‌ عشاق و دیگران ردوبدل می‌شده، استفاده شده است تا پیغامهای آنها محرمانه بماند.

هنگامی که با امنیت دیتا سروکار داریم، نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم. این سه موضوع یعنی محرمانگی، تصدیق هویت و جامعیت در قلب امنیت ارتباطات دیتای مدرن قرار دارند و می‌توانند از رمزنگاری استفاده کنند.

اغلب این مساله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند. روشی که تامین کننده این مساله باشد “رمزنگاری” نام دارد. رمزنگاری هنر نوشتن بصورت رمز است بطوریکه هیچکس بغیر از دریافت کننده موردنظر نتواند محتوای پیغام را بخواند.

رمزنگاری مخفف‌ها و اصطلاحات مخصوص به خود را دارد. برای درک عمیق‌تر به مقداری از دانش ریاضیات نیاز است. برای محافظت از دیتای اصلی ( که بعنوان plaintext شناخته می‌شود)، آنرا با استفاده از یک کلید (رشته‌ای محدود از بیتها) بصورت رمز در می‌آوریم تا کسی که دیتای حاصله را می‌خواند قادر به درک آن نباشد. دیتای رمزشده (که بعنوان ciphertext شناخته می‌شود) بصورت یک سری بی‌معنی از بیتها بدون داشتن رابطه مشخصی با دیتای اصلی بنظر می‌رسد. برای حصول متن اولیه دریافت‌کننده آنرا رمزگشایی می‌کند. یک شخص ثالت (مثلا یک هکر) می‌تواند برای اینکه بدون دانستن کلید به دیتای اصلی دست یابد، کشف رمز‌نوشته (cryptanalysis) کند. بخاطرداشتن وجود این شخص ثالث بسیار مهم است.

رمزنگاری دو جزء اصلی دارد، یک الگوریتم و یک کلید. الگوریتم یک مبدل یا فرمول ریاضی است. تعداد کمی الگوریتم قدرتمند وجود دارد که بیشتر آنها بعنوان استانداردها یا مقالات ریاضی منتشر شده‌اند. کلید، یک رشته از ارقام دودویی (صفر و یک) است که بخودی‌خود بی‌معنی است. رمزنگاری مدرن فرض می‌کند که الگوریتم شناخته شده است یا می‌تواند کشف شود. کلید است که باید مخفی نگاه داشته شود و کلید است که در هر مرحله پیاده‌سازی تغییر می‌کند. رمزگشایی ممکن است از همان جفت الگوریتم و کلید یا جفت متفاوتی استفاده کند.

دیتای اولیه اغلب قبل از رمزشدن بازچینی می‌شود؛  این عمل عموما بعنوان scrambling شناخته می‌شود. بصورت مشخص‌تر، hash functionها بلوکی از دیتا را (که می‌تواند هر اندازه‌ای داشته باشد) به طول از پیش مشخص‌شده کاهش می‌دهد. البته دیتای اولیه نمی‌تواند از hashed value بازسازی شود. Hash functionها اغلب بعنوان بخشی از یک سیستم تایید هویت مورد نیاز هستند؛ خلاصه‌ای از پیام (شامل مهم‌ترین قسمتها مانند شماره پیام، تاریخ و ساعت، و نواحی مهم دیتا) قبل از رمزنگاری خود پیام، ساخته ‌و hash می‌شود.

یک چک تایید پیام (Message Authentication Check) یا MAC یک الگوریتم ثابت با تولید یک امضاء برروی پیام با استفاده از یک کلید متقارن است. هدف آن نشان دادن این مطلب است که پیام بین ارسال و دریافت تغییر نکرده است. هنگامی که رمزنگاری توسط کلید عمومی برای تایید هویت فرستنده پیام استفاده می‌شود، منجر به ایجاد امضای دیجیتال (digital signature) می‌شود.

۲الگوریتم‌ها

طراحی الگوریتمهای رمزنگاری مقوله‌ای برای متخصصان ریاضی است. طراحان سیستمهایی که در آنها از رمزنگاری استفاده می‌شود، باید از نقاط قوت و ضعف الگوریتمهای موجود مطلع باشند و برای تعیین الگوریتم مناسب قدرت تصمیم‌گیری داشته باشند. اگرچه رمزنگاری از اولین کارهای شانون (Shannon) در اواخر دهه ۴۰ و اوایل دهه ۵۰ بشدت پیشرفت کرده است، اما کشف رمز نیز پابه‌پای رمزنگاری به پیش آمده است و الگوریتمهای کمی هنوز با گذشت زمان ارزش خود را حفظ کرده‌اند. بنابراین تعداد الگوریتمهای استفاده شده در سیستمهای کامپیوتری عملی و در سیستمهای برپایه کارت هوشمند بسیار کم است.

 

 

۱-۲ سیستمهای کلید متقارن

یک الگوریتم متقارن از یک کلید برای رمزنگاری و رمزگشایی استفاده می‌کند. بیشترین شکل استفاده از رمزنگاری که در کارتهای هوشمند و البته در بیشتر سیستمهای امنیت اطلاعات وجود دارد data encryption algorithm یا DEA  است که بیشتر بعنوان DES‌ شناخته می‌شود. DES یک محصول دولت ایالات متحده است که امروزه بطور وسیعی بعنوان یک استاندارد بین‌المللی شناخته ‌می‌شود. بلوکهای ۶۴بیتی دیتا توسط یک کلید تنها که معمولا ۵۶بیت طول دارد، رمزنگاری و رمزگشایی می‌شوند. DES‌ از نظر محاسباتی ساده است و براحتی می‌تواند توسط پردازنده‌های کند (بخصوص آنهایی که در کارتهای هوشمند وجود دارند) انجام گیرد.

 

این روش بستگی به مخفی‌بودن کلید دارد. بنابراین برای استفاده در دو موقعیت مناسب است: هنگامی که کلیدها می‌توانند به یک روش قابل اعتماد و امن توزیع و ذخیره شوند یا جایی که کلید بین دو سیستم مبادله می‌شوند که قبلا هویت یکدیگر را تایید کرده‌اند عمر کلیدها بیشتر از مدت تراکنش طول نمی‌کشد. رمزنگاری DES عموما برای حفاظت دیتا از شنود در طول انتقال استفاده می‌شود.

کلیدهای DES ۴۰بیتی امروزه در عرض چندین ساعت توسط کامپیوترهای معمولی شکسته می‌شوند و بنابراین نباید برای محافظت از اطلاعات مهم و با مدت طولانی اعتبار استفاده شود. کلید ۵۶بیتی عموما توسط سخت‌افزار یا شبکه‌های بخصوصی شکسته می‌شوند. رمزنگاری DES سه‌تایی عبارتست از کدکردن دیتای اصلی با استفاده از الگوریتم DES‌ که در سه مرتبه انجام می‌گیرد. (دو مرتبه با استفاده از یک کلید به سمت جلو (رمزنگاری)  و یک مرتبه به سمت عقب (رمزگشایی) با یک کلید دیگر) مطابق شکل زیر:

این عمل تاثیر دوبرابر کردن طول مؤثر کلید را دارد؛ بعدا خواهیم دید که این یک عامل مهم در قدرت رمزکنندگی است.

الگوریتمهای استاندارد جدیدتر مختلفی پیشنهاد شده‌اند. الگوریتمهایی مانند Blowfish و IDEA برای زمانی مورد استفاده قرار گرفته‌اند اما هیچکدام پیاده‌سازی سخت‌افزاری نشدند بنابراین بعنوان رقیبی برای DES  برای استفاده در کاربردهای میکروکنترلی مطرح نبوده‌اند. پروژه استاندارد رمزنگاری پیشرفته دولتی ایالات متحده (AES) الگوریتم Rijndael را برای جایگزیتی DES بعنوان الگوریتم رمزنگاری اولیه انتخاب کرده است. الگوریتم Twofish مشخصا برای پیاده‌سازی در پردازنده‌های توان‌ـ‌پایین مثلا در کارتهای هوشمند طراحی شد.

در ۱۹۹۸ وزارت دفاع ایالات متحده تصمیم گرفت که الگوریتمها Skipjack و مبادله کلید را که در کارتهای Fortezza استفاده شده بود، از محرمانگی خارج سازد. یکی از دلایل این امر تشویق برای پیاده‌سازی بیشتر کارتهای هوشمند برپایه این الگوریتمها بود.

برای رمزنگاری جریانی (streaming encryption) (که رمزنگاری دیتا در حین ارسال صورت می‌گیرد بجای اینکه دیتای کدشده در یک فایل مجزا قرار گیرد) الگوریتم RC4‌ سرعت بالا و دامنه‌ای از طول کلیدها از ۴۰ تا ۲۵۶ بیت فراهم می‌کند. RC4 که متعلق به امنیت دیتای RSA‌ است، بصورت عادی برای رمزنگاری ارتباطات دوطرفه امن در اینترنت استفاده می‌شود.

 

۲-۲ سیستمهای کلید نامتقارن

سیستمهای کلید نامتقارن از کلید مختلفی برای رمزنگاری و رمزگشایی استفاده می‌کنند. بسیاری از سیستمها اجازه می‌دهند که یک جزء (کلید عمومی یا public key) منتشر شود در حالیکه دیگری (کلید اختصاصی یا private key) توسط صاحبش حفظ شود. فرستنده پیام، متن را با کلید عمومی گیرنده کد می‌کند و گیرنده آن را با کلید اختصاصی خودش رمزنگاری میکند. بعبارتی تنها با کلید اختصاصی گیرنده می‌توان متن کد شده را به متن اولیه صحیح تبدیل کرد. یعنی حتی فرستنده نیز اگرچه از محتوای اصلی پیام مطلع است اما نمی‌تواند از متن کدشده به متن اصلی دست یابد، بنابراین پیام کدشده برای هرگیرنده‌ای بجز گیرنده مورد نظر فرستنده بی‌معنی خواهد بود. معمولترین سیستم نامتقارن بعنوان RSA‌ شناخته می‌شود (حروف اول پدیدآورندگان آن یعنی Rivest ، Shamir و Adlemen است). اگرچه چندین طرح دیگر وجود دارند. می‌توان از یک سیستم نامتقارن برای نشاندادن اینکه فرستنده پیام همان شخصی است که ادعا می‌کند استفاده کرد که این عمل اصطلاحا امضاء نام دارد.  RSA شامل دو تبدیل است که هرکدام احتیاج به بتوان‌رسانی ماجولار با توانهای خیلی طولانی دارد:

امضاء، متن اصلی را با استفاده از کلید اختصاصی رمز می‌کند؛

  • رمزگشایی عملیات مشابه‌ای روی متن رمزشده اما با استفاده از کلید عمومی است. برای تایید امضاء بررسی می‌کنیم که آیا این نتیجه با دیتای اولیه یکسان است؛ اگر اینگونه است، امضاء توسط کلید اختصاصی متناظر رمزشده است.

به بیان ساده‌تر چنانچه متنی از شخصی برای دیگران منتشر شود، این متن شامل متن اصلی و همان متن اما رمز شده توسط کلید اختصاصی همان شخص است. حال اگر متن رمزشده توسط کلید عمومی آن شخص که شما از آن مطلعید رمزگشایی شود، مطابقت متن حاصل و متن اصلی نشاندهنده صحت فرد فرستنده آن است، به این ترتیب امضای فرد تصدیق می‌شود. افرادی که از کلید اختصاصی این فرد اطلاع ندارند قادر به ایجاد متن رمز‌شده‌ نیستند بطوریکه با رمزگشایی توسط کلید عمومی این فرد به متن اولیه تبدیل شود.

 

اساس سیستم RSA  این فرمول است: X = Yk (mod r)

که X متن کد شده، Y متن اصلی، k کلید اختصاصی و r حاصلضرب دو عدد اولیه بزرگ است که با دقت انتخاب شده‌اند. برای اطلاع از جزئیات بیشتر می‌توان به مراجعی که در این زمینه وجود دارد رجوع کرد. این شکل محاسبات روی پردازنده‌های بایتی بخصوص روی ۸ بیتی‌ها که در کارتهای هوشمند استفاده می‌شود بسیار کند است. بنابراین، اگرچه RSA هم تصدیق هویت و هم رمزنگاری را ممکن می‌سازد، در اصل برای تایید هویت منبع پیام از این الگوریتم در کارتهای هوشمند استفاده می‌شود و برای نشاندادن عدم تغییر پیام در طول ارسال و رمزنگاری کلیدهای آتی استفاده می‌شود.

سایر سیستمهای کلید نامتقارن شامل سیستمهای لگاریتم گسسته می‌شوند مانند Diffie-Hellman، ElGamal و سایر طرحهای چندجمله‌ای و منحنی‌های بیضوی. بسیاری از این طرحها عملکردهای یک‌ـ‌طرفه‌ای دارند که اجازه تاییدهویت را می‌دهند اما رمزنگاری ندارند. یک رقیب جدیدتر الگوریتم RPK‌ است که از یک تولیدکننده مرکب برای تنظیم ترکیبی از کلیدها با مشخصات مورد نیاز استفاده می‌کند. RPK یک پروسه دو مرحله‌ای است: بعد از فاز آماده‌سازی در رمزنگاری و رمزگشایی (برای یک طرح کلید عمومی) رشته‌هایی از دیتا بطور استثنایی کاراست و می‌تواند براحتی در سخت‌افزارهای رایج پیاده‌سازی شود. بنابراین بخوبی با رمزنگاری و تصدیق‌هویت در ارتباطات سازگار است.

طولهای کلیدها برای این طرحهای جایگزین بسیار کوتاهتر از کلیدهای مورد استفاده در RSA‌ است که آنها برای استفاده در چیپ‌کارتها مناسب‌تر است. اما ‌RSA‌ محکی برای ارزیابی سایر الگوریتمها باقی مانده است؛ حضور و بقای نزدیک به سه‌دهه از این الگوریتم، تضمینی در برابر ضعفهای عمده بشمار می‌رود.

 

 

 

 


  • ۰

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهای مبتنیبر فناوری اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداری الکترونیکی جزء راهبردهای اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراری امنیت شبکههای کامپیوتری است. به همین دلیل تکنولوژی فایروالهای در طول عمر این محصول تغییرات زیادی داشته است. این تغییرات بیشتر به دلیل تولد ایدههای جدید در تهدیدات شبکهای بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژی در تولید فایروال معرفی شود. این تکنولوژی که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه ای را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهای امروزی شود.

مقدمه

گسترش استفاده از فضای تبادل اطلاعات در کشور طی سالهای گذشته و برقراری ارتباط از طریق وب، موجب افزایش بکارگیری فنآوری اطلاعات و وابستگی نهادهای مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههای مختلف تلاشهای ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاری و نرم افزارها در حوزه های گوناگون ICT، ارائه راهکارها و تدوین سیاستهای خرد و کلان جهت صیانت از فضای تبادل اطلاعات، تربیت نیروهای مختصص به منظور حفاطت از شبکههای تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیای دیجیتال نمود بیشتری پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیریها در سیستمهای رایانهای، تکنولوژی در راستای محافظت از این سیستمهای نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههای بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژی تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژی UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژی به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروری در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمندیهای امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژی بررسی میشود. در بخش 3 معماری و مکانیسمهای امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیری و جمعبندی ارائه میشود.

 تکنولوژی فایروال و نیازمندیهای جدید

 تهدیدات محتمل سیستمهای رایانه ای

به منظور مقابله با تهدیداتی که حوزههای مختلف فنآوری اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروری به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهای پیشنهادی را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندی نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهای متفاوتی از سوی مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. برای دستیابی به این هدف، چنانچه منابع مشترک سیستم به گونهای توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهای این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهای اساسی دیسک
  • تولید پردازش و اشغال پهنای باند پردازنده
  • تخریب و کنترال سرویسهای شبکه توسط مهاجم
  • ذخیره پیامهای پخش شده، ارسال پیام و درخواست پاسخ از رایانههای شبکه
  • استفاده از اتصالهای غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهای نوشته میشوند که رفتاری مخرب و غیر عادی داشته باشند. معمولاً این برنامهها از طرق مختلف برای کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجرای آن اقدام مینماید. شیوههای مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههای سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهای مخفی جهت دسترسی غیرمجاز
  • اسبهای تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهای موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهای زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراری روابط اجتماعی
  • تخریب فیزیکی منابع رایانه ای و شبکه ای

 

نقش ابزارهای کنترل ترافیک

امروزه فایروالهای حالتمند ، IDSها، و آنتی ویروسهای مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوری اطلاعات حملات و سرایتهای موفق متعددی را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهای فایروال سنتی و کمبودهای آنها

فایروالهای حالتمند در ابتدا برای امنسازی ارتباط با اینترنت بوسیله یک واسط امن بین شبکههای قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهای از خطمشیهای فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهای متعددی را برای گذشتن از خطمشیهای فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهای باز روی فایروال و یا سیستمهای موجود در ناحیه قابل اعتماد
  • نرمافزارهای مخرب نظیر تروژانهایی که روی سیستمهای موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهای نسل قدیمی در بازرسی بخش دادهای بسته جهت شناسایی انواع کدهای مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ برای حمله مورد استفاده قرار گیرد.
  • بسیاری از فایروالهای جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههای تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهای قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهای مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهای IDS سنتی و کمبودهای آنها

همانند فایروالهای سنتی، IDSهای سنتی با آمدن تهدیدات مدرن و پیچیده جای خود را به فنآوریهای جدیدتر میدهند. حمله کنندگان ضعفهای سیستمهای IDS را شناخته و متدهای جدیدی برای گذشتن از این سیستمهای نظارتی پیادهسازی کردهاند. مثالهایی از ضعف سیستمهای IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهای شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهای IDS معمولاً به عنوان ابزارهای نظارتی کاربری دارند و قابلیت ممانعت از ترافیک مشکوک در این سیستمهای وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهای IDS، این سیستمها معمولاً در مقابل حجم بالای ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهای IDS حجم زیادی false positive تولید میکنند که برای جلوگیری از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

برای حل مشکلات فوق، بسیاری از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدی از این محصولات به نام IPS روی آوردهاند. سیستمهای IPS میتوانند به صورت Inline در توپولوژی شبکه قرار گیرند و کنشهای مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهای تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهای مبتنی بر میزبان و کمبودهای آنها

یکی از پر کاربردترین نرمافزارهای امنیتی، سیستمهای آنتی ویروس مبتنی بر میزبان است. این نرمافزارهای آنتی ویروس بهعنوان یکی از معمولترین راهحلهای امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهای از سال 1980 میلادی و بهدلیل حضور فایلهای ویروسی میباشد. گرچه حضور نرمافزارهای آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهای تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداری و ارتقای الگوهای ویروسی برای این نرمافزارهای پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهای موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدی و یا غیرعمدی میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهای ویروس برای نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهای پیشرفته قادرند قبل از فعال شدن آنتی ویروس روی میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیری میکنند.

بدیهی است سازمانهایی که از نرمافزارهای آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردی از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی برای سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاری از کدهای مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهای مخرب را قبل از رسیدن به میزبانهای تشخیص داده و بلاک نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که برای اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهای جلوگیری و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیری، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههای امنیتی نام برد که سعی در ارائه سرویسهای امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهای قدیمی برای بدست آوردن تک تک این سرویسهای امنیتی ابزارهای مجزا به همراه پیچیدگیهای نصب، بهروز سازی، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازی و مدیریت متمرکز، تمامی نیازمندیهای امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهای سنتی (امنیت لایه ای به صورت چند نقطه ای)

امروزه بسیاری از سازمانها سعی در پیاده سازی سیستمهای امنیتی با ترکیب راهحلهای مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداری، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاری نامناسب بین سیستمهای امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که برای کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم برای تهیه انواع محصولات مختلف امنیتی برای رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت دارای زیرساخت IT لازم برای نگهداری و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام دارای سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداری و پشتیبانی از رویکردهای چند نقطهای برای یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازی محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-ای-به-صورت-چند-نقطه-ای

راه حل مدرن (ابزارهای امنیتی مجتمع)

مفهوم اولیه ابزارهای امنیتی مجتمع، مفهوم جدیدی نیست و به زبان ساده به معنای ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهای امنیتی، ابزارهای امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهای جوان دارای کمبودهای زیادی بودهاند. به خصوص اگر یکپارچه سازی کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازی شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیری محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازی کارکردهای امنیتی باید بهنحوی انجام شود که تکنولوژیهای مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازی محصول Appliance خواهد شد که قابلیت توسعه سرویسهای امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهای جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازی مکانیسمهای امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازی-مکانیسمهای-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههای کاربردی امنیتی با کارایی بالا، و صرفهجویی در هزینههای عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهای امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدی نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاری دسته محصولات مدیریت امنیت شامل UTM، فایروالهای سنتی، و ابزارهای UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهای سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاری از شرکتهای تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهای تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتری به نتیجه رسیده است، بهطوری که بیشتر شرکتهای معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را برای تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماری محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههای شبکه و بهطور خاص در لایه محتوا ارائه میکند. برای این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهای امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهای متنوع
  • امکان تشخیص و جلوگیری از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتوای ترافیک (بهطور معمول برای محتوای Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روی ترافیک Mail
  • مدیریت پهنای باند

نکته کلیدی در تولید محصولات UTM ارائه یک معماری مناسب برای چیدمان مکانیسمهای فوق میباشد که بتواند بهترین کارایی را روی محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهای امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههای سخت افزاری میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاری از شرکتهای بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماری نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهای امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهای اصلی این معماری میباشد. در این معماری اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاری از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست برای بازرسی در ماژولهای امنیتی دیگر شود. از نکات دیگر این معماری قرار دادن بازرسیهای محتوا در انتهای حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتوای ترافیکهای مشکوک میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماری ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدی در پیادهسازی این معماری ملاحظات پیادهسازی ارتباطات بین ماژولها میباشد. برای نمونه معماری ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههای محصول میباشد. همچنین نکته دیگری که در پیادهسازی این معماری باید در نظر گرفت، نوع مدل مدیریتی است که محصول برای مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازی آسان و سریع خطمشیهای سراسری سازگار
  3. § تکیه بر گزارشات و نظارتهای برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم برای نصب و مدیریت تمامی ویژگیهای امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازی آنها، و پشتیبانیهای آتی را ساده کرده است.

  • محصولات UTM دارای مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاری تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهای ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل برای عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم برای فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهای مجزای امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهای تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده برای تولید قرار داد. بنابراین چالشهای یک محصول پیچیده و بزرگ را برای تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی برای تولید مساله کارایی محصول و میزان تاخیر شبکه برای بازرسی تمامی مکانیسمهای امنیتی است. این چالش به عنوان مساله اصلی برای انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههای جدید در تولید این محصول با معماری کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندی و نتیجه گیری

در این مقاله تکنولوژی جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماری و چالشهای اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهای انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه های کامپیوتری به این محصول، به نظر میرسد که دولت و شرکتهای خصوصی باید برنامه ویژهای را برای تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268


آخرین دیدگاه‌ها

    دسته‌ها