امنیت شبکه
در شبکه ای که از ارتباط رایانه ها به هم شکل می گیرد ، تمامی افراد می توانند به اطلاعات مشترک دسترسی داشته باشند ، بنابراین ، کنترل بر صلاحیت و چگونگی کار کاربران در چنین محیطی ، امری حیاتی است .
در این فصل ، به مسائل امنیتی ای که معمولاً در شبکه های سرویس دهنده در نظر می گیرند ، می پردازیم .
نظارت بر امکانات و عملکرد کاربران (users) در شبکه ، به دو شاخه اساسی تقسیم می گردد :
1- چه کسی در شبکه کار می کند ؟
2- اجازه چه کارهایی به او داده شده است ؟
در ادامه ، به جزئیات این دوشاخه خواهیم پرداخت
کاربران شبکه
هنگام ورود هر کاربر به هر سرویس دهنده شبکه ، باید یک نام کاربر داشت .
اگر نام کاربر ، یکی از نامهای تعریف شده از سوی مدیر شبکه (Supervisor یا Administrator) باشد ، به وی اجازه کار داده خواهد شد .
امکانات و اختیاراتی که یک کاربر در شبکه دارد ، مستقیماً به نامی که هنگام وورد ، تایپ کرده است ، بستگی دارد .
از این پس هر جا که به «نام کاربر» اشاره می شود ، منظور نامی است که از سوی مدیر شبکه برای وی در نظر گرفته شده است .
یک کاربر خاص ، مدیر شبکه (سوپروایزر) یا راهبر شبکه (Administrator) است.
مدیر شبکه کسی است که در مورد امنیت شبکه اختیارات نامحدودی دارد .
کنترل کلیه ویژگیهای امنیتی در اختیار این کاربر است و این کاربر در عمل مهمترین کاربر شبکه به شمار می رود .
گروهها در شبکه
در بسیاری از موارد در یک شبکه لازم است عملیات و یا مجوّزهای خاصی در مورد تعدادی از کاربران اعمال شود .
در این موارد ، دسته بندی کاربران مفید خواهد بود .
در سیستمهای عامل شبکه ، امکان دسته بندی سیستم ها به صورت «گروه» ها وجود دارد .
این دسته بندی باید به دقت صورت گیرد و کاربرانی که در یگ گروه قرار می گیرند باید در اطلاعات مورد نیاز و یا عملیاتی که انجام می دهند ، با یکدیگر وجه اشتراک داشته باشد .
یک گروه عمومی، گروه Everyone است .
این گروه ، که شامل همه کاربران شبکه می شود ، در ابتدای ایجاد شبکه (نصب سیستم عامل شبکه بر روی سرویس دهنده) به صورت خودکار ایجاد می گردد .
یک خاصیت این گروه آن است که، هر کاربری که برای سیستم تعریف می شود به صورت خودکار عضوی از این گروه خواهد شد.
گروه بندی کاربران ، از سوی مدیر شبکه صورت می گیرد و هر کاربر به طور عادی تنها می تواند از گروهها و نام اعضای آنها اطلاع حاصل نماید .
امنیت در ورود به شبکه
هر کاربر، به هنگام ورود به شبکه باید یک نام «کاربر» و کلمه عبور (Password) مربوط به این نام را بداند .
ورود به شبکه را عمل LOGIN می نامند .
هرگاه کاربر ، نام و یا کلمه عبور را غلط تایپ نماید ، از ورود وی به شبکه جلوگیری خواهد شد .
کسانی که در کنار کاربر هستند ممکن است هنگام ورود ، از کلمه عبور کاربر مطلع شوند ، از این رو ، کلمه عبور به هنگام ورود ، بر روی صفحه مانیتور ظاهر نمی شود .
امنیت کلمه عبور
کلمه عبور یک کاربر ، در واقع نشان دهنده شخصیت وی در شبکه است و بدین وسیله سیستم عامل از صحّت و هویّت کاربر مطلع می شود .
در اکثر سیستمهای عامل شبکه ، تدابیری برای حفاظ امنیت کلمه عبور در اختیار مدیر شبکه قرار دارد .
برخی از این تدابیر شامل موارد زیراند :
• مدیر شبکه می تواند به کاربران اجازه تعویض کلمه عبور را بدهد ویا ، این حق را از آنها بگیرد .
• در صورت لزوم ، مدیر شبکه می تواند کاربران را به تعویض متوالی کلمه عبور ملزم کند .
• مدیر شبکه می تواند حداقل طول مجاز برای کلمه عبور را مشخص نماید .
به این ترتیب ، کاربران ملزم به داشتن کلمه عبوری با طول مساوی (تعداد کاراکتر) و یا بیشتر از این طول ، خواهند بود .
محدودیت زمانی
در حالت عادی ، یک کاربر می تواند در هر ساعتی از شبانه روز و در هر روز از هفته وارد شبکه شود .
اما مدیر شبکه می تواند هر کاربر رابه استفاده از شبکه در ساعات خاصی در شبانه روزمحدود نمایدبه عنوان مثال می توان ساعات مجاز را به صورت زیر تعریف کرد :
- روزهای شنبه تا چهارشنبه از ساعت 8 تا 30/16
- روزهای پنج شنبه از ساعت 8 تا 13
روزهای پنج شنبه از ساعت 8 تا 13 محدودیت ایستگاه در حالت عادی ، یک کاربر می تواند از هر یک از ایستگاههای شبکه وارد شود .
امکانات و اجازه کاربر برای انجام عملیات در شبکه ، بستگی به نام کاربر و کلمه عبور او دارد و به ایستگاهی که از آن وارد شبکه شده است مربوط نیست .
اما عبور شبکه می تواند کاربران را به استفاده از یگ یا چند رایانه ، به خصوص برای ورود به شبکه ، محدود کند .
محدودیت اتصال همزمان در حالت عادی ، یک کاربر می تواند با یک نام کاربر ، از چندین ایستگاه وارد شبکه شود و از طریق همه ایستگاهها به صورت همزمان به شبکه شود و از طریق همه ایستگاهها به صورت همزمان به شبکه متصل باشد .
مدیر شبکه می تواند کاربران را از نظر اتصال به شبکه ، به صورت همزمان از ایستگاههای مختلف محدود کند .
تاریخ انقضا برای محدود کردن دوران کار استفاده از شبکه ، مدیر شبکه می تواند تاریخ خاصی را مشخص نماید که کاربر ، پس از آن تاریخ ، حق ورود به شبکه را نداشته باشد .
مجوّزهای دسترسی پس از آن که کاربر معتبر شناخته شد و مجاز به کار در شبکه گردید ، سیستم ایمنی ، دسترسی کاربر به «منابع» را فراهم می آورد .
کاربران دارای کلمات عبور هستند ، ولی منابع مجوزهایی دارند .
در نتیجه ، هر منبع به وسیله دیوار ایمنی محافظت شده است .
این دیوار چندین دروازه دارد که از طریق آنها کاربران می توانند به منبع ، دسترسی پیدا کنند .
مدیر شبکه تعیین می کند که هر کاربر ، به چه شکلی به این منابع دسترسی دارد .
در حالت پیش فرض یک کاربر به هیچ منبعی دسترسی ندارد و برای استفاده از منابع باید مجوز دسترسی را به آنها اعطا کرد .
به عنوان مثال ، هر کاربر ممکن است در یک یا چند کشو (directory) دارای مجوز انجام بعضی عملیات باشد .
مجوزهای دسترسی یک کاربر در هر کشو ، می تواند با مجوزهای دسترسی کاربر دیگر متفاوت باشد .
امکان دارد یک کاربر در یک کشو اختیارات کامل داشته باشد و کاربر دیگری در همان کشو ، دسترسی به او می توان به سرویس دهنده فایل وارد شد .
کاربر پس از ورود به شبکه به منابع و کشو هایی دسترسی خواهد داشت که مدیر شبکه قبلاً تعریف نموده است .
لینوکس از نظر فنی لینوکس را می توان نمونه باز متن سیستم عامل یونیکس نامید زیرا براساس استاندارد posixپیاده سازی شده و کاملاً با آن سازگار است .
به همین دلیل لینوکس را نواده یونیکس می نامند .
لینوکس یک سیستم عامل آزاد و باز متن است .
کد منبع آن در اختیار همگان قرار دارد و همه می توانند در کدهای آن تغییر ایجاد کرده و بنا به نیازشان استفاده کنند.
آزاد و در دسترس بودن کدهای منبع سبب می شود تا بتوانید از کار کرد دقیق سیستم عامل مطلع شوید و لینوکس را مانند هواپیمایی تشبیه کرده اند که هر قسمت از آنرا در جایی ساخته اند لینوکس واقعاً محصول کشور خاصی نیست .
تعداد زیادی از برنامه نویسان در سرتاسر جهان در حال کاربردی آن و توسعه آن هستند (حدوداً 400 هزار برنامه نویس) و این در حالی است که در ماکروسافت کمتر از 10000 برنامه نویس هستند .
فارغ از محیط های گرافیکی رابط خط فرمان لینوکس برای بسیاری از کاربران سخت و پیچیده است و آنان درک درستی از آن ندارند همین امر موجب می شود مدیران سیستم ها ، از به کار گرفتن ابزار و مفاهیم پیچیده برای برقراری امنیت در سیستم اجتناب کنند .
لینوکس اصولاً دارای قابلیت های سیستم عاملی یک شبکه است و در نصب پیش فرض بسیاری از برنامه های کاربردی شبکه فعال نیست این موضوع می تواند آسیب پذیری های ناشناخته ای را به وجود آورد که هر یک از آنها تهدیدی امنیتی برای سیستم عامل محسوب شوند .
خوشبختانه این موارد و بسیاری از نقاط ضعف دیگر لینوکس با به کارگیری یک لایه سخت گیرانه امنیتی و ابزار ساده خط فرمان برای آسان کردن کار مدیر سیستم بهبود یافته است .
یکی دیگر از امتیازات لینوکس وجود تعداد بیشماری ابزار متنوع مبیتی بر لینوکس برای فراهم کردن امنیت در سیستم (nessus) امکان پویش شبکه ، حفره های موجود بروی سیستم راه دور باگ های نرم افزاری اجرا شده بروی شبکه و دیگر ابزار نصب شده موجود در سیستم را فراهم می کند nessvs در سیستم هایی که به تازگی نصب شده اند می تواند بکار گرفته شود علاوه بر این قابلیت گزارشگیری از یک سیستم را در یک دوره مشخص دارد NMAP ، ابزار دیگری برای اسکن شبکه است که نسبت به nessus کاربردهای کمتری دارد این ابزار می تواند به صورت پیش فرض همراه Linux نصب شود .
گذشته از سودمندی این ابزار برای هر کارشناس IT هنوز ابزاری به راحتی آن در لینوکس ارائه نشده است .
متخصصان ایمنی در هنگام اتصال به یک شبکه اینترنت از فایروال نیز استفاده می کنند .
فایروال ها به صورت بسته های افزونی به سیستم سرور برای تامین امنیت بیشتر بکار گرفته می شوند .
ابزاری مانند ACID می توانند اطلاعات و آنالیز کرده و مطابق این اطلاعات مشخصه های یک را تشخیص دهد ACID امکان گزارش از طریق ایمیل را دارد و از طریق یک رابط گرافیکی تمامی اطلاعات یک بسته فعال شبکه را نمایش می دهد .
استفاده از این ابزار برای هر شرکتی که در حوزه امنیت IT فعالیت می کند توصیه می کند ، توصیه می شود ACID ممکن است گزارش های متناقض و ناصحیح بسیاری برای مدیر سیستم تولید و از این رو نیاز به تنظیم و پیکر بندی همیشگی آن وجود دارد .
فارغ از سیستم عاملی که استفاده می کنید و عدم به کارگیری ابزار مناسب می تواند یکپارچگی امنیتی کار شما را به خظر بیاندازد .
عدم پشتیبانی گیری کافی ضعیف بودن رمزهای عبور اشتراک گذاری حساب های کاربردی و پروژه های امنیتی که توسط تیم بازرسی نادیده گرفته شوند و بازبینی نظارت ضعیف از دیگر موارد نقض امنیت سیستم هستند .
توصیه های مهم امنیتی در مورد یونیکس و لینوکس بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملاً علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا امکان نگهداری وپشتیبانی سیستمها با در نظر گرفتن مجموعه تهدیدات موجود و آتی ، بسرعت و بسادگی میسر گردد .
اگثر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی اندک از سرویس های سیستم های عامل متداول است .
مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده و در این راستا ابزارهای متنوع ، مؤثر و گسترده ای را بمنظور نیل به اهداف خود ، بخدمت می گیرند .
مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی (حفره ها و نقاط آسیب پذیر) خود را بر طرف نکرده و بدون هیچ تبعیضی آنان را بعنوان هدف، انتخاب می نماید پس با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک دیوار حفاظتی مناسب می باشند .
اینوکس و یونیکس ، از سیستم های عامل رایج در جهان بوده که امروزه در سطح بسیار وسیعی استفاده می گردد .
تا کنون حملات متعددی توسط مهاجمین متوجه سیستم هائی بوده است که از یونیکس (نسخه های متفاوت) بعنوان سیستم عامل استفاده می نمایند .
با توجه به حملات متنوع و گسترده انجام شده ، بایستی نحوه مقابله با این حملات و تهدیدات شناخته شده و راههای نفوذ سریعاً ترمیم گردد و کاملاً مسدود گردد .
عوامل متعددی در بروز اینگونه حملات نقش دارد : عدم آگاهی لازم مدیران سیستم در خصوص ارتقاء امنیتی سیستم هائی که بر روی آنان نرم افزارهای مدیریت اطلاعات شبکه نصب یا بصورت غیر ضروری اجراء می گردد و پیکر بندی نامناسب برنامه ها ، نمونه هائی از عوامل فوق بوده و می تواند زمینه یک تهاجم از نوع Dos ، یک Buffer Overflow را فراهم سازد .
بمنظور حفاظت سیستم و ترمیم سریعتر نقاط آسیب پذیر موارد زیر پیشنهاد می گردد : همیشه آخرین نسخه نرم افزارها را ارئه شده را دریافت و آن را بر روی سیستم نصب نمائید .
بمنظور بهنگام سازی سیستم بایستی از تمامی Patch های ارائه شده توسط تولید کنندگان استفاده و در صورت امکان آن نرم افزار را به آخرین نسخه موجود ارتقاء دهید.
برای دریافت اطلاعات تکمیلی از مقاملات ارائه شده در سایت امنیتی CERT و بخش Checkilst UNIX Security ، استفاده نمائید .
مانند : IRCERT .
فایروال موجود برروی سیستم را دقیقاً نصب و با توجه به زیازهای امنیتی خود در سطح مناسب پیکر بندی نمائید .
پورت های غیر ضروری یا در معرض تهدید را در سطح روتر و یا فایبروال با توجه به توصیه های امنیتی موجود در رفرانسهای امنیتی بلاک block نمائید.
آندسته از نرم افزارهای غیر ضروری که بصورت پیش فرض هنگام نصب سیستمهای عامل نصب میگردند و هیچ گونه استفاده عملی ندارد را غیر فعال نمائید .
بمنظور پیچیده تر نمودن حملات اتوماتیک و یا جلوگیری از پویش غیر مجاز سیستم توسط مهاجمین ، به توصیه های امنیتی تهیه کنندگان نرم افزارها در سایتهای مربوطه یا سایر سایتهای امنیتی اینوکس دقیقاً عمل کنید و هیچ نکته ای را از قلم نیندازید .
هائی با رمز عبور ضعیف و یا فاقد رمز عبور را مسدود کنید .
چون رمز عبور دارای account اکیداً استفاده از نقشی حیاتی و اساسی در ایجاد اولین سطح دفاع در یک سیستم اطلاعاتی بوده و از دست رفتن رمز عبور و یا ضعف آن می تواند سیستم را در معرض تهدیدات جدی قرار دهد .
مهاجمان پس از دستیابی به رمز عبور کاربران تایید شده (استفاده از مکانیزم های متفاوت) قادر به دستیابی منابع سیستم و حتی تغییر در تنظیمات سایر تعریف شده و موجود بر روی سیستم خواهند بود ، عمیاتی که می تواند پیامدهای بسیار منفی را بدنبال داشته باشد .
در صورتیکه از account هائی استفاده می شود که بین کاربران متعدد و یا کارکنان موقت یک سازمان به اشتراک گذاشته شده و یا کاربران از مرزهای عبور بدرستی حفاظت ننمایند ، پتانسیل نفوذ به شبکه توسط یک مهاجم فراهم می گردد .
از یک برنامه پویشگر بهنگام شده که قادر به بررسی دقیق سیستم های رایانه ای بمنظور تشخیص نقاط آسیب باشد استفاده کنید .(استفاده از نرم- افزاها یا سایتهای خاص) .
با عضویت در گروههای خبری نظیر symantec برای آگاهی از آخرین هشدارهای امنیتی اطلاعات خود را بهنگام نگاه دارید .
پیاده سازی و استفاده از امکانات رمزی نگاری نظیر openssh در سرویس های شبکه نظیر : telnet , SMTP , pop3 , IMAP , rlogin , HTTP , … .
پروتکل openssl : در سال 1995 شرکت نت اسکیپ یک پکیج امنیتی بنام SSL یا (لایه سوکت های امن) را ارائه کرد این لایه اتصال امنی را بین دو سوکت برقرار می کند و در بین لایه کاربردی و لایه انتقال قرار می گیرد و شامل موارد زیر است : مذاکره بر سر پارامترها بین مشتری و کارگزار تاثیر متقابل مشتری و کارگزار ارتباطات سری حفاظت از صحت داده ها بطور کلی هیچگونه از ویروسهایی که بر در ویندوز نوشته می شوند در لینوکس کار نمی کنند ولی در مواردی خاص این حملات انجام می شود که به شرح زیر می باشد .
پرونده : W32/SLAPPER نام : W32/SLAPPER نوع : کرم شیوع پخش : ارتباطات P2P سیستم عامل هدف : لینوکس شدت پخش : 2 تشریح : بنابه اظهارات شرکت امنیتی که انتشارکرمSLAPPERرا کنترل ونظارت می کند این کرم هشتم سپتامبر شناسایی شد و به آرامی در حال آلوده کردن هزاران وب سرور آسیب پذیر Linux Apache در اینترنت است این کرم تا بحال دست کم 30 هزار وب سرور Linux Apache را به علت عدم ترمیم و رفع ضعف ها و آسیب پذیری های Open SSL توسط نرم افزارهای مربوط آلوده کرده است وب سرورهای Linux Apache به محض آلوده شدن به این کرم مجبور می شوند که به یک شبکه نطیر به نظیر (peer - to - peer) بپیوندند این شبکه می تواند انتقال مستقیم انواع برنامه به سرورهای آلوده توسط هر شخص در آن شبکه مورد استفاده قرار گیرد .
اگر چه Slapper تا کنون خطرناک به نظر نمی رسید اما این کرم موذیانه به نفوذگران اجازه می داد تا به شبکه نظیر به نظیر بپیوندند واز دستگاه های موجود در آن استفاده کنند .
تونی ماگانزمهندس سیستم شرکت امنیتی F-Secure مستقر در فنلاند می گوید: حوزه های mil , ..net ,com همگی آلوده Slapper شده اند .
این کرم یک اسب تروا را در دستگاههایی که آلوده می کند قرار می کند قرار می دهد و گوش به زنگ درگاه User Datagram Protocol(UDP) می ماند در چنین شرایطی شما می توانید فایل ها و یا برنامه های کاربردی رامستقیماً وارد سیستم کنید .
ماگالانز می گوید : کرم Slapper خلاف اغلب ویروس ها با جستجوی قربانیان جدید انتشار می یابد کد منبع خود را حمل می کند و در عین حال دستورالعمل هایی برای استفاده از آن به همراه دارد متخصصین شرکت F-Secure یک سرور Linux Apache را به عنوان قربانی در نظر گرفته و آن را آلوده کرده اند تا بدین تربیت توانایی انتشار و فعالیت کرم را مشاهده کنند .
بزرگترین مشکل کرم Slapper در زمان انتشار این است که باید خود را کامپایل کند و از آنجا که ارقام باینری حاصل از ترجمه در هر دستگاه کمی متفاوت است کدهای باینری مربوط به این کرم در تمامی سیستم های لینوکس با یکدیگر تفاوت دارند .
وب سرورهای Linux Apache شامل : Red Hat ,.stack ware ,.
Calders OpenLinux ,.
Debian که از پرتکل Open SSL استفاده می کنند باید مطلق دستور العمل های گروهی Open SSL ترمیم شوند .
ماگالانز می گوید : این احتمال وجود دارد که وقتی این کرم به یک وب سرور Linux Apache آسیب پذیر نفوذ می کند مجبورهای دسترسی ریشه ای را بر باید وی افزاید : کرم Slapper احتمالاً از مکانی در شرق اروپا نشات گرفته است یک نویسنده ناشناس برای تکذیب در نامه ای با متن انگلیسی روان اعلام کرده که این کد با هدف تخریب نوشته نشده است .
مگانز می گوید : برای حذف Slapper از دستگاههای آلوده لازم است 3 فایل زیر را در فهرست ریشه ای جستجو کنید : Unbugtaq , Unbugtraq.c , Bugtraq دشوارترین کار بررسی دقیق تمامی دستگاههای آلوده است تا بدین وسیله تعیین شود که آیا فایل های مهم با سو استفاده اشخاص از شبکه نظیر به نظیر که Slapper به وجود آورده ، تغییر کرده یا تخریب شده است .