مقدمه ای بر امنیت شبکه Introduction to Network Security

مدیریت ریسک: بازی امنیتی

این بسیار مهم است  که دانسته شود که در بحث امنیت، یک فرد به آسانی نمی تواند بگوید که " بهترین فایروال کدام است؟"

در این رابطه دو مطلب وجود دارد : امنیت مطلق و دسترسی مطلق.

بهترین راه برای بدست آوردن یک امنیت مطلق برای ماشین این است که آنرا از شبکه  و برق جدا کرده آنرا درون یک جای امن قرار داده و آنرا به کف اقیانوس بفرستیم. متاسفانه، در این حالت از ماشین نمی توان استفاده کرد. یک ماشین با دسترسی مطلق برای استفاده بسیار راحت است : این ماشین به آسانی در جایی قرار می گیرد، و بدون هیچ پرسشی، تاییدی، کدرمزی یا هر مکانیسم دیگری، می توانید هر چه را که می خواهید از او بخواهید. متاسفانه، این حالت امکان پذیر نیست یا اینکه اینترنت یک همسایه بد است و در صورتی که یک آدم احمق و کله خراب به کامپیوتر فرمان کاری همانند خراب کردن خوش را بدهد،مدت طولانی این سیستم پایدار نمی ماند.

این وضعیت با زندگی روزمره ما فرقی ندارد. ما مرتباً تصمیماتی را در مورد اینکه چه ریسکی را قبول کنیم، اتخاذ می کنیم . وقتی که ما درون خودرو نشسته و به محل کار می رویم، برخی مخاطرات وجود دارند که می توانند اتفاق بیفتند، این احتمال وجود دارد برخی چیزها به طور کامل از کنترل خارج شده و باعث شود که ما در بخشی از تصادفی که در بزرگراه اتفاق افتاده قرار بگیریم. زمانیکه ما وارد یک هواپیما می شویم مقداری خطر را به قیمت آسایش و راحتی، پذیرفته ایم . با اینحال برخی از مردم یک تصویر خیالی از یک ریسک قابل قبول دارند و در بیشتر موارد آنرا نمی پذیرند. اگر من در طبقه بالا باشم و بخواهم سرکار بروم خودم را از پنجره پرت نمی کنم . بله، اینکار بسیار راحت است اما خطر آسیب دیدگی بخاطر این راحتی وجود دارد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

انواع و منابع تهدیدهای شبکه:

در حال حاضر ما آنقدر اطلاعات در زمینه شبکه گذاری داریم که می توانیم وارد جنبه های امنیتی آن شویم. اول از همه ما وارد انواع تهدیدهایی که شبکه با آنها مواجه است می شویم و آنگاه برخی از کارهایی که می توان برای حفاظت از خود در مقابل آنها انجام دهیم،توضیح می دهیم.

Denial-of-Service

 احتمالاً حملات DoS خطرناکترین تهدیدها است که برای توضیح دادن هم مشکل هستند. آنها بدین دلیل خطرناکترین هستند که به آسانی می توانند اجرا شوند، به سختی رهگیری می شوند (برخی مواقع غیرممکن است)، و سرپیچی از درخواست حمله کننده آسان نیست حتی اگر این درخواست غیر قانونی باشد.

منطق یک حمله DoS ساده است . درخواستهای زیادی به ماشین ارسال می شود که از اداره ماشین خارج است. ابزارهای در دسترسی در محافل زیر زمینی وجود دارد که که این کار را به صورت یک برنامه در می آورند و به آن می گویند در چه میزبانی درخواستها را منتشر کنند. برنامه حمله کننده به راحتی با برخی از پورتهای خدماتی ارتباط برقرار می کند،شاید اطلاعات عنوان پاکت را که می گوید بسته از کجا آمده را جعل می کند و آنگاه ارتباط را قطع می کند. اگر میزبان قادر باشد که در هر ثانیه به 20 درخواست پاسخ دهد، و حمله کننده در هر ثانیه 50 درخواست را ارسال کند،مشخص است که میزبان قادر به پاسخگویی به تمامی در خواستهای حمله کننده، که کم و بیش غیر قانونی هستند، نیست .

چنین حملاتی در اواخر 1996 و اوایل 1997 به شدت فراگیر شده بود ولی  حالا چندان عمومیت ندارد.

برخی کارهایی که می توان برای کاهش خطر مواجه شدن با یک حمله DoS ( رد درخواست) انجام داد عبارتند از:

• عدم اجرای خدمات قابل مشاهده به صورت جهانی در نزدیکی ظرفیت  اجرایی


• استفاده از فیلترینگ بسته برای جلوگیری از بسته های جعل شده در ورودی به فضای آدرس شبکه شما .

مشخصاً بسته های جعلی شامل آنهایی هستند که ادعا می کنند از طرف میطبان شما آمده اند،بر اساس RFC1918 برای شبکه های خصوصی و شبکه loopback آدرس دهی شده اند.

• موارد مربوط به امنیت سیستمهای عامل میزبان خود را به روز کنید.

دسترسی غیر مجاز:

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

اجرای فرامین غیر قانونی

مشخص است که یک فرد ناشناس و غیر مطمئن نبایستی بتواند فرامین را روی ماشینهای سرور شما اجرا کند. دو طبقه بندی عمده امنیتی برای این مشکل وجود دارد:

دسترسی کاربر معمولی

و دسترسی مدیریت

یک کاربر معمولی می تواند تعدادی از موارد سیستم را اجرا نماید ( همانند خواندن فایلها، ارسال ایمیل به سایر افراد و غیره) که افراد مهاجم قادر به اجرای آنها نیستند . این حالت ممکن است تمام آن چیزی باشد که یک مهاجم به آن نیاز دارد. بعبارت دیگر، یک مهاجم ممکن است بخواهد تغییرات پیکربندی را برای یک هاست اجرا نماید ( شاید تغییر در آدرس IP، قرار دادن یک فرمان راه اندازی در جاییکه باعث می شود هر زمان که ماشین استارت شد، shut down شود یا موارد مشابه ). در چنین حالتی، مهاجم نیاز دارد که امتیاز مدیریتی را بر روی هاست بدست آورد.

شکافهای محرمانه:

لازم است که ما مدل تهدید را توضیح دهیم: شما سعی کتید که در برابر چه چیزی از خودتان محافظت کنید؟ برخی اطلاعات خاص وجود دارند که اگر در دست رقیب،یک دشمن یا عموم، بیفتد باعث آسیب جدی می شوند. در چنین حالتهایی،این امکان وجود داردکه توافق مربوط به حساب یک کاربر معمولی روی ماشین برای آسیب رساندن کافی باشد ( شاید به شکل PR، یا بدست آوردن اطلاعاتی که می توانند بر علیه شرکت مورد استفاده قرار گیرند و غیره ).

هرچند بسیاری از مرتکبان چنین نفوذهایی بندرت افرادی هستند که از روی کنجکاوی و فقط برای مشاهده یک لایه اعلان در روی کامپیوتر شما وروی صفه نمایش خودشان این کار را انجام می دهند،ولی افراد بد نیتی هم هستند که ما آنها در ادامه مورد بررسی قرار می دهیم. (بعلاوه،بخاطر داشته باشید که این احتمال وجود دارد که فردی فقط برای کنجکاوی نفوذ کرده است می تواند ترغیب شئد که کار بیشتری انجام دهد: شاید یک رقیب سرسخت مایل باشد که چنین شخصی را برای ضربه زدن به شما استخدام کند.)

رفتار مخرب:

در بین انواع مخرب نفوذ و حمله، دو گروه عمده وجود  دارد:

Data Diddling

data diddler احتمالاً بدترین نوع است، زیرا واقعیت یک نفوذ امکان ندارد که بلافاصله مشاهده شود. شاید او با تعدادی از صفحات گسترده شما در حال بازی است یا اطلاعات را در پروژه ها و طرحهای شما دستکاری میکند . شاید او شماره حسابها را برای سپرده گذاری خودکار برخی پرداختهای چکی خاص را تغییر میدهد . در هر حالت، بندرت پیش می آید که شما یک روز به سر کار بیایید و به آسانی  ببینید که برخی چیزها تغییر کرده است. برای پیدا کردن اختلاف در دفاتر بوسیله روشهای حسایداری سه تا چهار ماه زمان نیاز است. سعی کنید که مشکل را در جاهایی که مشکل هستند تعقیب کنید، و زمانی که مشکل پیدا شد، چگونه می توان فهمید که کدامیک از شما در آن زمان همدست بوده است؟ قبل از اینکه بفهمید اطلاعات شما ایمن هستند تا کجا باید پیش بروید؟

تخریب اطلاعات:

برخی از مهاجمان به آسانی با افرادی همکاری می کنند که دوست دارند همه چیز را از بین ببرند. در چنین حالتی،تاثیر روی توان محاسباتی شما و در نتیجه شرکت شما، میتواند چیزی کمتر از یک حریق یا بلایای دیگری باشد که باعث می شود تجهیزات محاسباتی شما بطور کامل تخریب شوند.

آنها از کجا می آیند؟

چگونه یک مهاجم دسترسی به تجهیزات شما را بدست می آورد ؟ از طریق هر ارتباطی که شما با دنیای بیرون دارید. این شامل اتصالات اینترنتی،مودمهای شماره گیر و حتی دسترسی فیزیکی می باشد. (چقدر اطلاع دارید که یکی از افراد موقتی که شما برای کمک به وارد کردن اطلاعات بکار گرفته اید یک نفوذگر سیستم که بدنبال کد رمزها، شماره تلفنها،موارد حساس و هر چیزی که از طریق آنها می توانند به تجهیزات شما دسترسی پیدا کنند، نمی باشد؟)

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

درسهای یاد گرفته شده:

با بررسی انواع حملاتی که متداول هستند، می توانیم فهرستی کوتاه از روشهای سطح بالا را که می توانند در جلوگیری از بلاهای امنیتی و کنترل آسیب در مواقعی که معیارهای پیشگیرانه در جل.گیری از یک حمله ناموفق هستند، به ما کمک کنند را تهیه کنیم.

امیدواریم که شما بک آپ داشته باشید

از دیدگاه امنیتی این فقط یک ایده خوب نیست. مقررات عملیاتی،سیاست بک آپ را توصیه می کنند و این بایستی همراه با برنامه کشف آسیب باشد،انگار که یک هواپیما نصف شب روی ساختمان شما سقوط کند، شما بایستی بتوانید شرکتتان را به جای دیگری منتقل کنید. مشابهاً این موارد می تواند در بازیابی اطلاعات شما در صورت بروز مشکل الکترونیکی، ایراد سخت افزاری یا یک نفوذ که اطلاعات شما را تغییر یا آسیب میرساند،کمک می کند.

اطلاعات را در جاییکه لازم نیستند قرار ندهید

البته این نیازی به گفتن ندارد،که این حالت برای هر قومی پیش می آید. بنابراین،اطلاعاتی که نیازی به دسترسی از بیرون به آنها وجود ندارد،برخی اوقات در دسترس هستند و این امر می تواند وضعیت نفوذ را بنحو چشمگیری افزایش دهد.

دوری از سیستمهایی با نقاط ضعف مشترک

هر سیستم امنیتی که بتواند بوسیله هر قسمت آن شکسته شود،در واقع خیلی قوی نیست. از نظر امنیتی، مقداری تکثیر (redundancy) خوب است و می تواند به شما در محافظت شرکتتان از یک حمله امنیتی ضعیف قبل از اینکه به فاجعه تبدیل شود کمک کند.

سیستم عاملهای به روز و مرتبط را داشته باشید.

مطمئن باشید که فردی که می داند شما چه چیزی دارید بدنبال آن است که توصیه های امنیتی را به شما بفروشد. استفاده از میکروفونهای قدیمی متداولترین (و موثرترین!) راه برای نفوذ به سیستمها هستند.

بدنبال متخصصان امنیتی مرتبط باشید.

علاوه بر مراقب مطالبی که توصیه کنندگان می کنند هستید، مراقب گروههایی همانند CERT و CIAC باشید. مطمئن شوید که حداقل یک نفر (ترجیحاً بیشتر) عضو این لیستهای پستی هستند.