|
قسمت
سوم
سياست امنيتي يك يك شبكه مجموعه اي از قواعد
حفاظتي است كه بنابر ماهيت شبكه در يكي از يه لايه
ديوار آتش تعريف ميشوند . كارهايي كه در هر لايه
از ديوار آتش انجام ميشود عبارتست از :
1- تعيين بسته هاي ممنوع ( سياه ) و حذف آنها يا
ارسال آنها به سيستمهاي مخصوص رديابي (لايه اول
ديوار آتش)
2- بستن برخي از پورتها متعلق به برخي سرويسها
مثلTelnet , FTP و …(لايه دوم ديوار آتش)
3- تحليل يرآيند متن يك صفحه وب يا نامه
الكترونيكي يا .... (لايه سوم ديوار آتش)
A - در لايه اول فيلدهاي سرآيند بسته IP مورد
تحليل قرار ميگيرد :
** آدرس مبدا( Source Address ) : برخي از
ماشينهاي داخل يا خارج شبكه حق ارسال بسته را
ندارند , بنابراين بسته هاي آنها به محض ورود به
ديوار آتش حذف ميشود .
** آدرس مقصد( Destination Address ) : برخي از
ماشينهاي داخل يا خارج شبكه حق دريافت بسته را
ندارند , بنابراين بسته هاي آنها به محض ورود به
ديوار آتش حذف ميشود .
IP آدرسهاي غيرمجاز و مجاز براي ارسال و دريافت
توسط مدير مشخص ميشود .
** شماره شناسايي يك ديتا گرام تكه تكه شده( Id &
Fragment Offset ) : بسته هايي كه تكه تكه شده اند
يا متعلق به يك ديتا گرام خاص هستند حذف ميشوند .
** زمان حيات بسته : بسته هايي كه بيش ازتعداد
مشخصي مسيرياب را طي كرده اند حذف ميشوند.
** بقيه فيلدها بر اساس صلاحديد مدير ديوار آتش
قابل بررسي اند .
بهترين خصوصيت لايه اول سادگي و سرعت آن است . چرا
كه در اين لايه بسته ها بصورت مستقل از هم بررسي
ميشوند و نيازي به بررسي لايه هاي قبلي و بعدي
نيست . به همين دليل امروزه مسيريابهايي با قابليت
انجام وظايف لايه اول ديوار اتش عرضه شده اند كه
با دريافت بسته آنها را غربال كرده به بسته هاي
غير مجاز اجازه عبور نميدهند .
با توجه به سرعت اين لايه هر چه قوانين سخت گيرانه
تري براي عبور بسته ها از اين لايه وضع شود بسته
هاي مشكوك بيشتري حذف ميشوند و حجم پردازش كمتري
به لايه هاي بالاتر اعمال ميشود .
B - در لايه دوم فيلدهاي سرآيند لايه انتقال بررسي
ميشوند :
** شماره پورت پروسه مبدا و مقصد : با توجه به اين
مساله كه شماره پورتهاي استاندارد شناخته شده اند
ممكن است مدير ديوار آتش بخواهد بخواهد مثلا سرويس
FTP فقط براي كاربران داخل شبكه وجود داشته باشد
بنابراين ديوار آتش بسته هاي TCP با شماره پورت 20
و 21 كه قصد ورود يا خروج از شبكه را داشته باشند
حذف ميكند . ويا پورت 23 كه مخصوص Telnet است اغلب
بسته است . يعني بسته هايي كه پورت مقصدشان 23 است
حذف ميشوند .
** كدهاي كنترلي (TCP Code BITS) : ديوار آتش با
بررسي اين كدها به ماهيت بسته پي ميبرد و سياستهاي
لازم براي حفاظت را اعمال ميكند . مثلا ممكن است
ديوار آتش طوري تنظيم شده باشد كه بسته هاي ورودي
با SYN=1 را حذف كند . بنابراين هيچارتباط TCP از
بيرون به شبكه برقرار نميشود .
**يلد شماره ترتيب و Acknowledgement : بنابر
قواعد تعريف شده توسط مدير شبكه قابل بررسي اند .
در اين لايه ديوار آتش با بررسي تقاضاي ارتباط با
لايه TCP , تقاضاهاي غير مجاز را حذف ميكند . در
اين مرحله ديوار آتش به جدولي از شماره پورتهاي
غير مجاز دارد . هر چه قوانين سخت گيرانه تري براي
عبور بسته ها از اين لايه وضع شود و پورتهاي
بيشتري بسته شوند بسته هاي مشكوك بيشتري حذف
ميشوند و حجم پردازش كمتري به لايه سوم اعمال
ميشود .
C - در لايه سوم حفاظت بر اساس نوع سرويس و برنامه
كاربردي صورت ميگيرد :
در اين لايه براي هر برنامه كاربردي يك سري
پردازشهاي مجزا صورت ميگيرد . بنابراين در اين
مرحله حجم پردازشها زياد است . مثلا فرض كنيد برخي
از اطلاعات پست الكترونيكي شما محرمانه است و شما
نگران فاش شدن آنهاييد . در اينجا ديوار آتش به
كمك شما مي آيد و برخي آدرسهاي الكترونيكي مشكوك
را بلوكه ميكند , در متون نامه ها به دنبال برخي
كلمات حساس ميگردد و متون رمزگذاري شده اي كه
نتواند ترجمه كند را حذف ميكند .
يا ميخواهيد صفحاتي كه در آنها كلمات كليدي
ناخوشايند شما هست را حذف كند و اجازه دريافت اين
صفحات به شما يا شبكه شما را ندهد .
همانطور كه متوجه شديد ديوار آتش در هر يه لايه
TCP/IP اعمال ميشود ليكن در لايه Network
Interface يا اولين لايه اعمال نميشود . اين به
اين دليل است كه چون اطلاعات اين به هر شبكه اي كه
وارد شد تغيير ميكند , بدرد هكرها نميخورد
بنابراين لزومي ندارد كه اين لايه هم حفاظت شود .
انواع ديوارهاي آتش :
A ) ديوارهاي آتش هوشمند :
امروزه حملات هكرها تكنيكي و هوشمند شده است به
نحوي كه با ديوارهاي آتش و فيلترهاي معمولي كه
مشخصاتشان براي همه روشن است نميتوان با آنها
مقابله كرد . بنابراين بايد با استفاده از
ديوارهاي آتش و فيلترهاي هوشمند با آنها مواجه شد
.
از آنجا كه ديوارهاي آتش با استفاده از حذف بسته
ها و بستن پورتهاي حساس از شبكه محافظت ميكنند , و
چون ديوارهاي آتش بخشي از ترافيك بسته ها را به
داخل شبكه هدايت ميكنند ,(چرا كه درغير اين صورت
ارتباط ما با دنياي خارج از شبكه قطع ميشود . )
بنابراين هكرها ميتوانند با استفاده از بسته هاي
مصنوعي مجاز و شناسايي پورتهاي باز به شبكه حمله
كنند.
بر همين اساس هكرها ابتدا بسته هايي ظاهرا مجاز را
بسمت شبكه ارسال ميكنند .
يك فيلتر معمولي اجازه عبور بسته را ميدهد و
كامپيوتر هدف نيز چون انتظار دريافت اين بسته را
نداشته به آن پاسخ لازم را ميدهد . بنابراين هكر
نيز بدين وسيله از باز بودن پورت مورد نظر و فعال
بودن كامپيوتر هدف اطمينان حاصل ميكند . براي
جلوگيري از ان نوع نفوذها ديوارآتش بايد به آن
بسته هايي اجازه عبور دهد كه با درخواست قبلي
ارسال شده اند .
حال با داشتن ديوار آتشي كه بتواند ترافيك خروجي
شبكه را براي چند ثانيه در حافظه خود حفظ كرده و
آنرا موقع ورود و خروج بسته مورد پردازش قرار دهد
ميتوانيم از دريافت بسته هاي بدون درخواست جلوگيري
كنيم .
مشكل اين فيلترها زمان پردازش و حافظه بالايي است
كه نياز دارند . اما در عوض ضريب اطمينان امنيت
شبكه را افزايش ميدهند .
B ) ديوارهاي آتش مبتني بر پروكسي :
ديوارهاي آتش هوشمند فقط نقش ايست وبازرسي را ايفا
ميكنند و با ايجاد ارتباط بين كامپيوترهاي داخل و
خارج شبكه كاري از پيش نميبرد . اما ديوارهاي آتش
مبتني بر پروكسي پس از ايجاد ارتباط فعاليت خود را
آغاز ميكند . در اين هنگام ديوارهاي آتش مبتني بر
پروكسي مانند يك واسطه عمل ميكند , به نحوي كه
ارتباط بين طرفين بصورت غير مستقيم صورت ميگيرد .
اين ديوارهاي آتش در لايه سوم ديوار اتش عمل
ميكنند . بنابراين ميتوانند بر داده هاي ارسالي در
لايه كاربرد نيز نظارت داشته باشند .
ديوارهاي آتش مبتني بر پروكسي باعث ايجاد دو
ارتباط ميشود :
1- ارتباط بين مبدا و پروكسي
2- ارتباط بين پروكسي و مقصد
حال اگر هكر بخواهد ماشين هدف در داخل شبكه را
مورد ارزيابي قرار دهد در حقيقت پروكسي را مورد
ارزيابي قرار داده است و نميتواند از داخل شبكه
اطلاعات مهمي بدست آورد .
ديوارهاي آتش مبتني بر پروكسي به حافظه بالا و CPU
بسيار سريع نياز دارند . و از انجا كه ديوارهاي
آتش مبتني بر پروكسي بايد تمام نشستها را مديريت
كنند گلوگاه شبكه محسوب ميشوند . پس هرگونه اشكال
در آنها باعث ايجاد اختلال در شبكه ميشود .
اما بهترين پيشنهاد براي شبكه هاي كامپيوتري
استفاده همزمان از هر دو نوع ديوار آتش است . با
استفاده از پروكسي به تنهايي بارترافيكي زيادي بر
پروكسي وارد ميشود . با استفاده از ديوارهاي
هوشمند نيزهمانگونه كه قبلا تشريح شد به تنهايي
باعث ايجاد ديواري نامطمئن خواهد شد . اما با
استفاده از هر دو نوع ديوار أتش بصورت همزمان هم
بار ترافيكي پروكسي با حذف بسته هاي مشكوك توسط
ديوار آتش هوشمند كاهش پيدا ميكند و هم با ايجاد
ارتباط واسط توسط پروكسي از خطرات احتمالي پس از
ايجاد ارتباط جلوگيري ميشود .
البته اين نوع ديوار آتش براي سيستمهايي كه
اطلاعات محرمانه دارند كاربرد دارد و براي
كاربردهاي معمولي كمتر استفاده ميشود .
C ) ديوارهاي آتش شخصي :
ديوارهاي آتشي كه معرفي شد ديوارهاي آتشي هستند كه
توسط مدير شبكه و براي كل شبكه استفاده ميشوند .
حال اگر شبكه اي اين امكانات را براي كاربران خود
فراهم نكند , شخصي كه ميخواهد مانع از دزديده شدن
اطلاعاتش شود يا از مزاحمتهاي ديگران ممانعت بعمل
آورد چه بايد بكند ؟
TCP/IP امكان حفاظت از اطلاعات را فراهم نكرده است
اما با استفاده از ديوار آتش شخصي كه در سطح
كاربرد TCP/IP استفاده ميشود ميتوانيد از
كامپيوترتان در مقابل نفوذ هكرها دفاع كنيد .
اگر از ويندوز XP استفاده ميكنيد , خود ويندوز
امكانات ديوار آتش رايگاني براي شما فراهم كرده
است , اما در غير اينصورت ميتوانيد با استفاده از
برنامه هايي كه به همين منظور تهيه شده اند از
سيستمتان دفاع كنيد .
معروفترين و بهترين برنامه ها در اين راستا برنامه
هاي زير ميباشند :
Norton Firewall
يه سيستم امنيتی که با توجه به ترافيک شبکه ،
مسئول شبکه رو از فعاليت هکرها مطلع می کنه .
IDS در دو لايه شبکه و کاربرد عمل می کنه .
IDS در سطح شبکه :
در اين لايه سيستم يک بانک اطلاعاتی از انواع
حملات ، بسته های IP رو مورد پردازش قرار داده و
در صورت وقوع حمله ، مسئول شبکه رو مطلع می کنه و
خودش به تعقيب حمله ادامه می ده .
IDS در سطح کاربرد :
در اين لايه IDS تمام تقاضاهای ارسالی رو مورد
پردازش قرار می ده و در صورت دريافت تقاضای
نامربوط به مسئول شبکه اخطار می ده . با توجه به
عملکرد IDS در سطح کاربرد ، برای هر برنامه
کاربردی ، به يک IDS مربوط به هموون برنامه نياز
داريم .
اما هکرها در مقابل اين سيستمها چکار می کنند ؟
برای عبور از IDS سطح شبکه ، بايد ترافيک بسته ها
رو بگونه ای تنظيم کرد که سيستم نتوونه بسته های
خطرناک رو تشخيص بده . برای اين منظور بايد از
روشهايی استفاده کرد که بانک اطلاعاتی IDS نتوونه
اوون حمله رو تشخيص بده . بهترين راه برای اينکار
برنامه نوپسی است .
اما روشهای ديگه هم برا ی اينکار وجود دارند .
IDS برای کشف خطر ، اغلب از سرآيند بسته TCP
استفاده می کنه و با مجاز تشخيص دادن بسته اول به
بقيه بسته ها اجازه عبور می ده . حالا فرض کنيد يه
بسته برای برقراری ارتباط با پورت 23 ارسال کنيم .
با توجه به مطلب فوق می توونيم با شکستن بسته IP
طوری که شماره پورت مبدا در يک بسته و شماره پورت
مقصد در يک بسته ديگه قرار بگيره می توونيم از IDS
عبور کنيم . چرا که IDS به خاطر نداشتن شماره پورت
مقصد ، به خيال متعارف بودن بسته ، به اوون اجازه
عبور می ده .
روش ديگه برای اينکار استفاده از فيلد Fragment
Offset از بسته IP است . برای اينکار بسته اول با
مشخصات متعارف به سمت هدف ارسال می شه . IDS با
مجاز تشخيص دادن اوون به بقيه بسته ها هم اجازه
عبور می ده . حالا بسته دوم رو که بر اساس مقاصد
هکره با تنظيم Fragment Offset طوری که اطلاعات
اوون روی بسته اول نوشته بشه بسمت هدف فرستاده می
شه .
برای تکه تکه کردن سته ها می توان از نرم افزار
هايی که برای اينکار نوشته شدن استفاده کرد . يکی
از اين نرم افزارها ، FragRouter هست .اماهکرها
چطور از دست IDS در سطح کاربرد فرار می کنند ؟
اکثر برنامه های تحت وب بر اساس اسکريپتهای CGI يا
ASP نوشته می شوند . اساس کار اين اسکريپتها در
ذخيره و بازيابی اطلاعات و يا عملياتهای Online
هست .
هکرها سعی می کنند تا با پيدا کردن نقاط ضعف اين
اسکريپتها از اوونا برای حمله به هدف استفاده کنند
.
IDS برای تشخيص حمله در سطح کاربرد ، درخواستهای
GET ، POST ، PUT و DELETE رو بررسی می کنه و در
صورت دريافت درخواستی که يک اسکريپت رو اجرا کنه ،
اعلام خطر می کنه .
يکی از نرم افزارهايی که برای اينکار مورد استفاده
قرار می گيره ، Whisker هست که می توونيد از ?????
دانلودش کنيد .
اين نرم افزار يه بانک اطلاعاتی شامل نقاط ضعف بيش
از 500 نوع اسکريپت مختف CGI و ASP داره .
Whisker برای فرار از IDS در سطح کاربرد ، از
روشهای مختلفی استفاده می کنه .
بهترين پِشنهاد برای مقابله ، استفاده همزمان از
هر دو نوع IDS هست . چرا که هکر برای منظور خود از
هر راهی استفاده خواهد کرد . بنابراين از نرم
افزارهايی مثل FragRouter و Whisker بصورت تواما
استفاده می کند .
IDS در سطح شبکه بر ترافيک بسته ها و IDS در سطح
کاربرد بردرخواستها نظارت می کند .
يکی ديگه از ابزارهای شناسايی هست که هم می توونه
برای هکرها و هم مسئولين شبکه مفيد باشه .
plag-in های زيادی برای اين نرم افزار وجود داره
که با استفاده از اوونا می توان از اين نرم افزار
بهترين استفاده رو ببريم .
اين نرم افزار در دو قسمت Client و Server طراحی
شده که قسمت Client اوون می توونه روی هر ماشينی
اجرا بشه . کار اين قسمت ارسال دستورات کاربر به
Server Nessus . بنابراين برای ماشينهايی که پهنای
باند محدودی دارند مفيده . اما بخش سرور دستورات
کاربر رو اجرا می کنه . ساده ترين راه برای
استفاده از امکانات اين نرم افزار نصب هر دو قسمت
روی يک کامپيوتره .
هر دو قسمت اين نرم افزار در محيطهای Unix و به
خصوص Linux به خوبی کار می کنه . اما Windows فقط
قسمت Client اوون رو پشتيبانی می کنه .
اين نرم افزار Open Source هست و اين قابليت رو
داره تا با نوشتن Plag-in ها بوسيله برنامه نويس
توسعه داده بشه .
شما می توونيد Plag-in هايی رو با C بنويسيد و با
استفاده از NAPI (Nessus Application Interface)
اوون رو به بقيه Plag-in ها متصل کنيد .
Nessus همچنين نرم افزار Nmap رو در خودش جا داده
. و می توونه با استفاده از Plag-in های موجود ،
کار Firewalk رو هم انجام بده .
اما Nessus يه بانک با بيش از 500 نوع Plag-in
داره که مهمترين دسته های اين Plag-in ها عبارتند
از :
Windows :
برای حملات به سيستمهای مبتنی بر ويندوز .
Backdoor :
برای کشف ويروسهای اسب تراوا بر روی ماشين هدف .
Denial of service :
برای يافتن حفره هايی که قادرند کل شبکه رو مختل
کنند .
Miscellaneouse :
برای تشخيص نوع سيستم عامل .
General :
برای کشف نوع و ويرايش سرور وب ، FTP و Mail بکار
می ره .
Firewall :
برای کشف نقاط ضعف ديوار آتش .
|
