مرکز امنیت مهران رایانه

فايروال چيست ؟
چيست؟IDS
حفاظت فيزيكي
VPN چِست ؟
چک ليست امنيتی ويندوز 2000
شيوع کرم ساسر و نحوه مقابله با آن


فايروال چيست؟ فايروال رايانه هاي شبكه را از حملات نفوذ گران متخاصم بين الملي كه مي توانند اطلاعات داخل شبكه را كشف كنند يا از بين ببرند و يا سرويس ها را از كار بياندازند محافظت مي كند فايروال ممكن است يك دستگاه سخت افزاري يا يك نرم افزار نصب شده بر روي كامپيوتر باشد در هر حالت آنها بايد در يكي از دو حالت شبكه قرار گيرند يكي براي زماني كه شبكه براي حفاظت انتخاب شده و ديگري براي زماني كه شبكه در معرض ديد قرار گرفته يك فايروال در محل تقاطع يا اتصال دو شبكه قرار مي گيرد معمولا بين شبكه محلي و عمومي از قبيل اينترنت فايروالهاي اوليه دقيقا شبيه يك مسير ياب بودند زماني فايروالها فقط يك قسمت از شبكه بودند كه شبكه را به يك شبكه با subnet ديگر متصل مي كرد فايروالها چگونه كار مي كنند؟ يك فايروال كل ترافيك بين دو شبكه را بازرسي كرده تا واقعا با ضوابط و معيارها مطابقت كنند اگر اين طور بود كه ترافيك عبور مي كند در غير اينصورت آنرا متوقف مي نمايد يك فايروال ترافيك ورودي و خروجي را فيلتر مي نمايد همچنين مي تواند كه دسترسي عمومي به شبكه خصوصي و منابع آن از قبيل برنامه هاي ميزبان را مديريت كندفايروال مي تواند مورد استفاده قرار بگيرد و جهت گزارش كردن كليه تلاشهايي كه جهت اتصال به شبكه خصوص صورت مي گيردوفعال كردن اعلان خطر وقتي كه يك نفوذگر يا ورودي بدون مجوز وارد شبكه مي شود يا سعي مي كند وارد شود فايروال مي تواندكه بسته هاي ارسالي را بر پايه آدرس مبدا و مقصد و شماره پورت جدا نمايد اين راه به فيلتر آدرسها معروف است همچنين مي توانند انواع خاصي از ترافيك شبكه را كنترل نمايند اين راه را اين راه را كنترل پروتكل مي نامند زيرا سيستم تصميم جهت عبور يا برگرداندن ترافيك وابسته به استفاده از پروتكلها است براي مثالHTTP , FTP , TeLnet ,,,همچنين مي توانند بسته را بر حسب مشخصه و وضعيت آنها كنترل نمايند فايروال چه كاري نمي تواند انجام دهد؟ فايروال نمي تواند كه يك كاربر شخصي كه با مودم به داخل يا خارج شبكه متصل مي شود را كنترل نمايد در حقيقت اين عمل را كنار زدن فايروال گويندكارمندان خلافكار و يا بي دقت را نمي توان توسط فايروال كنترل كرد براي همين بايد از از سياست پيشگيري استفاده ياسود استفاده توسط رمزهاي عبور و مجوز به كاربران با نهايت قدرت استفاده كرد اينها تماما پي آمد مديريت هستند كه بايد به طور كامل برنامه ريزي شوند و قوانين امنيتي به كار گرفته شوند اما اين مشكل توسط فايروال حل نمي شوداطلاعات گرد آوري شده نشان مي دهد كه از اين طريق اطلاعات شركت هاي AT&T , British communiction و خيلي از شركتهاي بزرگ به خاطر بي دقتي در اعمال قوانين داخلي به سرقت رفته اند بيشتر اين اعمال توسط كارشناسان خود شركتها و يا كارمندان شياد و اخراجي آنها روي داده است در هر صورت فايروال در اين زمينه كمكي نمي نمايد چه كسي به فايروال نياز دارد؟ هر شخصي كه مسئول ارتباط يك شبكه خصوصي به عمومي است نياز به حفاظت فايروال دارد از اين گذشته هر كسي كه از طريق مودم با كامپيوتر شخصي خود به اينترنت وصل مي شود نياز به فايروال شخصي دارد اغلب كاربران مودمي در اينترنت بر اين عقيده اند كه گمنامي مي تواند آنها را محافظت كند آنها احساس مي كنند كه نفوذ گران با وجود فايروال تحريك مي شوند كه كامپيوتر آنها را از كار بياندازند كاربران تلفني كه قرباني نفوذ گران بد خواه مي گردندنتايج كار يك روز خود را از دست مي دهند و گاهي اوقات مجبور به نصب مجدد سيستم عامل خود مي شوند برنامه هايي وجود دارد كه تعداد زيادي شناسه (IP) را به صورت تصادفي جستجو كرد و قرباني را انتخاب مي نمايند فايروال چگونه كار مي نمايد؟ دو راه براي عدم دسترسي توسط فايروالها وجود دارد يك فايروال مي تواند به كل ترافيك اجازه دسترسي دهد مگر اينكه با قوانين و ضوابط خودش مغايرت داشته باشد و يا اينكه كل ترافيك را مسدود كند مگر اينكه با ضوابط و شرايط فايروال صدق نمايد ضوابط استفاده مي شوندجهت تعيين اينكه ترافيك مي تواند از يك فايروال عبور نمايد يا خير يك فايروال ممكن است از انواع مختلف قوانين استفاده كند استفاده از آدرس مبدا و مقصد و شماره پورت و نوع پروتكل تا استفاده از قوانين پيچيده تري نظير كنترل برنامه ها و دادن مجوز به آنها جهت انتقال ترافيك به ساير شبكه ها مدلهاي OSI , TCP/IP چيستند؟ دانستن اين كه يك فايروال چگونه كار مي كند به شما كمك مي كند كه روابط لايه هاي شبكه را بهتر متوجه شويد طراحان شبكه يك ساختار هفت لايه اي براي شبكه تعيين كرده اند كه هر لايه مسئوليت خاص خود را دارا مي باشد اين لايه ها شبكه را قادر مي سازند كه پروتكلهاي شبكه را با لايه هاي سخت افزاري همگام كنند در يكشبكه معين يك پروتكل تا لايه بالايي سخت افزار بيشتر نمي تواند وارد شود زيرا لايه سخت افزار جداي از لايه پروتكل مي باشد به همين صورت كه يك كابل فيزيكي نمي تواند بيشتر از لايه يك حركت كند TCP /IP قديمي تر از مدل OSI است اما استاندارد اين دو شبيه به هم نيست در 4TCP /IP لايه اول دقيقا مطابق مدل OSI هستند فايروالها در لايه هاي مختلف فعاليت مي كنند تا بتوانند از ضوابط مختلفي براي مصدور كردن ترافيك استفاده كنند پايين ترين لايه اي كه فايروالها در آن كار مي كنند لايه سوم است كه در مدل OSI لايه شبكه و در TCP /IP لايه IP مي باشد كار اين لايه مسير يابي و ارسال بسته ها به مقصد مي باشد در اين لايه فايروال ميتواند تشخيص دهد كه بسته از چه مبدا اي آمده است اما نمي تواند محتويات بسته و يا اينكه بسته به چه بسته هاي ديگري وابسته است را مشخص كندفايروال در لايه ترانسپورت راجع به بسته كمي بيشتر اطلاعات دارد و قادر است كه اجازه يا عدم اجازه دسترسي با قوانين و ضوابط در سطوح بالاتري را صادر كند در لايه نرم افزار فايروال قدرت بسيار زيادي در صدور مجوز ها براي بسته ها دارد و مشكل وقتي پديدار مي شود كه تابع فايروال در داخل شبكه در سطح بالاتري نسبت به لايه برنامه ها قرار گيرد كه اين هيچ الزامي ندارد و كاركردن فايروال در سطوح پاييني شبكه باعث امنيت بيشتر آن مي شود اگر يك نفوذ گر نتواند سه مرحله قبل را متعلق به دخود كند مسلما نمي تواند كنترل سيستم عامل را در دست بگيرد فايروالهاي جديد و پيشرفته كل ترافيك شبكه را در خود ذخيره كرده و اجازه نمي دهند كه آنها مستقيما به شبكه TCP / IP دسترسي پيدا كنند و اين كار را براي يك نفوذ گر جهت نفوذ به سيستم و باز كردن درب پشتي براي نفوذ بعدي مشكل مي نمايد TOP
IDS (IDS(Intrusion Detection System يا سيستم هاي تشخيص نفوذگر سيستمهايي هستند كه به رديابي نفوذها و گزارش حملاتي كه به رايانه ها شده مي پردازند و علاوه بر سد كردن راه اين نفوذها به كاربر اطلاعات مناسب در مورد نوع نفوذ ، زمان و شخص نفوذ گر مي دهند شايد اين سئوال براي شما پيش آيد كه تفاوت IDS با يك فايروال چيست؟ فايروال معمولا سيستمي است كه با تعريف يك سري قوانين مشخص روي آن از ورود و يا خروج بسته هاي خاص جلوگيري مي كند اما IDS بسته هايي را كه از نظر فايروال اجازه عبور را دارند نيز كنترل نموده و در صورت تشخيص امكان نفوذ آنها را مسدود مي نمايند براي توضيح بيشتر درنظر بگيريد كه ما در برنامه فايروال خود قوانين را تعريف كرده ايم كه امكان دسترسي كاربران اينترنت به پورت 80 رايانه سرور وب خود را داده و به كاربران شبكه محلي خودمان نيز امكان اتصال به پورت 80 رايانه هاي موجود در شبكه اينترنت را داده ايم . از نظر فايروال هر بسته خروجي كه به مقصد پورت 80 ساير رايانه ها باشد مجوز عبور دارد در حالي كه براي مثال ويروس code red از رايانه ميزبان وب ما اتصالات زيادي به پورت 80 ساير رايانه ها بر قرار ساخته و با اشغال كردن مسير ارتباط باعث از كار افتادن سرويس وب ما مي گردد كه اين از نظر يك فايروال بدون اشكال مي باشد اما سيستم IDS با بررسي بسته هاي ارتباطي و اطلاع از نوع عملكرد اين تروجان پي مي برد كه اين يك ويروس Red code بوده و عمليات آنرا متوقف مي نمايد . IDS داراي يك بانك اطلاعاتي كامل راجع به تروجانها ، نوع عملكرد آنها ، ساختار بسته هاي آنها و پورتي كه معمولا جهت اتصال استفاده مي كنند مي باشند كه به سيستم اين امكان را مي دهد كه از نفوذ به داخل سيستم جلوگيري نمايد ضمنا معمولا يك نفوذ گر قبل از شروع به نفوذ جهت كسب اطلاعات از وضعيت امنيتي سيستم ما اقدام به عملياتي خاص مي نمايد كه اين از ديد يك فايروال مخفي مي ماند براي مثال اولين كاري كه معمولا نفوذ گران انجام مي دهند عمليات بررسي پورتها (Port scan) مي باشد كه جهت كسب اطلاعات راجع به پورتهاي باز و بسته سيستم و اينكه اگر يك پورت باز است چه سرويسي روي سرور فعال شده مي باشد از نظر فايروال يك سري اتصال به پورت هاي مختلف اتفاق افتاده كه نسبت به قوانين تعريف شده در فايروال (باز بودن يا بسته بودن پورت) با آنها برخورد مي شود اما از ديد يك IDS اگر يك شخصي تعداد زيادي اتصال در مدتي كوتاه به پورتهاي سيستم داشته باشد به عنوان يك نفوذ گر كه عمليات Port scan را انجام مي دهد شناخته مي شود و گزارش از عملكرد و همچنين موقعيت او و شناسه (IP) او به كار مي دهد مديران شبكه با بررسي وضعيت گزارشهاي نفوذ مي توانند تدابير خاص خود را در نظر گرفته و در صورت مشخص بودن موقعيت شخص نفوذگر نسبت به طي مراحل قانوني جهت جلوگيري از نفوذ هاي بعدي و احيانا جبران خسارت اقدام كنند امروزه با وجود ابزارهاي زياد جهت نفوذ به رايانه ها و همچنين وجود هزاران تروجان در روي شبكه اينترنت نياز به استفاده از يك سيستم IDS بيشتر از پيش احساس مي گردد TOP
حفاظت فيزيكي اولين اصل در رعايت امنيت يك شبكه و ايجاد يك شبكه امن رعايت اصول امنيتي رايانه ها بويژه رايانه سرويس دهنده شبكه (server) مي باشد از نظر كارشناسان امنيت شبكه حفاظت از محل سرور و تعيين سياستهاي خاص جهت دسترسي فيزيكي افراد مختلف به سرور بسيار حائز اهميت مي باشد. اگر يك هكر يا سارق الكترونيكي بتواند بطور فيزيكي به سرور ما دسترسي پيدا كند يعني اينكه از طريق كي بورد و يا ساير دستگاه هاي ورودي با سيستم كار كند امكان شكسته شدن موانع امنيتي بسيار زياد بوده و در صورتي كه نتواند به اطلاعات دسترسي پيدا كند حداقل كاري كه مي تواند انجام دهد خاموش كردن سرور و نتيجه از كار انداختن سرويسي كه رايانه سرور به شبكه مي دهد مي باشد. محل قرار گرفتن رايانه سرور معمولا بايد محل ويژه و آماده شده براي اين كار باشد علاوه بر اينكه اين محل بايد داراي موانع مطمئن جهت جلوگيري از نفوذ افراد مختلف باشد ضمنا بايد داراي دستگاههاي تهويه مناسب و دستگاههاي كنترل دما نيز باشد. چون ممكن است در اثر بالا رفتن حرارت در اين اتاق باز كامپيوتر سرور ما از سرويس خارج گردد ضمنا بايد سيستمهاي ضد سرقت و ضد حريق در اين مكان ها فعال باشد امروزه در دنيا براي امنيت اين اتاق ها تدابير بسيار زيادي در نظر گرفته و هزينه بسيار زيادي مي نمايند . بيشتر اتاق هاي سرور را شبيه يك گاو صندوق ساخته و در هاي ورودي آن بسيار مستحكم و داراي رمزهاي عبور از نوع ديجيتال ،صوتي و يا حساس به اعضاي بدن اشخاص مي باشد اما گذشته از امنيت اتاق سرور براي خود رايانه سرور نيز شرايط خاصي در نظر گرفته مي شود از جمله اينكه معمولا اين رايانه ها كليه روشن و خاموش نداشته و يا حداقل اينكه در دسترس نيستند ضمنا بعد از تنظيم و نصب اين رايانه كليد دستگاههاي ورودي و انتقال اطلاعات از قبيل كي بورد ، فلاپي ديسك ، CD ، ...را از آن جدا نموده تا سارقين نتوانندجهت نفوذ به رايانه از آنها استفاده نمايند . همانطور كه ذكر شد اولين قدم در بحث امنيت شبكه ها حفظ امنيت فيزيكي آن است اين موضوع وقتي بيشتر اهميت پيدا مي كند كه بدانيد %70 حملاتي كه به شبكه ها شده و باعث ضرر و زيان در آنها گرديده است از داخل شبكه بوده است . TOP
VPN نياز به ارتباطات شبكه اي جهت انتقال اطلاعات از يك نقطه به نقطه ديگر معمولا انگيزه ايجاد راه هاي جديد جهت اين ارتباطات مي باشد . براي انتقال ديتا بين دو رايانه يا دو شبكه كه در دو نقطه مختلف جهان وجود دارند امكان ايجاد ارتباط نقطه به نقطه (Point to point) از نظر هزينه ايجاد يك مسيرBackbone جهت اين كار مقرون به صرفه نمي باشد براي مثال فرض كنيد كه شما بخواهيد از تهران به تورنتو كانادا يك كابل مستقيم بكشيد اين اولا از نظر هزينه مقرون به صرفه نيست ثانيا از نظر علمي ارسال اطلاعات از يك كابل و در اين مسير طولاني بدون دستگاه هاي تقويت كننده داخل مسير كه بايد هر چند كيلومتر يكبار سيگنالها را تقويت كنند ميسر نيست ضمنا هزينه استفاده از تجهيزات ماهواره اي و اجاره ماهواره ها هم بسيار زياد مي باشد همين موارد باعث مي شود كه كارشناسان به فكر انتقال اطلاعات از مسير موجود جهاني يعني شبكه اينترنت بيفتند اما اين آغاز راه بود چون همانطور كه مي دانيد شبكه اينترنت، محلي پر از خطر براي عبور اطلاعات بوده و هيچ تضميني وجود نداشته كه اطلاعات به سلامت به مقصد رسيده و در بين راه به سرقت نرفته و يا تغيير نكند بر اين اساس بود كه كارشناسان پروتكلي به نام (Point to Point Tunneling protocol)PPTP را بكار گرفته و شبكه اي با نام VPN يا (Virtual Private network) يا شبكه خصوصي مجازي را راه اندازي نمودند در اين تكنولوژي اطلاعات در محل مبدا به صورت كامل كد شده در آمده و سپس به مقصدارسال مي شود اصطلاح تونل از همينجا بوجود آمده كه چون اطلاعات فقط براي رايانه مقصد كه كليد رمز گشايي را دارد قابل دريافت است مانند اين است كه ما در داخل شبكه اينترنت يك تونل ايجاد كرده ايم كه ساير رايانه ها مجوز ورود به اين تونل را ندارند . البته امروزه از تكنولوژي VPN در شبكه محلي و جهت ارتباطات حتي با مسير كوتاه نيز استفاده مي شود زيرا اين تكنولوژي داراي امنيت بسيار زيادي مي باشد كه البته باز هم به معني امنيت مطلق نمي باشد . امروزه برنامه هاي سرويس دهنده VPN بسياري توليد شده اند كه از جمله خود Win2000 امكان ايجاد يك VPN server و اتصال دستگاههاي سرويس گيرنده به آن را دارد در مورد نوع كد گذاري و رمز گشايي در قسمت cryptography به تفصيل صحبت خواهيم كرد TOP