این فایل حاوی مطالعه تهدیدات امنیتی در سیستم های رایانه ای می باشد که به صورت فرمت PowerPoint در 24 اسلاید در اختیار شما عزیزان قرار گرفته است، در صورت تمایل می توانید این محصول را از فروشگاه خریداری و دانلود نمایید.
فهرست
مقدمه
خرابکاری های امنیتی
امنیت فیزیکی و محیطی
امنیت شبکه
نرم افزارهای امنیتی و امنیت در نرم افزارها
تصویر محیط برنامه
مقدمه
مهمترین نقاط آسیب پذیر
سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یک طرف تصمیم گیرندگان مسائل استراتژیک در یک سازمان قادر به انتخاب مستند و منطقی یک سیستم عامل باشند و از طرف دیگر امکان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی ، بسرعت و بسادگی میسر گردد .
اکثر کرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی اندک از سرویس های سیستم های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده و در این راستا ابزارهای متنوع ، موثر و گسترده ای را بمنظور نیل به اهداف خود ، بخدمت می گیرند . مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نکرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند . مهاجمان بسادگی و بصورت مخرب ، کرم هائی نظیر : بلستر ، اسلامر و Code Red را در شبکه منتشر می نمایند. آگاهی از مهمترین نقاط آسیب پذیر در سیستم های عامل ، امری ضروری است . با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک لایه حفاظتی مناسب می باشند.
در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترین نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت . در این راستا ، پس از معرفی هر یک از نقاط آسیب پذیر ، علت وجود ضعف امنیتی ، سیستم های عامل در معرض تهدید ، روش های تشخیص آسیب پذیری سیستم و نحوه مقابله و یا پیشگیری در مقابل هر یک از نقاط آسیب پذیر ، بررسی می گردد .همزمان با ارائه مجموعه مقالات مرتبط با یونیکس ( پنج مقاله ) ، به بررسی مهمترین نقاط آسیب پذیر در ویندوز ، طی مقالات جداگانه ای خواهیم پرداخت .
همانگونه که اشاره گردید ، اغلب تهدیدات و حملات ، متاثر از وجود نقاط آسیب پذیر در سیستم های عامل بوده که زمینه تهاجم را برای مهاجمان فراهم می آورد . شناسائی و آنالیز نقاط آسیب پذیر در هر یک از سیستم های عامل ، ماحصل تلاش و پردازش دهها کارشناس امنیتی ورزیده در سطح جهان است و می بایست مدیران سیستم و شبکه در یک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسیب پذیر موجود در هر سیستم عامل که در ادامه به آنان اشاره می گردد ، سندی پویا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر یک از نقاط آسیب پذیر و لینک هائی به سایر اطلاعات مفید و تکمیلی مرتبط با ضعف امنیتی است .
مهمترین نقاط آسیب پذیر:
یونیکس ، یکی از سیستم های عامل رایج در جهان بوده که امروزه در سطح بسیار وسیعی استفاده می گردد . تا کنون حملات متعددی توسط مهاجمین متوجه سیستم هائی بوده است که از یونیکس ( نسخه های متفاوت ) بعنوان سیستم عامل استفاده می نمایند . با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترین نقاط آسیب پذیر یونیکس را به ده گروه عمده تقسیم نمود :
• BIND Domain Name System
• Remote Procedure Calls (RPC)
• Apache Web Server
• General UNIX Authentication Accounts with No Passwords or Weak Passwords
• Clear Text Services
• Sendmail
• Simple Network Management Protocol (SNMP)
• Secure Shell (SSH)
• Misconfiguration of Enterprise Services NIS/NFS
• Open Secure Sockets Layer (SSL)
در بخش اول این مقاله ، به بررسی BIND Domain Name System وRemote Procedure Calls (موارد یک و دو) ، خواهیم پرداخت .
اولین نقطه آسیب پذیر : BIND Domain Name System
نرم افزار BIND ) Berkeley Internet Name Domain) ، در مقیاس گسترده ای و بمنظور پیاده سازی DNS)Domain Name Service) ، استفاده می گردد. BIND ، سیستمی حیاتی است که از آن بمنظور تبدیل اسامی میزبان ( نظیر : www.srco.ir ) به آدرس IP ریجستر شده ،استفاده می گردد .با توجه به استفاده وسیع از BIND و جایگاه حیاتی آن در یک شبکه کامپیوتری ، مهاجمان آن را بعنوان یک هدف مناسب بمنظور انجام حملات ، خصوصا" از نوع DoS)Denila Of Service) انتخاب و حملات متنوعی را در ارتباط با آن انجام داده اند. حملات فوق،از کارافتادن سرویس DNS و عدم دستیابی به اینترنت برای سرویس های مربوطه و میزبانان را می تواند بدنبال داشته باشد. با اینکه پیاده کنندگان BIND ، تلاشی مستمر را از گذشته تا کنون بمنظور برطرف نمودن نقاط آسیب پذیر انجام داده اند ، ولی هنوز تعداد زیادی از نقاط آسیب پذیر قدیمی ، بدرستی پیکربندی نشده و سرویس دهندگان آسیب پذیر در آن باقی مانده است .
عوامل متعددی در بروز اینگونه حملات نقش دارد: عدم آگاهی لازم مدیران سیستم در خصوص ارتقاء امنیتی سیستم هائی که بر روی آنان Bind deamon بصورت غیر ضروری اجراء می گردد و پیکربندی نامناسب فایل ها ، نمونه هائی از عوامل فوق بوده و می تواند زمینه یک تهاجم از نوع DoS ، یک Buffer Overflow و یا بروز اشکال در DNS Cache را بدنبال داشته باشد.از جمله مواردیکه اخیرا" در رابطه با ضعف امنیتی BIND کشف شده است مربوط به یک تهاجم از نوع DoS است . مقاله CERT Advisory CA-2002-15 جزئیات بیشتری را در این رابطه ارائه می نماید. از دیگر حملات اخیر ، تهاجمی از نوع Buffer Overflow است . مقاله CERT Advisory CA-2002-19 جزئیات بیشتری را در این رابطه در اختیار قرار می دهد. درتهاجم فوق ، یک مهاجم از نسخه آسیب پذیر پیاده سازی توابع Resolver مربوط به DNS استفاده و با ارسال پاسخ های مخرب به DNS و اجرای کد دلخواه ، امکان سوء استفاده از نقطه آسیب پذیر فوق را فراهم و حتی دربرخی موارد می تواند زمینه بروز یک تهاجم از نوع DoS را باعث گردد .
تهدیدی دیگر که می تواند در این رابطه وجود داشته باشد ، حضور یک سرویس دهنده BIND آسیب پذیر در شبکه است . در چنین مواردی ، مهاجمان از وضعیت فوق استفاده و از آن بمنزله مکانی جهت استقرار داده های غیر معتبر خود و بدون آگاهی مدیرسیستم استفاده می نمایند. بدین ترتیب ، مهاجمان از سرویس دهنده بعنوان پلات فرمی بمنظور فعالیت های آتی مخرب خود بهره برداری خواهند کرد .
سیستم های عامل در معرض تهدید :
تقریبا" تمامی سیستم های عامل یونیکس و لینوکس بهمراه یک نسخه از BIND ارائه شده اند .در صورت پیکربندی میزبان بعنوان سرویس دهنده ، نسخه ای از BIND بر روی آن نصب خواهد شد.
نحوه تشخیص آسیب پذیری سیستم :
در صورت دارا بودن نسخه خاصی از BIND که بهمراه سیستم عامل ارائه و بر روی سیستم نصب شده است ، می بایست عملیات بهنگام سازی آن را با استفاده از آخرین Patch های ارائه شده توسط تولید کننده ( عرضه کننده ) انجام داد. در صورت استفاده از نسخه BIND مربوط به ISC: Internet Software Consortium ، می بایست از نصب آخرین نسخه BIND ، اطمینان حاصل نمود . در صورتیکه BIND نصب شده بر روی سیستم ، نسخه ای قدیمی بوده و یا بطور کامل Patch نشده باشد ، احتمال آسیب پذیری سیستم وجود خواهد داشت . در اکثر سیستم ها ، دستور : "named - v " ، اطلاعات لازم در خصوص نسخه BIND نصب شده بر روی سیستم را بصورت X.Y.Z نمایش خواهد داد . X ، نشاندهنده نسخه اصلی ، Y ،نشاندهنده جزئیات نسخه و Z نشاندهنده یک Patch Level است . پیشنهاد می گردد ، آخرین نسخه BIND ارائه شده توسط ISC را دریافت و آن را بر روی سیستم نصب نمود. آخرین نسخه موجود Version 9.2.2 بوده و می توان آن را از سایت ISC دریافت نمود. یکی دیگر از رویکردهای کنشگرایانه مرتبط با نگهداری امنیت BIND ، عضویت در گروه های خبری نظیر Symantec برای آگاهی از آخرین هشدارهای امنیتی است . در این راستا می توان از یک برنامه پویشگر بهنگام شده که قادر به بررسی دقیق سیستم های DNS بمنظور تشخیص نقاط آسیب پذیراست ، نیز استفاده گردد .
نحوه حفاظت در مقابل نقطه آسیب پذیر:
بمنظور حفاظت در مقابل نقاط آسیب پذیر مرتبط با BIND موارد زیر پیشنهاد می گردد :
• غیر فعال نمودن BIND deamon ( به آن named نیز اطلاق می گردد ) بر روی سیستم هائی که بعنوان یک سرویس دهنده DNS در نظر گرفته نشده اند . بمنظور پیشگیری ازاعمال برخی تغییرات خاص ( نظیر فعال نمودن مجدد آن ) ، می توان نرم افزار BIND را از روی اینگونه سیستم ها حذف نمود.
• بمنظور بهنگام سازی سرویس دهنده DNS ، از تمامی Patch های ارائه شده توسط تولید کنندگان استفاده و در صورت امکان آن را به آخرین نسخه موجود ارتقاء دهید . برای دریافت اطلاعات تکمیلی در رابطه با نصب مطمئن تر BIND ، از مقالات ارائه شده درسایت CERT و بخش UNIX Security Checklist ، استفاده نمائید .
• بمنظور پیچیده تر نمودن حملات اتوماتیک و یا پویش سیستم مورد نظر ، Banner مربوط به " Version String " را از BIND حذف و نسخه واقعی BIND را با یک شماره نسخه غیرواقعی در فایل named.conf ، جایگزین نمائید .
• امکان ارسال انتقالات Zone را صرفا" برای سرویس دهندگان ثانویه DNS در Domain فراهم نمائید ( secondary DNS servers) . امکان انتقالات Zone در ارتباط با Domain های Parent و Child را غیر فعال و در مقابل از امکان Delegation ( واگذاری مسئولیت ) و فورواردینگ ( Forwarding ) استفاده نمائید .
• امکان Recursion و glue fetching را بمنظور حفاظت در مقابل عماکرد ناصحیح DNS Cache ، غیر فعال نمائید .
• بمنظور حفاظت در رابطه با استفاده از "named" و تحت تاثیر قرار دادن تمامی سیستم ، BIND را محدود نمائید . بنابراین BIND بعنوان یک کاربر non-privilage در دایرکتوری Chroot اجراء می گردد. برای نسخه شمازه نه BIND از آدرس http://www.losurs.org/docs/howto/Chroot-BIND.html استفاده نمائید .
بمنظور حفاظت در مقابل حملات اخیر و مرتبط با نقاط آسیب پذیر کشف شده BIND می توان از منابع زیر استفاده نمود:
فهرست مطالب
مقدمه صفحه 4
BIND Domain Name System: اولین نقطه آسیب پذیر
صفحه 6
Remote Procedure Calls (RPC)دومین نقطه آسیب پذیر :
صفحه 11
Windows Authenticationسومین نقطه آسیب پذیر :
صفحه 15
Internet Explorer (IEچهارمین نقطه آسیب پذیر:(
صفحه 34
Windows Remote Access Services پنجمین نقطه آسیب پذیر :
صفحه 44
ششمین نقطه آسیب پذیر: نحوه حفاظت در مقابل دستیابی به ریجستری سیستم
صفحه 48
هفتمین نقطه آسیب پذیر: متداولترین پورت ها
صفحه 59
FTP هشتمین نقطه آسیب پذیر:
صفحه 67
Windows Peer to Peer File Sharingنهمین نقطه آسیب پذیر :
صفحه 73
منابع
صفحه 77
شامل 68 صفحه Word
برنامه های مخربی هستند که می توانند خود را در جاهای مختلف سیستم کپی کنند و به طور خودگردان و خودکار در شبکه ها و از جمله اینترنت منتشر شوند
ویژگی کرم ها:
فرمت فایل : power point (قابل ویرایش) تعداد اسلایدها : 52 اسلاید
فهرست مطالب :
تهدیدات امنیت شبکه Firewalls
مقاله ای مفید و کامل
لینک پرداخت و دانلود *پایین مطلب*
فرمت فایل:Word (قابل ویرایش و آماده پرینت)
تعداد صفحه:52
چکیده :
بی شک یکی از مهمترین مسائل امروز دنیای علم که در تمامی ابعاد زندگی بشر نفوذ داشته است شبکه و بکارگیری آن در تکنولوژی است، چرا که هرگز نمی توان مزایای شگفت انگیز آن را نسبت به عدم استفاده از این تکنولوژی را نادیده گرفت.مزایایی از قبیل به اشتراک گذاری منابع و اطلاعات، دسترسی به منابع در هر جای دنیا و در کمترین زمان ممکن، ارتباطات متقابل به طور همزمان و .....
به همین دلیل استفاده از این امکان با سرعتی شگرف در حال فزونی است ، اما آنچه در این بین ناخوشایند جلوه می نماید این است که هر چه گستره این تکنولوژی و استفاده از آن بیشتر می شود، خطراتی که آنرا و کاربران آنرا تهدید می کند بیشتر می شود.
مهمترین این خطرات وجود افرادی است که به هر دلیل قصد رخنه در حریم غیر مجاز امنیتی شبکه را دارند تا از آن سوء استفاده ببرند.
این افراد که مهمترین نوع آنها به هکرها موسومند با ورود بدون مجوز به یک سیستم قصد ضربه زدن به آن و یا ربودن اطلاعات را دارند.
از طرفی متأسفانه باید گفت که ابزارهای قوی و فراوانی وجود دارند که راه را برای نفوذگران شبکه آسانتر می کنند. این ابزارها در اینترنت فراوانند و بسیاری از سایت های اینترنتی به رایگان در اختیار همه قرار می دهند.
بطور خلاصه مهمترین این ابزارها را همراه با کاربرد آنها معرفی می کنیم.
این نوع ابزارها در ابتدا برای مدیران شبکه و به منظور شناسایی آسان معایب شبکه طراحی شدند ، اما اکنون مورد سوء استفاده نفوذگران نیز واقع شده اند.
پس نتیجه می شود که اینترنت آن قدر هم که به نظر می رسد امن نیست . ویروسها ، جاسوسان و هکرها همه و همه در جستجوی سیستمهای آسیب پذیر در اینترنت هستند.
در این راستا باید راهکارهایی را جهت تأمین امنیت بررسی نمود که این راهکارها باید دارای خصوصیات زیر باشند.
محصولات امنیت شبکه نیز شامل موارد ذیل می باشند :
هکرها که مهمترین آسیب رسانی را به شبکه ها به خود اختصاص داده اند اول از همه دنبال شکاف های امنیتی می گردند.
نصب یک Firewall یا دیواره آتشین بسیاری از معضلات مربوط به امنیت شبکه را حل خواهد نمود، زیرا نفوذگران معمولاً به دنبال رایانه هایی می گردند که به طور دائمی به اینترنت متصل باشند و توسط دیواره آتش محافظت نشده اند. از این جمله می توان رایانه ها و شبکه های متعلق به شرکتهای تازه کار و مدارس و یا افراد عادی را عنوان نمود.
امروزه در کشورهایی که دارای خطوط ارتباطی با سرعت بالا نظیر DSL و یا مودم های کابلی می باشند به کاربران خانگی توصیه می گردد که هر یک از فایروال استفاده نموده و با استقرار لایه فوق بین شبکه داخلی در منزل و اینترنت ، مسائل ایمنی را رعایت نمایند.
بدین ترتیب با استفاده از یک فایروال می توان یک شبکه را در مقابل عملیات غیر مجاز توسط افراد مجاز و عملیات مجاز توسط افراد غیر مجاز حفاظت کرد.
به دلیل اهمیت موضوع Firewall و داشتن یک دیواره آتشین موضوع فوق را به طور گسترده تر بررسی می نمائیم و در پایان طرز کار و عملکرد معروفترین فایروالها را بررسی می نمائیم.
Firewall چیست؟
دیواره آتش Firewall یک اصطلاح ژنریک برای توصیف انواعی از روشهای امنیتی برای محافظت از ارتباطات اینترنتی و شبکه ای شماست.
شاید عجیب به نظر برسد ، اما خط تلفن با ارتباط کابلی که کامپیوتر شما را به اینترنت وصل می کند تعدادی نقطه دستیابی را در اختیار نفوذگران قرار می دهد.
پروتکل TCP/IP که برای دستیابی اکثر محتویات وب و فایلهایی که بینندگان اینترنت با آنها کار می کنند به کار می رود، بیش از 65000 درگاه (PORT ) مرتبط با خود دارد که مکانهایی هستند که به داده ها در آنها اجازه عبور از اینترنت به کامپیوتر شما داده می شود.
هکرهای باهوش می توانند دریابند که کدام درگاهها بیشترین قابلیت دستیابی را دارند و توجه خود را معطوف نفوذ به آنها می کنند.
نظارت و حفاظت روی همه این درگاهها وظیفه اصلی یک FIREWALL می باشد.
بنابراین Firewall سیستمی است بین کاربران یک شبکه محلی و یک شبکه بیرونی (مثل اینترنت) که ضمن نظارت بردسترسی ها , در تمام سطوح , ورود و خروج اطلاعات را تحت نظر دارد .
بسته های TCP و IP قبل و پس از ورود به شبکه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند . حاصل این پردازش احتمال وقوع سه حالت است :
1- اجازه عبور بسته صادر میشود (Accept Mode)
2- بسته حذف میشود (Blocking Mode)
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode).
همانطور که همه جا ایست و بازرسی اعصاب خرد کن و وقتگیر است دیوار آتش نیز میتواند بعنوان یک گلوگاه باعث بالا رفتن ترافیک , تاخیر, ازدحام و بن بست شود .
از آنجا که معماری TCP/IP بصورت لایه لایه است ( شامل 4 لایه : فیزیکی, شبکه, انتقال و کاربردی ) وهر بسته برای ارسال یا دریافت باید از هر 4 لایه عبور کند بنابراین باید برای حفاظت فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم .
بیشترین اهمیت در لایه های شبکه , انتقال و کاربرد است چون فیلد مربوط به لایه فیزیکی منحصربه فرد نیست و در طول مسیر عوض میشود .
پس به یک دیوار آتش چند لایه نیاز داریم .
سیاست امنیتی یک شبکه مجموعه ای از قواعد حفاظتی است که بنابر ماهیت شبکه در یکی از لایه های دیوار آتش تعریف میشوند .
کارهایی که در هر لایه از دیوار آتش انجام میشود عبارتست از:
1- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش).
2- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و …(لایه دوم دیوار آتش).
3- تحلیل سرآیند متن یک صفحه وب یا نامه الکترونیکی یا .... (لایه سوم دیوار آتش).
A - در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
- آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبکه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
- آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبکه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .
- شماره شناسایی یک دیتا گرام تکه تکه شده( Id & Fragment Offset ) : بسته هایی که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف میشوند .
- زمان حیات بسته (Time To Live ) : بسته هایی که بیش ازتعداد مشخصی مسیریاب را طی کرده اند حذف میشوند.
- بقیه فیلدها : بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند .
بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا که در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست. به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند که با دریافت بسته آنها را غربال کرده به بسته های غیر مجاز اجازه عبور نمیدهند.
با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشکوک بیشتری حذف میشوند و حجم پردازش کمتری به لایه های بالاتر اعمال میشود .
B - در لایه دوم فیلدهای سرآیند لایه انتقال بررسی میشوند :
- شماره پورت پروسه مبدا و مقصد : با توجه به این مساله که شماره پورتهای استاندارد شناخته شده اند ممکن است مدیر دیوار آتش بخواهد بخواهد مثلا سرویس FTP فقط برای کاربران داخل شبکه وجود داشته باشد بنابراین دیوار آتش بسته های TCP با شماره پورت 20 و 21 که قصد ورود یا خروج از شبکه را داشته باشند حذف میکند . ویا پورت 23 که مخصوص Telnet است اغلب بسته است . یعنی بسته هایی که پورت مقصدشان 23 است حذف میشوند .
- کدهای کنترلی (TCP Code BITS) : دیوار آتش با بررسی این کدها به ماهیت بسته پی میبرد و سیاستهای لازم برای حفاظت را اعمال میکند . مثلا ممکن است دیوار آتش طوری تنظیم شده باشد که بسته های ورودی با SYN=1 را حذف کند . بنابراین هیچ ارتباط TCP از بیرون به شبکه برقرار نمیشود .
و...